Neue Architektur für die WAN-Transformation

Was SASE wirklich bringt

6. Oktober 2020, 7:00 Uhr | Johan van den Boogart/wg
SASE vereint Netzwerk- und Sicherheitspunktlösungen in einer einheitlichen, globalen Cloud-Plattform.
© Bild: Cato Networks

Die digitale Transformation, die Migration von Anwendungen in die Cloud, die beschleunigte Verbreitung der mobilen Mitarbeiter und häufigeres Arbeiten von zu Hause aus vergrößern kontinuierlich die Zahl der Nutzer, Geräte, Anwendungen, Dienste und Daten außerhalb des Unternehmens. Das bringt traditionelle Netzwerk- und Sicherheitsansätze an ihre Grenzen. Eine SASE-Architektur (Secure Access Service Edge) bietet dezentralen Arbeitskräften den schnellen und sicheren Fernzugriff auf Unternehmensnetze und Clouds – und in der Folge auf ihre Applikationen und Daten.

Gartner stellte das SASE-Konzept 2019 vor [1] und sagte voraus, dass bis 2024 mindestens 40 Prozent der Unternehmen über explizite Strategien zur SASE-Einführung verfügen werden. Das Konzept vereint Netzwerk- und Sicherheitspunktlösungen in einer einheitlichen, globalen Cloud-Plattform. Eine SASE-Lösung vereint als Cloud-basierter Dienst globale Vernetzung (mittels VPN, SD-WAN etc.) mit Netzwerksicherheitslösungen wie NGFW, SWG, CASB, IPS und ZTNA (Next-Generation Firewall, Software-Gateway, Cloud Access Service Broker, Intrusion Prevention System, Zero-Trust Network Access). Idealerweise umfasst ein SASE-Angebot ein globales Netzwerk mit Sicherheitsrichtlinien für alle Standorte, mobilen Benutzer und Cloud-Ressourcen. Es bietet damit standortunabhängig eine schnelle und sichere Nutzung. Netzwerkadministratoren können die Infrastruktur über eine zentrale Management-Konsole verwalten.

Im Gegensatz zu SASE verwenden traditionelle Netzwerke unterschiedliche Netzwerktechniken für die einzelnen Standorte (MPLS, Internetzugang und/oder LTE) neben Fernzugriffskontrolle oder VPN-Server für mobile Clients. Darüber hinaus ist eine Reihe von Security-Appliances und -Lösungen erforderlich. Die Folge: Administratoren müssen bei traditionellen Netzwerken ständig zwischen Management-Konsolen wechseln, was Netzwerk-Management und -betrieb erschwert.
SASE-Architekturen zeichnen sich primär durch die Konvergenz von Netzwerk- und Sicherheitsfunktionen aus und weisen vier Hauptmerkmale auf: Sie arbeiten identitätsbezogen, Cloud-nativ sowie global verteilt und unterstützen alle Objekte und Edge-Umgebungen. Die Benutzer- und Ressourcen-IDs, also nicht bloß eine IP-Adresse, bestimmen dabei die SASE-Netzwerk- und Sicherheitsrichtlinien. Dies vereinfacht das Management erheblich, da die Unternehmen für den Benutzer unabhängig von Gerät oder Standort Netzwerk- und Sicherheitsrichtlinien festlegen können. Als Cloud-native Architektur stellt SASE kritische Netzwerk- und Sicherheitsfunktionen zur Verfügung und nutzt dabei die Vorteile der Cloud wie Flexibilität, Agilität, selbstheilende Architektur und eine automatische Wartung.

Anbieter zum Thema

zu Matchmaker+
610 LANline 2020-10 Cato Networks Bild 2 Interface.png
Eine SASE-Lösung bildet Sicherheits- und Netzwerkereignisse in einer einzigen Oberfläche ab und beschleunigt so die Problemlösung.
© Bild: Cato Networks

Sicherheit für alle Standorte und mobilen Nutzer

SASE schafft ein sicheres Netzwerk für alle Unternehmensbereiche, Rechenzentren, Niederlassungen, Cloud-Ressourcen und mobilen Benutzer. Dazu müssen die Edge-Geräte physische und Cloud-basierende Standorte ebenso unterstützen wie Benutzer, die unterwegs sind oder im Home-Office arbeiten. Damit die Netzwerk- und Sicherheitsfunktionen weltweit verfügbar sind und für alle Objekte die bestmögliche Nutzung bietet, muss die SASE-Umgebung global über regionale PoPs (Points of Presence) mit einem Cloud-basierten Backbone lokal erreichbar sein. Alle Objekte eines Unternehmens verbinden sich dann automatisch mit dem nächstgelegenen PoP. Dieser ist der physische Eingangspunkt des weltweiten Backbones und sichert, optimiert und routet den Datenverkehr über den Backbone bis zum Ziel.

