Neue LANline-Testreihe SASE

Secure Edge löst Perimeter ab

07. April 2021, 07:00 Uhr   |  Christoph Lange/wg

Secure Edge löst Perimeter ab
© Bild: Gartner

Cloud-basierte SASE-Lösungen steuern die Zugriffe von Benutzern und Geräten mittels eines ausgefeilten Regelwerks.

Die wachsende Bedeutung der Cloud für die Unternehmens-IT führt dazu, dass die klassische Perimeter-Firewall den Datenverkehr nicht mehr adäquat schützen kann. Viele Anwendungszugriffe laufen gar nicht mehr über das unternehmenseigene RZ. Deshalb sind Cloud-basierte SASE-Lösungen (Secure Access Service Edge) auf dem Vormarsch. LANline wird in den kommenden Monaten eine Reihe von SASE-Lösungen näher betrachten.

Der vom Beratungshaus Gartner geprägte Begriff Secure Access Service Edge (SASE) läutet einen grundlegenden Kurswechsel bei der Architektur von Netzwerksicherheitslösungen ein. Die meisten Unternehmen schützten ihr Netzwerk bislang am Perimeter: Sie kontrollierten Zugriffe von außen mittels Firewalls und weiterer Sicherheitssysteme wie Intrusion Detection und Prevention oder Malware-Erkennung. Die Sicherheitstechnik lässt dabei Datenpakete anhand von standortabhängigen IP-Adressen und Ports durch oder blockiert sie. Anwender, die von außerhalb auf Unternehmensanwendungen zugreifen, müssen sich in der Regel über eine VPN-Lösung mit dem zentralen Rechenzentrum verbinden. Für das Cloud-Zeitalter ist diese Architektur nicht mehr zeitgemäß, weil immer mehr Unternehmensdaten gar nicht im eigenen RZ liegen, sondern bei einem Cloud-Provider. Beispiele sind IaaS-Workloads (Infrastructure as a Service), die auf VMs in der Cloud laufen, oder die Nutzung von CRM- und ERP-Systemen sowie Office 365 im SaaS-Modell (Software as a Service). Auch beim wachsenden Edge Computing verarbeiten oft Cloud-Anwendungen die anfallenden Daten, nicht die Server im unternehmenseigenen RZ.

Das traditionelle VPN-Zugriffsmodell ist bei den genannten Anwendungsbeispielen mit einer hohen Latenz verbunden, weil unnötig viele WAN-Strecken zu überbrücken sind. Eine deutlich bessere Performance lässt sich dagegen erzielen, wenn Benutzer von ihrem jeweiligen Standort aus per Internet direkt auf die Ressourcen in der Cloud zugreifen können. Hier kommen die neuen SASE-Lösungen ins Spiel, die Benutzer- und Geräte-Identitäten sowie weitere Parameter wie Anwendungs- oder Service-Namen standortunabhängig für eine regelbasierte Zugriffssteuerung nutzen. Die Regelwerke verwalten SASE-Anbieter zentral in der Cloud und verteilen sie auf die Endgeräte. Die Überprüfung, ob ein Client den Sicherheitsrichtlinien entspricht, erfolgt meist mittels eines auf dem Gerät installierten Softwareagenten. Für IoT-Systeme sollte auch eine agentenlose Prüfung möglich sein. Mit der SASE-Architektur befindet sich der Perimeter dadurch immer genau da, wo ein Benutzer oder IoT-Gerät auf Unternehmensressourcen zugreifen will. Cloud-basierte SASE-Dienste gewähren Policy-basiert die individuell zugeschnittenen Zugriffsrechte.

Bausteine einer SASE-Lösung

LANline startet in Ausgabe 5/2021 eine Testreihe zu den neuen SASE-Produkten, um zu untersuchen, mit welchem Aufwand eine Einführung derartiger Lösungen verbunden ist, wie sie sich verwalten lassen und welche Zugriffs- und Schutzmechanismen sie bieten. Die Implementierung einer SASE-Lösung ist auf mehreren Wegen möglich. Der Idealfall wäre laut Gartner, wenn alle Komponenten vom selben Hersteller kommen, wobei darauf zu achten ist, dass die Einzelteile eng miteinander integriert sind. Eine sinnvolle Alternative kann auch die Kombina- tion der SD-WAN-Lösung (Software-Defined WAN) eines Herstellers mit den Cloud-basierenden Access- und Security-Services eines anderen Anbieters sein. Bei beiden Ansätzen handelt es sich um eine konvergierte Cloud-basierte SASE-Lösung, die Network as a Service und Network Security as a Service zu einem Komplettpaket schnürt.

Im WAN- und im Cloud-Security-Markt sind laut Gartner derzeit Entwicklungen in zwei Richtungen zu beobachten: Die SD-WAN-Hersteller ergänzen ihre Lösungen um Network-Security-Funktionen, während Cloud-basierte Sicherheitsanbieter ihr Portfolio um Tools wie Cloud Access Security Broker (CASB), Zero-Trust Network Access (ZTNA) und Secure Web Gateway (SWG) erweitern. Da die meisten SASE-Funktionen als Cloud-Service laufen, sollten die Dienste möglichst nah bei den zu verwaltenden Systemen platziert sein. Dies ist ein entscheidender Faktor für die Performance der per SASE gesteuerten Zugriffe. Die großen SASE-Anbieter verfügen deshalb über ein eigenes weltweites Backbone-Netzwerk, das an den meisten Standorten der Hyperscaler wie AWS, Microsoft Azure oder Google eigene Points of Presence (PoPs) für den Internetzugang ihrer Anwender umfasst und damit eine performante Cloud-Anbindung sicherstellt.

Einige SASE-Hersteller wie beispielsweise Cato Networks – Testkandidat Nr. 1 in LANline 5 – bieten eigene Hardwarelösungen für die Internetanbindung an, die für die Kommunikation mit den in der Cloud laufenden SASE-Services optimiert sind. Von der SD-WAN-Seite kommende Hersteller wie Barracuda Networks haben in ihre Zugangsgeräte zahlreiche Sicherheitsfunktionen wie Firewall, Secure Web Gateway und IDS/IPS integriert. Im Zusammenspiel mit Cloud-basierten SASE-Funktionen wie CASB oder ZTNA entsteht daraus eine SASE-Hybridlösung. Für die Analysten von Gartner zählen auch DNS-Services sowie eine Ende-zu-Ende-Verschlüsselung auf Session-Basis zu den elementaren Bestandteilen einer SASE-Lösung. Des Weiteren führen sie als optionale Funktionen sogenannte WAAP-Services (Web Application and API Protection Services) für den Schutz von Anwendungsschnittstellen sowie Tools für eine Remote-Browser-Isolation an. Durch diese lassen sich der private Web-Traffic und Zugriffe auf Browser-basierte Unternehmensanwendungen voneinander trennen.

Seite 1 von 2

1. Secure Edge löst Perimeter ab
2. Testszenarien und Testkriterien

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Verwandte Artikel

Barracuda Networks Germany, Cato Networks

Netzwerksicherheit