SASE – Wie Sicherheit am Edge den Unterschied macht

bei

 / 22. June. 2020

New Work und Cloud Computing gestalten die Arbeitswelt völlig um. Um diese Transformation erfolgreich zu bewältigen, muss auch die Internet-Sicherheit für die zunehmend mobilen Mitarbeiter neu gedacht werden. Folgt man dem SASE-Framework von Gartner, muss sich die Sicherheit aus dem Netzwerk ans Edge und damit zum Mitarbeiter verlagern.

Moderne digitale Geschäftsmodelle schaffen neue Möglichkeiten für die flexible Einbindung von Kunden und Mitarbeitern in den Arbeitsalltag. Längst sind es nicht mehr nur Road Warriors und digitale Nomaden, die die Agilität des mobilen Zugriffs auf die Büro-Anwendungen in der Cloud zu schätzen wissen. Pandemien, Wetterverhältnisse mit Stürmen und Überschwemmungen, Generalstreiks oder Buschfeuer verschaffen dem Home Office-Konzept ganz neue Argumente und tragen zur Popularität des grenzenlosen Arbeitsplatzes bei.

Damit Unternehmen diese neuen Arbeitsmodelle unterstützen können, müssen sie jedoch einen weltweit verfügbaren und abgesicherten Zugriff zu Anwendungen für ihre Mitarbeiter bereitstellen. Oberste Prämisse ist, dass der Anwendungszugriff für den Mitarbeitersicher und ohne Hürden oder Umwege gestaltet ist. Unabhängig von welchem Standort der mobile User auf Applikationen im Netzwerk oder in Multicloud-Umgebungen zugreifen möchte, muss Sicherheit und Geschwindigkeit an erster Stelle stehen. Hier geraten traditionelle Netzwerkarchitekturen an ihre Grenzen. Eine Genese von der Netzwerk-zentrierten zur Anwender-zentrierten IT-Infrastruktur ist erforderlich in dessen Zuge Netzwerkarchitektur- und Sicherheitsanforderungen neu ausgerichtet werden müssen.

Neue Anforderungen an Arbeitsumgebungen

Eine IT Abteilung muss sich dazu auf neue Anforderungen einlassen. Daten sind über Cloud-Anwendungen und verschiedene Cloud Provider sowie auf das Netzwerk verteilt und Anwender arbeiten von überall aus. Die Migration der geschäftskritischen Systeme in die Cloud erzwingt ein Umdenken, wie Mitarbeiter auf die Services zugreifen können. Angesichts der Allgegenwart günstiger Internetverbindung ändert sich die Erwartungshaltung der Mitarbeiter an die Zugriffsgeschwindigkeit und auch an den Komfort des grenzenlosen Zugangs zu Anwendungen. Wird das Internet zum neuen Unternehmensnetz steigt für Mitarbeiter allerdings auch das Gefahrenpotenzial durch die sich ständig verändernde Cyberkriminalität. Die größte Umstellung für die IT-Sicherheit ist die durch die Transformation einhergehende Umstellung von der Kontrollinstanz hin zur Risikominimierung.

Solange Anwendungen im Rechenzentrum vorgehalten wurden, war die IT mit der Bereitstellung der Anwendungen betraut und hatte die Kontrolle. Verlassen die Anwendungen das Rechenzentrum und die Anwender das Netzwerk, verlagert sich die Verantwortung. Es geht nicht mehr nur um die Absicherung des Netzwerks durch Sicherheitsinfrastruktur am Perimeter und die Verwaltung der Hardware. Heute ist der sichere Zugriff auf Applikationen in komplexen Cloud-Szenarien erforderlich. In der Cloud-basierten Welt muss anstelle der separat betrachteten Netzwerke und Sicherheit ein übergreifendes Gefüge aus Netzwerk, Sicherheit und Connectivity treten, das den reibungslosen und sicheren Zugriff auf Anwendungen ermöglicht, unabhängig davon, wo diese vorgehalten werden. Denn nichts wäre dem Anwender weniger vermittelbar, als wenn die Zugriffsgeschwindigkeit durch die Cloud, die Agilität und Flexibilität bieten soll, für den Einzelnen leidet.

Abgeleitet aus diesen Anforderungen wurde das Secure Access Service Edge (SASE) entwickelt, es kombiniert umfassende WAN-Fähigkeiten mit zahlreichen Netzwerksicherheitsfunktionen (wie SWG, CASB, FWaaS und ZTNA) um die dynamischen, sicheren Zugangsanforderungen von Unternehmen zu unterstützen.

