Wie lassen sich Remote-Zugänge so absichern, dass Mitarbeiter trotzdem von überall schnell auf ihre Daten und Applikationen zugreifen können? Zentralisierte VPN-Lösungen sind dafür nur bedingt geeignet. Der Trend geht zu SASE: Secure Access Service Edge. Was verbirgt sich dahinter und warum lohnt es sich, auf das neue Zugangssicherheits-Konzept zu setzen?
Der Begriff SASE wurde 2019 von Gartner geprägt. Dabei handelt es sich um ein Cloud-natives Architekturkonzept, das Zugangssicherheit neu aufsetzt. Bisher nutzen Unternehmen meist zentralisierte VPN-Lösungen, um Remote-Zugänge abzusichern. Dabei fließt der gesamte Datenverkehr zunächst über einen sicheren VPN-Tunnel ins lokale Rechenzentrum und wird von dort aus ins Internet geleitet.
Zwischen Unternehmensnetzwerk und Internet kontrolliert eine Perimeter-Firewall den ein- und ausgehenden Datenverkehr. Im Gegensatz zu VPN funktioniert SASE dezentral und verlagert Security-Funktionen auf den Endpunkt und in die Cloud. Das ermöglicht einen sicheren, direkten Internetzugang ohne Umweg über das zentrale Rechenzentrum.
SASE basiert auf SD-WAN (Software Defined Wide Area Network) und kombiniert intelligentes Routing mit Cloud-basierten Security Services in einer Plattform. Zu den Komponenten gehören in der Regel SD-WAN, ein Secure Web Gateway, Zero Trust Network Access, Firewall as a Service und ein Cloud Access Security Broker (CASB). Security Policies lassen sich zentral definieren und werden direkt am Endpunkt oder dem Cloud Gateway umgesetzt.
Drei gute Gründe, warum dieses neue Architekturkonzept die Zukunft ist:
- Die zunehmende Cloudifizierung bringt VPN-Lösungen an ihre Grenzen
Unternehmen verlagern immer mehr IT-Infrastruktur und Workloads in die Cloud – auch geschäftskritische Anwendungen wie ERP und CRM. Das bedeutet, dass ein Großteil der Daten und Applikationen, auf die Mitarbeiter zugreifen müssen, sich gar nicht mehr im zentralen Rechenzentrum befinden.
Es kommt also zu einem enormen Durchgangsverkehr: Ein Großteil der eingehenden Anfragen ist für Cloud Services bestimmt und wird direkt ins Internet weitergeleitet. Dadurch vervielfacht sich der Traffic im Unternehmensnetzwerk, dessen Bandbreite auf diesen Ansturm schlichtweg nicht ausgelegt ist.
Die Folge sind Performance-Einbußen, die die Nutzererfahrung beeinträchtigen und die Produktivität ausbremsen. Während ruckelnde Videokonferenzen vielleicht nur lästig sind, kann sich niemand lange Wartezeiten bei ERP- und CRM-Abfragen erlauben.
SASE löst dieses Problem, indem das neue Architekturkonzept direkten, sicheren Internetzugang ermöglicht. Das reduziert den Traffic zwischen Endpunkt und Data Center und vermeidet Bandbreiten-Engpässe. Ein Anwender meldet sich einfach per Single-Sign-On an der SASE-Plattform an.
Der Client verbindet sich dann mit dem nächsten POP (Point of Presence) des SASE-Anbieters, von dem er seine Security-Policies und seine Routing-Informationen erhält. Jetzt sorgt die intelligente SD-WAN-Steuerung dafür, dass der Traffic automatisch auf schnellstem Weg ans richtige Ziel kommt.
Anfragen an Cloud Services werden über einen sicheren Tunnel direkt dorthin geleitet. Dabei schützt das Secure Web Gateway mit Funktionen wie Anti-Malware und Web-Traffic-Filtern vor Gefahren aus dem Internet.
- Der Trend zum Home Office verschärft Latenzprobleme
Seit der Pandemie haben sich Arbeitsmodelle geändert. Viele Unternehmen setzen auch künftig auf eine Mischung aus Home Office und Präsenzarbeit. Doch je mehr Nutzer sich gleichzeitig über VPN ins Unternehmensnetzwerk einwählen, umso eher treten Performance-Engpässe auf. Es mag verlockend sein, dieses Problem einfach mit einem Split-Tunnel zu lösen und Cloud Traffic ungeschützt ins Internet zu leiten.
Doch davon ist dringend abzuraten. Denn gerade im Home Office ist das Risiko für Cyberangriffe besonders groß. Wenn sich ein Mitarbeiter auf seinem Laptop eine Malware einfängt und diese anschließend per VPN ins Unternehmensnetzwerk überträgt, wäre das ein Super-GAU. Denn die Schadsoftware segelt dann unter dem Radar der Security-Kontrollen und kann zentrale Systeme infizieren.
SASE erhöht die Sicherheit und löst gleichzeitig das Latenzproblem. Das neue Architekturkonzept bietet nicht nur intelligentes, schnelles Routing über verschiedene, geschützte Tunnel. Dank Zero Trust Network Access ermöglicht es auch granulare Zugangskontrollen.
Während VPN immer vollständigen Netzwerkzugriff öffnet, können Administratoren bei SASE genau festlegen, wer für welche Daten und welche Services autorisiert ist. Dabei empfiehlt sich das Least Privilege Access-Prinzip: Jeder Anwender sollte nur die Rechte erhalten, die er auch unbedingt für seine Arbeit braucht.
- Home Office und Cloud erhöhen das Risiko für Schatten-IT
Mitarbeiter nutzen gerne einmal Cloud Services an der Unternehmens-IT vorbei, um sich das Leben leichter zu machen. So kann es vorkommen, dass vertrauliche Dokumente in einer US-Dropbox landen oder über einen unsicheren Web-Mailer verschickt werden. Gerade im Home Office ist das Risiko für solche Schatten-IT hoch. SASE kann das verhindern.
Hier kommt der Cloud Access Security Broker (CASB) ins Spiel, der in der Plattform enthalten ist. Dieser erlaubt nur Zugriff auf genehmigte Cloud Services, überwacht die Kommunikation zwischen dem Anwender und der Cloud und setzt Data Loss Prevention Policies um. So können Unternehmen Schatten-IT eindämmen und dafür sorgen, dass Datenschutz- und Compliance-Vorschriften eingehalten werden.
Fazit
SASE entlastet Unternehmensnetzwerke, verbessert die Performance von Cloud Services für Remote-Arbeiter und erhöht die Sicherheit. Darüber hinaus skaliert die Lösung flexibel und ermöglicht es, neue Clients schnell einzubinden.
Es gibt verschiedene SASE-Anbieter auf dem Markt. Jeder davon hat seine Stärken und Schwächen. Ein MSSP kann helfen, die passende Plattform auszuwählen, zu integrieren und zu betreiben. Die bequemste Variante ist, SASE komplett als Managed Security Service zu beziehen.
Wolfgang Kurz, Geschäftsführer und Founder von indevis prognostiziert: „SASE wird über kurz oder lang ein Thema für alle Unternehmen werden. Denn je stärker die Cloudnutzung zunimmt und je mehr Mitarbeiter remote arbeiten, umso größer werden die Performance-Probleme bei VPN-basierten Lösungen. Neue Arbeitsmodelle erfordern auch ein neues, dynamisches Konzept für die Zugangssicherheit.“