Secure Access Service Edge
Zukunftsfähige IT-Sicherheit
SASE (Secure Access Service Edge) verlagert Networking und IT-Sicherheit dorthin, wo sich auch immer mehr Anwendungen und Daten befinden: in die Cloud. Die künftigen SASE-Architekturen werden umfassende Connectivity- und Security-Technik mitbringen.
Unternehmen verlagern immer mehr Anwendungen und Daten in die Cloud. Diese Entwicklung treiben sie zum einen selbst voran, um von klassischen Cloud-Vorteilen wie Flexibilität, Skalierbarkeit oder ortsunabhängigem Zugriff zu profitieren. Zum anderen forcieren aber auch die großen Anbieter wie Microsoft, SAP oder Salesforce diese Tendenz, indem sie den Support für ihre On-Premises-Lösungen peu à peu einstellen und den Unternehmen dadurch oft gar keine andere Wahl mehr lassen, als Cloud-Angebote zu nutzen. Dieser Trend zur Cloud ist jedenfalls unumkehrbar und wird sich sicher in Zukunft auch noch weiter verstärken.
Die klassischen IT-Sicherheitsarchitekturen der Unternehmen werden dadurch zunehmend überholt – denn sie basieren nach wie vor auf der Annahme, dass sich die Anwendungen und Daten ebenso wie die Nutzer innerhalb des eigenen Unternehmens befinden, und sichern das Unternehmensnetzwerk deshalb nach außen ab. Zwischen dem Ort, wo die Sessions stattfinden und dem Ort, an dem sich die Security-Tools installiert sind, die diese Sessions absichern, entsteht dadurch eine zunehmende Diskrepanz. Das erstmals von Gartner formulierte Konzept „Secure Access Service Edge“, kurz SASE, schickt sich nun an, dieses Missverhältnis zu beseitigen. Es will Networking und Security wieder dorthin bringen, wo die Anwendungen und die Daten sind: in die Cloud. Viele Anbieter haben bereits damit begonnen, Produkte und Lösungen zu entwickeln, die SASE-basierte Architekturen unterstützen, um sich für diese Zukunft zu rüsten.
Umweg über das RZ vermeiden
Aus dem SASE-Konzept ergeben sich zahlreiche Vorteile. Ein ganz wesentlicher davon bezieht sich auf die immer größere Anzahl von Nutzern, die von außerhalb des Unternehmensnetzwerks auf die Cloud-Anwendungen zugreifen: Remote-Mitarbeiter im Home Office, mobile Mitarbeiter unterwegs oder Mitarbeiter in Zweigstellen und Niederlassungen ohne eigene Rechenzentren. Sie lassen sich per SASE-Architektur auf direktem Weg mit der Cloud verbinden. Eine Umleitung des Datenflusses über das Rechenzentrum am Unternehmenssitz, um die dortigen Sicherheitsvorkehrungen zu durchlaufen, ist nicht länger erforderlich.
Schwache Performance, hohe Latenzen und damit einhergehende Verbindungsabbrüche gehören damit der Vergangenheit an. Die Corona-Krise hat gezeigt, wie wichtig schnelle und sichere Verbindungen für die Remote-Mitarbeiter sind – und das wird auch in Zukunft so bleiben. Viele Umwälzungen, die diese Krise mit sich brachte, werden nachwirken. Dazu gehört vermutlich auch, dass künftig deutlich mehr Menschen remote arbeiten werden.
Im Fall der Niederlassungen und Zweigstellen ergibt sich aus der SASE-Architektur zudem ein Kostenvorteil. Da die Unternehmens-IT den Datenfluss für die Cloud-Anwendungen nicht mehr über das zentrale Rechenzentrum umleiten muss, fließt deutlich weniger Verkehr über die kostspieligen MPLS-Leitungen, die die Niederlassungen und Zweigstellen üblicherweise mit dem Unternehmenssitz verbinden. Stattdessen können Unternehmen die lokalen Internetanschlüsse in ihre Netzwerkarchitektur einbinden sowie einen SD-WAN-Ansatz verfolgen und dadurch erhebliche Ausgaben sparen.
Wenn die Anbieter die SASE-Prinzipien vollständig annehmen, bietet sich darüber hinaus eine einmalige Chance, die IT-Sicherheit wieder zu vereinfachen. In den vergangenen 20 bis 25 Jahren hat sich in den Unternehmen ein regelrechter Wildwuchs an Security-Tools der unterschiedlichsten Anbieter entwickelt. Für die Sicherheitsadministratoren bedeutet das nicht nur, sich mit den Eigenheiten der verschiedenen Hersteller zu beschäftigen, mit mehreren Verträgen auseinanderzusetzen und mit unterschiedlichen Update-Zyklen umzugehen. Sie müssen diese Tools auch separat und aufwendig mit verschiedenen Management-Oberflächen verwalten. Wenn Cloud-Lösungen nach dem SASE-Prinzip künftig sämtliche Security-Tools ganzheitlich und einheitlich aus einer Hand bereitstellen, können sie eine wesentlich unkompliziertere IT-Sicherheit ermöglichen.
Connectivity plus Sicherheit
Um ihre Aufgabe zu erfüllen, werden die SASE-Architekturen zwei Welten miteinander vereinen: Connectivity und Security. Sie müssen sichere, verschlüsselte Verbindungen der einzelnen Mitarbeiter zunächst zur Cloud-Plattform selbst und von dort aus zu den gewünschten Cloud-Anwendungen gewährleisten. Das lässt sich mit Client-to-Site-VPNs, Site-to-Site-VPNs oder ZTNA-Technik (Zero-Trust Network Access) realisieren. Mit SD-WAN-Technik (Software-Defined WAN) können sie außerdem dafür sorgen, dass bei den Zugriffen auf die Cloud-Anwendungen immer der für die Anwendung beste Verbindungsweg gewählt wird.
