Mobile-Menu

Johan van den Boogaart im Interview Wie sich „echtes“ SASE von „Möchtegern-SASE“ unterscheidet

Redakteur: Elke Witmer-Goßner

SASE (Security Access Service Edge) ist ein Jungstar in der vernetzten Welt, der jetzt durch die Pandemie seinen Durchbruch erlebt. Gartner bewertet SASE als eine der wichtigsten Technologien, die bis 2024 bei rund 40 Prozent aller Unternehmen Einzug halten werde.

Firma zum Thema

Der Schein kann immer trügen, das gilt auch für SASE-Lösungen, weshalb Anwender schon genau hinschauen müssen, was die jeweiligen Angebote zu bieten haben.
Der Schein kann immer trügen, das gilt auch für SASE-Lösungen, weshalb Anwender schon genau hinschauen müssen, was die jeweiligen Angebote zu bieten haben.
(Bild: © photoschmidt – stock.adobe.com)

Der Erfolg dieser Technologie ruft Trittbrettfahrer auf den Plan: Die einen preisen ihre SD-WAN-Produkte jetzt als SASE an, die anderen sagen, mit ihren Produkten könne man ein „SASE bauen“ und Dritte decken nur die Security-, aber nicht die Connectivity-Komponente des Konzepts ab. Nutzer sind verunsichert, ob wirklich alle Angebote, wie von Gartner verlangt, cloud-basiert aus einem Guss alle Edges sicher vernetzen.

Johan van den Boogaart, Cato Networks.
Johan van den Boogaart, Cato Networks.
(Bild: Cato Networks)

Cato Networks, 2016 vom Checkpoint-Gründer Shlomo Kramer ins Leben gerufen, hat sich von Anfang an zum Ziel gesetzt, das SASE-Konzept ohne Kompromisse umzusetzen und hat dadurch einen großen Entwicklungsvorsprung zu anderen Anbietern. IP-Insider befragte Regional Sales Director Johan van den Boogaart*, worauf Anwender achten müssen und wie sie sich gegen Fehlinvestitionen schützen können.

Herr van den Boogaart, mit Cato Networks treten Sie im noch sehr jungen SASE-Markt an. Was ist SASE überhaupt?

SASE ist eine noch recht neue Kategorie in der IT, die erst 2019 von Gartner definiert wurde. SASE ist eine konvergente Netzwerk- und Securitylösung, die vier Hauptmerkmale aufweist: sie ist identitätsbezogen, cloud-nativ, global verteilt und unterstützt alle Randbereiche des Netzwerks, also WAN, Cloud, mobiles und Edge Computing.

Warum ist eine solche Konvergenz von Netzwerk und Security überhaupt notwendig?

SASE wurde notwendig, weil traditionelle Ansätze für Netzwerk und Sicherheit aufgrund der digitalen Transformation einfach an ihre Grenzen kommen. Die IT steht vor der Herausforderung, alle Unternehmensressourcen weltweit, auf kosteneffiziente Weise, mit konsistenter Leistung und mit hoher Sicherheit bereitzustellen. Um dies zu erreichen, muss sich die IT-Infrastruktur endlich über Silos und Punktlösungen hinaus weiterentwickeln, weil sich diese Silos nur bedingt integrieren lassen und getrennt verwaltet werden müssen. Dies ist also kein funktionelles Problem, sondern ein architektonisches. Man kann es so ausdrücken: Aus Autoteilen lässt sich kein Flugzeug bauen. Sprich: Die Bestandteile mögen für sich allein funktionieren, ohne einen übergeordneten Ansatz kann man aus ihnen kein neues Ganzes bauen.

Wie wird dieser neue Ansatz auf technischer Ebene realisiert?

Technologisch wird SASE über eine global verteilte Cloud-Plattform implementiert, die die Netzwerk- und Securitylösungen konvergiert. Dabei kann nur eine globale Cloud-Plattform garantieren, dass das gesamte Spektrum an Netzwerk- und Sicherheitsfunktionen selbst in allen Randbereichen des Netzwerks verfügbar ist. Eine solche Cloud-Plattform sollte idealerweise über ein privates, globales Backbone bereitgestellt werden, samt redundanten, garantierten SLAs von mehreren Internetprovidern. Dabei müssen SASE-Anbieter viele PoPs (Points of Presence) strategisch bereitstellen, um Kunden einen Service mit niedriger Latenz bieten zu können. Dies bedeutet, dass sie über den Umfang öffentlicher Clouds, wie etwa AWS und Azure, hinausgehen müssen.

