Was ist SASE? | Secure Access Service Edge

SASE umfasst vier zentrale Sicherheitskomponenten:

1. Secure web gateways (SWG): Ein SWG wehrt Cyber-Bedrohungen ab und verhindert Datenschutzverletzungen, indem es unerwünschte Inhalte aus dem Web-Traffic herausfiltert, unbefugtes Nutzerverhalten blockiert und Sicherheitsrichtlinien des Unternehmens durchsetzt. SWGs können überall bereitgestellt werden und eignen sich daher ideal, um Sicherheit für Remote-Teams zu gewährleisten.
2. Cloud Access Security Broker (CASB): Ein CASB übernimmt mehrere Sicherheitsfunktionen für in der Cloud gehostete Dienste, darunter die Aufdeckung von Schatten-IT (nicht autorisierte Unternehmenssysteme), die Sicherung vertraulicher Daten durch Zugriffskontrolle und Data Loss Prevention (DLP) sowie die Gewährleistung der Einhaltung von Datenschutzbestimmungen.
3. Zero Trust Network Access (ZTNA): ZTNA platforms lock down internal resources from public view and help defend against potential data breaches by requiring real-time verification of every user and device to every protected application.
4. Firewall-as-a-service (FWaaS): FWaaS refers to firewalls delivered from the cloud as a service. FWaaS protects cloud-based platforms, infrastructure, and applications from cyber attacks. Unlike traditional firewalls, FWaaS is not a physical appliance, but a set of security capabilities that includes URL filtering, intrusion prevention, and uniform policy management across all network traffic.

Je nach Anbieter und Bedarf des Unternehmens können diese Kernkomponenten mit zusätzlichen Sicherheitsdiensten gebündelt werden, z. B. Webanwendungs- und API-Schutz (WAAP), Remote-Browserisolierung oder Wi-Fi-Hotspot-Schutz.

Welche Vorteile hat ein SASE-Framework?

SASE bietet mehrere Vorteile im Vergleich zu einem traditionellen Netzwerksicherheitsmodell, das auf Rechenzentren basiert:

• Identitätsbasierter Zero-Trust-Netzwerkzugriff. SASE lehnt sich stark an ein Zero-Trust-Sicherheitsmodell an. Ein Zero-Trust-Sicherheitsmodell gewährt einem Nutzer erst dann Zugang zu Anwendungen und Daten, wenn seine Identität überprüft wurde – selbst wenn er sich bereits innerhalb des Perimeters eines privaten Netzwerks befindet. Bei der Festlegung von Zugriffsrichtlinien berücksichtigt ein SASE-Ansatz nicht nur die Identität einer Einheit, sondern auch Faktoren wie den Standort des Nutzers, die Tageszeit, die Sicherheitsstandards des Unternehmens, Compliance-Richtlinien und eine fortlaufende Bewertung des Risikos/Vertrauens.
• Blockieren von Angriffen auf die Netzwerkinfrastruktur. Die Firewall- und CASB-Komponenten von SASE verhindern, dass externe Angriffe (wie DDoS-Angriffe und Ausnutzung von Schwachstellen) eindringen und die internen Ressourcen gefährden. Sowohl lokale als auch cloudbasierte Netzwerke können durch einen SASE-Ansatz geschützt werden.
• Vorbeugung böswilliger Aktivitäten. Durch das Filtern von URLs, DNS-Anfragen und anderem ausgehenden und eingehenden Netzwerk-Traffic hilft SASE, Angriffe durch Malware, Datenexfiltration und andere Bedrohungen für Unternehmensdaten zu verhindern.
• Effiziente Implementierung und Verwaltung. SASE fasst Single-Point-Sicherheitslösungen zu einem gesamten cloudbasierten Service zusammen. Dadurch müssen Unternehmen mit weniger Anbietern interagieren und sparen sich die Zeit, das Geld und die internen Ressourcen für die Konfiguration der physischen Infrastruktur.
• Vereinfachte Richtlinienverwaltung. Anstatt mit mehreren Richtlinien für separate Lösungen zu hantieren, steuern Unternehmen mit SASE alles von einem einzigen Portal aus. Von dort können sie Zugriffsrichtlinien für alle Standorte, Nutzer, Geräte und Anwendungen festlegen, überwachen, anpassen und durchsetzen.
• Latenzoptimiertes Routing. SASE reduziert die Latenz, indem der Netzwerk-Traffic über ein globales Edge-Netzwerk geroutet und der Traffic so nah wie möglich am Nutzer verarbeitet wird. Routing-Optimierungen helfen, den schnellsten Netzwerkpfad zu bestimmen, basierend auf Netzwerküberlastung und anderen Faktoren.

