Cato Networks mit globaler SASE-Infrastruktur
Security heiratet SD-WAN
Dass Gartner neue Marktsegmente postuliert, ist nicht ungewöhnlich, dass ein eher unbekannter Player einen Referenzwert für das noch junge Marktsegment liefert, hingegen schon – so geschehen bei SASE (Secure Access Service Edge) und Cato Networks. Hier dürfte geholfen haben, dass Cato-Mitbegründer Shlomo Kramer kein Unbekannter ist, war er doch einst auch an der Gründung von Check Point Software beteiligt. LANline sprach mit Johan van den Boogaart, der das DACH-Business des israelischen Anbieters leitet.
Mit SASE – gesprochen wie englisch „sassy“ – meint Gartner das Verschmelzen von Security- und SD-WAN-Services (Software-Defined WAN) zu einem gemeinsamen Cloud-Angebot. Der Hintergedanke: Immer mehr IT wandert ins Gewölk, da will der verwöhnte Anwender von heute die Sicherheit ebenso gewährleistet sehen wie den performanten Zugriff.
„Netzwerk- und Netzsicherheitsarchitekturen wurden für ein Zeitalter entworfen, das im Schwinden begriffen ist, und sie sind nicht in der Lage, die dynamischen Anforderungen an einen sicheren Zugang im digitalen Geschäftsleben effektiv zu erfüllen“, so das harsche Urteil der Gartner-Analysten im Positionspapier „The Future of Network Security Is in the Cloud“ vom August 2019. SASE ermögliche hier unter anderem weniger Komplexität und Kosten ebenso wie mehr Sicherheit, Performance und Benutzerfreundlichkeit. Das Service-Konglomerat erleichtere zudem die Einführung einer Zero-Trust-Netzwerkarchitektur und ermögliche neue Geschäftsszenarien, indem Cloud-Ressourcen unternehmensübergreifend sicher bereitstehen, so Gartner.
Mit diesem Papier haben Gartners Marktkenner und -postulierer hohe Wellen geschlagen, diverse Anbieter sind auf den SASE-Zug aufgesprungen. Als „repräsentative Anbieter“ nannte Gartner damals Akamai, Cato Networks, Cisco, Cloudflare, Forcepoint, Fortinet, McAfee, Netskope, Palo Alto Networks, Proofpoint, Symantec, Versa, VMware und Zscaler. Den großen IaaS-Providern AWS, Microsoft und Google hingegen bescheinigten die Analysten, noch nicht SASE-ready zu sein.
Wie aber hat es Cato in die illustre Schar der Security- und Cloud-Service-Anbieter geschafft? Die Besonderheit des Anbieters liegt darin, dass seine SASE-Plattform nicht einfach ein Cloud-Service ist, der auf AWS oder Azure gehostet wird. Vielmehr unterhalten die Israelis ihren eigenen globalen SASE-Backbone – nicht unähnlich dem als Wettbewerber aufgeführten Anbieter Akamai, seines Zeichens Betreiber eines weltumspannenden CDNs (Content Delivery Network) samt zugehöriger Security-Services.
„SASE konvergiert Network as a Service und Security as a Service. Wesentliche Bestandteile von Network as a Service sind SD-WAN, globale WAN-Optimierung, Quality of Service und Cloud Access. Dies kann man nur mit einem globalen Backbone betreiben“, so Johan van den Boogaart. „Eine reine SD-WAN-basierten Lösung adressiert noch nicht die Themen Cloud oder mobile Clients.“ Dank des eigenen Cloud-basierten Backbones könne man Cloud-Services wie Azure und AWS als Standorte einbinden. „Einer der Hauptgründe für die Entscheidung zugunsten von Cato Networks ist es, dass wir Connectivity und Security über sämtliche Edge-Umgebungen hinweg liefern können“, so van den Boogaart.
Laut dem Cato-Mann verfügt der Anbieter über rund 60 Points of Presence (PoPs) weltweit, jedes Quartal füge man drei bis vier weitere hinzu. Jüngst verstärkte Cato Networks sein Engagement in Zentraleuropa (LANline berichtete): Zu den Einwahlpunkte in Frankfurt und Amsterdam gesellte sich einer in Zürich. Jeder PoP, so van den Boogaart, sei mindestens mittels zweier Carrier redundant angebunden. Greife man zum Beispiel von München aus auf den Frankfurter PoP zu, so gebe es zugleich einen „Schatten-Link“ nach Zürich. Selbst beim Ausfall des Backbones sei dank SD-WAN-Funktionalität die Ausweichkommunikation via Internet gewährleistet, notfalls per LTE. Auch das Splitten von Traffic sei via PoP möglich, zum Beispiel für direkte Internet-Breakouts für Zweigstellen. Dadurch leite man beispielsweise Microsoft-365-Datenverkehr direkt vom Cato- zum nächsten Azure-PoP, also ohne Umweg über das Unternehmens-RZ.
Die dazu genutzten SD-WAN-Devices sind laut dem Cato-Vertriebsmann lediglich „dumme“ Endgeräte, die ausschließlich für das Tunneling zuständig seien. Alles andere verwalte man aus der Cloud heraus. Auch die SD-WAN-Intelligenz sei damit im PoP angesiedelt, ebenso der Security-Stack. Zu Catos Sicherheitsfunktionalität zählen laut van den Boogaart eine Next-Generation Firewall, VPN, Antivirus, Intrusion Prevention, ein Secure Web Gateway, DDoS-Abwehr sowie Anti-Malware, Letzteres als einzige integrierte Drittanbieterlösung per Einbindung der Software von SentinelOne.
Die Überwachung der Infrastruktur erfolge aus dem hauseigenen SOC. Ergänzend zur Basisfunktionalität biete man Managed Services wie ATP (Advanced Threat Protection) as a Sevice bis hin zum „Hands-free“-Paket. Dieses Full-Service-Angebot reiche bis zu Endpoint Detection and Response mit automatischem Verbindungsabbruch im Angriffsfall mittels ML-basierter (Machine Learning) Analyse von Auffälligkeiten. Gegenüber dem Marktbegleiter Zscaler, der einen ähnlichen Cloud-basierten Security-Ansatz verfolgt, hebe man sich dadurch ab, dass jeder Kunde seine eigene IP-Adresse erhalte. Des Weiteren biete man ein intelligentes Last-Mile-Management, bei dem Cato Networks also quasi als virtueller Netzbetreiber agiert.
Cato Networks’ Kundenbasis umfasst laut van den Boogart rund 600 Organisationen weltweit mit zirka 5.000 Standorten und etwa 100.00 mobilen Nutzern, die Cato per Client-Software oder Portal einbinde. Derzeit arbeite man an einem Programm für Managed-Services-Provider. Denn auf MSP-Seite stelle man einige besondere Anforderungen wie APIs, monatliches Billing, Volumen-Lizenzmodelle etc. Damit ergänze man das bestehende Angebotsportfolio für Provider.
Weitere Informationen finden sich unter www.catonetworks.com.
Lesen Sie mehr zum Thema
