Secure Access Service Edge (SASE) verstehen: Ihr umfassender Leitfaden für sichere Netzwerklösungen

Was ist Secure Access Service Edge?

Secure Access Service Edge (SASE) ist ein modernes IT-Sicherheits- und Netzwerkmodell, das erstmals im Jahr 2019 vom Beratungs- und Marktforschungsunternehmen Gartner beschrieben wurde. Es kombiniert verschiedene Netzwerksicherheitsdienste und WAN-Funktionalitäten in einer integrierten, cloudbasierten Plattform. 

SASE ermöglicht Unternehmen, ihre Netzwerksicherheit und -verwaltung zu vereinfachen und gleichzeitig die Leistungsfähigkeit und Sicherheit ihrer IT-Infrastruktur zu erhöhen. Es kann klassische, perimeterbasierte Sicherheitskonzepte ersetzen.

In der Praxis sieht das so aus: 

• Nutzende stellen eine Verbindung zu den SASE-Diensten am Netzwerkrand (Edge) her. So wird der Bereich bezeichnet, der den Übergang von einem lokalen Netzwerk zum Internet markiert. SASE-Tools sind somit zwischen dem genutzten Gerät und z. B. SaaS-Cloud-Diensten lokalisiert.  
• Hier werden Sicherheitsvorgaben durch die cloudbasierten Tools konsequent umgesetzt. Etwa eine Authentifizierung der Nutzenden. 
• Anschließend bewegen sich die Nutzenden sicher im Internet und greifen geschützt auf Webdienste zu.  

Bei traditionellen Sicherheitskonzepten wird der Datenverkehr stattdessen durch perimeterbasierte Appliances und Legacy-Lösungen geschleust. Dieser Umweg ist mit SASE nicht mehr nötig – dadurch eignet sich das Sicherheitskonzept besonders für Unternehmen, die mobile Arbeitskonzepte anbieten und Cloudanwendungen nutzen.

Zu SASE gehören etwa:

• Software Defined Wide Area Networks (SD-WAN)
• Firewall as a Service (FWaaS)
• Secure Web Gateways (SWG)
• Cloud Access Security Brokers (CASB)
• Zero Trust Network Access (ZTNA) 
• Data Loss Prevention (DLP)

So funktioniert SASE

Secure Access Service Edge basiert auf mehreren grundlegenden architektonischen Prinzipien, die darauf abzielen, Netzwerksicherheits- und WAN-Dienste in einer einheitlichen, cloudbasierten Lösung zu integrieren. Diese Prinzipien sind entscheidend, um die Effizienz, Skalierbarkeit und Sicherheit der gesamten IT-Infrastruktur zu gewährleisten:

• Zentrale Verwaltung und Richtlinien: Ein wesentliches Merkmal von SASE ist die zentrale Verwaltung von Sicherheitsrichtlinien und Netzwerkeinstellungen. Dies bedeutet, dass alle Sicherheits- und Netzwerkrichtlinien an einem zentralen Punkt definiert und verwaltet werden. Dadurch ist eine konsistente und einheitliche Durchsetzung über das gesamte Netzwerk hinweg gewährleistet. Die zentrale Verwaltung erleichtert es IT-Teams, Änderungen schnell zu implementieren und die Sicherheitslage kontinuierlich zu überwachen.
• Dezentrale Durchsetzung: Obwohl die Richtlinien zentral verwaltet werden, erfolgt deren Durchsetzung dezentral und cloudbasiert. Dies bedeutet, dass Sicherheitskontrollen und Netzwerkmanagementfunktionen näher an den Benutzer und Ressourcen platziert werden, unabhängig davon, ob diese sich in einem Unternehmensnetzwerk, einer Cloud-Umgebung oder einem Remote-Standort befinden. Diese dezentrale Durchsetzung reduziert Latenzzeiten und verbessert die Benutzererfahrung.
• Nutzung von SD-WAN und Cloud-Sicherheitsdiensten: SASE nutzt SD-WAN, um die Konnektivität zwischen verschiedenen Standorten und der Cloud zu optimieren. SD-WAN ermöglicht eine dynamische und intelligente Lenkung des Datenverkehrs, basierend auf Echtzeit-Performance-Daten und vordefinierten Richtlinien. Ergänzt wird dies durch eine Suite von Cloud-Sicherheitsdiensten, die Schutz vor Bedrohungen bieten, den Zugriff kontrollieren und Daten sichern.

Betriebsweise erklärt

Die Funktionsweise von SASE lässt sich in mehrere Schlüsselbereiche unterteilen, die zusammen ein robustes und flexibles Sicherheits- und Netzwerkframework bilden.

