SASE Cloud und Rechenzentrum sicher verbinden

von VPNHaus | 10.12.2020

Seit Ende 2019 treibt mit SASE ein neues Schlagwort durch die Foren und Firmenpräsentationen. SASE, ganz lässig als „Sassy“ ausgesprochen, steht für Security Access Service Edge. Und was man damit meint, ist eine sichere und trotzdem effiziente Kombination von Cloud mit vorhandenen Bestandsrechenzentren. Aber natürlich wird eine simple Ein-Satz-Erklärung dem neuesten Gartner-Hype-Ausdruck in keinster Weise gerecht. Darum folgt hier die Erläuterung, was SASE genau ist, und warum das Konzept jenseits allen aktuellen Hypes Sinn ergibt.

Für Gartner ist SASE bereits jetzt eine der wichtigsten Technologien, die bis 2024 bei rund 40 Prozent aller Unternehmen Einzug halten wird. Eine detaillierte Beschreibung findet sich in dem Report „The Future of Network Security is in the Cloud“. Demnach stellt SASE ein Modell dar, das Security als Netzwerk-Funktionalität definiert und als Cloud Service ausliefert. Am besten versteht man den Sinn von SASE, wenn man sich die aktuelle Situation bei vielen Organisationen ansieht. Es gibt ein oder mehrere Rechenzentren, mit denen sich die Anwender verbinden, meist über ein VPN. Die Rechenzentren und Firmenstandorte sind untereinander in der Regel per MPLS vernetzt. Und nun werden zusätzlich immer häufiger Cloud-Dienste genutzt.

Wie greifen die Anwender am besten auf die Cloud zu? Vom eigenen Client, der immer öfter ein mobiles Gerät ist, per VPN zum Perimeterschutz des firmeneigenen Rechenzentrums und dann weiter über eine Netzverbindung in die Cloud? Das geht, führt aber zu einer enormen Belastung des internen LANs, wenn doch eigentlich die gewünschte Anwendung in der Cloud direkt per Internet zur Verfügung steht. Geht man allerdings den direkten Weg, muss die Anwendung in der Cloud ebenfalls mit den üblichen Perimeterschutzmaßnahmen ausgestattet werden.

Durch die Einführung von Software Defined-WAN (SD-WAN) wurde diese Fragestellung noch einmal komplizierter. SD-WAN erleichtert das Routing und die Kombination von mehreren Medien. So lassen sich Bandbreiten kombinieren, Redundanzen schaffen und der Zugang zu Unternehmensressourcen für Zweigstellen und Nutzer vereinfachen. Doch auch wenn SD-WANs die Konfiguration von VPN-Split-Tunnels erleichtern, so dass User direkt auf die Cloud zugreifen können und nicht erst den Umweg über Unternehmens-WAN und Rechenzentrum nehmen müssen, entstehen dabei neue Angriffsvektoren. Die ließen sich beispielsweise stopfen, indem jede Filiale mit einer eigenen Firewall ausgestattet wird. Das ist jedoch einerseits teuer, andererseits bedeutet es einen immensen organisatorischen Aufwand, dutzende oder gar hunderte von Firewalls gleichzeitig zu administrieren und auf dem aktuellen Security-Stand zu halten. SASE adressiert dieses Problem, indem es Security-Funktionalitäten in Service-Form in das Netzwerk integriert. Gemanagt werden Security und Netzwerk über die Cloud, so dass Administratoren Änderungen einmal durchführen und sie auf sämtliche Lokationen ausrollen können.

SASE löst zentrale Netzwerksicherheitsmaßnamen vom Rechenzentrum der Organisation. Anstatt Traffic zwangsweise zum Rechenzentrum zu transportieren, um ihn dort von Firewall, IPS und Co untersuchen zu lassen, bringt SASE die Inspection Engines zu einem nahe gelegenen Point of Presence (PoP) in der Cloud. Clients senden Traffic zum PoP, wo er überprüft und weiter ins Internet oder über den globalen SASE-Backbone zu anderen SASE-Clients geleitet wird.

Gartner hat über ein Dutzend verschiedene SASE-Merkmale definiert, die sich aber zu vier Hauptattributen zusammenfassen lassen. Erstens versucht SASE, die bestmögliche Netzwerk-Performance für alle Anwendungen mit Hilfe eines globalen SD-WAN-Service zu liefern. Dieser Backbone übernimmt den Großteil der Traffic-Verteilung. Der Datenverkehr des Unternehmens sollte so gut wie nie mit dem Internet Kontakt haben. Zweitens bietet SASE Richtlinien-basierte Schutzfunktionen für den Traffic, zum Beispiel Ver- und Entschlüsselung, Malware Scanning und Sandboxing. SASE sollte auch andere Services zur Verfügung stellen, etwa DNS-basierten Schutz und DDoS-Schutz. Drittens sind sich zumindest die frühen SASE-Anbieter einig, dass ein SASE-Service eine Cloud-native Architektur nutzt, die keine speziellen Hardwareabhängigkeiten besitzt. Und viertens basiert SASE auf der Identität der Anwender. Im Gegensatz zu anderen Managed-Network-Services stellt die SASE-Architektur ihre Services basierend auf der Identität und dem Kontext der Verbindungsquelle bereit. Zur Identität gehören eine Vielzahl von Faktoren, etwa der initiierende Anwender, das genutzte Gerät und Echtzeitfaktoren, wie die Tageszeit und der Gerätestandort.

SASE an sich wird die Welt nicht retten und im Alleingang alle externen Angriffsvektoren ausschalten. Doch die immer stärker auf den Cloud-Zug aufspringenden Organisationen benötigen einen Weg, wie sie den Zugriff zu Anwendungen, die nicht im Rechenzentrum bereitgestellt werden, sicher und mit geringem Managementaufwand verwalten können. Wenn SASE diesen Weg bereitstellen kann, sind das gute Nachrichten für die nächsten Jahre.