Fazit der Testreihe SASE-Lösungen

Sicherheit für das Cloud-Zeitalter


Fortsetzung des Artikels von Teil 1

Umfangreiche Sicherheitsfunktionen

In puncto Sicherheit bieten alle vier SASE-Anbieter ein breites Funktionsspektrum. Bei den Lösungen mit SD-WAN-Geräten kann der Anwender entscheiden, ob ausschließlich die Cloud-basierten Security-Mechanismen zum Einsatz kommen sollen, oder ob man zum Beispiel Firewall-Regeln oder IDS/IPS-Funktionen auch auf den SD-WAN-Systemen an den Unternehmens-standorten aktiviert. Der Cloud-Ansatz bietet den Vorteil, dass das zentral definierte Regelwerk für alle Anwender gleich ist, unabhängig davon, von wo aus sie auf Unternehmensressourcen zugreifen.

Zudem bietet die in der Cloud laufende SASE-Infrastruktur eine hohe Performance, die auch anspruchsvolle Sicherheitsüberprüfungen zügig durchführen kann. Alle vier Hersteller verfügen über ein Secure Web Gateway, das den gesamten Internet-Traffic überwacht, DNS-Abfragen analysiert und vor bekannten Bedrohungen und gefährlichen Website-Inhalten schützt. Die Anti-Malware-Funktionen können schädliche Dateien erkennen und sie isolieren. Mit maschinellem Lernen sind die SASE-Lösungen zudem in der Lage, vorausschauende Analysen durchzuführen.

IDS/IPS-Lösungen sowie Funktionen für Data Loss Prevention zählen ebenfalls zum Standardfunktionsumfang. Anwender einer SASE-Lösung können zudem die Sicherheitsexpertise des jeweiligen Anbieters nutzen, zum Beispiel in Form eines MDR-Services (Managed Threat Detection and Response). Die vier im Test vertretenen Hersteller betreiben eigene SOCs (Security Operations Center), die eng mit den weltweiten Sicherheitsorganisationen zur Gefahrenabwehr zusammenarbeiten.

Zentrale Steuerung der Zugriffsregeln

Bei der Entscheidung, wer von wo aus auf welche Ressourcen zugreifen darf, kommen mehrschichtige Regelwerke zum Einsatz. Eine hohe Sicherheit und umfangreiche Steuerungsmöglichkeiten der Ende-zu-Ende-Kommunikation bietet nach wie vor ein auf dem Endgerät installierter Software-Client, der von allen vier getesteten Herstellern erhältlich ist. Eine agentenlose Kontrolle der Client-Zugriffe ist meist über ein Web-Portal implementiert, das den Benutzern bei der Anmeldung den Zugriff auf für sie freigegebene Anwendungen gewährt. Zusätzlich zu Nutzername und Passwort lassen sich hier Geräte- und Anwendungs-Identifier nutzen.

Ein wichtiges Element von SASE-Lösungen ist das Zero-Trust-Prinzip. Es besagt, dass die Infrastruktur nur Datenpakete weiterleitet, die der Systemverwalter explizit erlaubt hat. Im Umkehrschluss bedeutet dies, dass standardmäßig zunächst alles geblockt ist. Bei den SASE-Lösungen von Cato und Palo Alto sind ZTNA-Funktionen bereits integriert. Barracuda bietet mit Cloudgen Access eine eigenständige ZTNA-Lösung an, die künftig Bestandteil der SASE-Lösung werden soll. Auch Cisco verfügt mit der Software Duo über ein ZTNA-Produkt, das bislang aber separat zu verwalten ist.
Eine Integration der Benutzerverwaltung mit LDAP- und Active-Directory-Verzeichnisdiensten gehört zu den Standardfunktionen aller SASE-Lösungen. Auch Support von Single Sign-on zum Beispiel mit Azure AD, Office 365, Google oder Okta gehört zum guten Ton, ebenso die Unterstützung einer Multifaktor-Authentifizierung (MFA). Für die Kontrolle von Zugriffen auf Cloud-Anwendungen bieten alle vier Lösungen einen Cloud Access Security Broker (CASB), mit dem sich die zum Beispiel bei AWS oder Azure laufenden Applikationen durch SASE-Zugriffsrichtlinien schützen lassen. Die Durchsetzung der Regelwerke erfolgt dabei über virtuelle SASE-Appliances, die in der jeweiligen Cloud laufen.

Sicherheitslösungen für hybride Welten

Die neuen Cloud-basierten SASE-Lösungen schützen Zugriffe auf Unternehmensressourcen im eigenen RZ und in der Cloud, von wo aus auch immer sie erfolgen. Barracuda hat Cloudgen WAN als nativen Azure-Service implementiert. Die Konfiguration der Standortanbindungen erfolgt wie auch bei den anderen drei Herstellern weitgehend automatisiert. Das Produkt von Cato Networks bietet eine übersichtliche Verwaltungskonsole und lässt sich vergleichsweise einfach implementieren. Ciscos Lösung besteht aus Meraki-SD-WAN-Geräten und Umbrella-Cloud-Services, die Cisco mittels Cloud-Onramp- und Auto-VPN-Funktionen automatisiert miteinander verheiratet. Palo Alto bietet mit Prisma Access eine SASE-Lösung mit großem Funktionsumfang, die ebenfalls mit hauseigenen SD-WAN-Geräten als Gesamtpaket erhältlich ist. Im Markt für SASE-Lösungen herrscht derzeit viel Bewegung. Die Hersteller arbeiten daran, ihr Produktportfolio um zusätzliche Bausteine zu ergänzen. Eine wichtige Aufgabe ist dabei, die Einzellösungen so zu integrieren, dass sie sich über eine Management-Anwendung zentral verwalten lassen.


  1. Sicherheit für das Cloud-Zeitalter
  2. Umfangreiche Sicherheitsfunktionen

Verwandte Artikel

Barracuda Networks Germany, Cato Networks, Cisco Systems GmbH

SASE

SD-WAN