Eine kurze Einführung in die SASE

SASE ist ein architektonisches Modell, das sowohl Netzwerk- als auch Sicherheitsfunktionen in einer Cloud-nativen Plattform mit einem einzigen Dienst zusammenführt, die den Schwerpunkt der Sicherheit von der Verkehrsflusszentrierung auf die Identitätszentrierung verlagert. SASE umfasst ein Paket von Technologien, das die Sicherheit in die globale Struktur des Netzwerks einbettet, so dass sie immer verfügbar ist, unabhängig davon, wo sich der Benutzer befindet, wo sich die Anwendung oder die Ressource befindet, auf die zugegriffen wird, oder welche Kombination von Transporttechnologien den Benutzer und die Ressource miteinander verbindet.

SASE ermöglicht eine allgegenwärtige und direkte Client-to-Cloud-Sicherheit, die auf der Benutzeridentität und dem Kontext basiert und vollständig in ein optimales Client-to-Cloud-WAN-Routing integriert ist. Dadurch wird eine flexible und skalierbare Netzwerkarchitektur realisiert, die sowohl eingebettete Sicherheit als auch optimale Leistung entlang des Software-Defined Perimeter (SDP) bietet.

SASE auf hoher Ebene

In der Gartner-Darstellung der SASE besteht der Kern von SASE aus:

  1. die Benutzer, Geräte, Anwendungen und Ressourcen und
  2. Die Identität, Risiken, Rollen, Profile, Privilegien und Richtlinien, die den Zugang zwischen ihnen regeln

Um diesen Kern herum befindet sich die äußere SASE , die aus allen Sicherheits- und Netzwerktechnologien besteht, die für eine sichere Verbindung der Kerneinheiten erforderlich sind: der Software-Defined Perimeter (SDP). Die SDP verfolgt die transienten Verbindungen zwischen den Kerneinheiten und folgt nicht den harten Perimetern herkömmlicher Netzwerkarchitekturen, die sich an festen Standorten, geografischen Gegebenheiten, physischen Netzwerkzonen, IP-Adressen oder Gebäuden orientieren.

Fünf SASE sind an der Definition und dem Schutz der SDP beteiligt: Diese Komponenten werden bei Bedarf in eine Verbindung eingebunden (z. B. eine NGFW, SWG oder CASB) oder sind grundlegende Fähigkeiten, die in die Struktur von SASE integriert sind (z. B. SD-WAN und ZTNA).

  • Secure SD-WAN
  • Sicheres Web-Gateway (SWG)
  • Cloud Access Security Broker (CASB)
  • Zero Trust Network Access (ZTNA)
  • Firewalling: NGFW und Firewall-as-a-Service (FWaaS)
SASE
Die SASE
SASE Konvergenz und Umkehrung der Netzwerk- und Sicherheitsarchitekturen

SD-WAN-Architektur

SD-WAN-Architekturen ermöglichten es Unternehmen, eine direkte Internetverbindung zu nutzen, um Client-to-Cloud-Workflows zu ermöglichen.

Traditionelle WAN-Architektur

Herkömmliche WAN-Architekturen nutzen das Internet (wenn überhaupt) nur als Punkt-zu-Punkt-Verbindung - geschützt durch VPN-Technologie - zwischen einem externen Benutzer und dem Hauptsitz oder Rechenzentrum. Von dort aus wird der Datenverkehr unter Anwendung von Sicherheitsmaßnahmen und Richtlinien an die Cloud-Ziele weitergeleitet. Dieses Design leidet unter Latenz- und Skalierbarkeitsdefiziten.

Traditionelle WAN-Architektur
Traditionelle WAN-Architektur

SD-WAN-Architektur

SD-WAN-Architekturen - basierend auf den Grundsätzen des Software-Defined Networking (SDN) - nutzen das Internet als vermaschten Backbone-Transport, wobei die Ziele im Rechenzentrum oder in der Cloud für jeden Work-from-Anywhere (WFA)-Benutzer gleichermaßen und direkt zugänglich sind. Dieses Design minimiert die Latenz und optimiert die Skalierbarkeit, erfordert jedoch SASE , um die Sicherheit in dieser Umgebung von Any-to-Anywhere-Verbindungen durchzusetzen, in der die Begriffe "On-Prem" und "Off-Prem" ihre Bedeutung verloren haben.

illustration-traditionell-vs
SD-WAN-Architektur

SDP-Architektur

Das SDP-Konzept stützt sich auf das Modell der Defense Information Systems Agency (DISA) aus dem Jahr 2007, das vorsieht, Verbindungen auf diejenigen zu beschränken, die sie benötigen, anstatt allem zu vertrauen, was sich innerhalb der festen Grenzen eines Netzwerks befindet. Im Jahr 2013 machte die SDP-Arbeitsgruppe der Cloud Security Alliance (CSA) SDP populär, um hochsichere, vertrauenswürdige End-to-End-Netzwerke für die breite Nutzung in Unternehmen zu schaffen, die ebenfalls SDP einschließen:

