Mobile-Menu

Secure Access Service Edge Der Weg zu SASE ist eine Reise, kein Sprint

Autor / Redakteur: Mike Spanbauer / Dipl.-Ing. (FH) Andreas Donner

In den letzten Jahren ist das Interesse daran gewachsen, verteilte Infrastrukturen und entfernte Mitarbeiter über Cloud-gehostete Dienste anzubinden, zu managen und abzusichern. Für dieses innovative Konzept gibt es in der Branche einige unterschiedliche Bezeichnungen, die bekannteste ist Gartners Secure Access Service Edge (SASE).

Firmen zum Thema

Die Einführung von SASE kann sich als komplex und schwierig erweisen – aber, es führt oft kein Weg daran vorbei!
Die Einführung von SASE kann sich als komplex und schwierig erweisen – aber, es führt oft kein Weg daran vorbei!
(Bild: © momius - stock.adobe.com)

Wenn es um die Absicherung einer Organisation geht, gilt es, viele Punkte zu berücksichtigen: Wo arbeiten die Nutzer überwiegend – vor Ort oder remote? Sind in den kommenden Jahren Veränderungen diesbezüglich absehbar? Betreibt das Unternehmen On-Premises-Lösungen im Rechenzentrum oder verwendet es hauptsächlich cloudbasierte Anwendungen? Wie vielfältig sind die Anwendungen und Datentypen, von denen die Produktivität der Nutzer abhängt?

Keine zwei Organisationen sind gleich aufgebaut. Einige verfügen über branchenspezifische Kundenapplikationen, andere verwenden allgemeine Produktivitätsanwendungen. Und wenn all diese Faktoren auch noch an verteilten Standorten in mehreren Regionen – mit jeweils unterschiedlichen Service Providern, die die Verbindungen und unterschiedlichen Sicherheitskontrollen mit jeweils eigenen Verwaltungssystemen unterstützen – auftreten, wird deutlich, wie viele Variablen berücksichtigt werden müssen.

Sobald Organisationen diese Konzepte verstanden haben, wird die Komplexität der Infrastruktursicherung deutlicher. Der Schutz dieses komplexen Technologiedurcheinanders ist für viele Security- und Infrastrukturteams seit mehr als 20 Jahren ein operativer Balanceakt.

In den letzten Jahren ist das Interesse daran gewachsen, diese Technologien auf Cloud-gehostete Dienste zu übertragen, die als Paket angeboten werden. Denn wer könnte diese Technologien besser einstellen als die Anbieter, die sie entwickeln, einsetzen und betreiben? Für dieses innovative Konzept gibt es in der Branche einige unterschiedliche Bezeichnungen, die bekannteste ist Gartners Secure Access Service Edge (oder SASE).

Unterschiedliche Wege für unterschiedliche Bedürfnisse

SASE liefert die entscheidenden Fähigkeiten, die Sicherheitsarchitekturen bieten sollen, darunter:

  • Production class Uptime
  • Häufiges Überprüfen der Sicherheitswirksamkeit
  • Einsatzflexibilität
  • Benutzerfreundlichkeit

SASE eignet sich sehr gut für neue Standorte oder die großflächige Umstellung auf diesen Dienst. Nahezu alle Organisationen haben jedoch bereits in Technologien oder Verfahren investiert, sodass eine Einführung en gros schwierig ist – wenn nicht gar unmöglich. Darüber hinaus führen Dienste und Anwendungen, die Übernahme durch interne Stakeholder und die Betriebszeitvorgaben, die kein Zeitfenster für eine Umstellung zulassen, dazu, dass die Einführung von SASE für die meisten Unternehmen ein langwieriges Projekt bedeutet.

Policy-Engines

Die betrieblichen Vorteile von SASE lassen sich nicht vollständig nutzen, wenn noch Anwendungen in eigenen Rechenzentren laufen und gleichzeitig SaaS und/oder öffentliche Cloud-gehostete Anwendungen eingesetzt werden. Bei der Behebung von Problemen mit dem Benutzererlebnis oder Applikationen ist die Richtlinienkonsistenz von entscheidender Bedeutung. Mehrere Policy-Engines, bei denen die Konfigurationen schwierig oder die Lösungen von Problemen unmöglich sind, schaffen eine neue betriebliche Herausforderung, die die Transparenz eher trübt als verbessert. Wenn die betriebliche Agilität eine der Grundlagen dieser neuen Sicherheitsvision ist, sollte eine Policy Engine das Ziel sein. Andernfalls entstehen neue Wartungs- oder Betriebsprobleme bei alltäglichen Aktivitäten und Herausforderungen, bei Vorfällen oder Untersuchungen, die die Reaktion oder Lösung durch die Mitarbeiter verzögern.

Wie sieht es mit der Leistung vom oder zum Point of Presence (POP) für den SASE-Dienst oder der Ansammlung mehrerer Links, sowohl mit Punkt-zu-Punkt-Verbindungen zwischen Rechenzentren und Campus oder Homeoffices zur Cloud aus? SD-WAN löst einige dieser Probleme; dennoch kann es schwierig sein, eine qualitativ hochwertige Benutzererfahrung zu gewährleisten, wenn Sicherheitsdienste die Telemetrie und Details verdecken, auf die man sich oft verlässt.

„Choose your own adventure“

Heute verfügen viele Angebote über mehrere Richtlinienkonfigurations- und Bereitstellungsmechanismen für verschiedene Standorte im Netzwerk. Da jede Instanz ihre eigene Management-UI, Richtlinienstruktur und ihr eigenes Ereignisformat hat, ist eine Fehlerbehebung so gut wie unmöglich, geschweige denn der Einblick in das Verhalten eines bestimmten Dienstes oder einer Anwendung in der gesamten Umgebung. Cloud-gehostete Sicherheit sollte den betrieblichen Verbrauch einfacher, nicht komplexer machen.

Mike Spanbauer.
Mike Spanbauer.
(Bild: Juniper Networks)

Fazit

Eines ist klar: Die User Experience bleibt für die meisten Unternehmen der Maßstab des Erfolgs. Ausgezeichnete Sicherheit sollte für den Endbenutzer so transparent wie möglich sein. Einige Ansätze sehen jedoch zusätzliche UIs, zusätzliche Hardware und mehrere Policy-Engines vor, was die Komplexität erhöht. Kunden auf ihrem Weg in die Cloud dort abzuholen, wo sie sich aktuell befinden, ist der beste Weg, diesen Herausforderungen zu begegnen, ohne den Betrieb weiter zu erschweren.

Über den Autor

Mike Spanbauer ist Technology Evangelist bei Juniper Security.

Hier finden Sie Teil 2 und 3 unserer dreiteiligen SASE-Miniserie:

(ID:47111244)