Secure Access Service Edge (SASE)

Secure Access Service Edge, or SASE, is an emerging cybersecurity concept. In this video, you understand how the key capabilities of SASE address the demands of growing network sprawl and the challenges of digitally transforming your business.

Versa for Work-From-Home

Versa has made it simple for organizations to offer Secure SD-WAN for Work-From-Home users on home appliances or working from anywhere.

 
 
Top Energy Firm Achieves Comprehensive “Work-From-Anywhere” with Versa SASE

A large, publicly traded energy company operating in all areas of the oil and gas industry has dramatically simplified their network stack and realized huge cost savings with Versa SASE.

 
Availability and Buying Options in the Emerging SASE Market

EMA evaluates the different SASE vendors and their approaches to architecture, go-to-market, and support for their cloud-delivered and hybrid services.

 
Versa Networks - Explained in 1 minute

Learn about the Versa Secure SD-WAN solution in a high-level, one minute overview.

Versa SASE (Secure Access Service Edge)

SASE is the simplest, most scalable way to continuously secure and connect the millions points of access in and out of the corporate resources regardless of location.

 
Versa Secure SD-WAN – Simple, Secure, and Reliable Branch to Multi-Cloud Connectivity

Versa Secure SD-WAN is a single software platform that offers multi-layered security and enables multi-cloud connectivity for Enterprises.

Eine kurze Einführung in die SASE-Architektur


SASE vereint Netzwerk- und Sicherheitsfunktionen in einer Cloud-nativen Architektur mit einem einzigen Dienst, die den Sicherheitsschwerpunkt von der Verkehrsflusszentrierung auf die Identitätszentrierung verlagert. SASE umfasst ein Technologiepaket, das die Sicherheit in die globale Netzwerkstruktur integriert, so dass sie immer verfügbar ist, unabhängig vom Standort des Benutzers, der Anwendung oder Ressource, auf die zugegriffen wird, oder der Kombination von Transporttechnologien, die den Benutzer und die Ressource verbindet.

SASE ermöglicht eine universelle und direkte Client-zu-Cloud-Sicherheit auf der Grundlage von Benutzeridentität und -kontext, die vollständig in ein optimales Client-zu-Cloud-WAN-Routing integriert ist. Dadurch wird eine flexible und skalierbare Netzwerkarchitektur geschaffen, die sowohl integrierte Sicherheit als auch eine optimale Leistung entlang des Software-Defined Perimeter (SDP) bietet.

Die SASE-Identitätsarchitektur
 SASE – Konvergenz und Umkehrung der Netzwerk- und Sicherheitsarchitekturen

SASE-Architektur auf hoher Ebene


In der Gartner-Darstellung der SASE-Architektur besteht der Kern von SASE aus folgenden Elementen:

  1. Die Benutzer, Geräte, Anwendungen und Ressourcen und
  2. den Identitäten, Risiken, Rollen, Profilen, Privilegien und Richtlinien, die den Zugriff zwischen ihnen regeln

Um diesen Kern herum befindet sich die äußere SASE-Schicht, die aus allen Sicherheits- und Netzwerktechnologien besteht, die für eine sichere Verbindung der Kerneinheiten erforderlich sind: das Software-definierte Perimeter (SDP). Das SDP verfolgt die flüchtigen Verbindungen zwischen Kerneinheiten und folgt nicht den harten Grenzen herkömmlicher Netzwerkarchitekturen, die auf feste Standorte, Geografie, physische Netzwerkzonen, IP-Adressierung oder Gebäude abgestimmt sind.

Fünf SASE-Komponenten sind an der Definition und dem Schutz der SDP beteiligt: Diese Komponenten werden bei Bedarf in eine Verbindung eingebunden (wie z. B. eine NGFW, SWG oder CASB) oder sind grundlegende Funktionen, die in die Struktur von SASE integriert sind (wie SD-WAN und ZTNA).

  • Secure SD-WAN
  • Secure Web Gateway (SWG)
  • Cloud Access Security Broker (CASB)
  • Zero-Trust-Netzwerkzugriff (ZTNA)
  • Firewalling: NGFW und Firewall als Dienst (FWaaS)

SD- WAN-Architektur

Mit SD-WAN-Architekturen können Unternehmen eine direkte Internetverbindung nutzen, um Client-zu-Cloud-Workflows zu ermöglichen.