Sicherheit wandert aus dem Netzwerk hin zum Anwender

Anstatt ein traditionelles Konzept zur Lösung eines modernen Problems zu verwenden, dreht SASE das Sicherheitsmodell einfach um. Während sich sogenannte Legacy-Ansätze darauf konzentrierten Anwendungen innerhalb des Netzwerks mit einem Perimeter zu umgrenzen, konzentriert sich SASE auf den User, und die Sicherheit auf dem Weg zu seinen Anwendungen, die in privaten und public Multicloud-Umgebungen sowie im Netzwerk vorgehalten werden. Das Rahmenwerk sieht vor, dass der Datenverkehr während des gesamten Weges von einem Anwender zu seiner Anwendung gesichert wird – unabhängig davon, wo sich der Benutzer gerade aufhält, oder wo die Anwendung vorgehalten wird. Der entscheidende Punkt dabei ist, dass der Begriff ‚Edge’ beschreibt, worauf der Anwender zugreifen möchte und nicht, wo er sich befindet. So wird jederzeit Sicherheit ermöglicht und nicht mehr nur im Netzwerk oder auf einem Endgerät des Anwenders.

Eine solche Sicherheitsfunktion kann durch eine Transit-Cloud zur Verfügung gestellt werden, die den Weg der Anfrage eines Anwenders zu seiner Anwendung überwacht. Eine Cloud Security Plattform ist also ein Bestandteil eines SASE-Konzepts, denn darüber werden die Sicherheits-Policies für den Datenverkehr zwischen Anwender und seiner Applikation ausgeführt. Die Sicherheitsfunktionalität befindet sich dann nicht mehr an einem physischen Standort, sondern in der Cloud, wo die Filter und Richtlinien in Echtzeit im ein- und ausgehenden Datenverkehr zwischen User und Anwender wirken können und ständig aktiviert sind. Der moderne Weg zur Risikominimierung ist demnach nicht mehr die Aufgabe netzwerkbasierter Konnektivität, sondern stattdessen Benutzer über einen Zero-Trust-Netzwerkzugang (Zero Trust Network Access, ZTNA) mit Anwendungen zu verbinden. ZTNA stellt sicher, dass nur Benutzer, die zum Zugriff auf eine Anwendung berechtigt sind, diesen erhalten. Die Berechtigung wird über Richtlinien festgelegt, die in der Security Cloud umgesetzt werden. So wird eine Microsegmentierung auf Ebene der einzelnen Anwendung möglich, und der Zugriff auf das gesamte Netzwerk gehört in einem solchen Rahmenwerk der Vergangenheit an.

Benutzererfahrung im Mittelpunkt

Bislang waren die Benutzer innerhalb des Firmennetzwerks tätig und die Anwendungen, auf die sie zugriffen, lagen im Rechenzentrum; Server und IT-Infrastruktur gehörten zur IT-Abteilung. In diesem Modell ist es einfach, die Benutzererfahrung zu kontrollieren. Heute liegen die Anwendungen und Daten jedoch in mehreren Cloud-Umgebungen verteilt und werden auf dem herkömmlichen Weg über VPN-Verbindungen aufgerufen. Dieser Pfad geht allerdings wieder mit dem Umweg über das Rechenzentrum einher und verlängert damit den Weg des Users zur Anwendung.

Das SASE-Rahmenwerk bezieht für die direkt Anbindung ans Internet von jeder Niederlassung deshalb weitere Komponenten für die Konnektivität, wie SD-WAN-Lösungen mit ein. Direktes Ausbrechen von jedem Unternehmensstandort spart Umwege und profitiert wiederum von einem Cloud-basierten Sicherheitskonzept. Um niedrige Latenzzeiten zu gewährleiten und den Anwender auf dem direkten Weg mit seiner Anwendung zu verbinden können außerdem Peering-Points zwischen Cloud-Anbietern und Cloud Service Providern beitragen.

Das SASE-Framework eignet sich hervorragend zur Bewältigung der Herausforderungen des sogenannten New-Work-Modells und der zunehmend vernetzten, sich wandelnden Arbeitswelt. Neben einer schnelleren Bereitstellung und besseren Nutzung von Cloud-Diensten profitieren Unternehmen auch von größerer IT-Sicherheit bei reduzierten Kosten, weniger Komplexität, geringerem Verwaltungsaufwand und zentraler Durchsetzung neuer Richtlinien auf allen Systemen. Die IT Abteilung kann damit nicht nur ein sicheres und schnelles Anwendererlebnis anbieten, sie erhält über eine Cloud-Plattform auch wieder den Einblick in alle Datenströme zurück und kann damit das Internet als neues Unternehmensnetz kontrollieren, auch wenn die Mitarbeiter mobil arbeiten.

 

 

Nathan Howe weist über 20 Jahre an Erfahrung in der IT-Sicherheit auf. Sein Wissen als IT-Architekt, Pen-Tester und Sicherheitsberater bringt er in Firmen ein, um mit ihnen die Herausforderungen des digitalen Wandels zu meistern. Seit 2016 arbeitet er für den Cloud-Security Spezialisten Zscaler.