Suchen

WAN-Transformation und Edge-Sicherheit Sicherheitsmodell SASE – So geht Secure Access Service Edge

Autor / Redakteur: Derek Granath* / Dipl.-Ing. (FH) Andreas Donner

Vor einem Jahr veröffentlichte Gartner seinen wegweisenden Bericht „Die Zukunft der Netzwerksicherheit liegt in der Cloud“. Gartner prägte darin den SASE-Begriff, um die Notwendigkeit einer Kombination aus WAN-Transformation und Edge-Sicherheitstransformation zu beschreiben, damit Unternehmen alle Vorteile der Verlagerung von Anwendungen und Workloads in die Cloud nutzen können.

Firmen zum Thema

SASE ist eine unschlagbare Kombination aus SD-WAN und Sicherheitsdiensten aus der Cloud, sagt Gartner; Derek Granath von Silver Peak erklärt, warum.
SASE ist eine unschlagbare Kombination aus SD-WAN und Sicherheitsdiensten aus der Cloud, sagt Gartner; Derek Granath von Silver Peak erklärt, warum.
(Bild: Silver Peak)

Um eine „Secure Access Service Edge“-Architektur zu erstellen, kann ein Unternehmen mit nur einem Transformationsprojekt beginnen, aber letztendlich müssen sowohl WAN- als auch Sicherheitsarchitekturen berücksichtigt werden. Dies liegt daran, dass herkömmliche WAN- und Sicherheitsarchitekturen, die auf Routern und Firewalls der nächsten Generation basieren, den für die Cloud bestimmten Anwendungsverkehr über ihre Rechenzentren oder Hub-Standorte lenken, um die Sicherheit zu gewährleisten (siehe Abbildung 1). Durch dieses Backhauling entsteht jedoch eine Latenz (Verzögerung), die sich negativ auf die Leistung von Cloud-Anwendungen auswirkt.

Warum sollte man Cloud-Datenverkehr nicht direkt in die Cloud senden und somit das Internet mit Sicherheitsdiensten aus der Cloud nutzen? Genau das bewirkt SASE sowohl im Hinblick auf die Transformation der Netzwerkarchitektur als auch der Sicherheitsarchitektur.

Bildergalerie

Netzwerktransformation

Aus Sicht der Netzwerkarchitektur befürwortet das SASE-Modell ein stark vereinfachtes WAN-Edge, bei dem nur die erforderlichen Netzwerkfunktionen am Edge platziert werden, idealerweise auf einer einzigen Plattform, die folgende Faktoren vereint:

  • SD-WAN,
  • Routing,
  • Stateful zone-based Firewall,
  • Erweiterte Segmentierung,
  • WAN-Optimierung,
  • Sichtbarkeit und Kontrolle der Anwendung.

SD-WAN-Angebote werden immer mehr angefragt und werden weiterhin sehr schnell bereitgestellt.

Sicherheitstransformation

Wenn Anwendungen überall gehostet werden und Benutzer von überall und von jedem Gerät aus darauf zugreifen können, was durch die enorme Zunahme von Remote-Mitarbeitern aufgrund der COVID-19-Pandemie noch verstärkt wurde, muss das herkömmliche Sicherheitsmodell angepasst werden. Im SASE-Modell schreibt Gartner, dass die meisten Sicherheitsdienste am besten in der Cloud und nicht auf teuren, komplex zu verwaltenden Firewalls der nächsten Generation bereitgestellt werden, die sich an verschiedenen Standorten befinden.

In der Cloud ist es deutlich einfacher, die neuesten Funktionen zur Erkennung und Abwehr von Bedrohungen auf dem aktuellen Stand zu halten. Und genau wie SD-WAN an Zweigstellen herkömmliche Router verdrängt, machen Sicherheitsdienste in der Cloud die Notwendigkeit von Firewalls der nächsten Generation in den Zweigstellen überflüssig.

Erste Schritte

Wie sollten Unternehmen, die SD-WAN oder Sicherheitsdienste aus der Cloud noch nicht eingeführt haben, starten, um SASE zu implementieren?

Eine praxiserprobte fortschrittliche SD-WAN-Plattform ist ein guter Ausgangspunkt. Eine einfache SD-WAN Lösung mit nur grundlegender Funktionalität ist unzureichend. Ein modernes SD-WAN ist erforderlich, um SASE vollständig zu aktivieren. Doch welche SD-WAN-Funktionen sind erforderlich, um eine robuste SASE-Architektur zu implementieren?

  • Identifizierung von Anwendungen im ersten Paket und genaue Steuerung des Daten-Traffics, um sowohl QoS- als auch Sicherheitsrichtlinien gemäß der Geschäftsanforderungen durchzusetzen (siehe Abbildung 2).
  • Automatische und tägliche Aktualisierung der Definitionen der Cloud-Anwendungen und der TCP/IP-Adressbereiche auf den neuesten Stand, um immer einen genauen und optimalen Internet-Breakout zu ermöglichen.
  • Automatisierung der Orchestrierung zwischen dem SD-WAN und den von der Cloud bereitgestellten Sicherheitsdiensten über eine einzige Konsole.
  • Automatisiertes Failover auf einen sekundären Cloud Security Enforcement Point, falls der primäre nicht mehr erreichbar ist, um Anwendungsunterbrechungen zu vermeiden.
  • Automatisierungen der Neukonfiguration von Verbindungen zu Cloud Security Enforcement Points, wenn ein neuer, näherer Standort für die Zweigstelle bereitgestellt wird, um die Anwendungslatenz weiter zu minimieren.
  • Ermöglichung, Cloud-Sicherheitsdienste – und deren SASE-Implementierung – in individuellem Tempo einzuführen.
  • Vermeidung vor allem eines Vendor-Lock-Ins, um neue Sicherheitsinnovationen übernehmen zu können, sobald diese verfügbar sind.

Derek Granath.
Derek Granath.
(Bild: Silver Peak)

Fazit

Gartner-Berichten und Analysten zufolge ist SASE eine unschlagbare Kombination aus SD-WAN und Sicherheitsdiensten aus der Cloud. Es ist die Synergie zwischen erstklassigem SD-WAN und erstklassiger Cloud-Sicherheit und die optimale Lösung für Unternehmen, die zukunftsweisende Cloud-Lösungen bevorzugen.

* Derek Granath ist VP Product Marketing bei Silver Peak. Er verfasst unter anderem Artikel für WAN Speak, einen Blog von Silver Peak.

(ID:46995949)