SASE – Secure Access Service Edge

SASE – eine Sicherheitsarchitektur für mobiles Arbeiten, Cloud & Zero Trust

Covid-19 hat die Arbeitswelt auf den Kopf gestellt und die Cloud-Transformation massiv beschleunigt. Mitarbeitende arbeiten aus dem Home-Office und remote, Applikationen werden in die Cloud verschoben und als SaaS oder private Anwendung in Azure oder AWS zur Verfügung gestellt. Das Internet wird zum Unternehmensnetzwerk – neue Ansätze für IT-Sicherheit und Remote Access sind gefragt. SASE – Secure Access Service Edge – ist dafür die richtige Antwort.

Was SASE ist und was es kann

SASE (Secure Access Service Edge) ist ein Konzept, das die Bereiche Netzwerksicherheit und -management auf einer einheitlichen Plattform zusammenführt. Im Gegensatz zu traditionellen Ansätzen, bei denen Sicherheitslösungen und Netzwerkmanagement separat betrieben werden, integriert SASE alle wesentlichen Funktionen wie Software-Defined Wide Area Networking (SD-WAN), Firewall-as-a-Service (FWaaS), Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA) und Cloud Access Security Broker (CASB). Dies ermöglicht es Unternehmen, die heutigen Anforderungen an flexible Arbeitsweisen und stetig wachsende Cloud-Nutzung mit einer umfassenden und optimierten Sicherheitsstrategie zu begegnen. SASE, eine Begriffsschöpfung von Gartner, fasst verschiedene Security-Netzwerk-Funktionen zusammenfassen und auf einer cloudbasierten Plattform.

Dazu gehören:

Secure Web Gateway mit SSL-Inspection, Content Scanning und URL-Filtering, ergänzt um zusätzlicher Sicherheitsfunktionen wie Sandboxing und Browser-Isolation
CASB: Cloud Access Security Broker für Transparenz und Kontrolle der Cloud-Nutzung (Thema: Schatten-IT)
DLP: Data Loss Prevention zur Erkennung und Verhinderung von Datenverlust
ZTNA: Zero Trust Network Access für sicheren Zugriff auf interne Unternehmens-Applikationen
Firewall-as-a-Service: Ausgehende Cloud-Firewall für kleinere und mittelgrosse Aussenstellen ohne eigene Server-Infrastruktur
SD-WAN: Optimierung der Netzwerkverbindungen zwischen den Standorten weltweit

Die Idee dahinter ist ziemlich einfach: Wenn sich Benutzer und Applikationen vermehrt ausserhalb des klassischen Perimeters befinden, wird das Internet zum Unternehmensnetzwerk. Dabei verschwinden teure und latenzverursachende MPLS-Leitungen, genauso wie der unliebsame Client-VPN-Zugriff. Dafür braucht es jedoch eine Cloud-Security-Plattform, die weltweit immer nahe beim Benutzer ist und die alle relevanten Security-Funktionen für den sicheren Zugriff auf Internet und Applikationen übernehmen kann: von der initialen Authentisierung und Autorisierung bis hin zur Prüfung des gesamten Datenverkehrs im Hinblick auf Malware, Bedrohungen und sensitive Daten.

Damit eine solche Lösung die Akzeptanz und Produktivität von Benutzern nicht beeinträchtigt, ist Performanz entscheidend. Dazu benötigt ein SASE-Anbieter eine weltweite und redundante Präsenz von Cloud-Zugangsknoten und eine reife, skalierbare Plattform. AVANTEC setzt dabei auf die SASE-Plattformen von Zscaler und Netskope.

Vorteile von SASE

Die Gründe für SASE sind offensichtlich: Homeoffice und mobiles Arbeiten sind längst Realität, Applikationen werden zunehmend als SaaS direkt aus der Cloud bezogen und private Cloud Infrastrukturen wie Microsoft Azure und AWS ersetzen zunehmend interne Rechenzentren. Das Internet wird zum Unternehmensnetzwerk und die Vorteile einer klassischen MPLS-Verbindung und komplexer VPN-Lösungen verschwinden. Es macht keinen Sinn mehr, relevante Sicherheitsfunktionen ausschliesslich zentral im eigenen Rechenzentrum anzubieten. Gleichzeitig steigen die Anforderungen an Sicherheit und Usability.

