Definition Was ist SASE (Secure Access Service Edge)?

Secure Access Service Edge (SASE) ist ein von Gartner geprägter Begriff für ein noch recht junges Cloud-Computing-Architekturkonzept. Es basiert auf dem Software-Defined Wide Area Netzwerk und stellt WAN-Dienste und Sicherheitsfunktionen über eine Cloud-basierte Lösung zur Verfügung. Das Konzept löst Security-Lösungen wie zentralisierte VPN-Zugänge ab, da Sicherheits-Policies schon am Netzwerkrand greifen. Zugangsmechanismen für Geräte, Applikationen und User sind kontext- und identitätsbasiert.

Firma zum Thema

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt.
(Bild: © aga7ta - stock.adobe.com)

Die Abkürzung für Secure Access Service Edge lautet SASE. Der Begriff wurde von Gartner geprägt und erstmals im Jahr 2019 von Gartner-Analysten verwendet. Es handelt sich um ein noch recht junges Cloud-Computing-Architekturkonzept, das Software-definierte WAN-Services und Sicherheitsfunktionen in einer integrierten Lösung kombiniert.

Ein besonderes Merkmal von SASE ist, dass die Sicherheitsfunktionen bereits am Network Edge (Netzwerkrand) greifen. Ältere Architekturkonzepte mit Unternehmensrechenzentren, dedizierter Hardware und zentralisierten Sicherheits- und Zugangslösungen wie virtuelle private Netze (VPNs) löst das Konzept ab. Es entsteht eine Cloud-basierte Architektur- und Sicherheitsinfrastruktur mit kontext- und identitätsbasierten Zugangsmöglichkeiten für Geräte, Applikationen und User am Edge.

Um eine solche Architektur zu realisieren, sind viele Einzelbausteine notwendig, die zu einer integrierten Lösung verschmolzen werden müssen. Die einzelnen Komponenten von SASE sind beispielsweise das Software-Defined WAN, das Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA), Firewall as a Service (FWaaS), Cloud Access Security Broker (CASB) und andere. Gartner prognostiziert für Secure Access Service Edge in den nächsten Jahren ein enormes Wachstumspotenzial.

Das Konzept und die technische Umsetzung von Secure Access Service Edge

Eines der Grundprinzipien von SASE ist es, dass das Rechenzentrum eines Unternehmens nicht mehr im Mittelpunkt der Architektur steht. Secure Access Service Edge besteht im Kern aus Software-definierten WAN-Services, die mit weiteren Cloud-basierten Diensten und Sicherheitslösungen kombiniert sind. Die Sicherheitsrichtlinien lassen sich zwar zentral definieren und verwalten, wirken aber direkt am Netzwerkrand. Die Policies und Zugangsrechte sind identitäts- und kontextabhängig.

Dank der Software-definierten Architektur des WANs lassen sich die WAN-Services flexibel anpassen und anforderungsgemäß bereitstellen. Beispielsweise können bestimmte Anwendungen, Verbindungen oder Daten entsprechend ihrer Bedeutung für die Unternehmensprozesse priorisiert werden. Die Cloud-Infrastruktur des Anbieters rückt mir ihren Zugangsknoten in die Nähe der Unternehmensstandorte, -applikationen und -anwender, was die Latenzzeiten reduziert. Sämtliche Zugriffe auf Dienste und Anwendungen erfolgen über die Infrastruktur des Anbieters und werden am Point of Presence (PoP) geprüft. Dort wird auch entschieden, ob die Daten in das globale SASE-WAN fließen oder an einer definierten Stelle in das Internet geleitet werden. IoT-Geräte erhalten per Zero Trust Network Access ebenfalls Zugang zu den benötigten Diensten.

Die wesentlichen Merkmale von Secure Access Service Edge

Secure Access Service Edge ist durch die folgenden wesentlichen Merkmale gekennzeichnet. Der Anbieter stellt globale SD-WAN-Services zur Verfügung, die über verteilte und über ein SASE-Backbone verbundene Zugangspunkte (POPs) erreichbar sind. Performante Peering-Verbindungen des WANs ermöglichen Verkehrsflüsse in das Internet und zu Public-Cloud-Diensten. Security Policies sind in einer SASE-Lösung zentral gemanagt, werden aber dezentral am Netzwerkrand durchgesetzt (verteiltes Policy Enforcement). Die Architektur ist cloudnativ und bietet umfangreiche Schutzfunktionen sowie identitäts- und kontextbasierte Zugangskontrollen. Verkehre sind verschlüsselt und Applikationen, Anwendungen oder Services gegen Angriffe oder schädliche Software geschützt. Secure Access Service Edge bietet integrierte DNS-Dienste, DDoS-Schutz (Distributed Denial-of-Service), Malware-Scanning, Zugangspunkte für mobile Geräte und lokale CPE-Bereitstellungsoptionen (Customer Premises Equipment). Wichtige funktionale Komponenten des Secure Access Service Edge sind:

  • Software-Defined WAN (SD WAN)
  • Secure Web Gateway (SWG)
  • Zero Trust Network Access (ZTNA)
  • Firewall as a Service (FWaaS)
  • Cloud Access Security Broker (CASB)

Die möglichen Vorteile durch den Einsatz des SASE-Konzepts

Laut Gartner bietet das Konzept zahlreiche Vorteile. Die Konsolidierung der WAN-Services und der Sicherheitsfunktionen in einem einheitlichen Architekturkonzept reduzieren die Komplexität und die Kosten für das Unternehmen. Secure Access Service Edge minimiert die Notwendigkeit für ein Unternehmen, lokale Hard- und Software selbst zu betreiben, was den finanziellen und personellen Ressourcenbedarf senkt.

Die Unternehmen erhalten für ihre Anwendungen und User eine flexibel anpassbare, sichere und hoch skalierbare Plattform. Sicherheits-Policies lassen sich zentral managen, werden aber direkt am Netzwerkrand durchgesetzt. Die kontext- und identitätsbasierte Prüfung des Zugangs und des Datenverkehrs am Edge sorgt für ein hohes Sicherheitsniveau. Sicherheitsrichtlinien und Zugriffskontrollen sind fein granular steuerbar. Die nahe am Kunden gelegenen POPs des SASE-WANs reduzieren die Latenzzeiten der Datenübertragung und ermöglichen echtzeitsensitive Anwendungen mit hoher Performance an beliebigen Orten der Welt. Datenverkehr ist entsprechend seiner Wichtigkeit priorisierbar. Die SASE-Anbieter stellen auf ihren High-Performance-Backbones hohe Übertragungsleistungen zur Verfügung und betreiben breitbandige Peerings mit anderen Netzbetreibern oder Anbietern von Cloud-Diensten.

Die vom Anbieter bereitgestellten Sicherheitsfunktionen wie DDoS-Schutz, Malware Scanning und Inspection Engines bieten ein hohes Schutzniveau vor Cyber-Bedrohungen. Implementierte Schutzmaßnahmen vor neuen Bedrohungen stehen sofort an allen Edge-Zugangspunkten zur Verfügung. Die Verschlüsselung der über das SASE-WAN übertragenen Daten stellt den Schutz und die Integrität der Daten sicher.

(ID:47109277)

Über den Autor