Um umfassende Sicherheit zu gewährleisten, müssen die SASE-Architekturen zudem alle wichtigen Security-Module zentral zur Verfügung stellen. Dazu zählen:
- ein Secure Web Gateway (SWG) für den Schutz der Anwender vor Gefahren aus dem Internet und die Durchsetzung von Internet-Richtlinien;
- Firewall-as-a-Service zur kontinuierlichen Prüfung des ein- und ausgehenden Datenverkehrs inklusive Datenentschlüsselung
- ein Cloud Access Security Broker (CASB), der die Kommunikation zwischen Anwender und Cloud-Anwendung überwacht und protokolliert;
- Advanced Malware Detection (AMD), die verdächtige Anhänge in einer isolierten Sandbox ausführt und so Schadsoftware erkennt;
- Data Loss Prevention (DLP), um Datentransaktionen zu überwachen und gegebenenfalls zu blockieren und so ungewolltes Abfließen von Daten zu verhindern;
- Techniken zur Herstellung und Absicherung der Verbindungen.
Darüber hinaus sollte eine verhaltensbasierte Steuerung der Sicherheit möglich sein. Die Cloud-Umgebungen der Unternehmen sollten möglichst offen gehaltene Orte sein, damit ihre Mitarbeiter flexibel von überall her zugreifen können und sich Partner oder Dienstleister unkompliziert einbinden lassen. Diese Offenheit erfordert es aber noch viel stärker als in einem geschlossenen Unternehmensnetz, sich nicht nur auf die Credentials zu verlassen, sondern zusätzlich das Verhalten der Nutzer genau zu verstehen und automatisiert auf Risiken zu reagieren.
Möglich ist das durch die – anonymisierte und damit datenschutzkonforme – Verarbeitung von Verhaltensmustern. So kann ein Verhaltensmuster etwa offenbaren, dass sich ein bestimmter Nutzer immer aus demselben IP-Adressbereich heraus an einer bestimmten Cloud-Anwendung anmeldet, das für gewöhnlich stets um die etwa selbe Tageszeit tut und jedes Mal dieselben Tätigkeiten ausführt sowie Dokumente öffnet. Durch den laufenden Abgleich dieses Musters mit dem tatsächlichen Verhalten lassen sich mögliche Angriffe entdecken – etwa wenn der Nutzer plötzlich aus einem ganz anderen IP-Adressbereich kommt, zusätzlich auf Ordner zugreift, die er sonst nie öffnet, oder sogar versucht, Zugang zu Dateien zu erhalten, die für ihn gar nicht freigegeben sind.
Idealerweise ist eine verhaltensbasierende Lösung dabei in der Lage, dynamisch auf das Nutzerverhalten zu reagieren und abhängig von Art und Häufigkeit der Ungereimtheiten unterschiedliche, gestaffelte Maßnahmen einzuleiten. Das kann mit dem Auslösen eines Incidents beginnen, woraufhin ein IT-Security-Mitarbeiter die anonymisierten Daten prüft; sich mit dem Verlangen einer zusätzlichen Zwei-Faktor-Authentifizierung fortsetzen; mit der Einschränkung von Rechten und der Aktivierung des Desktop-Monitorings weitergehen; und schließlich mit dem Entzug sämtlicher Rechte enden, bis die Verantwortlichen den Ungereimtheiten nachgegangen sind.
Hybride Architekturen unterstützen
Die Zukunft von Unternehmensanwendungen und -daten liegt in der Cloud – und die Zukunft der Security gehört deshalb der SASE-Architektur. Je früher sich Unternehmen mit diesem Thema auseinandersetzen, desto kontrollierter und durchdachter können sie es umsetzen. Bei der Wahl des Partners für die Umsetzung sind dabei einige Punkte zu beachten. So sollte er selbst über sämtliche erforderliche Techniken und Module verfügen. Bindet er in seiner Plattform Lösungen von Drittanbietern ein, kann es sein, dass verschiedene Cloud-Dienste miteinander verbunden werden, was wieder Latenzen verursacht. Zudem erschwert es die Arbeit der Administratoren, weil sie es mit verschiedenen Benutzeroberflächen zu tun bekommen.
Derselbe Effekt tritt ein, wenn es sich um einen reinen Cloud-Anbieter handelt, der über keine On-Premises-Sicherheitslösungen verfügt. Unternehmen werden in den nächsten Jahren natürlich auch weiterhin noch Anwendungen und Daten in ihrem eigenen Rechenzentrum hosten, die es mit lokal installierten Security-Tools abzusichern gilt.
Zumindest für eine gewisse Übergangszeit sind deshalb hybride Sicherheitsarchitekturen erforderlich. Kann der Partner sowohl On-Premises- als auch Cloud-Lösungen bieten, haben Unternehmen die Möglichkeit, beide Welten mit einer zentralen Management-Konsole ganzheitlich zu steuern. Zu guter Letzt sollten die Lösungen und Produkte des Partners für die SASE-Architektur auf bewährter und geprüfter Technik aufsetzen, die nachweislich bereits lange erfolgreich Verwendung findet.
Frank Limberger ist als Data and Insider Threat Specialist bei Forcepoint in München tätig, www.forcepoint.com.
Lesen Sie mehr zum Thema