Im Einzelnen bringt eine SASE-Plattform Vorteile in puncto Agilität, Zusammenarbeit, Effizienz und Kosten. Per SASE-Architektur kann die IT schnell und einfach optimierte Netzwerk- und Sicherheitsfunktionen für alle Standorte, Anwendungen und Benutzer bereitstellen – unabhängig davon, wo sich diese befinden. Dank der Konvergenz von Netzwerk und Sicherheit können IT-Teams alle Funktionen und Richtlinien über eine einzige Benutzeroberfläche und mit einheitlicher Terminologie verwalten und so tiefe Einblicke in Netzwerk- und Sicherheitsereignisse gewinnen. Zugleich erspart SASE der IT das Management und die Wartung der lokalen Infrastruktur und reduziert den Zeitaufwand für Redundanzplanung, Skalierung, Dimensionierung und Upgrades von Appliances drastisch. Und schließlich ermöglicht es die Vereinfachung des Netzwerk- und Security-Managements durch die Konsolidierung mehrerer Punktlösungen, die Gesamtbetriebskosten für die Infrastruktur zu senken.

SASE vs. SD-WAN

SASE integriert SD-WAN (Software-Defined Wide Area Network), ist aber kein SD-WAN-Service. Vielmehr verbindet die Architektur alle Objekte eines Unternehmens – Standorte, mobile Benutzer, Clouds und SaaS-Applikationen – über ein SD-WAN zu einem globalen Cloud-basierten Netzwerk. SD-WAN kann nicht alle Objekte verbinden und lässt zudem die erweiterten Sicherheitsfunktionen von SASE vermissen. Ebenso wenig ist das Konzept mit einer klassischen Security-Lösung vergleichbar: SASE verwaltet und konfiguriert die zugehörigen Sicherheitsfunktionen in der Cloud. Es gibt keine Appliances, die der Administrator bereitstellen oder verwalten müsste. Die Sicherheitsrichtlinien gelten sowohl für den „Edge to Edge“-Datenverkehr (WAN-Datenverkehr) als auch für den „Edge to Internet“-Traffic. In diesem Punkt unterscheidet sich SASE von Sicherheits-Services, die oft nur den Datenverkehr zum Internet sichern, nicht aber den Datenverkehr zwischen Standorten oder anderen Benutzern oder Geräten.

SASE ist eine konvergente und keine integrierte Lösung – das ist der entscheidende Unterschied zu allen Netzwerk- und Sicherheitslösungen. In einer Bundle-Integration verkettet man verschiedene Lösungen oder nutzt eine andere Methode, um Netzwerk- und Security-Lösungen zu verbinden. Die separaten Lösungen gibt es nach wie vor, nur bieten sie jetzt vielleicht eine etwas einfachere Konfiguration und gewisse Überwachungsfunktionen. Zur Veranschaulichung eignet sich das Smartphone im Vergleich zur Kombination von Telefon, PDA (kennen Sie die noch?), Kamera und anderen Geräten. Konvergenz ist das Smartphone – Integration ist das Chaos beim Versuch, ein Sammelsurium von Geräten miteinander zu verbinden.

Vorteile einer konvergenen Lösung

Zu den besonderen Vorteilen der SASE-Konvergenz gegenüber der Integration einer SD-WAN- und Sicherheitslösungen zählen die einfache Bereitstellung, schnelle Netzwerkerweiterung, bessere Leistung und mehr Transparenz für eine schnellere Problembehebung. Mit einer konvergenten Lösung gibt es nur ein Produkt. Eine integrierte Lösung hingegen erfordert Bereitstellung und Management mehrerer Lösungen. Bei einer integrierten Lösung muss das IT-Team mehrere Lösungen verschicken, installieren und konfigurieren, was die Bereitstellung verlangsamt. Dagegen lässt sich die geografische Reichweite von SASE-Plattformen, bei denen sich alle Funktionen in einem einzigen Software-Stack befinden, schnell erweitern.
 

610_Quellenkasten
© LANline

Eine konvergente Lösung kann zudem sämtliche Netzwerk- und Sicherheitsfunktionen parallel ausführen. Dies beschleunigt die Verarbeitung, unabhängig vom Datenverkehrsaufkommen oder der Anzahl der Sicherheitsrichtlinien. Bei der integrierten Lösungen dagegen kommt es immer zu Verzögerungen. Die verschiedene Lösungen müssen die Pakete linear zwischen Routing, QoS, Zugangssteuerung und Funktionen zur Bedrohungsabwehr austauschen und entschlüsseln, überprüfen und erneut verschlüsseln. Nicht zuletzt kann eine konvergente Lösung Sicherheits- und Netzwerkereignisse in einer einzigen Oberfläche abbilden und beschleunigt so die Problemlösung. Bei integrierten Lösungen müssen Administratoren mit Daten aus mehreren Konsolen jonglieren und diese verarbeiten. Die Entwicklung einer einzigen Ansicht erfordert massive Investitionen in zusätzliche Produkte, um die benötigten Ereignisdaten abzurufen, zu normalisieren und in einem gemeinsamen Data Warehouse zu speichern – erst dann lassen sich die Tools zur Ausführung der erforderlichen Abfragen bereitstellen.

Johan van den Boogart ist Regional Sales Director DACH bei Cato Networks, www.catonetworks.com.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Cato Networks

Weitere Artikel zu WAN

Weitere Artikel zu Wave Distribution

Weitere Artikel zu Teleround Kommunikations- technik - Handels AG

Matchmaker+