SASE: Den Weg für eine erfolgreiche Implementierung ebnen

Um ihre Cyber-Resilienz zu erhöhen, die digitale Transformation voranzutreiben und dabei gleichzeitig sicheres Remote-Arbeiten zu gewährleisten, entscheiden sich immer mehr Unternehmen für das Architekturkonzept Secure Access Service Edge (SASE). Doch die Implementierung bedarf einer gründlichen Vorbereitung von Netzwerkarchitektur und Sicherheitsmaßnahmen, um späteren Mehraufwand und Folgekosten zu verhindern.
Von   Pantelis Astenburg   |  Vice President DACH   |  Versa Networks
18. November 2022

Das SASE-Framework integriert sowohl die Netzwerk- als auch die Security-Performance in einer einzigen Architektur und vereint Cloud-native Sicherheitstechnologien wie Zero Trust, Firewall as a Service (FWaaS), Secure Web Gateways (SWGs) mit WAN-Technologie. Dies ermöglicht es, Benutzer, Anwendungen und Systeme unabhängig von ihrem Standort sicher zu verbinden, ohne dabei die Benutzerfreundlichkeit, Leistung und Konnektivität für Unternehmen oder Endnutzer zu beeinträchtigen. Doch so vielversprechend die Vorteile von SASE klingen, so schnell können sie durch eine unzureichende Implementierung auch zunichte gemacht werden. Damit die Einführung von SASE so reibungslos wie möglich verläuft, müssen sich Unternehmen zunächst einen Überblick darüber verschaffen, wie gut ihre Infrastruktur auf die Technologie vorbereitet ist. Dies beinhaltet die Bewertung und gegebenenfalls Anpassung bzw. Aktualisierung von Hardware, Netzwerk- und Security-Architektur.

Wo die SASE-Reise startet

Bevor Unternehmen mit der SASE-Implementierung beginnen, muss zunächst geklärt werden, welche Geräte abgesichert werden sollen. Das können ausschließlich Computer sein, Mobile Devices oder aber grundsätzlich sämtliche Geräte, die sich mit dem Unternehmensnetzwerk verbinden. Sobald diese Frage beantwortet ist, stehen den verantwortlichen Security-Teams dann zwei verschiedene Ansätze zur Implementierung von SASE zur Auswahl.

Einer der Ansätze besteht darin, Funktionen für Mitarbeitende zu aktivieren, sobald sich diese außerhalb der geschützten Unternehmensumgebung, d.h. im Homeoffice oder unterwegs, befinden. Dabei ist wichtig, dass – wenn mit Mobiltelefonen oder Laptops gearbeitet wird – grundsätzlich Zero Trust Network Access (ZTNA) sowie sichere Web-Gateways umgesetzt werden. Denn nur so kann sichergestellt werden, dass SASE eine hohe Netzwerkleistung, maximale Sicherheit sowie vollständige Transparenz über alle mit dem Netzwerk verbundenen Geräte gewährleisten kann.

Der zweite Ansatz umfasst die flächendeckende Durchsetzung von softwaredefinierten Wide Area-Netzwerken (SD-WAN) und darauf basierend die Umsetzung einer Zero Trust-Strategie. Bei Letzterer handelt es sich um ein Sicherheitskonzept, das auf dem Grundsatz aufbaut, keinem Gerät, Nutzer oder Dienst innerhalb oder außerhalb des eigenen Netzwerks zu vertrauen und eine Authentifizierung der Nutzer grundsätzlich zu erzwingen. Die Kombination von SD-WAN, einem klar definierten Ansatz, und Zero Trust bietet Unternehmen ebenfalls ausreichend Transparenz und Kontrolle für die Vorbereitung auf die SASE-Implementierung.

Grundsätzlich können Unternehmen natürlich auch beide Ansätze gleichzeitig umsetzen, sofern ihre Sicherheitslage dies erfordert.

Die eigene Sicherheitslage im Blick haben

Eine weitere Voraussetzung für die erfolgreiche SASE-Implementierung ist die Evaluierung der Sicherheitslage des Unternehmens. Sicherheitsverantwortliche müssen hierfür einen Überblick über sämtliche im Unternehmen angewendeten Richtlinien und Schutzmaßnahmen haben. Wissen sie, wo notwendige Zugangskontrollen bereits in ausreichendem Maße umgesetzt sind bzw. wo noch nachgebessert werden muss, gestaltet sich der Übergang zu SASE deutlich einfacher.

