Die Burg kommt nun zum Anwender – Netzwerk-Konzept SASE schafft neue Paradigmen im Datenverkehr für Unternehmen.
Der Anteil der Schweizer Beschäftigten, die von zu Hause arbeiten, ist seit der Corona-Krise von 25% auf 50% gestiegen und hat sich damit verdoppelt. Laut einer Studie des Online-Stellenportals Jobcloud geben mehr als 70 Prozent der Unternehmen an, dass ihre Angestellten ihre Jobs teilweise von zu Hause aus erledigen können.
Dieser Anstieg wird erhebliche Auswirkungen auf die Unternehmen haben und viele von ihnen dazu bewegen, flexiblere Arbeitsmodelle einzuführen oder auszubauen. Aber auch in technischer Hinsicht hat die neue Arbeitskultur neue Rahmenbedingungen für den Datenverkehr innerhalb und ausserhalb des Unternehmensnetzwerks geschaffen. In diesem Kontext werden neue Netzwerkkonzepte und die entsprechenden Lösungen stark an Relevanz gewinnen. Im Fokus dabei steht das von Gartner entwickelte SASE-Konzept und die entsprechenden SASE-Plattformen.
Die bisherige Netzwerkphilosophie verwendet das Bild einer sicheren Burg mit Befestigungsanlagen, Wällen und Wassergraben. Das Konzept «Castle and Moat» – d.h. Burg und Graben – sagt vereinfacht ausgedrückt: Niemand ausserhalb der Burggrenze oder des Netzwerkperimeters hat Zugriff auf die Daten in der Burg. Doch wenn sich in Zukunft deutlich mehr Mitarbeitende remote ins Netzwerk einwählen, muss sich dieses Burg-Prinzip flexibel ausweiten. Zusätzlich befinden sich im Zeitalter der Cloud und der steigenden Mobilität immer mehr Anwendungen, Dienstleistungen und Geräte ausserhalb des Unternehmens. Folglich erhöht sich der Zugriff auf SaaS-Angebote und Cloud-Dienste. Um das vorherige Bild noch weiter zu strapazieren: Über der virtuellen Burg hängen jetzt grosse Wolken.
EDR: Endpoint Detection and Response
SIEM: Security Information and Event Management
Fazit: Traditionelle Ansätze, die das Rechenzentrum des Unternehmens in den Mittelpunkt des Netzwerks stellen, werden immer ineffektiver und sind zu starr, um für die neuen Herausforderungen der Digitalen Transformation wettbewerbsfähige Lösungen zu bieten
Ein Kreis um die Burg bietet Einwählpunkte
Für einen CEO oder CIO eines Unternehmens erwächst nun die Priorität, zukunftsweisende Ansätze zu evaluieren. Diese Modelle sollen die Performance im Netzwerk für alle Anwender steigern; ebenso sollen sie die Tatsache berücksichtigen, dass viele Mitarbeitende mit cloudbasierten Anwendungen wie z.B. Microsoft Office arbeiten; schliesslich wird eine state-of-the-Art-Lösung in punkto Netzwerksicherheit verlangt.
Laut dem US-Beratungsunternehmen Gartner wird sich die Netzwerksicherheit in den nächsten Jahren zu einem dezentralen Konzept hin entwickeln. Gartner hat vor ein paar Jahren ein Konzept mit Abkürzung SASE (ausgesprochen «sassy») aus der Taufe gehoben. SASE steht für «Secure Access Service Edge». In den bisherigen Netzwerkarchitekturmodellen ist der Datenverkehr über eine zentrale Verbindung zum Data Centers des Unternehmens geführt worden, was wie bei einem Flaschenhals in Verzögerungen und Unterbrüchen resultiert, wenn sich etwa die Hälfte der Mitarbeitenden remote in das Netzwerk über die klassischen VPN-Verbindungen einwählt.
Bei einer SASE-Plattform ist ein Kreis um die Burg gezogen. Am Rand des Kreises befinden sich nun Netzwerkpunkte («Points of Presence» oder PoPs), über die sich zum Beispiel ein Mitarbeitender im Homeoffice Zugang verschafft zu den Dienstleistungen im Unternehmensnetzwerk. Über diesen PoP erhält er oder sie auch einen Zugriff auf die Cloud-Anwendungen (siehe auch folgende Grafik).