Wie lässt sich SASE mit traditionellen Netzwerken vergleichen?

In einem traditionellen Netzwerkmodell befinden sich Daten und Anwendungen in einem zentralen Rechenzentrum. Um auf diese Ressourcen zuzugreifen, verbinden sich Nutzer, Zweigstellen und Anwendungen über ein lokalisiertes privates Netzwerk oder ein sekundäres Netzwerk mit dem Rechenzentrum. Das sekundäre Netzwerk ist normalerweise über eine sichere Standleitung oder ein VPN mit dem primären Netzwerk verbunden.

Dieses Modell hat sich als ungeeignet erwiesen, um die Komplexität zu bewältigen, die durch cloudbasierte Dienste wie Software-as-a-Service (SaaS) und die Zunahme verteilter Belegschaften entsteht. Es ist nicht mehr praktikabel, den gesamten Traffic über ein zentrales Rechenzentrum umzuleiten, wenn Anwendungen und Daten in der Cloud gehostet werden.

Im Gegensatz dazu verlegt SASE die Netzwerkkontrollen aus dem Rechenzentrum des Unternehmens an den Rand der Cloud. Anstatt Cloud-Dienste übereinanderzuschichten, was eine separate Konfiguration und Verwaltung erforderlich machen würde, optimiert SASE Netzwerk- und Sicherheitsservices für eine sichere Netzwerk-Edge. Durch die Implementierung identitätsbasierter Zero-Trust-Zugriffsrichtlinien im Edge-Netzwerk können Unternehmen ihren Netzwerkperimeter auf jeden Remote-Nutzer, jede Zweigstelle, jedes Gerät oder jede Anwendung ausdehnen.

Wie Organisationen SASE einführen können

Viele Unternehmen gehen bei der Einführung von SASE bruchstückhaft vor. Manche haben sogar schon bestimmte SASE-Elemente übernommen, ohne es zu wissen. Zu den wichtigsten Schritten, die Unternehmen zur vollständigen Übernahme eines SASE-Modells unternehmen können, gehören:

1. Remote-Teams schützen
2. Zweigstellen hinter einem Cloud-Perimeter platzieren
3. Verlagerung des DDoS-Schutzes an die Edge
4. Migration von selbst gehosteten Anwendungen in die Cloud
5. Ersetzen von Sicherheitsanwendungen durch eine einheitliche, cloudnative Richtliniendurchsetzung

Diese Schritte werden in dem Whitepaper „Erste Schritte mit SASE“ näher erläutert. Sie können es hier herunterladen.

Wie Cloudflare SASE möglich macht

Cloudflare hat eine einzigartige Architektur, die in jedem der 310 Rechenzentren in aller Welt eine Plattform aus integrierten Netzwerk- und Sicherheitsservices bereitstellt. So müssen Unternehmen keine komplexe Sammlung von Single-Point-Lösungen erwerben und verwalten.

Cloudflare One ist eine SASE-Plattform, die Remote-Nutzer, Büros und Rechenzentren sicher miteinander und mit den von ihnen benötigten Ressourcen verbindet. Den Einstieg in Cloudflare One finden Sie auf der Cloudflare One Produktseite. Oder erfahren Sie mehr über ZTNA, eine wichtige Technologie hinter SASE.