Letzten Sommer definierten die Gartner-Analysten Neil McDonald und Joe Skorupa ein Security-Konzept namens SASE. Das Akronym steht für „Secure Access Service Edge“ und klingt ausgesprochen wie das englische Wort „sassy“ (deutsch: frech, vorlaut). Die Analysten verstehen darunter die Zusammenführung von SD-WAN- (Software-Defined WAN) mit Security-Funktionalität, was Performance- und Management-Vorteile bringen soll. LANline diskutierte das Konzept mit Nathan Howe, Director of Transformation Strategy bei Zscaler.

Zu den SASE-Features zählen neben SD-WAN vor allem Sicherheitsfunktionen wie FWaaS (Firewall as a Service), SWG (Secure Web Gateway), CASB (Cloud Access Security Broker) und Zero-Trust Networking. SASE funktioniert als cloudbasiertes Security-Management mit direkter Durchsetzung der Richtlinien am Edge, zum Beispiel mittels CPE (Customer Premises Equipment) – also ohne den Umweg über das Unternehmens-RZ zu erfordern. Dadurch soll der Ansatz die Durchsetzung der Richtlinien vereinheitlichen, die Latenz verkürzen sowie den Organisations- und Verwaltungsaufwand senken. Als Anbieter, die zumindest Teile der SASE-Funktionalität abdecken, nennt Gartner CDN-Anbieter (Content Delivery Network) wie Akamai und Cloudflare ebenso wie eine Reihe von Security-Spezialisten, darunter etwa Cisco, Forcepoint, Palo Alto Networks, Proofpoint oder Zscaler.

LANline: Herr Howe, bringt Gartners SASE-Konzept wirklich einen Mehrwert, oder ist es nur die nächste Sau, die durch’s Security-Dorf getrieben wird?

SASE ist „die Richtung, in die wir uns bewegen müssen, deshalb ist das Konzept sehr valide“, meint Zscaler-Mann Nathan Howe. Bild: Zscaler

Nathan Howe: Ich bin kein großer Fan dieses Akronyms, aber SASE ist der erste Versuch, ein umfassendes Framework für Sicherheitsfunktionen zu etablieren, die nicht alle an einer Lokation versammelt sind. Das ist die Richtung, in die wir uns bewegen müssen, deshalb ist das Konzept sehr valide.

LANline: Was sehen Sie dabei als Hauptvorteil von SASE für die IT-Organisationen in den Unternehmen an?

Nathan Howe: In jedem Unternehmen gibt es diese Grenze zwischen Netzwerkteam und Security-Team. SASE überwindet diese Grenze, um einen sicheren Pfad zwischen Nutzer und Information zu etablieren.

LANline: Welchen Beitrag kann Zscaler hier leisten, sprich: Wo ist die Schnittmenge Ihres Angebots mit dem SASE-Konzept?

Nathan Howe: Zunächst müssen Sie wissen: Bei meinem früheren Arbeitgeber, einem globalen Lebensmittelkonzern, habe ich aktiv gegen eine Zscaler-Einführung gekämpft. Denn ich konnte nicht glauben, dass man alle erforderlichen Kontrollmechanismen auch als Cloud-Service beziehen könnte. In einem großen Unternehmen ist allerdings die Vielzahl der Security-Komponenten eine große Herausforderung. Zscaler bietet die gesamte Funktionalität, die man braucht, an einem einzigen Kontrollpunkt, und dann leitet man die Nutzer eben über diesen Pfad. Hier besteht also durch Zscalers Grundprinzip eine große Schnittmenge mit dem SASE-Modell. Wir decken nicht alle Teile des Konzepts ab, aber durch den Ansatz „Inline Security as a Service“ entsprechen wir dennoch stark der SASE-Definition.

LANline: Wo bestehen in Zscalers Portfolio Lücken gegenüber Gartners SASE-Definition?

Nathan Howe: Zscaler ist ein Security-Service, der Datenverkehr zwischen einem Anwender und seinem Ziel weiterleitet und dabei absichert. Wir sind kein Zielpunkt, wie ihn zum Beispiel ein CDN darstellt, und wir bieten auch keine SD-WAN-Services. Vor allem aber agieren wir nicht als Identity-Provider – und haben auch keine Pläne in dieser Richtung. Für diese Aspekte arbeiten wir mit Service-Providern zusammen.

