SASE: Revolution oder Evolution?
Secure Access Service Edge (SASE) ist gerade in aller Munde, aber was bedeutet das eigentlich?
Der Begriff wurde von Neil MacDonald und Joe Skorupa von Gartner im Jahr 2019 geprägt – er ist also noch recht neu. SASE meint die Integration mehrerer bestehender Funktionen wie beispielsweise SD-WAN und Sicherheitstools in ein System. Dies umfasst auch die Migration einiger oder aller Funktionen in ein cloudbasiertes SaaS-Modell (Software as a Service). Damit stellt SASE keine neuartige Funktion oder Technologie dar. Wie groß ist die Veränderung also wirklich?
Im Rückblick ist die Einführung von Software Defined Wide Area Networking (SD-WAN) eher eine echte Revolution. Die Umwandlung privater Netzwerke in Overlay-Netze, die unabhängig von der zugrunde liegenden Netzwerkschicht eingesetzt werden, hat den Telekommunikationsunternehmen die Kontrolle über das private Netzwerk entzogen und den Markt für ein breiteres Spektrum von Akteuren geöffnet.
Davon hat der Markt für Security Tools massiv profitiert. Denn die Sicherheit von Verbindungen avancierte zu einem Schlüsselkriterium bei der Einrichtung von Netzwerkarchitekturen. SD-WAN ist schließlich ein privates Netz, das auf öffentlichen Internetverbindungen aufbaut und damit einen erhöhten Schutzbedarf hat.
Die Security-Branche hat diese Art von Konsolidierung schon einmal erlebt. Die Trends zu Next Generation Firewalls und Unified Threat Management (UTM) haben dazu geführt, dass eine Reihe separater Geräte und -funktionen in einer Plattform zusammengefasst wurden. Man könnte sagen, die Branche hat dazu einfach nur bestehende Funktionen und Tools neu kombiniert. Mit diesem Produkt war es für Security-Anbieter dann ohne viel Aufwand möglich sich in die SD-WAN-Diskussion einzubringen. Insbesondere auch deshalb, weil ein Großteil dieser Kernfunktionalität bereits standardisiert war. Das war der Startschuss, denn ab dann hat sich der SD-WAN-Markt allmählich in einen SASE-Markt verwandelt.
Allerdings stehen Anbieter dabei vor einem Zielkonflikt. Sicherheit bei gleichzeitig hoher Performance ist eine Herausforderung. Hier kommt die Cloud ins Spiel.
Da der Bedarf an Bandbreite immer weiter steigt, muss der Aufwand für die Verarbeitung der IP-Pakete möglichst geringgehalten werden, damit das Routing weiterhin effizient bleibt. Aus der Sicherheitsperspektive gehen modernere Funktionen aber mit einer immer intensiveren Prüfung und Verarbeitung des Dateninhalts einher (HTTP-Entschlüsselung, IDS/IPS, Anti-Malware). Die Routing-Performance auf den Kundenendgeräten (CPE) kann dabei stark beeinträchtigt werden, wenn sie nicht angemessen darauf eingestellt sind.
In der Cloud verfügen die Anbieter über die Flexibilität und die Ressourcen, um diese Anforderungen effektiver, effizienter und skalierbarer zu bewältigen. Das bedeutet zwar nicht automatisch, dass alle Sicherheitsfunktionen in die Cloud verlagert werden müssen, aber man muss nicht hellsehen können, um vorherzusagen, dass der Großteil dorthin wandern wird.
Das alles hat nicht erst mit SASE begonnen. Diese grundlegenden Leistungskonflikte sowie die abnehmende Bedeutung des Standorts und die immer wichtiger werdende Rolle von Identität im Sicherheitsmanagement, haben dazu geführt, dass moderne Schutzfunktionen nach und nach in die Cloud verlagert werden.
Einer unserer wichtigsten Sicherheitspartner bei Colt ist das Unternehmen Zscaler, das seit seiner Gründung im Jahr 2008 SaaS-basierte Sicherheitsservices aus der Cloud anbietet. Somit schon mehr als ein Jahrzehnt, bevor der Begriff SASE überhaupt geprägt wurde. Auch Versa Networks feiert in Kürze sein zehnjähriges Bestehen. Die Gründer des Unternehmens haben die Notwendigkeit schnell erkannt, Sicherheit, Netzwerke und Analysen in der Cloud und vor Ort in einem einzigen Software-Betriebssystem zusammenzuführen und zu integrieren.
Viele der SASE-Anbieter haben immer noch einige der grundlegenden Sicherheitsfunktionen wie Stateful Firewalling auf dem CPE im Portfolio. Es ist sinnvoll, einige dieser Funktionen in einem CPE-basierten Bereitstellungsmodell beizubehalten. Vor allem, wenn man bedenkt, dass sie auch ein gewisses Maß an LAN-Segmentierung für den „Ost-West-Datenverkehr“ (innerhalb des Standorts) und nicht nur für den „Nord-Süd-Datenverkehr“ (in und aus dem Standort) ermöglichen.
Wenn man nun alle Aspekte zusammenbetrachtet, scheint SASE eher eine Evolution als eine Revolution zu sein. Es handelt sich aber dennoch um einen Wandel – aus vielen Strängen wird einer und bietet zusammengenommen eine viel größere Flexibilität bei der Absicherung innerhalb des eigenen Netzwerks.
Angesichts der Tatsache, dass hybride Lösungen langfristig Bestand haben werden und die Sicherheitsbedrohungen weiter zunehmen, sollte jedes Unternehmen prüfen, wie es für sich einen hohen Sicherheitsstandard aufrechterhalten kann.
Vor kurzem hat Colt SD WAN Remote Access eingeführt, um den Anstieg der hybriden Arbeitsweise zu unterstützen. Damit ist Colt einer der ersten Anbieter eines Managed SD WAN-Service, der mit Versa SASE einen integrierten Rundumschutz ermöglicht.
Chris Peregrine ist Cybersecurity Product Manager bei Colt