• Benutzer- und Geräteauthentifizierung: Ein zentraler Aspekt von SASE ist die Authentifizierung von Benutzern und Geräten. Durch die Implementierung von Multi-Faktor-Authentifizierung (MFA) und anderen fortschrittlichen Authentifizierungsmethoden stellt SASE sicher, dass nur autorisierte Benutzer und Geräte Zugriff auf Netzwerkressourcen erhalten. Dies ist ein grundlegender Schritt zur Etablierung eines Zero Trust Security-Konzepts, bei dem jede Zugriffsanfrage validiert wird.
• Verkehrslenkung und Optimierung: Mit SD-WAN kann SASE den Netzwerkverkehr effizient lenken und optimieren. Dies geschieht durch die kontinuierliche Überwachung der Netzwerkbedingungen und die dynamische Anpassung der Verkehrswege, um die beste Performance und geringstmögliche Latenz zu gewährleisten. Dies ist besonders wichtig für Anwendungen, die eine hohe Bandbreite und niedrige Latenzzeiten erfordern, wie z. B. Videokonferenzen oder cloudbasierte Dienste.
• Echtzeitüberwachung und -schutz: SASE bietet eine umfassende Echtzeitüberwachung des gesamten Netzwerkverkehrs und Schutz vor Bedrohungen. Dies umfasst die Erkennung und Abwehr von Malware, Phishing-Angriffen, Datenverlusten und anderen Cyberbedrohungen. Durch die Integration von Bedrohungsinformationen und maschinellem Lernen kann SASE bekannte und unbekannte Bedrohungen schnell identifizieren und darauf reagieren.

1. SD-WAN (Software-Defined Wide Area Network)

SD-WAN ist eine Technologie, die es ermöglicht, Weitverkehrsnetze (WANs) softwaregesteuert zu verwalten und zu optimieren. Durch die Abstraktion der Netzwerkinfrastruktur und die Trennung der Steuerungsebene von der Datenebene bietet SD-WAN eine flexible und kosteneffiziente Möglichkeit, verschiedene Netzwerktechniken und Verbindungen (wie MPLS, Breitband, LTE) zu nutzen.

2. FWaaS (Firewall as a Service)

FWaaS bietet umfassenden Schutz auf Netzwerkebene durch die Bereitstellung von Firewall-Funktionalitäten aus der Cloud. Dies umfasst Funktionen wie Intrusion Prevention Systems (IPS), URL-Filterung und Anwendungskontrolle. Die zentrale Verwaltung erleichtert die Formulierung und Durchsetzung von Sicherheitsrichtlinien. Zudem können FWaaS einfach skaliert und an wachsende Anforderungen angepasst werden. 

3. SWG (Secure Web Gateway)

Ein Secure Web Gateway schützt Nutzende vor Bedrohungen aus dem Internet, indem es den Webverkehr überwacht und filtert. Es verhindert den Zugriff auf bösartige Websites und blockiert schädliche Inhalte wie Malware, Phishing-Angriffe und andere webbasierte Bedrohungen.

4. CASB (Cloud Access Security Broker)

Ein Cloud Access Security Broker (CASB) bietet Sicherheitskontrollen für die Nutzung von Cloud-Diensten. Das Tool ermöglicht es Unternehmen, Richtlinien für den Zugriff und die Nutzung von Cloudanwendungen durchzusetzen. Dazu gehört der Schutz sensibler Daten durch Verschlüsselung während der Übertragung und Speicherung und die Überwachung des Benutzerverhaltens, um unbefugte oder riskante Aktivitäten zu erkennen und zu verhindern.

5. ZTNA (Zero Trust Network Access)

Das ZTNA-Konzept verfolgt das Prinzip des „Never Trust, Always Verify“. Der Zugriff auf Netzwerkressourcen wird dabei durch Private-Access mit ZTNA nur gewährt, wenn die Identität und der Kontext des Benutzers überprüft und als vertrauenswürdig eingestuft werden. 

Dabei kommen granulare Zugriffskontrollen zum Einsatz, die nur den minimal notwendigen Zugriff basierend auf Benutzerrollen und spezifischen Anforderungen erlauben. Außerdem findet eine Micro-Segmentierung des Netzwerks statt, die durch eine Aufteilung des Netzwerks in kleinere, isolierte Segmente die Ausbreitung von Bedrohungen einschränkt.