Zahlreiche Sicherheitsfunktionen
SASE-Plattformen funktionieren durch die Bündelung mehrerer Elemente: Die Kombination von SD-WAN mit Netzwerksicherheitsdiensten (z.B. Web-Gateways, Cloud Access Security Brokern oder Zero-Trust-Netzwerkzugang). Die Sicherheitsfunktionen greifen bereits am Netzwerkrand («Edge»). Das Konzept löst die ältere Architekturkonzepte mit Unternehmensrechenzentren, dedizierter Hardware und zentralisierten Sicherheits- und Zugangslösungen wie virtuelle private Netze (VPNs) ab. Es besteht eine Cloud-basierte Architektur- und Sicherheitsinfrastruktur mit kontext- und identitätsbasierten Zugangsmöglichkeiten für Geräte, Applikationen und Anwender am Network Edge.
Der Datenverkehr läuft bei einer SASE-Plattform über eine Verbindung mit dem globalen SASE-Backbone. SASE-Dienste verbinden allerdings nicht nur Geräte, sondern schützen sie beispielsweise auch gegen Malware oder gegen DDoS-Attacken (Distributed Denial-of-Service). Lokale Vorschriften wie die EU-Datenschutzgrund-verordnung (DSGVO) und die Bestimmungen des im 2023 in Kraft tretenden, revidierten Schweizer Datenschutzgesetzes sollten in den Routing- und Sicherheitsrichtlinien der SASE durchsetzbar sein.
SASE bietet in der Realisierung als SASE-Plattform zahlreiche Vorteile:
- WAN-Services und die Sicherheitsfunktonen in einem einheitlichen Architekturkonzept konvergieren, reduziert dies die Komplexität und die Kosten für ein Unternehmen.
- Die SASE-Plattform befreit die Unternehmen von der Aufgabe, lokale Hard- und Software selbst zu betreiben und zu warten, was den finanziellen und personellen Bedarf an Ressourcen drastisch senken wird.
- Durch SASE erhalten die Unternehmen für ihren Netzwerk-Datenverkehr eine flexibel anpassbare, sichere und hoch skalierbare Plattform. SASE-Plattformen ermöglichen es den Unternehmen, die Sicherheits-Regeln («Policies») zentral zu verwalten, wobei Letztere am Netzwerkrand durchgesetzt werden – darum auch das Gewicht auf dem Wort «edge» und «secure access» in der Bezeichnung «Secure Service Access Edge».
- Datenübertragung wesentlich. Nahe am Kunden oder Anwender gelegene PoPs reduzieren die Latenzzeiten der Datenübertragung. Das ebnet den Weg für echtzeitintensive Anwendungen mit hoher Performance an allen beliebigen Orten der Welt.
Fazit: Gartner bezeichnet mit SASE die Konvergenz einer Reihe von Netzwerk- und Sicherheitslösungen. Dazu gehören SD-WAN, Zero Trust Network Access (ZTNA) ebenso wie Cloud Access Security Broker (CASB) und die traditionelle Firewall. Diese Komponenten werden nach Vorstellung von Gartner alle zusammengefasst und einheitlich aus der Cloud bereitgestellt. Die meisten SASE-Plattformen unterstützen eine schrittweise Migration, d. h. in einer Übergangszeit kann SASE mit dem herkömmlichen Netzwerk und den Sicherheitsfunktionen koexistieren. Demzufolge erfolgt das SASE-Projekt ohne Zeitdruck und ermöglicht eine flexible Budgetierung.
Möchten Sie weitere Beratung zu SASE? Wir sind gerne für Sie da
Gregor ist Mitglied der Geschäftsleitung von Inseya und leitet den Bereich Enterprise Mobility. Er verfügt über ein MBA Abschluss im Bereich Innovationsmanagement und technische Zertifizierungen im Bereich Enterprise Security und Device Management. Seine Freizeit verbringt er gerne mit seiner Familie oder mit Aikido-Training.