Do you want to switch the language?
SASE6. Juni 20235 min Lesezeit

SASE transformiert Netzwerksicherheit in die Cloud

Die Transformation weg von herkömmlichen Netzwerkgrenzen hin zu verteilten Cloud-Anwendungen birgt neue Sicherheitsrisiken für Unternehmen. Benutzer arbeiten von überall, wie z.B. Firmenzentrale, Außenstelle, Homeoffice, Flughafen usw., mit Applikationen, die ebenfalls überall gehosted werden, wie z.B. im eigenen Rechenzentrum oder in diversen Cloud-Umgebungen.  Es kann nicht mehr die Geschwindigkeit, Leistung und vor allem Sicherheit, wie im eigenen Unternehmensnetzwerk, sichergestellt werden.  Secure Access Service Edge (SASE) als neues Sicherheitskonzept kombiniert mehrere Netzwerkfunktionen und Sicherheitsdienste in einer einzigen Lösung und gewährleistet Unternehmen einen sicheren, orts- und geräteunabhängigen Datenaustausch ihrer Mitarbeiter. KBC und Cisco liefern die Kompetenz, um den Netzwerkzugriff und die Sicherheit in der Cloud-Ära sicherzustellen.

Was ist SASE?

Das Konzept SASE (ausgesprochen „sassy“) wurde erstmals 2019 von Gartner vorgestellt. „Secure Access Service Edge ist ein neu entwickeltes Angebot, das die Leistungsfähigkeit von WAN mit umfassenden Netzwerksicherheitsfunktionen (wie SWG*, CASB*, FWaaS* und ZTNA*) kombiniert, um den Bedarf digitaler Unternehmen an sicherem Zugang zu decken“, erklärt Gartner.

*SWG = Secure Web Gateway

*CASB = Cloud Access Security Broker

* FWaas = Firewall as a Service

*ZTNA = Zero Trust Network Access

SASE-Lösungen basieren auf einer softwaredefinierten Wide-Area-Network-Architektur (SD-WAN), die eine flexible und skalierbare Netzwerklösung je nach Geschäftsanforderung bieten. Diese kann problemlos in einer verteilten Netzwerkumgebung eingesetzt werden. Ziel der SASE-Lösungen ist es, Unternehmen, ihre Standorte, und ihre mobilen User zuverlässig zu vernetzen und einen sicheren, stabilen Datenverkehr, unabhängig vom Standort des Benutzers oder dem Gerät, zu steuern.

Es handelt sich also um ein cloudbasiertes Modell, das als erweitertes SD WAN in einer Zweigstelle bereitgestellt und mit Sicherheitsdiensten, die in der Cloud bereitgestellt werden, vereint wird. Im Jahr 2020 prognostizierte Gartner, dass die Investitionen in die SASE-Technologie weltweit um 42% steigen werden. 90% aller Befragten IT-Security Entscheider setzen heute bereits auf das neue IT-Sicherheitsmodell.

Die SASE-Architektur wurde entwickelt, um die Anforderungen an New Work mit mobilen Teams und der Notwendigkeit eines sicheren Fernzugriffs auf Applikationen und Daten, die an unterschiedlichen Standorten laufen, zu erfüllen. Dieser Ansatz vereinfacht das Netzwerk- und Sicherheitsmanagement und steigert die Cyber-Resilienz von Unternehmen.

Was beinhaltet SASE?

Cisco viptela und Cisco Meraki sind zwei SASE Produktlinien mit unterschiedlichen Ausprägungen. Die Konnektivität und Verschlüsselung, also der SD-WAN Teil, ist in beiden Serien native integriert. Die Sicherheitselemente wie Secure Web Gateway, Firewall, Cloud Access Broker, Zero Trust Network Access, DNS Schutz usw. werden bei Cisco viptela in der Umbrella Cloud Plattform abgebildet, bei Cisco Meraki im Edge-Device. 

Managed Network Services

Bei Managed LAN und Managed WAN (SD-WAN) werden Netzwerke durch die KBC betrieben, überwacht (Monitoring in Echtzeit) und gewartet. Sämtliche Konfigurationsänderungen, Upgrades, Updates (Changes) oder Störungen (Incidents) werden durch die KBC vorgenommen bzw. behoben. Für den Kunden reduzieren sich die Komplexität und die operativen Kosten, jedoch erhöht sich die Flexibilität und Umsetzungsgeschwindigkeit bei kleineren Entstörungszeiten. Es können flexible Finanzierungs- und OPEX-Modelle (monatliche Kosten statt CAPEX Grundinvestition) zum Einsatz kommen.   

Managed Services - Lösungen | CANCOM Austria

 Managed Security

SASE bietet eine Reihe fortschrittlicher Funktionen, die zum Schutz vor Cyberangriffen beitragen. Mit einem Zero-Trust-Modell wird jeder Benutzer und jedes Gerät überprüft und authentifiziert, bevor auf Unternehmensressourcen zugegriffen werden kann. Zudem bietet SASE Schutz vor Bedrohungen, einschließlich Echtzeitüberwachung, Bedrohungsdaten und automatischer Reaktion. Mit entsprechenden Firewalls wird der Datenverkehr überprüft und kontrolliert, der zwischen den Netzwerken fließt, um sicherzustellen, dass nur autorisierte Benutzer und Daten durchgelassen werden.