Für Kunden bedeutet SASE eine Vielzahl von Vorteilen:

Weniger Komplexität: Netzwerk- und Sicherheitsfunktionen werden auf einer einzigen cloudbasierten Plattform vereint. Das Vereinfacht nicht nur die Architektur, sondern auch den Betrieb und die Wartung.
Schnellerer und sicherer Zugriff überall: Mitarbeitende erhalten unkompliziert Zugriff auf Internet, SaaS und interne Applikationen. Egal, ob sie im Büro, im Homeoffice oder unterwegs sind, der Schutz ist immer gleich.
Zero Trust Ansatz: Applikationen sind Dritten und dem Internet gegenüber unsichtbar, d.h. Benutzer erhalten nur Zugriff auf die Applikationen, für die sie berechtigt sind. Dies reduziert die Angriffsflächen erheblich.
Intelligente Netzwerksteuerung: Mit SD-WAN werden Datenströme so optimiert, dass Bandbreiten effizient genutzt und Verzögerungen minimiert werden. Dies führt zu erheblichen Performance-Verbesserungen bei der Nutzung geschäftskritischer Anwendungen.
Bessere Performanz: Durch geografisch verteilte Cloud-Knoten entstehen kurze Datenwege und damit auch niedrigere Latenzzeiten. Lokale Zugriffe auf länderspezifische Inhalte sind möglich.
Kosteneinsparungen: Teure MPLS-Verbindungen und aufwändige und unsichere VPN-Lösungen können eingespart oder reduziert
werden.
Skalierbare Plattform: SASE skaliert mit dem Unternehmen. Mehr Benutzer, mehr Standorte oder zusätzliche Funktionen lassen sich schnell und günstig hinzufügen.
Erhöhte Transparenz: Unternehmen erhalten umfassende Einblicke in den Datenverkehr, Benutzeraktivität und Sicherheitsereignisse, um auf Bedrohungen schnell zu reagieren.

Diese Vorteile machen SASE für Unternehmen, die effektiv auf Herausforderungen wie hybride Arbeitsmodelle und Cloud-Migration reagieren wollen, zu einer unverzichtbaren Lösung.

Ein praktisches Beispiel

Ein Schweizer Medienunternehmen mit Büros in Zürich, Bern und Lausanne sowie zahlreichen mobilen Mitarbeitern kann über eine SASE-Plattform allen Mitarbeitenden den gleich sicheren und schnellen Zugriff auf Intranet-Systeme, Archivdatenbanken und Cloud-Dienste bereitstellen, ohne dass dafür komplizierte VPN-Konfigurationen oder teure Netzwerkverbindungen erforderlich wären.

Führende SASE-Lösungen: Zscaler und Netskope

Zwei der führenden Anbieter auf dem SASE-Markt sind Zscaler und Netskope. Beide bieten umfangreiche Plattformen, die auf die unterschiedlichen Sicherheits- und Netzwerkanforderungen moderner Unternehmen zugeschnitten sind.

Zscaler

Zscaler bietet eine vollständige SASE-Architektur, die Netzwerksicherheits- und Managementfunktionen wie SD-WAN, FWaaS, SWG, ZTNA und CASB in einer Cloudbasierten Plattform integriert. Zentrales Element ist die Zero Trust Exchange, die alle Verbindungen stetig überprüft und Benutzer direkt und geschützt mit Anwendungen und Daten vernetzt. Zscaler bietet mit Zero Trust Branch eine eigene, vollständige SASE-Option, die Zero Trust SD-WAN, Sicherheit und Cloud-Integration direkt kombiniert. Gleichzeitig kann Zscaler nahtlos in bestehende SD-WAN-Lösungen wie Cisco, VMware oder ähnliche integriert werden. Beide Ansätze nutzen Zscalers globales Netzwerk, das niedrige Latenz, optimale Netzwerkrouten und eine durchgängige Sicherheitsüberwachung gewährleistet.

