Netzwerk- und Sicherheitsarchitektur
Secure Access Service Edge – was steckt dahinter?
Unter dem Kürzel SASE prägte das Analystenhaus Gartner den Begriff einer neuen Art von Netzwerk- und Sicherheitsarchitektur. Worum es dabei genau geht, erläutert Mike Schuricht von Bitglass.
Mit wachsenden digitalen Geschäftsanforderungen investieren Unternehmen massiv in die Erweiterung ihrer Netzwerkverbindungsfähigkeiten; so soll sichergestellt werden, dass ihre Daten den richtigen Personen zur richtigen Zeit zur Verfügung stehen. Insbesondere für Cloud-basierte, hochgradig vernetzte und agile Geschäftsmodelle ist die Gewährleistung eines ordnungsgemäßen Zugriffs auf Daten und Systeme unerlässlich. Zusammen mit der Konnektivität in immer komplexeren Infrastrukturen wachsen auch die Anforderungen an Netzwerk- und Datensicherheit. Wenn nicht die richtigen Schutzvorkehrungen getroffen werden, können Bedrohungen, die von Datenlecks und Fehlkonfigurationen bis hin zu Risiken durch Insider reichen, in jedem komplexen Cloud- und Netzwerkökosystem ihr Schadenspotenzial entfalten.
An dieser Stelle kommt das Secure Access Service Edge (SASE) Konzept ins Spiel, ein Akronym, das vom Analystenhaus Gartner geprägt wurde. Der Netzwerkperimeter wird dabei nicht als Standort, sondern als ein Satz dynamischer Edgefunktionen, die bei Bedarf als Service aus der Cloud bereitgestellt werden, verstanden. SASE bezeichnet also eine Architektur, die Lösungen bereitstellt, die aus der Konsolidierung von Netzwerk- und Sicherheitswerkzeugen entstehen. Dieses Zusammenspiel gewährleistet sowohl einen effektiven als auch sicheren Zugang zu den IT-Ressourcen von Unternehmen.
Die Kombination von Sicherheitstechnologien mit WAN-Technologien kann sich aus verschiedenen konvergierenden Technologien zusammensetzen, wie beispielsweise den folgenden:
CASB - Ein Cloud Access Security Broker (CASB) ermöglicht die Durchsetzung von Richtlinien, um Daten vor Bedrohungen in der Cloud und auf jedem Gerät an jedem beliebigen Ort zu schützen. Anforderungen an einen CASB sind unter anderem Sichtbarkeit von und Bereinigung nach risikoreichen Ereignissen, proaktive Sicherheitsfunktionen, sowie Schutz sowohl vor bekannten wie auch unbekannten Datenverlust-Risiken und Malware-Bedrohungen.
CASBs werden in verschiedenen Varianten angeboten. API-CASBs nutzen den API-Zugriff auf SaaS-Anwendungen, um auftretende Datenlecks zu schließen. Mit ihnen lässt sich also ausschließlich reaktiv operieren. Die erste Generation der Multi-Mode-CASBs hingegen nutzt eine API-Integrationen sowie Forward Proxies und bietet damit die Sichtbarkeit aller Cloud-Daten sowie proaktive Sicherheitsfunktionen. Jedoch verfügen sie lediglich über signaturbasierten Schutz für bekannte Malware und Datenverlustwege und dies nur bei bestimmten Anwendungen. Der Zugriff von nicht-verwalteten Geräten auf Cloud-Anwendungen beispielsweise kann damit nicht geschützt werden. Eine Lücke, die durch Multi-Mode-CASBs der neuesten Generation geschlossen wird: Sie passen sich dynamisch an, um jegliche Anwendungen vor bekannten und unbekannten Datenverlust-Risiken und Malware-Bedrohungen zu schützen. Sie nutzen zusätzlich Reverse Proxys, womit Cloud-Daten auch beim Zugriff über nicht-verwaltete Endgeräte geschützt sind.
Secure Web Gateway (SWG) - SWGs bieten URL-Kategorisierung und -Reputation sowie Schutz vor Bedrohungen. Sie stellen sicher, dass Personen nur eine angemessene Internetnutzung aufweisen, und schützen gleichzeitig vor Bedrohungen wie Phishing-Websites und Malware. Diese Technologien können auch Intrusion Prevention-Systeme (IPS), Intrusion Detection-Systeme (IDS) und Firewall-Funktionen umfassen.
Zero Trust Network Access (ZTNA) - ZTNA sorgt für den sicheren Zugriff auf Unternehmensanwendungen, die entweder in der öffentlichen Cloud oder in firmeneigenen Netzwerken gehostet werden. Wenn Remote-Mitarbeiter auf bestimmte IT-Ressourcen zugreifen, erhalten sie oft vollen Zugriff auf alles im Netzwerk. Das Risiko für Datenverluste ist dabei allerdings überaus hoch. ZTNA erlaubt Nutzern lediglich den Zugriff auf bestimmte Anwendungen. Eine VPN-Verbindung ist dafür nicht erforderlich.
DNS-Schutz – Domain Name System (DNS)-Technologien suchen in den Domains nach Risiken und Bedrohungen, wie zum Beispiel bekannten Malware-Hosts. Werden Bedrohungen entdeckt, kann der entsprechende DNS-Server mit einem Sinkhole-Zugriff antworten, um die Malware-Infektion zu verhindern.
Firewall-as-a-Service (FWaaS) – FWaaS-Tools bieten Port-, Protokoll- und applikationsbasierte Richtlinien für den Netzwerkzugriff und die Segmentierung. Sie können auch Module für Dienstgüte (QoS), IPS, IDS und VPNs bereitstellen.
SD-WAN – Dabei handelt es sich um eine MPLS-Alternative (Multi-Protocol Label Switching) für die Site-to-Site-Verbindung um einen sicheren Netzwerkzugang bereitzustellen. Darüber hinaus gibt es auch WAN-Beschleunigung oder -Optimierung zwischen getrennten Standorten, wie zum Beispiel Büros und Rechenzentren.
- Secure Access Service Edge – was steckt dahinter?
- SASE: Verschiedene Wege in der Umsetzung
Lesen Sie mehr zum Thema