CANCOM Cyber Defense Center (CDC) - Lösungen | CANCOM Austria

Partner für IT-Security | CANCOM Austria

SASE Modelle

Cloud-native SASE

Cloud-native Lösungen basieren auf Container- und Microservices-Technologien. Hier werden sämtliche Netzwerk- und Sicherheitsdienste über die Cloud bereitgestellt. Ein Hardware Gerät stellt die Verbindung zur Cloud her. Es gibt auch die Möglichkeit zu Software Clients, die Rechner oder IoT-Endpunkte direkt mit der Cloud verbinden – somit ist zusätzlich Hardware nicht mehr notwendig.

Cloud-native SASE ist ideal für Unternehmen mit vielen kleinen Zweigstellen, da jede Umgebung inkl. einzelner Arbeitsmittel, wie Laptop, Smartphone etc., mit Sicherheits- und Netzwerkdienste ausgestattet wird z.B. Versicherungen oder Handel. 

Cloud-managed On-Premises SASE

Secure Access Service Edge kann zentral über die Cloud verwaltet werden - alle Zweigstellen besitzen meist eigene Router. Die Verwaltung über die Cloud ist erfolgskritisch, weil die Nutzungsbarrieren so deutlich sinken und ein einheitliches Regelwerk (Policies) unternehmensweit vorgegeben wird. Der Vorteil des Modells ist, dass gewisse Security-Checks oder Connectivity- und Verschlüsselungs-Themen auf lokaler Ebene ablaufen, was die Performance in größeren Umgebungen erhöht. 

Managed SASE

KBC liefert hier die nötige Expertise um das immer komplexer werdende WAN inkl. den Security-Blöcken zu managen. Fragen, wie „Wie werden Security-Funktionen ausgerollt oder wie werden User Profile richtig angelegt?“ werden von KBC beantwortet.

Mit Managed Secure Access Service Edge haben Sie als Unternehmen den Vorteil, dass Experten das Netzwerk konfigurieren und betreiben. Managed SASE eignet sich für Unternehmen, die rasch das Secure Access Service Edge Modell umsetzen und die Kontrolle abgeben möchten. 

Hybride Optionen

Einige (große) Unternehmen setzen auf die Kombination von Cloud-native und On-Premises SASE. Wie zum Beispiel ein internationales Unternehmen, das in jedem Land bis zu zwei Büros mit hunderten Mitarbeitern betreibt. Hier kann das Unternehmen für die Büros vor Ort eine Security-Infrastruktur auf On-Premises-Basis einsetzen, während Remote Teams über einen Cloud-nativen Service integriert werden.

Vorteile von SASE

  • Vereinfachte Verwaltung: SASE bietet eine einzige, zentralisierte Verwaltungsplattform für Sicherheits- und Netzwerkdienste über alle Standorte und Endgeräte hinweg.
  • Verbesserte Sicherheit: SASE-Lösungen bieten Sicherheitsdiensten wie Firewall, Webfilter, DNS Schutz, Zero Trust Network Access, Cloud Access Broker zum Schutz vor Cyber-Attacken.
  • Verbesserte Leistung: SASE-Lösungen sind so konzipiert, dass sie die Netzwerkleistung optimieren und einen schnellen und zuverlässigen Weg bzw. Zugriff auf Cloud-basierte Ressourcen ermöglichen.
  • Skalierbarkeit: SASE-Lösungen sind hochgradig skalierbar, so dass Unternehmen bei Bedarf problemlos Ressourcen hinzufügen oder entfernen können.
  • Kostengünstig: SASE-Lösungen können zur Kostensenkung beitragen, indem sie Sicherheits- und Netzwerkdienste in einer einzigen Lösung vereinen und so den Bedarf an mehreren Einzellösungen eliminieren.

SASE in der Praxis

Wenn ein User auf eine Cloud-basierte Anwendung zugreift, verbindet sich sein Gerät zunächst mit der SASE-Plattform. Die SASE-Plattform überprüft die Identität des Benutzers und wendet die entsprechenden, zentralen Sicherheitsrichtlinien, so zusagen die IT-Security Vorgabe des Unternehmens, an. Ist der Benutzer autorisiert, stellt die SASE-Plattform eine sichere Verbindung zur Cloud-Anwendung her. Alle Daten, die zwischen dem Gerät des Benutzers und der Cloud-Anwendung übertragen werden, werden von der SASE-Plattform verschlüsselt, geschützt und auf Bedrohungen analyisiert.

Versucht ein Mitarbeiter, von einem nicht autorisierten Standort oder Gerät auf eine Cloud-Anwendung zuzugreifen, oder erzeugt bzw. verbreitet verdächtigen Traffic (Malware, Virus etc.), verweigert die SASE-Plattform den Zugriff und schützt die Ressourcen. Dadurch wird verhindert, dass unbefugte Benutzer auf sensible Daten zugreifen, selbst wenn es ihnen gelingt, andere Sicherheitsmaßnahmen zu umgehen.

Kontakt
CANCOM Austria

Kevin Mühlböck

Solution Design/Security Consultant

CANCOM Austria AG
Wienerbergstraße 53, 1120 Wien, Österreich

+43 50 822 0kevin.muehlboeck@cancom.com

Gleich anfragen

Wie kann ich Ihnen helfen?