SASE steht für Secure Access Service Edge und ist ein Begriff, den Gartner 2019 eingeführt hat und seitdem sehr stark pusht. Das hatte rasch den Effekt, dass jeder Security- und Netzwerkhersteller, der einigermaßen etwas auf sich hält, damit begonnen hat, den Begriff zu übernehmen. Und anschließend auch als Produkt oder Bundle in sein Angebot mitaufzunehmen. Eine wichtige Grundvoraussetzung für Gartner ist dabei, dass ein Hersteller bzw. Anbieter möglichst alle Komponenten in einer zentralen Verwaltung zur Verfügung stellen können muss, um so Komplexität und Bedienaufwand zu reduzieren.

Inhalte
  1. Kernkomponenten einer SASE-Plattform
  2. Die Grundidee von SASE in einer cloudzentrierten Arbeitswelt
  3. Was ist SSE und wo liegen die Unterschiede zu SASE?
  4. Die Vorteile von SASE und SSE für jede Unternehmensgröße
  5. Erste eigene Schritte mit SASE und SSE
  6. FAQ

Kernkomponenten einer SASE-Plattform

Doch was versteckt sich nun eigentlich hinter dem sperrigen Akronym bzw. welche Kernkomponenten sind laut Gartner zwingend für eine SASE-Plattform notwendig?

  • SD-WAN
  • Secure Web Gateway (SWG)
  • Cloud Access Security Broker (CASB)
  • Next Gen Firewall (NGFW)
  • Zero Trust Network Access (ZTNA)

Die Grundidee von SASE in einer cloudzentrierten Arbeitswelt

Also noch mehr sperrige Begriffe und Abkürzungen, auf die ich aber vorerst nicht weiter im Detail eingehen möchte. Die grundlegende Idee lässt sich aber wie folgt relativ einfach und nachvollziehbar zusammenfassen: Welchen Sinn ergibt es noch, sich bei der Netzwerksicherheit auf den Perimeter (also auf ausgewachsene Firewall-Appliances) an Firmenstandorten zu konzentrieren, wenn zum einen immer mehr Dienste und Applikationen in die Cloud wandern und zum anderen sich die Mitarbeiter immer weniger im Büro (also hinter der Firewall) befinden?

Die Antwort ist, denke ich, selbsterklärend und genau um dieser Herausforderung zu begegnen, ist das SASE-Konzept entstanden. Und zwar indem die Netzwerksicherheit auf die Endpoints und vor allem in die Cloud verlagert wird und zusätzlich mit einem Zero-Trust-Ansatz kombiniert wird.

Zu guter Letzt werden noch die Bürostandorte mittels SD-WAN an das globale Netzwerk des SASE-Anbieters angebunden. So erreicht man im Idealfall standortunabhängigen, sicheren und performanten Netzwerk- und Applikationszugriff auf Zero-Trust-Basis.

Was ist SSE und wo liegen die Unterschiede zu SASE?

Bevor ich darauf eingehe, warum ich ganz stark an SASE und SSE glaube, obwohl ich den meisten Gartner-Hypes eher kritisch gegenüberstehe, möchte ich noch kurz den Unterschied zwischen SASE und SSE erklären.
SSE steht für Security Service Edge und wurde ebenfalls von Gartner ein paar Jahre (2021) nach SASE definiert. SSE konzentriert sich ausschließlich auf die Security-Komponenten und stark vereinfacht kann man sagen SSE ist SASE ohne SD-WAN. Das macht es auch für kleinere Firmen mit wenigen Standorten interessant.

Die Vorteile von SASE und SSE für jede Unternehmensgröße

Warum bin ich nun aber ein so großer Verfechter von SASE und SSE? Ich bin schlicht der Meinung, dass diese Technologien für alle Firmengrößen relevant sind und richtig eingesetzt bei vielen der aktuell vorherrschenden Probleme im Bereich Netzwerksicherheit wie z.B. sicherer, anwenderfreundlicher und performanter Remotezugriff, Zero Trust, Websecurity für Remoteworkers, Absicherung von Legacy-Applikationen, zentrale Verwaltung und Logging, etc. nachhaltig Abhilfe schaffen können. Und es kommt noch ein sehr ungewöhnlicher Effekt in der IT-Security zu tragen. Mit SASE und SSE kann die Sicherheit erhöht und gleichzeitig die Nutzererfahrung der Endanwender verbessert werden.

Erste eigene Schritte mit SASE und SSE

Bei all den genannten Vorteilen stellt sich nun wahrscheinlich die Frage wie bzw. wo man bei einer SASE/SSE Implementierung am besten beginnt. Als ein ideales Einstiegszenario bietet sich hier unserer Erfahrung nach die Ablöse von Legacy OpenSSL und IPsec VPNs an. Herausforderungen, die wir dabei oft antreffen und denen mit SASE oder SSE begegnet werden kann, sind unter anderem:

  • Einschränkung der Zugriffe auf einzelne Server oder Anwendungen auf Basis der Identitäten, statt uneingeschränkte Zugriffe auf ganze Netzwerkbereiche.
  • Selbst bei Zugriff auf firmeninterne Ressourcen müssen keine anfälligen Services (wie z.B. OpenSSL) an den Standorten bereitgestellt oder Ports geöffnet werden.
  • Die Abhängigkeit von oftmals limitierenden Faktoren wie der Leistungsfähigkeit der lokalen Firewalls oder der möglichen Internetgeschwindigkeit vor Ort kann stark reduziert werden.
  • Die Nutzererfahrung und der Bedienkomfort für die Endanwender kann spürbar verbessert werden.

Ein weiterer Vorteil dieses Szenarios ist, dass sich ein PoC im Parallelbetrieb und ohne invasive Eingriffe in die Produktivsysteme abbilden lässt.

Zusammengefasst bin ich überzeugt, dass sich Unternehmen jeder Größe eher früher als später mit SASE und SSE beschäftigen sollten. Das gilt besonders für Firmen, die vermehrt mit den Themen Cloudanwendungen und/oder Remotearbeit konfrontiert sind.

FAQ