SASE (Secure Access Service Edge) bezeichnet ein neuartiges, Cloud-basiertes Security-Architekturkonzept, das auf SD-WAN (Software Defined Wide Area Network) aufbaut. Es bündelt Netzwerk- und Security-as-a-Service-Funktionen am Netzwerkrand über eine zentrale Verwaltungskonsole und stellt sie als einen gemeinsamen Cloud Service bereit. Als Netzwerk- und Sicherheitswerkzeug lässt sich SASE unabhängig davon nutzen, wo sich Mitarbeiter und Ressourcen befinden. Lokale Hardware kann dadurch stark reduziert werden. Denn die Cloud-Konnektivität wird dazu eingesetzt, SD-WAN mit Netzwerksicherheitsfunktionen zu kombinieren sowie Sicherheitsrichtlinien über die zentrale Verwaltungskonsole zu definieren und durchzusetzen.

Die populärste Sicherheits-Lösung in den meisten Unternehmen ist eine Kombination aus peripherer Firewall und zentralisiertem Virtual Private Network (VPN). Dabei ermöglicht eine verschlüsselte Tunnelverbindung zwischen Benutzer, Endgerät oder Zweigstelle und Rechenzentrum den sicheren Remote-Zugriff auf das Unternehmensnetzwerk. Das heißt aber auch, dass der gesamte Traffic des Unternehmens über das Rechenzentrum läuft. Der berühmte Flaschenhals entsteht – genau genommen sogar zwei Flaschenhälse. Einerseits kann es zu umständlichen Routings kommen, wenn Mitarbeiter im Homeoffice auf Cloud Services zugreifen müssen. Denn Anfragen gehen dann zuerst über die VPN-Verbindung in die Zentrale und werden von dort aus über die Firewall ins Internet geleitet. Andererseits nehmen Antworten wiederum den umgekehrten Umweg. Im Klartext bedeuten diese umständlichen Datenwege hohe Latenzen, vor allem wenn viele Zugriffe gleichzeitig erfolgen. Darauf sind die Bandbreiten nicht ausgelegt. So kommt es zu Engpässen, die die Performance von Cloud Services ausbremsen und die Nutzererfahrung beeinträchtigen. Wenn Mitarbeiter lange auf eine ERP- oder CRM-Abfrage warten müssen, ist das zudem geschäftsschädigend.

Wer auf Cloud Services setzt, flexible Arbeitsmodelle pflegt und/oder viele verteilte Standorte hat, sollte sich also jetzt mit SASE beschäftigen. Vor allem weil die Performance-Probleme mit dem Anstieg von Cloud-Nutzung zukünftig noch zunehmen werden. SASE stellt hingegen sicher, dass Mitarbeiter von überall schnell und sicher auf ihre Applikationen und Daten zugreifen können, da mit der Technologie Sicherheitsfunktionen bereits am Netzwerkrand (Network Edge) greifen.

Durch intelligentes Routing reduziert man den Daten-Traffic zwischen Endpunkt und Rechenzentrum und vermeidet so Bandbreiten-Flaschenhälse. Zudem stellen die Cloud-basierten Sicherheitslösungen die notwendigen Schutzfunktionen bereits am Rand des Netzwerks, bzw. direkt am Endpunkt bereit. Im Gegensatz zu VPN, das dem Nutzer umfangreiche Zugriffsrechte im Netzwerk zugesteht, lässt sich mit SASE ein Zero-Trust-Konzept implementieren. Je nach Sicherheitsbedarf ist Zero Trust ohnehin eine Überlegung wert. Das Cloud-Modell spart zudem Hardware-Kosten, erhöht die Flexibilität und vermeidet Engpässe. Da Netzwerk- und Sicherheitsfunktionalitäten Software-basiert bereitgestellt werden, skaliert die Lösung problemlos. Die Einbindung neuer Clients ist schnell und simpel möglich. Die leichte Bedienbarkeit ist ebenfalls ein Pluspunkt, da nur eine einzige Verwaltungsplattform zur Regulierung aller Sicherheitsrichtlinien notwendig ist. Dies entlastet IT-Verwaltungsteams in beträchtlichem Maße. Lösungen gibt es in unterschiedlichen Preissegmenten – je nach Unternehmensgröße.

SASE verbindet SD-WAN , Secure Web Gateway, Zero Trust Network Access, Firewall as a Service und Cloud Access Security Broker (CASB). Die erste Komponente, SD-WAN, stellt sicher, dass Daten auf dem kürzesten Weg ans richtige Ziel kommen. Das Secure Web Gateway schützt vor Bedrohungen aus dem Internet, wenn der Endpunkt auf Cloud Services zugreift. Dafür stehen etwa URL- und Web-Traffic-Filter, Anwendungskontrollen und Anti-Malware-Funktionen zur Verfügung. Firewall as a Service überwacht den Traffic, der nicht webbasiert ist, während Zero Trust Network Access granulare Zugangskontrollen bietet. Über einen sicheren, verschlüsselten Tunnel bekommen nur berechtigte Nutzer Zugriff auf Applikationen und Dateien. Mit dem CASB können Unternehmen zudem sicherstellen, dass Anwender nur für sie freigegebene Cloud Services nutzen.

Mit dem komplexen System an sich muss der Anwender sich jedoch nicht auseinandersetzen. Er meldet sich lediglich per Single-Sign-On an der SASE-Plattform an. Nach der Authentifizierung verbindet sich der Client mit dem nächsten POP (Point of Presence) des SASE-Anbieters und erhält so seine Security Policies und seine Routing-Informationen. Der Endpunkt erkennt dann automatisch, welcher Traffic für welches Ziel bestimmt ist, und leitet ihn auf schnellstem Wege dorthin. Dafür baut er verschiedene sichere Tunnel auf: Nur Datenverkehr, der auch wirklich für das Rechenzentrum bestimmt ist, wird dorthin geschickt. Anfragen an Cloud Services gehen ohne Umwege direkt ins Internet.

