Fazit der Testreihe SASE-Lösungen

Sicherheit für das Cloud-Zeitalter

13. Januar 2022, 7:00 Uhr | Christoph Lange/wg
SASE-Lösungen verbinden Unternehmensstandorte, mobile Mitarbeiter und Cloud-Ressourcen über einen eigenen WAN-Backbone miteinander.
SASE-Lösungen verbinden Unternehmensstandorte, mobile Mitarbeiter und Cloud-Ressourcen über einen eigenen WAN-Backbone miteinander.
© Cato Networks

Die SASE-Testreihe (Secure Access Service Edge) der LANline nahm Lösungen von vier Herstellern unter die Lupe: von Barracuda, Cato Networks, Cisco Systems und Palo Alto Networks. Diese lassen sich sowohl mit den hauseigenen SD-WAN-Lösungen (Software-Defiend WAN) als auch mit WAN-Gateways anderer Hersteller kombinieren – hier die wichtigsten Erkenntnisse.

Klassische Sicherheitslösungen mit Perimeter-Firewalls, die das eigene Rechenzentrum vor äußeren Gefahren schützen, werden heutigen Security-Anforderungen nicht mehr gerecht: Viele Benutzer- und Anwendungszugriffe finden nicht mehr innerhalb des eigenen Unternehmensnetzes statt, sondern erfolgen über Internetverbindungen. Gründe sind die Verlagerung von Unternehmens-Workloads in die Cloud und die seit Beginn der COVID-Pandemie stark gestiegene Zahl an Mitarbeitern, die von zu Hause aus arbeiten.

Auch der traditionelle VPN-Zugriff via VPN-Konzentrator im Unternehmens-RZ ist nicht mehr zeitgemäß, da er bei der Nutzung von Cloud-Ressourcen mit einer hohen Latenz verbunden ist, die sich negativ auf die Performance der Anwendungszugriffe auswirkt. Abhilfe verspricht eine neue Generation von Sicherheitsprodukten, die auf den vom Analystenhaus Gartner geprägten Begriff „Secure Access Service Edge“ (SASE) hören.

Die Cloud-basierten SASE-Lösungen kontrollieren Zugriffe am nächstgelegenen Point of Presence (PoP, Einwahlpunkt) des jeweiligen Anbieters. Verfügt ein Benutzer über die erforderlichen Berechtigungen, darf er über eine gesicherte Verbindung direkt auf die Cloud-Applikationen und die Ressourcen im Unternehmens-RZ zugreifen.
Bei SASE handelt es sich um ein umfassendes Sicherheits-Framework, das zahlreiche Funktionsbereiche abdeckt. Welche Komponenten laut Gartner vorhanden sein sollten, erläutert der Einleitungsartikel zur SASE-Testreihe in LANline 4/2021. LANline hat die Lösungen der Hersteller Barracuda Networks, Cato Networks, Cisco Systems und Palo Alto Networks genauer untersucht. Nachfolgend fassen wir die wichtigsten Erkenntnisse zusammen.

Leistungsfähigkeit des WAN-Backbones

Für größere Unternehmen mit verteilten Standorten und vielen mobilen Mitarbeitern ist es wichtig, dass der SASE-Anbieter über einen leistungsfähigen WAN-Backbone und eine große Zahl an PoPs verfügt. Denn je näher ein Anwender, eine Filiale oder die Firmenzentrale am nächsten PoP liegt, desto niedriger ist die Latenz der IP-Kommunikation und desto besser die Anwendungs-Performance.

Cato unterhält einen eigenen weltweiten WAN-Backbone und ist an den meisten Standorten von Hyperscalern wie AWS, Azure oder Google mit einem PoP vertreten. Palo Alto stellt seine weltweite Prisma-Access-Infrastruktur auf Basis der Google Cloud Platform bereit. Cisco besitzt einen eigenen WAN-Backbone mit mehr als 35 Rechenzentren und nutzt zudem Partnerschaften mit mehr als 1.000 Service-Providern. Die SASE-Lösung von Barracuda wiederum ist nativ in Azure integriert und verwendet das Microsoft Global Network.

Alle vier Testkandidaten stellen ihre SASE-Services also über ein weltweites leistungsfähiges WAN bereit. Wenn die Performance-Anforderungen eines Unternehmens steigen, baut der SASE-Anbieter seine Infrastruktur gemäß den vereinbarten Service-Levels aus, damit keine Engpässe entstehen. Der Zugriff auf in der Cloud laufende Anwendungen erfolgt in der Regel über den WAN-Backbone des SASE-Anbieters und nicht mehr über die zuvor genutzte Internet- oder Direktverbindung vom Unternehmens-RZ zum Cloud-Anbieter.

Stammen die SD-WAN-Komponenten einer SASE-Lösung vom selben Hersteller, stehen umfangreiche Quality-of-Service-Funktionen zur Verfügung, und die Datenkommunikation zwischen den Systemen und Anwendungen lässt sich durchgehend darstellen und analysieren. Die SD-WAN-Geräte von Barracuda Networks verfügen beispielsweise über eine dynamische Bandbreiten- und Latenzerkennung, die automatisch die Leitung mit der jeweils geringsten Latenz auswählt und ebenso automatisch auf eine bessere Leitung umschaltet, wenn die Verbindungsqualität sinkt. Zu den Standardfunktionen aller getesteten SD-WAN-Anbieter zählen zudem WAN-Kompression und WAN-Caching.

Kommen alle SASE-Komponenten aus einer Hand, ist die Lösung in der Regel einfacher zu implementieren, weil sich die SD-WAN-Geräte per Setup-Wizard weitgehend automatisiert direkt in die SASE-Cloud-Infrastruktur integrieren lassen. Die Systeme von Barracuda, Cato und Cisco sind zudem in der Lage, ihre Systemsoftware automatisch auf dem neuesten Stand zu halten. Auch die SD-WAN-Geräte von Palo Alto, die wir aus logistischen Gründen nur als virtuelle Appliance testen konnten, unterstützen automatische Software-Updates. Alle vier SASE-Lösungen lassen sich mit (SD-)WAN-Hardware von anderen Herstellern betreiben, die per IPSec-Tunnel mit der SASE-Cloud-Infrastruktur verbunden wird.


  1. Sicherheit für das Cloud-Zeitalter
  2. Umfangreiche Sicherheitsfunktionen

Verwandte Artikel

Barracuda Networks Germany, Cato Networks, Cisco Systems GmbH

SASE

SD-WAN