Was ist eigentlich SSE?

Veröffentlicht am 30.08.2022

Die neue Marktkategorie SASE (Secure Access Service Edge) ist im Jahr 2019 lanciert worden. SASE bildet die Konvergenz von SD-WAN Netzwerk und Sicherheit als Cloud-nativer und global bereitgestellter Service ab. Dadurch ermöglichen SASE-Lösungen die standordunabhängige Arbeit (Home- und Remote Benutzer) mit optimiertem und sicherem Zugriff auf jede Anwendung. Auf der Sicherheitsseite umfasst SASE Dienste wie Secure Web Gateway (SWG), Cloud Access Security Broker mit Data Loss Prevention (CASB/DLP), Firewall as a Service (FWaaS), Zero Trust Network Access (ZTNA) etc.

Im Jahr 2021 führte Gartner eine weitere verwandte Marktkategorie ein, die Security Service Edge (SSE). SSE bietet im Vergleich zu SASE lediglich einen begrenzten Umfang an konvergierter Netzwerksicherheit an. SSE konvergiert die SWG, CASB/DLP und ZTNA-Sicherheitslösungen in einem einzigen Cloud-nativen Service.

Wie unterscheidet sich SSE von SASE?

Während SASE die kombinierte Lösung von Netzwerk und Security umfasst, adressiert SSE nur den Sicherheitslayer. Konkret bietet SSE einen sicheren Zugang zu Internet- und Cloud basierte SaaS-Anwendungen, geht aber nicht auf die Netzwerkkonnektivität und die Ost-West-WAN-Sicherheitsaspekte dieses Zugangs ein, die als separater Technologiestack bestehen bleiben.

SASESSE
Eingeführt20192021
Technologische SäulenKonvergente SD-WAN Netzwerke und SicherheitKonvergenz bei der Netzsicherheit
HauptkomponentenSWG, CASB/DLP, FWaaS, ZTNA, Bandwith & Routing Kontrolle, Application Priorisation, Unified ManagementSWG, CASB/DLP, FWaaS, ZTNA
GeschäftswertSicherheit, Sichtbarkeit und Kontrolle, Ausfallsicherheit, Optimierung, Applikations-SLASicherheit, Sichtbarkeit und Kontrolle  

Wo ist der Mehrwert von SSE?

Ein optimierter und sicherer globaler Zugriff auf Internet- und SaaS-Anwendungen und -daten ist für die technischen Anforderungen von Unternehmen und die sich entwickelnde Bedrohungslandschaft unerlässlich. Doch starre Sicherheitsarchitekturen und unzusammenhängende Einzellösungen verringern die geschäftliche Flexibilität und erhöhen das Risiko. Hier kommt SSE ins Spiel.

SSE bietet:

Reduzierte Angriffsfläche mit Zero Trust Network Access (ZTNA) – Sicherstellung, dass Benutzer nur auf autorisierte Anwendungen zugreifen können

Konsistente Durchsetzung von Sicherheitsrichtlinien – vollständige Überprüfung des Datenverkehrs zwischen zwei beliebigen Kanten bei gleichzeitiger Durchsetzung von Richtlinien zur Bedrohungsabwehr und zum Datenschutz

Elastische, leistungsstarke Sicherheitsprüfung – Sicherung des Datenverkehrs in großem Umfang über ein globales Backbone mit skalierbaren Points of Presence (PoPs)

Verbesserte Sicherheitslage – Überwachung der Bedrohungslandschaft und Bereitstellung von Abhilfemaßnahmen bei aufkommenden Bedrohungen durch das SOC des SSE-Anbieters (anstelle der IT-Mitarbeiter)

Aufgrund dieser Vorteile bietet SSE Unternehmen einen sicheren öffentlichen Cloud- und Web-Zugang, Funktionen zur Erkennung und Abwehr von Bedrohungen, einen sicheren und optimierten Remote-Zugang und einen sensiblen Schutz vor Datenverlust.

Im Gegensatz zu SSE leiden traditionelle Netze unter:

Legacy-Netzwerke sind um physische Unternehmensstandorte herum aufgebaut – eine digitale Architektur erfordert eine Umstrukturierung des Netzwerks

Zentralisierte Sicherheitsmodelle (Backhauling) verlangsamen den sicheren Cloud-Zugang – ein direktes sicheres Internet sollte an jedem Standort für jeden Benutzer verfügbar sein

Traditionelle Sicherheitslösungen sind nicht skalierbar – sie können eine hybride Belegschaft, die von überall aus arbeitet, nur punktuell unterstützen

Warum Sie sofort mit SSE beginnen können

Mit Cato können Sie effizient die dringlichsten Schwachstellen ausmerzen, und damit schrittweise und transparent eine SSE Lösung einführen. Dies kann beispielsweise die Integration von Cloud Workloads, die Integration von Home oder Mobile Users oder auch einem Filialnetz zugutekommen.

Unsere Empfehlung

1. Führen Sie den Einstieg in SSE in Phasen durch

Das SSE Framework adressiert CASB-, SWG- und ZTNA-Lösungen. Bereits bestehende Technologien sollten zunächst nach den Kategorien der Anwender, Geräte, Daten und Applikationen strukturiert werden, bevor sie auf eine integrierte Lösung migriert werden. Auch der Betrieb auf verteilten Systemen ist möglich, was allerdings entsprechend sorgfältig vorbereitete und aufeinander auf-bauenden Module beruhen muss.

2. Erst überwachen, dann Sicherheitsrichtlinien durchsetzen

Einige SSE-Komponenten wie ZTNA sind weit restriktiver als die Vorgängertechnologien. Der Grundsatz beruht auf der laufenden Verifikation der definierten Sicherheitsregeln (never trust always verify), die Rechtevergabe an die Teilnehmer (least privilege) und weiteren typischen Sicherheitsmerkmalen im operativen Netzwerk wie die Netzwerksegmentierung und dynamische Firewall Regeln etc.

Dies alles wirkt sich sehr positiv auf die allgemeine Netzwerksicherheit im Unternehmen aus. In der ersten Phase des SSE Projekts kann es auch zu Überraschungen oder gar der Beeinträchtigung spezifischer Dienste kommen. Darum empfiehlt sich während der Pilotphase den SSE Ansatz in einem reinen Monitoring-Modus zu betreiben. Damit werden operative Ausfälle durch die neuen Technologien vermieden und das neue Framework vor der Aktivierung verifiziert.

3. Identifizieren Sie Kontrollmaßnahmen zur Ergänzung Ihrer SSE-Strategie

Abhängig von den implementierten SSE Techniken, die CASB-, SWG-, ZTNA etc. zur Verfügung stellen, bleiben möglicherweise Lücken im Sicherheitsdispositiv oder zum benutzten SD-WAN Layer bestehen. Diese können Zugriffsrechte von Heimbenutzer oder Cloud Applikationen, fehlende Netzwerksegmentierung oder Firewall Zonen betreffen betreffen, oder auch in schlechte Applikationsperformance münden etc.

Falls Verbesserungen im SSE Funktionsumfang zu kurz greifen, empfiehlt sich direkt den SASE Einsatz zu prüfen, da wie eingangs erwähnt die Sicherheit und Netzwerk-Konvergenz einen erweiterten Funktionsumfang bieten, wie FWaaS, DLP oder Application Performance Management etc.

Gerne beraten wir Sie bei SSE Themen oder der Einführung einer SASE Plattform

Kontaktieren Sie uns unter aW5mb0BpbnNleWEuY2g= oder 031 914 18 18.

Haben Sie Fragen zu Cybersicherheit? Schreiben Sie uns an!