Herkömmliche WAN-Architektur
Herkömmliche WAN-Architektur

Herkömmliche WAN-Architekturen nutzen das Internet (wenn überhaupt) nur als Punkt-zu-Punkt-Verbindung, die durch VPN-Technologie geschützt ist, zwischen einem externen Benutzer und dem Hauptsitz oder Rechenzentrum. Von dort aus wird der Datenverkehr unter Anwendung von Sicherheitsmaßnahmen und Richtlinien an die Cloud-Ziele weitergeleitet. Dieses Konzept leidet unter Latenz- und Skalierbarkeitsmängeln.

SD- WAN-Architektur
SD- WAN-Architektur

SD-WAN-Architekturen – basierend auf den Grundsätzen des Software-definierten Netzwerks (SDN) – nutzen das Internet als vermaschten Backbone-Transport, wobei die Ziele im Rechenzentrum oder in der Cloud für jeden ortsunabhängigen (WFA) Benutzer gleichermaßen und direkt zugänglich sind. Dieses Konzept minimiert die Latenz und optimiert die Skalierbarkeit, erfordert allerdings SASE zur Durchsetzung der Sicherheit in dieser Umgebung von beliebigen Verbindungen, in der die Begriffe „am Standort“ und „außerhalb des Standorts“ keine Rolle mehr spielen.

SDP-Architektur

Das SDP-Konzept stützt sich auf das Modell der Defense Information Systems Agency (DISA) aus dem Jahr 2007, bei dem Verbindungen auf diejenigen beschränkt werden, die sie benötigen, anstatt allem innerhalb des festen Netzwerkrands zu vertrauen. Die SDP-Arbeitsgruppe der Cloud Security Alliance (CSA) machte SDP 2013 populär, um hochsichere, vertrauenswürdige und durchgängige Netzwerke für die breite Nutzung in Unternehmen zu schaffen, die auch die folgenden Elemente enthalten:

  • Standards des National Institute of Standards and Technology (NIST)
  • Zero-Trust-Prinzipien für einen sicheren, standortunabhängigen Zugriff zwischen Hosts

Ein grundlegendes Merkmal einer SDN-Architektur ist die Trennung von Kontroll-, Daten- und Verwaltungsebene. Durch diese Trennung ist es möglich, sowohl die SD-WAN- als auch die SDP-Kontrollebene in einem Netzwerk zu kontrollieren, was wiederum die Implementierung von SD-WAN und SD-Security in derselben Software-Kontrollkomponente ermöglicht.

Software-definierte Perimeter-Architektur

SWG-Architektur

Ein SWG schützt Unternehmen und Benutzer vor dem Zugriff und der Infizierung durch bösartigen Webverkehr sowie vor der Kontaminierung durch manipulierte Websites, die Malware oder Viren enthalten.

Auf der Grundlage des Benutzer-, Geräte- und Standortkontextes bewertet das SWG die Anwendungsrichtlinien und gewährt den Zugriff nur dann, wenn die Richtlinien die Anfrage aufgrund des Identitätskontextes zulassen.

Firewalls
Paketweise Entscheidungen treffen
Kein Abbruch,
nur Stream-Scanning
SWGs - Proxies
Erhalt einer vollständigen Anfrage vom Kunden, bevor Entscheidungen getroffen werden
Beendigung von Sitzungen,
Durchsetzung von Richtlinien

CASB-Architektur

Ein CASB bietet eine zentrale Stelle für gleichzeitige Richtlinien und Governance über mehrere Cloud-Dienste für Benutzer und Geräte hinweg sowie eine detaillierte Transparenz und Kontrolle über Benutzeraktivitäten und sensible Daten. Für CASBs gibt es zwei Bereitstellungsoptionen, den API-Modus und den Proxymodus.

API-Modus
Proxymodus

ZTNA-Architektur

ZTNA liegt der SDP-Architektur zugrunde. Im Wesentlichen geht es bei ZTNA darum, nichts zu vertrauen und jeden Zugriffsversuch auf der Grundlage von Identität und Kontext zu authentifizieren. Die Hauptfunktion von ZTNA innerhalb einer SASE-Architektur ist die Authentifizierung von Benutzern gegenüber Anwendungen unter Verwendung einer erweiterten kontext- und rollenbasierten Identität in Kombination mit Multifaktor-Authentifizierung (MFA).

Kostenloses eBook

SASE
For Dummies

Lernen Sie die geschäftlichen und technischen Hintergründe von SASE kennen, einschließlich bewährter Verfahren, realer Kundenimplementierungen und der Vorteile, die sich aus einer SASE-fähigen Organisation ergeben.