  • Normen des National Institute of Standards and Technology (NIST)
  • Zero-Trust-Prinzipien zur Erleichterung des sicheren Zugangs zwischen Hosts unabhängig vom Standort

Ein grundlegendes Merkmal einer SDN-Architektur ist die Trennung von Kontroll-, Daten- und Verwaltungsebene. Diese Trennung ermöglicht die Kontrolle sowohl der SD-WAN- als auch der SDP-Kontrollebene in einem Netzwerk, was wiederum die Implementierung von SD-WAN und SD-Security in derselben Software-Kontrollkomponente ermöglicht.

SDP-Architektur
Softwaredefinierte Perimeter-Architektur

SWG-Architektur

Ein SWG schützt Unternehmen und Nutzer vor dem Zugriff durch und der Infizierung durch bösartigen Web-Traffic sowie vor der Ansteckung durch gehackte Websites, die Malware oder Viren enthalten.

Auf der Grundlage des Benutzer-, Geräte- und Standortkontexts bewertet die SWG die Anwendungsrichtlinien und gewährt den Zugriff nur dann, wenn die Richtlinien die Anfrage auf der Grundlage des Identitätskontexts zulassen.

Firewalls

Entscheidungen auf Paket-für-Paket-Basis treffen

illus-swg-Architektur
Keine Beendigung, nur Stream-Scan

SWGs – Proxys

Bevor Entscheidungen getroffen werden, sollte die vollständige Anfrage des Kunden vorliegen

illus-swg-Architektur
Beendigung der Sitzung, Durchsetzung von Richtlinien

CASB-Architektur

Ein CASB bietet eine zentrale Plattform für die einheitliche Verwaltung von Richtlinien und Governance über mehrere Cloud-Dienste hinweg, sowohl für Benutzer als auch für Geräte, sowie detaillierte Einblicke in und Kontrolle über Benutzeraktivitäten und sensible Daten. Es gibt zwei Bereitstellungsoptionen für CASBs: den API-Modus und den Proxy-Modus.

API-Modus

illus-casb-architecture-api

Proxy-Modus

illus-casb-architektur-proxy

ZTNA-Architektur

ZTNA bildet die Grundlage der SDP-Architektur. Das Kernprinzip von ZTNA besteht darin, nichts blind zu vertrauen und jeden Zugriffsversuch auf der Grundlage von Identität und Kontext zu authentifizieren. Die Hauptfunktion von ZTNA innerhalb einer SASE besteht darin, Benutzer gegenüber Anwendungen zu authentifizieren, wobei fortschrittliche kontext- und rollenbasierte Identitätsprüfung in Kombination mit Multi-Faktor-Authentifizierung (MFA) zum Einsatz kommt.

ZTNA-Architektur

Kostenloses E-Book

SASE für Dummies

Lernen Sie die geschäftlichen und technischen Hintergründe von SASE kennen, SASE Best Practices, realen Kundenimplementierungen und den Vorteilen, die eine SASE Organisation mit sich bringt.

Holen Sie sich das eBook
SASE Anfänger

Mehr erfahren

Hier finden Sie weitere Untersuchungen, Analysen und Informationen zu SASE (Secure Access Service Edge), Netzwerken, Sicherheit, SD-WAN und Cloud von Branchenvordenkern, Analysten und Experten.

On-Demand-Webinar: 60 Minuten

Sicherer Zugangsdienst EdgeSASE)

Secure Access Service Edge ( SASE) ist ein neues Konzept für die Cybersicherheit. In diesem Video erfahren Sie, wie die wichtigsten Funktionen von SASE die Anforderungen der wachsenden Netzwerkausbreitung und die Herausforderungen der digitalen Transformation Ihres Unternehmens erfüllen.

Mehr erfahren

10:08 min Video

Versa Networks und Sicherheitsdemo

Eine umfassende Demonstration, die Ihnen die Grundlagen der Versa , der Geräteeinbindung, der Anwendungsdienstvorlagen, der Sicherheit und der Fehlerbehebung vermittelt.

Mehr erfahren

On-Demand-Webinar: 60 Minuten

Umfassende integrierte Sicherheit

Erfahren Sie, wie eine umfassende integrierte Sicherheitsarchitektur den Schutz vor Bedrohungen, die Leistung und das Anwendungserlebnis erheblich verbessern kann.

Mehr erfahren