SASE-Dienste haben vier entscheidende Merkmale:

1. Cloud-basiert: SASE-Dienste sind auf Cloud-Architektur aufgebaut. Dies verringert die Hardware-Anforderungen und erhöht die Skalierbarkeit.
2. Absicherung des Datenverkehrs und Einhalten von lokalen Richtlinien: Daten-Traffic wird innerhalb der SASE-Architektur verschlüsselt und entschlüsselt. Mehrere parallel arbeitende Überwachungs- und Schutzprogramme wie Malware-Scanning, Sandbox-Umgebungen und DDoS-Schutz sorgen zusätzlich für Sicherheit. In den Routing- und Security-Richtlinien sollten lokale Vorschriften wie etwa die EU-Datenschutz-Grundverordnung (EU-DSGVO) durchsetzbar sein.
3. Globaler SD-WAN-Dienst: SASE-Architektur vermeidet Verbindungen über das globale Internet, indem es einen SD-WAN-Dienst mit einer privaten Hauptleitung einsetzt. Somit werden Latenzzeiten verringert. Die einzelnen PoPs sind dabei direkt miteinander verbunden. Eine Verbindung mit dem Internet stellt das System nur her, um mit dem weltweiten SASE-Backbone Kontakt aufzunehmen.
4. Identitätsbasiert: SASE-Dienste erkennen Benutzeridentitätsmerkmale wie MAC- und IP-Adressen, sowie Einsatzorte und können so jederzeit Zugriffsrechte für Anwender regeln.

Gartner geht davon aus, dass 60 Prozent der Unternehmen bis zum Jahr 2025 eine explizite SASE-Strategie haben werden. Um hier nicht den Anschluss zu verlieren, sollten Unternehmen schnell handeln. Da das Thema äußerst komplex ist und spezialisiertes Know-how auf vielen verschiedenen Gebieten erfordert, sollte man sich dabei nicht scheuen, externe Anbieter und Dienstleister zu Rate zu ziehen, die auf Augenhöhe beraten. Empfehlenswert ist in jedem Fall, mit einem erfahrenen und kompetenten MSSP zusammenzuarbeiten.

Mittlerweile gibt es einige SASE-Anbieter auf dem Markt. Um den passenden Partner zu finden, ist es vor allem wichtig, die eigenen Anforderungen zu kennen. Denn die verschiedenen SASE-Plattformen enthalten nicht immer alle Komponenten – was auch nicht zwingend erforderlich ist, da sich die einzelnen Services teilweise im Funktionsumfang überschneiden. Jeder Anbieter hat außerdem seine eigenen Stärken und Schwerpunkte. Palo Alto Networks punktet etwa vor allem mit umfangreichen und modernen Next Generation Firewall- und ZTNA-Funktionen und bietet zudem eine überzeugende SD-WAN-Komponente.

Vor der Wahl des Anbieters sollten Unternehmen also erst einmal in Erfahrung bringen, welchen Sicherheitsbedarf sie haben und worauf sie besonderen Wert legen. Die Kosten sind natürlich ebenfalls ein Aspekt, den es zu berücksichtigen gibt. SASE-Angebote, die globale Einwahlknoten und eine große Infrastruktur vorweisen, befinden sich in der Regel im höheren Preissegment verglichen mit kompakteren Architekturen. Es ist also ratsam, zuerst zu prüfen, was der tatsächliche technische Bedarf im Unternehmen ist. Ein Managed Security Service Provider (MSSP) kann helfen, die passende Lösung zu finden oder dabei unterstützen, eine individuell abgestimmte, schlanke Lösung aufzubauen. Wer den Aufwand möglichst gering halten möchte, um damit seine IT-Abteilung zu entlasten, bucht SASE am besten direkt als Managed Security Service. Dann kümmert sich der MSSP um die Lösung und den Betrieb.

Im Zuge von Homeoffice und aus wirtschaftlichen Überlegungen heraus steigen Unternehmen zunehmend auf Cloud-Dienste um (siehe unser Blog-Artikel: SASE: Sicherheit und Schnelligkeit für Cloud-Netzwerke). Dabei machen sie schnell die Erfahrung, wie schwer es ist, dezentralisierte Netzwerksicherheit umzusetzen. Oftmals herrscht in den Köpfen auch noch die traditionelle Vorstellung von statischen Unternehmensnetzwerken vor. Doch die Zeiten haben sich geändert und Sicherheitsmaßnahmen, die davon ausgehen, dass der Großteil der Mitarbeiter vom Firmenstandort aus arbeitet, reichen heute längst nicht mehr aus. Heute sind flexible Security-Lösungen für die modernen dezentralisierten, Cloud-basierten Netzwerke gefragt. indevis ist dabei seit vielen Jahren auf Security Services für den Mittelstand spezialisiert. Wir setzen führende Technologie für Security Access Service Edge ein und verfügen über erfahrene Sicherheitsexperten. Unsere Kunden profitieren von standardisierten Best-Practice-Dienstleistungen, die wir granular je nach (Sicherheits-)Bedarf anpassen. Unser Spezialisten-Team übernimmt die Implementierung und den Betrieb der SASE-Plattform sowie die Anbindung der Endpoint-, Netzwerk- und Cloud-Architektur. Ebenfalls kümmern wir uns um Update und Pflege der Richtlinien. Als Partner auf Augenhöhe hilft indevis Ihrem Unternehmen somit dabei, das Sicherheitssystem an die modernen Anforderungen und ihre individuellen Bedürfnisse anzupassen.