6. DLP (Data Loss Prevention)

DLP-Technologien überwachen und kontrollieren den Datenfluss innerhalb und außerhalb des Unternehmensnetzwerks, um den Verlust sensibler Daten zu verhindern. Sie erkennen Datenlecks, indem sie unautorisierten Datenübertragungen identifizieren und blockieren. Darüber hinaus setzen sie die implementierten Sicherheitsrichtlinien durch, in denen geregelt ist, wie Daten verwendet, gespeichert und übertragen werden dürfen.

Die Vorteile von SASE für Unternehmen

SASE bietet Betrieben jeder Größe, auch kleinen und mittleren Unternehmen, eine umfassende, flexible und kosteneffiziente Lösung zur Verbesserung ihrer Netzwerksicherheit und -verwaltung. Durch die Integration mehrerer Sicherheits- und Netzwerkdienste in einer cloudbasierten Plattform trägt SASE darüber hinaus zur Optimierung der Anwendungsleistung bei und unterstützt moderne Arbeitsmodelle.

Gesteigerte Sicherheit

• Einheitliche Sicherheitsrichtlinien: SASE ermöglicht es Unternehmen, Sicherheitsrichtlinien zentral zu verwalten und konsistent über das gesamte Netzwerk hinweg durchzusetzen. Dies reduziert die Komplexität und das Risiko von Sicherheitslücken, die durch inkonsistente oder veraltete Richtlinien entstehen können.
• Reduzierung von Sicherheitslücken: Durch die Integration mehrerer Sicherheitsdienste bietet SASE einen umfassenden Schutz vor verschiedenen Bedrohungen. Diese cloudbasierte Sicherheitsarchitektur minimiert das Risiko von Angriffen und Datenverlusten.

Kosteneffizienz

• Reduzierung von Hardwarekosten: Da SASE cloudbasiert ist, können Betriebe an den Kosten für Hardware sparen. Anstatt in physische Firewalls, VPN-Geräte und andere Sicherheitsinfrastrukturelemente zu investieren, setzen sie auf eine flexible und skalierbare Cloud-Lösung.
• Konsolidierung von Sicherheits- und Netzwerklösungen: SASE konsolidiert verschiedene Sicherheits- und Netzwerkdienste in einer einzigen Cloud-Plattform. Das vereinfacht die Verwaltung und senkt Kosten. Unternehmen müssen nicht mehr mehrere, separate Lösungen kaufen und unterhalten, sondern können alles aus einer Hand beziehen.

Flexibilität und Skalierbarkeit

• Anpassungsfähigkeit an Unternehmenswachstum: SASE ist darauf ausgelegt, mit den Anforderungen von Unternehmen zu wachsen. Neue Standorte, Benutzer und Geräte können schnell und unkompliziert hinzugefügt und verwaltet werden, ohne dass umfangreiche Infrastrukturänderungen erforderlich sind. 
• Unterstützung von Remote-Arbeit und mobilen Mitarbeitern: In Zeiten, in denen Remote-Arbeit und Homeoffice immer wichtiger werden, bietet SASE eine flexible Lösung, die sicheren Zugriff von überall aus ermöglicht. Dies erhöht die Produktivität und stellt sicher, dass alle Mitarbeiterinnen und Mitarbeiter geschützt und verbunden bleiben – unabhängig von ihrem Standort.

Vereinfachte Verwaltung

• Zentralisiertes Management: SASE bietet eine zentrale Verwaltungsplattform, die eine einheitliche Überwachung und Steuerung aller Netzwerk- und Sicherheitsdienste ermöglicht. Dies erleichtert IT-Teams die Verwaltung und reduziert den Aufwand für die Implementierung und Durchsetzung von Sicherheitsrichtlinien.
• Automatisierte Updates und Wartung: Da SASE zum Großteil cloudbasiert ist, werden Updates und Wartungsarbeiten automatisch vom Anbieter durchgeführt. Dies stellt sicher, dass alle Sicherheitsdienste stets auf dem neuesten Stand sind. Zudem reduziert es den Aufwand und die Kosten für manuelle Updates und Wartungsarbeiten.

Leistungsoptimierung

• Optimierte Anwendungsleistung: Durch die Nutzung von SD-WAN kann SASE den Netzwerkverkehr dynamisch lenken und optimieren. Dies verbessert die Leistung von Anwendungen, indem es Latenzzeiten reduziert und eine zuverlässige Konnektivität sicherstellt.
• Geringere Latenzzeiten: Die dezentrale Durchsetzung von Sicherheitsrichtlinien und die Nutzung von Edge-Computing-Ressourcen reduzieren die Latenzzeiten, indem sie den Datenverkehr näher an den Nutzenden verarbeiten. Dies führt zu schnelleren Reaktionszeiten und einer besseren Nutzungserfahrung.

Häufig gestellte Fragen

Passend zum Thema