Praktisch bedeutet das, dass den Security-Teams eine Aufstellung sämtlicher von der Belegschaft eingesetzten Anwendungen inklusive deren Anbieter vorliegen muss. Anhand dieser Aufstellung können sie dann überprüfen, bei wie vielen Anwendungen Zugriffe grundsätzlich kontrolliert werden können. Zunächst gilt es dabei, mit Hilfe eines entsprechenden Audits zu filtern, welche Anwendungen sich außerhalb des Netzwerkes oder Off-the-Grid befinden. Letztere sind Anwendungen, für die die IT-Teams keine Sicherheit bereitstellen können. Anschließend wird überprüft, welche Anwendungen die Mitarbeitenden des Unternehmens tatsächlich nutzen. Dabei stehen die Verantwortlichen vor der Herausforderung, einerseits genau zu kontrollieren, ob die Belegschaft ausschließlich die von den IT-Teams genehmigten Anwendungen und Dokumente verwenden, andererseits die Privatsphäre der Mitarbeitenden zu wahren.

Hat ein Unternehmen schließlich den Überblick darüber, welche Anwendungen abgesichert werden müssen, ist es an der Zeit, sich mit der Hardware zu befassen.

Die Bedeutung von Hardware-Neutralität

Tatsache ist, dass viele Unternehmen ihre Hardware-Bestände in den letzten Jahren nicht erneuert haben. Nicht selten ist also veraltete oder überholte Hardware im Einsatz, die eine SASE-Implementierung nicht unterstützt. Ist dies der Fall, ist es wichtig, dies schon früh im Prozess zu erkennen, um später nicht mit einem Mehraufwand konfrontiert zu werden. Dies könnte bei Geschäftsführung oder Vorstand den Eindruck hervorrufen, das SASE-Projekt sei deutlich ressourcenintensiver als es tatsächlich der Fall ist.

Zum SASE-Vorbereitungsprozess gehört daher eine genaue Aufstellung darüber, welche Hardware im Unternehmen bereits als Ankerpunkt vorhanden ist und um welche Art von Hardware es sich handelt, einschließlich mobiler Geräte. Zudem ist es wichtig zu verstehen, welche Arten von Multi-Cloud-Umgebungen eingesetzt werden. Wird dabei deutlich, dass eine Auffrischung der Hardware-Landschaft notwendig ist, gilt es, eine Infrastruktur zu wählen, die volle Flexibilität bietet. Denn um von den Vorteilen von SASE nachhaltig profitieren zu können, müssen Unternehmen in der Lage sein, im gesamten Netzwerk dieselbe SASE-Plattform einzusetzen.

Ist das Thema Hardware unter Kontrolle, ist es an der Zeit, sich mit den Sicherheitsverfahren des Unternehmens zu befassen.

Welche Security-Maßnahmen SASE vorab erfordert

Das SASE-Framework geht mit vielen Sicherheitsvorteilen einher. Doch damit diese auch vollumfänglich realisiert werden können, müssen im Unternehmen bereits grundlegende Sicherheitsmaßnahmen umgesetzt sein.

So erfordert SASE unter anderem eine Verschlüsselung, um Transaktionen und Daten effektiv schützen zu können. Denn Security-Teams müssen die Möglichkeit haben, Sitzungen nicht nur zu kontrollieren, sondern auch zu beenden, wenn dies erforderlich ist, und zwar auf der Grundlage von Richtlinien mit einem skalierbaren Rahmen. SASE-Angebote müssen daher in der Lage sein, eine verschlüsselte Inline-Traffic-Kontrolle anzubieten, die idealerweise aus der Cloud bereitgestellt wird, ohne dass dafür eigene Hardware vonnöten ist. Um dabei ein qualitativ hochwertiges Nutzererlebnis zu gewährleisten, brauchen SASE-Lösungen Verschlüsselungsfunktionen mit Leitungsgeschwindigkeit. Denn ist SASE nicht in der Lage, eine starke Konnektivität und eine hohe Netzwerkleistung zu bieten, liegt der Mehrwert bei null und das SASE-Projekt ist letztlich reine Geldverschwendung.

Eine weitere Voraussetzung für eine erfolgreiche SASE-Implementierung ist die Umsetzung einer mandantenübergreifenden Segmentierung des Netzwerkverkehrs. Die IT-Teams müssen also gewährleisten, dass jeder Benutzer über ein eigenes Profil, eigene Berechtigungen, Richtlinien und Konfigurationen verfügt und so isoliert werden kann. So kann sichergestellt werden, dass der Überblick über das gesamte Netz niemals verloren geht.

Fazit

Durch die Implementierung von SASE erhoffen sich Unternehmen höhere Verfügbarkeit, Skalierbarkeit, Kosteneinsparungen und allen voran mehr Sicherheit. Beachten die Netzwerk- und Security-Verantwortlichen bereits im Vorfeld der Implementierung einige Punkte, können sie Hindernisse rechtzeitig aus dem Weg räumen und schneller von den Vorteilen profitieren.

 

Pantelis Astenburg ist Vice President DACH von Versa Networks, dem Spezialisten für Secure Access Service Edge (SASE). In dieser Position trägt er die Gesamtverantwortung für die strategische Geschäftsentwicklung des Unternehmens im deutschsprachigen Raum.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

32422

share

Artikel teilen

Top Artikel

Ähnliche Artikel