Do it yourself vs. Managed Service

SASE verwalten per Co-Management

02. September 2021, 07:00 Uhr   |  Hugo Vliegen/wg

SASE verwalten per Co-Management
© Aryaka

Aufbau einer SASE-Infrastruktur im schematischen Überblick.

Im Netzwerkbereich geht der Trend klar in Richtung SASE (Secure Access Service Edge): Anbieter schnüren Pakete aus SD-WAN-Services (Software-Defined WAN) und Security-Funktionen auf Cloud-Basis. Eine SASE-Blaupause, die auf jedes Unternehmen passt, gibt es allerdings nicht. Zu unterschiedlich sind die Herausforderungen, denen sich Unternehmen in ihren jeweiligen Branchen wie auch intern gegenübersehen. Bereits bei der Implementierung müssen SASE-Anbieter daher Flexibilität bieten, um den Anforderungen von größtmöglicher Verwaltungshoheit bis hin zu kleinstmöglichem Wartungsaufwand gerecht zu werden.

Von Erpressung bis Industriespionage: Die Unternehmensnetze von heute sind einer stetig steigenden Bedrohungslage ausgesetzt. Dieser Status quo bringt neue Ansätze und Trends hervor – einer davon ist Secure Access Service Edge (SASE). Mit dem Ziel, eine Infrastruktur zu schaffen, welche die Sicherheits- und die Performance-Anforderungen eines digitalen Geschäftsbetriebs gleichermaßen erfüllen kann, setzt SASE auf die Bündelung von Security- und Netzwerkfunktionen. Zurecht könnte man an dieser Stelle entgegnen, dass es für die Erfordernisse moderner Unternehmensnetze doch schon eine lang bewährte Lösung gibt: MPLS (Multiprotocol Label Switching). Doch trotz schneller Übertragung und hoher Sicherheit beim Datentransfer kann dieses nicht länger allen Unternehmensanforderungen gerecht werden. Denn die Datenströme in modernen Unternehmen haben sich stark gewandelt: Das Volumen steigt stetig an, hinzu kommen vielfältigste Datentypen und eine zunehmende Anzahl an Access Points. Größere Angriffsflächen und ein erheblicher Mehraufwand bei der Installation und Wartung sind die Folge.

Genau an diesem Punkt setzt das SASE-Konzept an, das Gartner 2019 in dem Artikel „The Future of Network Security Is in the Cloud“ entwickelte. Es bezeichnet zwar keine neuen, innovativen Security- oder Netzwerkfunktionalitäten, beschreibt jedoch eine Netzwerkarchitektur, die SD-WAN-Funktionen mit Cloud-nativen Sicherheitsfunktionen konsolidiert, um den Nutzen bereits vorhandener Funktionen zu steigern und deren Management und Instandhaltung zu vereinfachen. Dazu implementieren Hersteller SASE hauptsächlich als „Heavy Cloud“-Ansatz, was bedeutet, dass der Großteil der Netzwerk- und Sicherheitsressourcen in der Cloud zur Verfügung steht. Im Gegensatz zum „Heavy Branch“-Modell, bei dem der Schwerpunkt auf der Bereitstellung vor Ort liegt, ist also nur noch ein Minimum an Komponenten vor Ort (on-premises) vorhanden.

Eine moderne SASE-Architektur ermöglicht Unternehmen eine effiziente Verbindung verschiedener Standorte, indem der Netzzugang über global verteilte Zutrittspunkte (Points of Presence, POPs) erfolgt. Dies macht ein Zurückgreifen auf Service-Provider und Peering obsolet. Das Tor zur SASE-Welt stellt das Teilnehmernetzgerät (Customer Premise Equipment, CPE) dar. Es liefert die erforderlichen WAN-Services und kann gleichzeitig weitere benötigte Anwendungen – beispielsweise eine Next-Generation Firewall – vor Ort hosten.

Bei der Implementierung und Wartung einer solchen Lösung bestehen zwei Möglichkeiten: Unternehmen können das Netz in Eigenregie aufsetzen und verwalten oder den gesamten Prozess als Managed Service an einen Drittanbieter auslagern. Welche der beiden Varianten zu bevorzugen ist, hängt von den Gegebenheiten im Unternehmen ab. Welche Anforderungen stellen beispielsweise Branchenvorgaben und Regularien an das Unternehmen? Welche Kompetenzen sind intern vorhanden? Und verfügen die hauseigenen Experten über die benötigten Kapazitäten, sich um das SASE-Netz zu kümmern? Nicht selten gilt es, dabei den Aufwand und die Verwaltungshoheit gegeneinander abzuwägen.

Zweifelsohne benötigt ein reibungsloser Geschäftsbetrieb eine zuverlässige Sicherheitsstrategie. Gleichzeitig gestaltet sich jedoch der Versuch, bei der Konfiguration, Nutzung und Aktualisierung aller Bestandteile einer fortschrittlichen Security-Lösung den Überblick zu behalten, als Mammutaufgabe – nicht zuletzt angesichts der konstanten Weiterentwicklungen in der IT sowie der zunehmenden Sicherheitsbedrohungen, die IT-Teams an ihre Grenzen bringen. Immer mehr Unternehmen entscheiden sich bereits im Netzwerkbereich – zum Beispiel im Kontext der SD-WAN-Technik – für eine Auslagerung als Managed Service, die sich durchaus positiv auf die Geschäftsagilität und den manuellen Verwaltungsaufwand auswirkt. Nun kommt analog dazu die Auslagerung des Security-Bereichs in Mode – angesichts der dadurch ermöglichten Entlastung der IT-Abteilungen mehr als naheliegend.

Doch bei Security handelt es um einen hochsensiblen Bereich, den Unternehmen häufig nur ungern in fremde Hände geben. Gerade in hochregulierten Branchen gilt es, teils sehr spezifische Anforderungen zu erfüllen. So erfordern beispielsweise die strengen Regulierungen in der Finanzbranche die Einhaltung außergewöhnlich hoher Security-Standards. Ähnliches gilt für die Fertigungsbranche, in der Systeme gerade im Kontext der smarten Fabrik wertvollste Prozess- und Produktdaten übertragen und verarbeiten. Dass Unternehmen wie diese ihre Sicherheitsarchitektur umfassend kontrollieren und auch lückenlos die Hoheit über sensible Daten behalten wollen, ist nicht überraschend. So bevorzugen zumindest manche von ihnen zunächst, ihre SASE-Lösung à la „do it yourself“ einzuführen und zu managen: In der neuesten Ausgabe von Aryakas jährlichem „State of the WAN“-Reports zeigt sich, dass zwar für 71 Prozent der befragten Unternehmen eine SASE-Implementierung als Managed Service eine Option wäre, knapp ein Fünftel (18 Prozent) jedoch die Einführung und Nutzung in Eigenregie präferiert.

Seite 1 von 2

1. SASE verwalten per Co-Management
2. Kein Entweder-oder

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Managed Service

SD-WAN