Zero Trust Branch

Die Zscaler Zero Trust Branch Lösung umfasst drei zentrale Elemente:

Zero Trust SD-WAN: Sichere Kommunikation zwischen Niederlassungen, Fabriken, Clouds und Rechenzentren. Anstatt Verkehr über komplexe VPNs oder MPLS zu leiten, verbinden sich Standorte direkt über die Zscaler Cloud. Das eliminiert unnötiges Routing, reduziert Latenz und verhindert, dass sich Bedrohungen im Netzwerk ausbreiten können.
OT/IoT Segmentation: In vielen Unternehmen sind ungeschützte IoT-Geräte (Kameras, Sensoren, Drucker) oder OT-Anlagen (Maschinensteuerungen) ein grosses Sicherheitsrisiko. Zscaler ermöglicht es, diese Geräte innerhalb von Fabriken und Niederlassungen zu erkennen und sicher zu segmentieren. So wird verhindert, dass ein kompromittierter Drucker als Sprungbrett für Angriffe auf
kritische Server dient.
Privileged Remote Access: Externe Wartungstechniker oder Administratoren benötigen oft Zugriff auf sensitive industrielle Systeme (OT). Zscaler bietet hierfür einen schnellen, direkten und sicheren Zugang, ohne dass VPN-Clients installiert oder gefährliche Ports geöffnet werden müssen. Jeder Zugriff wird überwacht, isoliert ausgeführt und audit-sicher protokolliert.

Netskope

Netskope nimmt eine führende Position im Bereich Cloud-Sicherheit ein. Mit starkem Fokus auf Cloud Access Security Broker (CASB), Data Loss Prevention (DLP) und Zero Trust Network Access (ZTNA) gewährleistet Netskope umfassenden Schutz für Unternehmen, die vermehrt auf Cloud-Anwendungen setzen. Netskope identifiziert und klassifiziert Datenverkehr, schützt sensible Informationen und verhindert, dass vertrauliche Daten an unerlaubte Ziele wie unsichere Cloud-Dienste weitergeleitet werden.

Netskope definiert SASE durch eine tief integrierte Kombination aus Netzwerkoptimierung und datenorientierter Sicherheit. Ihre Lösung, das Borderless SD-WAN, geht über die reine Vernetzung von Standorten hinaus und integriert auch mobile Nutzer und kleinste „Micro-Branches“ (z.B. Homeoffices oder Fahrzeuge) nahtlos in das Unternehmensnetzwerk.

Zentrale Merkmale der Netskope SASE Lösung sind:

Borderless SD-WAN: Diese Technologie gewährleistet eine hochperformante Vernetzung für jeden Benutzer und jedes Gerät, egal ob in einer grossen Niederlassung oder im Homeoffice. Ein besonderer Vorteil ist das Endpoint SD-WAN: Es bringt SD-WAN-Funktionen wie Performance-Optimierung (z.B. für VoIP oder Zoom) direkt auf den Laptop (im Unified SASE Client) des Mitarbeiters, ohne dass dort zusätzliche Hardware nötig ist.
Intelligentes Cloud On-Ramping: Netskope optimiert automatisch den Weg in die Cloud (z.B. zu Azure oder AWS) und zu SaaS-Anwendungen. Das System erkennt die Anwendung und wählt den besten Pfad, um Latenzen zu minimieren.
Dynamische Pfadoptimierung und hohe Verfügbarkeit: Borderless SD-WAN überwacht kontinuierlich Bandbreite, Latenz, Jitter und Paketverluste aller Netzwerkpfade und nutzt First-Packet-Erkennung, um den Datenverkehr intelligent zu steuern. Dank aktiv-aktiv Verbindungen und sub-second Failover wird eine hohe Ausfallsicherheit selbst in komplexen Multi-Cloud-Umgebungen gewährleistet.

Empfohlene Lösung:

Haben Sie Fragen? Wir helfen Ihnen gerne weiter!

Haben Sie eine Frage zu unseren Produkten und Dienstleistungen? Wünschen Sie weitere Informationen oder Kontakt mit einem Engineer oder Account Manager? Wir freuen uns auf Ihre Kontaktaufnahme.