Das Zscaler-Dashboard ermöglicht Einblick in den gesamten Datenverkehr im Netzwerk, aufgeschlüsselt nach Niederlassung, Anwendung oder Nutzer. Bild: Zscaler

LANline: Welche Kritik haben Sie an Gartners SASE-Konzept?

Nathan Howe: SASE versucht, ein Framework dafür zu etablieren, wie Security künftig in einer perfekten Welt funktionieren könnte. Damit steckt es zwischen zwei Welten fest: zwischen der Welt, in der wir leben, und der zukünftigen Welt. Aber immerhin kategorisiert das Konzept erst einmal, was wir alles tun müssen, um in Zukunft sicher agieren zu können. Und das muss übrigens für die Endanwender transparent funktionieren: Die Anwender wollen sicher sein, wollen aber nichts von der dafür nötigen Technologie mitbekommen.

LANline: In welchem Maße eignet sich SASE auch für latenzsensitive Workloads wie etwa jene im IIoT (Industrial Internet of Things)?

Nathan Howe: Sicherheit lässt sich in der digitalisierten Industrie nur verwirklichen, wenn sie für jeden Traffic im Pfad und mittels paralleler Abarbeitung umgesetzt wird – also ohne Daisy-Chaining, denn dies würde die Latenz erhöhen. Das IIoT wird stark von 5G abhängen, und die 5G-Betreiber werden SASE-Gateways zusammen mit ihren Netzwerken ausrollen. Die Basiskontrolle wird auf der Ebene der Geräteidentität stattfinden und dann überall umgesetzt werden. Latenzempfindlichkeit wird in der Tat ein Treiber dieser Entwicklung sein. Erforderlich ist somit ein verteiltes Inline-Security-Modell, das den Anforderungen der jeweiligen Applikation entspricht.

LANline: Welche Rolle spielt der Zero-Trust-Ansatz – also die kontinuierliche Überprüfung des Nutzerverhaltens mit dynamischer Reaktion – dabei?

Nathan Howe: Die Zugangskontrolle für Nutzer wird auf dem Zero-Trust-Modell basieren. Dafür muss es einen Durchsetzungspunkt am Security-Edge geben. Die große Frage wird sein: Wie kontrolliert man das, und wer kontrolliert das? Hier wird es einen Wettbewerb zwischen den SASE-Pass-through-Providern und den Destination-Cloud-Providern geben – diese beiden Gruppen werden interessante Scharmützel ausfechten.

LANline: Ein klassischer Security-Ansatz ist es, Sicherheitsfunktionalität möglichst bereits ab Werk zu integrierten – sprich: Security by Design. Ist SASE ein Symptom dafür, dass Security by Design nicht zufriedenstellend umsetzbar ist?

Nathan Howe: Kein Gerät ist perfekt sicher, zumal sich Security immer wieder an neue Anforderungen anpassen muss. Die Bestrebungen für Security by Design müssen weitergehen, nicht nur auf der Geräteebene: Auch SASE muss „by Design“ möglichst sicher sein. Für alles, was sich auf diese Weise nicht abdecken lässt, muss man sich auf Partner verlassen. Zum Beispiel arbeiten wir mit CrowdStrike zusammen, wenn es um intelligenten Endpoint-Schutz geht.

LANline: Was sagen Sie den Unternehmen, die ihre Sicherheitsinfrastruktur trotz allem lieber im Hause – sprich: unter eigener Kontrolle – behalten wollen?

Nathan Howe: Der Datenverkehr muss sicher von A nach B gelangen, dafür sorgen wir mit unserer Inline-Security-Funktionalität. Gartner hat inzwischen gemerkt, dass das die Richtung ist, in die sich die Welt bewegt, und entsprechend gut sind wir im SASE-Markt aufgestellt. Den Anwenderunternehmen sagen wir: Ihr müsst diese ganze Hardware nicht selbst beschaffen und unterhalten, um das gewünschte Niveau an Kontrolle zu erzielen.

LANline: Herr Howe, vielen Dank für das Gespräch.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.