Was sind die Vorteile für Nutzer, wenn diese Netzwerk- und Security-Dienste zukünftig cloud-basiert sind?

Durch die Anwendung eines „Cloud First“-Ansatzes auf Netzwerk und Sicherheit entkoppelt SASE viele Aufgaben wie Netzwerkoptimierung und Bedrohungsabwehr von den physischen Standortgrenzen und platziert sie in der Cloud. So kann die IT optimierte Netzwerkfunktionen und zuverlässige Sicherheitsmaßnahmen für alle Standorte, Anwendungen und Benutzer sehr einfach und effizient über eine Benutzeroberfläche bereitstellen, unabhängig davon, wo sich diese befinden. Diese Vereinfachung der Netzwerk- und Sicherheits-Stacks und die Konsolidierung von mehreren Punktlösungen in der Cloud senkt die Gesamtbetriebskosten für die Infrastruktur immens.

SASE ist derzeit in aller Munde und es werden viele ähnliche Lösungen unter dem Begriff angepriesen. Wie entwickelt sich der Markt?

Das SASE-Konzept ist tatsächlich so vielversprechend, dass bereits ein regelrechter Marketingwettkampf zwischen vermeintlichen SASE-Anbietern ausgebrochen ist. Gartner warnte bereits vor einiger Zeit davor, dass einige traditionelle Anbieter versuchen werden, eine SASE-ähnliche Lösung anzubieten, indem sie ihre bestehenden Produkte in einem „SASE-Paket“ bündeln. Da diese Technologien jedoch nicht für eine cloud-native Bereitstellung ausgelegt sind, wird mit derartigen Paketen die Servicequalität und -bereitstellung aufs Spiel gesetzt.

Warum sind solche Lösungen nicht geeignet?

Paketlösungen von Telekommunikationsanbietern sind dehalb bereits auffällig geworden, weil sie das genaue Gegenteil von SASE sind. Auch wenn die Nutzung in der Cloud virtualisierter IaaS-Lösungen prinzipiell eine gute Sache ist, sind sie für SASE ungeeignet. Die lokalen Appliances werden hierbei nur in die Cloud verlagert, aber es handelt sich immer noch um verschiedene Punktlösungen ohne native Cloud-Integration. Der Markt ist derzeit also recht unüberschaubar und Kunden sind verunsichert, echtes SASE von „Möchtegern-SASE“ zu unterscheiden.

Worauf sollten Kunden achten, bevor sie sich für eine Lösung entscheiden?

Wie bereits erwähnt, ist die einfache Nutzung verschiedener virtualisierter Lösungen in der Cloud für SASE ungeeignet. Manche Anbieter nutzen auch eine Serviceverkettung als Methode, um mehrere Punktlösungen, wie z.B. SD-WAN, Router, Firewalls oder WAN-Optimierer, miteinander zu verbinden. Doch diese lose verketteten Punktlösungen müssen immer noch separat dimensioniert, skaliert und verwaltet werden. Auch die Angebote von Cloud- und Edge-Anbietern sind noch sehr lückenhaft. Security-as-a-Service-Anbieter sind beispielsweise bemüht, über ihre Cloud-Services verschiedene Sicherheitsfunktionen bereitzustellen, darunter SWGs (Secure Web Gateways) und CASBs (Cloud Access Security Brokers).

Das klingt doch eigentlich nicht schlecht, oder?

Diesen Anbietern fehlen aber die Hauptelemente von SASE: die Steuerung der Datenflüsse im Netzwerk und die native Unterstützung der WAN-Edge. Prinzipiell können sich Kunden an die Definition von Gartner halten und deren vier Hauptmerkmale von SASE. Ist eine Lösung nicht identitätsbezogen, cloudnativ, global verteilt und unterstützt nicht alle Randbereiche des Netzwerks, handelt es sich um kein echtes SASE, sondern ein lückenhaftes Angebot. Es lohnt also mehrere Anbieter zu vergleichen, um Fehlinvestitionen zu vermeiden.

* Johan van den Boogaart ist Regional Sales Director DACH bei Cato Networks. Er ist Experte für die Absicherung virtueller Netzwerke und hilft Kunden dabei Herausforderungen zu meistern, die durch die digitale Transformation entstanden sind. Dies betrifft vor allem einen sicheren unterbrechungsfreien Betrieb in weit verteilten oder global tätigen Organisationen. Mit der „Cato-Cloud“ hat Cato Networks ein eigenes weltweites Netzwerk aufgebaut, das bereits über 60 strategisch ideal verteilte Points of Presence verfügt und ständig weiter ausgebaut wird.

(ID:47158900)