Lassen Sie uns also das komplexe Thema SASE mit Hilfe einer Analogie vereinfacht erklären und die große Anzahl der Abkürzungen bildhaft darstellen, um so Zusammenhänge deutlich zu machen. Hierzu wird eine Geschäftsreise als SASE-Vorgang abgebildet:
1. Sichere und optimierte Übertragung – Der Weg zum Hotel
Sie kommen am Flughafen an und benötigen einen Transport zum Hotel. Dies ist bereits die erste Begegnung mit der SD-WAN-Technologie. Denn entsprechend der aktuellen Straßensituation sowie Ihren individuellen Bedürfnissen bekommen Sie eine optimale und sichere Route sowie das passende Transportmittel vorgeschlagen.
So erhalten Sie über das intelligente und dynamisch agierende Template in Echtzeit einen Überblick über die aktuelle Verkehrssituation und werden informiert, wie regelmäßig öffentliche Verkehrsmittel fahren oder ob es derzeit zu Verspätungen kommt. Basierend darauf bekommen sie verschiedene Alternativen für ihre Routenplanung angeboten (Routing). Entscheiden Sie sich nun für die U-Bahn, erhalten Sie unmittelbar wichtige Informationen, wie z.B. welche Linie wann und von welchem Gleis abfährt, und können zudem gleichzeitig einen entsprechenden Fahrschein erwerben.
Haben Sie viel Gepäck dabei, wird Ihnen hingegen der Weitertransport mit einem individuellen Fahrzeug empfohlen (Routing, Bridging und Bandwith Optimization). Doch auch hier wird differenziert: Ist die Schlange am Taxistand sehr lang oder stehen keine Taxis zur Verfügung, wird ein Transport mit einem persönlichen Fahrdienst organisiert. Der Vorteil: Sie profitieren gleichzeitig von einer erhöhten dedizierten Sicherheit, da sichergestellt ist, dass Sie dem Chauffeur und dem Transportunternehmen bekannt sind (NGF: Next Generation Firewall). Haben Sie sich über die entsprechende App oder Website bereits legitimiert und identifiziert, bekommen sie die Zusicherung sicher und individuell befördert zu werden (ZTNA: Zero Trust Network Access). Auch der Fahrer ist informiert, dass er sie direkt nur zum vereinbarten Ziel transportieren darf (Direct Internet Private Access). Und da UBER keine weiteren Personen als „Mitfahrer“ zulässt, sind Sie während der Fahrt auch vor externen Attacken gut geschützt (SWG: Secure Web Gateway).
2. Manipulationssichere Identifikation – Das Einchecken im Hotel
Haben Sie bereits im Vorfeld online ein Hotelzimmer auf Ihren Namen gebucht, greifen einige weitere Komponenten aus dem Security-Umfeld (SSE: Secure Service Edge). Sie mussten sich im Hotel-Portal authentifizieren und identifizieren, damit sie sich einloggen können, und haben damit auch alle benötigten Informationen, wie die gewünschte Zimmerkategorie und weitere Präferenzen, hinterlegt (IAM: Identity Access Management). Sind Sie regelmäßig Gast in diesem Hotel, sind Ihre Informationen und Gewohnheiten bereits bekannt und abgeglichen worden (Analytics).
Vor Ort angekommen werden Sie an der Rezeption nun nochmals identifiziert und müssen sich mit Ihrem Personalausweis legitimieren. Erst nach diesem erneuten Abgleich erhalten Sie Zugang in Form einer Zimmerkarte (MFA: Multi Factor Authentification).
Das Hotel selbst managet die Zugänge seiner Gäste anhand verschiedener Kundenprogramme, z.B. Gold- & Silber-Members (Orchestration). Dies sind die sogenannten Tenants, die über das Gateway, hier die Rezeption, verwaltet werden. Für jeden Tenant greifen eigene Zugangsregeln (Policies). Dies umfasst etwa den Zutritt zur Lounge oder zum hoteleigenen Fitness-Center. Haben Sie Upgrades hinzugebucht, werden diese ebenfalls über die Tenants abgebildet (Policies per Tenant).
3. RBAC & Mikro-Segmentierung – Zugänge im Hotel managen
Der Weg von der Rezeption zu Ihrem Zimmer führt Sie über einen Aufzug. Hier müssen Sie sich erneut identifizieren – diesmal mit Ihrer Zimmerkarte. Dadurch ist festgelegt, welches Stockwerk und welches Zimmer Sie betreten dürfen (CASB: Cloud Access Security Broker). Während das Stockwerk auch vielen anderen Gästen offen steht, ist nur Ihre Karte in der Lage, die Türe Ihres Zimmers zu öffnen (Zero Trust „Private Access“). Durch diese Einschränkungen ist Ihre Umgebung „segmentiert“ worden (Micro-Segmentation). Es wird also sichergestellt, dass Sie sich innerhalb des Hotels nur in bestimmten zuvor definierten Bereichen frei bewegen können, und der Zugang zu sensibleren Bereichen, etwa den Tagungsräumen, gemäß einem Zero-Trust-Ansatz eine erneute Authentifizierung mittels Zimmerkarte erfordert.
Diese Segmentierung wird grundsätzlich bei allen Personen angewendet, die sich im Hotel befinden – je nach Funktion und Rolle. So hat das House-Keeping-Personal zwar Zutritt zu allen Gästezimmern und Cleaning-Bereichen, jedoch nicht zu sämtlichen Verwaltungsbüros oder den IT- und Server-Räumen (RBAC: Role Based Access Control).
4. Bedrohungsmanagement & DLP – Ein sicherer Aufenthalt
In Ihrem Zimmer angekommen, erwarten Sie vielleicht Blumen, ein Obstkorb oder ein zusätzlicher Bademantel. Diese Informationen wurden dem Personal beim Vorbereiten Ihres Zimmers durch die Hotel-Datenbank bereitgestellt (Analytics). Möchten Sie in den nächsten Stunden oder Tagen nicht vom Personal gestört werden, drücken Sie den Not-Disturb-Botton oder hängen das entsprechende Schild von außen an Ihre Tür. Damit haben Sie eine zusätzliche Sicherung gegen externe Einflüsse und Störungen aktiviert (UTM: Unified Threat Management).
Sollten Sie an der Rezeption Ihre Kreditkarte oder im SPA-Bereich Ihr Smartphone vergessen haben, wird ein vertrauensvoller Mitarbeitender dies sicherstellen und ihnen unmittelbar zurückbringen (DLP: Data Loss/Leakage Prevention).
Wenn Sie auschecken, wird ihnen die Rechnung mit allen Details erstellt (Analytic Platform, Reporting).
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.