Neue LANline-Testreihe SASE

Secure Edge löst Perimeter ab

07. April 2021, 07:00 Uhr   |  Christoph Lange/wg


Fortsetzung des Artikels von Teil 1 .

Testszenarien und Testkriterien

Die SASE-Testreihe der LANline wird verschiedene Anwendungsszenarien untersuchen. Bei den Herstellern, die eine eigene SD-WAN-Hardware für den Internetzugang anbieten, werden wir dieses Gerät an die 1&1-DSL-Leitung (50/10 MBit/s) des LANline-Testnetzes anschließen und mit den SASE-Services in der Cloud verbinden. Bei Lösungen, die ohne eigene Endgeräte in den Unternehmensstandorten auskommen, werden wir die Cloud-SASE-Services über einen DSL-Router des Testnetzes mit der 1&1-Internetleitung verbinden. Für die Zugriffstests stehen mehrere virtuelle Server bereit, die im LANline-Testlabor auf einer VMware-vSphere-7-Plattform laufen. Die Zugriffe von Remote-Standorten auf die Ressourcen im LANline-Testnetz werden wir zum einen per Notebook testen, das über einen separaten T-Online-Anschluss mit dem Internet verbunden ist. Zum anderen erfolgen Zugriffe von mobilen Clients per Mobilfunkverbindung über das Internet auf die Systeme im Testnetz. Ebenfalls Testgegenstand sind Zugriffe mit virtuellen Servern, die bei AWS und Azure in der Cloud laufen.

Ein weiteres Augenmerk der Tests wird auf der Bedienbarkeit der Lösungen liegen. So sollten sich zum Beispiel die Anwender für den Fernzugriff idealerweise nur einmal anmelden müssen (Single Sign-on, SSO). Bei SASE-Lösungen, die aus mehreren Produkten unterschiedlicher Hersteller bestehen, kann es durchaus vorkommen, dass sich Benutzer mehrfach authentifizieren müssen, um ihre Zugriffsrechte zu erhalten. Im Idealfall gewährt eine SASE-Lösung dem Benutzer auf Basis des Regelwerks den Zugriff auf bestimmte Ressourcen, ohne dass eine Anmeldung erforderlich ist.

Für die einfache Verwaltung ist zudem ein übersichtliches Dashboard ein wertvolles Hilfsmittel. Es sollte den Zustand der aktiven Sessions sowie potenzielle Bedrohungen grafisch darstellen. Die Einrichtung rollenbasierter Zugriffsregeln sollte durch ein Konfigurationsmenü oder durch Assistenten unterstützt erfolgen. Von Interesse ist auch, wie einfach sich die verschiedenen Sicherheitsfunktionen wie CASB, SWG oder IDS/IPS verwalten lassen. Eine besonders gute Skalierbarkeit bieten SASE-Lösungen, die auf einer Micro-Services-Architektur basieren. Sicherheitsprodukte, die als virtuelle Server in der Cloud laufen, können in puncto  Performance und Skalierbarkeit mit Micro-Services nicht mithalten. Auch beim Multi-Cloud-Support liegen Micro-Services im Vergleich zu VM-basierten Ansätzen klar vorn.

Eine SASE-Software muss in der Lage sein, verschlüsselten Datenverkehr zu entschlüsseln, zu inspizieren und anschließend wieder zu verschlüsseln. Für die Untersuchung der Datenpakete bietet das sogenannte Single-Pass Scanning die beste Performance. Damit lässt sich der gesamte Datenverkehr mit unterschiedlichen Policy Engines in einem einzigen Scanvorgang untersuchen. Als gefährlich eingestufte Datenpakete sollte die Lösung blockieren oder in Quarantäne nehmen. Leistungsfähige SASE-Lösungen sind zudem in der Lage, sensitive Unternehmensdaten zum Beispiel aus der Personalabteilung zu erkennen und regelbasiert Up- oder Downloads derartiger Daten zu unterbinden. Für IoT-Geräte sollte die Software eine Offline-Ausführung des Regelwerks unterstützen, zum Beispiel indem das Endgerät die Zugriffsregeln in einem lokalen Cache vorhält. Ein Support für nicht verwaltbare IoT-Gerätschaft ist ebenfalls hilfreich.

Mit Blick auf die Einhaltung gesetzlicher Vorgaben sollte eine SASE-Lösung in der Lage sein, persönlichen Datenverkehr von der Überwachung auszuklammern. Den geschäftsbezogenen Traffic hingegen muss sie vollständig protokollieren und alle Aktivitäten an ein zentrales Logsystem weiterleiten. Da die Implementierung einer SASE-Lösung mit einer grundlegenden Neuausrichtung der kompletten Sicherheitsarchitektur einhergeht, sollten Unternehmen diesen Schritt sorgfältig planen. Neben der Auswahl eines passenden Produkts sind hier auch die internen Zuständigkeiten der für die Technik verantwortlichen Teams zu betrachten, weil viele Sicherheitsfunktionen mit SASE in die Cloud wandern.

Seite 2 von 2

1. Secure Edge löst Perimeter ab
2. Testszenarien und Testkriterien

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Verwandte Artikel

Barracuda Networks Germany, Cato Networks

Netzwerksicherheit