Eine kurze Einführung in die SASE

SASE ist ein architektonisches Modell, das sowohl Netzwerk- als auch Sicherheitsfunktionen in einer Cloud-nativen Plattform mit einem einzigen Dienst zusammenführt, die den Schwerpunkt der Sicherheit von der Verkehrsflusszentrierung auf die Identitätszentrierung verlagert. SASE umfasst ein Paket von Technologien, das die Sicherheit in die globale Struktur des Netzwerks einbettet, so dass sie immer verfügbar ist, unabhängig davon, wo sich der Benutzer befindet, wo sich die Anwendung oder die Ressource befindet, auf die zugegriffen wird, oder welche Kombination von Transporttechnologien den Benutzer und die Ressource miteinander verbindet.

SASE ermöglicht eine allgegenwärtige und direkte Client-to-Cloud-Sicherheit, die auf der Benutzeridentität und dem Kontext basiert und vollständig in ein optimales Client-to-Cloud-WAN-Routing integriert ist. Dadurch wird eine flexible und skalierbare Netzwerkarchitektur realisiert, die sowohl eingebettete Sicherheit als auch optimale Leistung entlang des Software-Defined Perimeter (SDP) bietet.

Die SASE
SASE- Konvergenz und Umkehrung der Netz- und Sicherheitsarchitekturen
SASE

SASE auf hoher Ebene

In der Gartner-Darstellung der SASE besteht der Kern von SASE aus:

  1. die Benutzer, Geräte, Anwendungen und Ressourcen und
  2. Die Identität, Risiken, Rollen, Profile, Privilegien und Richtlinien, die den Zugang zwischen ihnen regeln

Um diesen Kern herum befindet sich die äußere SASE , die aus allen Sicherheits- und Netzwerktechnologien besteht, die für eine sichere Verbindung der Kerneinheiten erforderlich sind: der Software-Defined Perimeter (SDP). Die SDP verfolgt die transienten Verbindungen zwischen den Kerneinheiten und folgt nicht den harten Perimetern herkömmlicher Netzwerkarchitekturen, die sich an festen Standorten, geografischen Gegebenheiten, physischen Netzwerkzonen, IP-Adressen oder Gebäuden orientieren.

Fünf SASE sind an der Definition und dem Schutz der SDP beteiligt: Diese Komponenten werden bei Bedarf in eine Verbindung eingebunden (z. B. eine NGFW, SWG oder CASB) oder sind grundlegende Fähigkeiten, die in die Struktur von SASE integriert sind (z. B. SD-WAN und ZTNA).

  • Sicheres SD-WAN
  • Sicheres Web-Gateway (SWG)
  • Cloud Access Security Broker (CASB)
  • Zero Trust Network Access (ZTNA)
  • Firewalling: NGFW und Firewall-as-a-Service (FWaaS)

SD-WAN-Architektur

SD-WAN-Architekturen ermöglichten es Unternehmen, eine direkte Internetverbindung zu nutzen, um Client-to-Cloud-Workflows zu ermöglichen.

Traditionelle WAN-Architektur

Traditionelle WAN-Architektur

Traditionelle WAN-Architektur

Herkömmliche WAN-Architekturen nutzen das Internet (wenn überhaupt) nur als Punkt-zu-Punkt-Verbindung - geschützt durch VPN-Technologie - zwischen einem externen Benutzer und dem Hauptsitz oder Rechenzentrum. Von dort aus wird der Datenverkehr unter Anwendung von Sicherheitsmaßnahmen und Richtlinien an die Cloud-Ziele weitergeleitet. Dieses Design leidet unter Latenz- und Skalierbarkeitsdefiziten.

SD-WAN-Architektur

SD-WAN-Architektur

SD-WAN-Architektur

SD-WAN-Architekturen - basierend auf den Grundsätzen des Software-Defined Networking (SDN) - nutzen das Internet als vermaschten Backbone-Transport, wobei die Ziele im Rechenzentrum oder in der Cloud für jeden Work-from-Anywhere (WFA)-Benutzer gleichermaßen und direkt zugänglich sind. Dieses Design minimiert die Latenz und optimiert die Skalierbarkeit, erfordert jedoch SASE , um die Sicherheit in dieser Umgebung von Any-to-Anywhere-Verbindungen durchzusetzen, in der die Begriffe "On-Prem" und "Off-Prem" ihre Bedeutung verloren haben.

SDP-Architektur

Das SDP-Konzept stützt sich auf das Modell der Defense Information Systems Agency (DISA) aus dem Jahr 2007, das vorsieht, Verbindungen auf diejenigen zu beschränken, die sie benötigen, anstatt allem zu vertrauen, was sich innerhalb der festen Grenzen eines Netzwerks befindet. Im Jahr 2013 machte die SDP-Arbeitsgruppe der Cloud Security Alliance (CSA) SDP populär, um hochsichere, vertrauenswürdige End-to-End-Netzwerke für die breite Nutzung in Unternehmen zu schaffen, die ebenfalls SDP einschließen:

  • Normen des National Institute of Standards and Technology (NIST)
  • Zero-Trust-Prinzipien zur Erleichterung des sicheren Zugangs zwischen Hosts unabhängig vom Standort

Ein grundlegendes Merkmal einer SDN-Architektur ist die Trennung von Kontroll-, Daten- und Verwaltungsebene. Diese Trennung ermöglicht die Kontrolle sowohl der SD-WAN- als auch der SDP-Kontrollebene in einem Netzwerk, was wiederum die Implementierung von SD-WAN und SD-Security in derselben Software-Kontrollkomponente ermöglicht.

Softwaredefinierte Perimeter-Architektur
SDP-Architektur

 

SWG-Architektur

Eine SWG schützt Unternehmen und Benutzer vor dem Zugriff und der Infizierung durch bösartigen Webverkehr sowie vor der Kontaminierung durch gekaperte Websites, die Malware oder Viren enthalten.

Auf der Grundlage des Benutzer-, Geräte- und Standortkontexts bewertet die SWG die Anwendungsrichtlinien und gewährt den Zugriff nur dann, wenn die Richtlinien die Anfrage auf der Grundlage des Identitätskontexts zulassen.

Firewalls
Entscheidungen auf einer
paketweisen Basis treffen

SWG-Architektur

Keine Terminierung,
Nur Stream-Scanning
SWGs - Bevollmächtigte
Vollständige Anfrage von
Client erhalten, bevor Entscheidungen getroffen werden

SWG-Architektur

Beendigung von Sitzungen,
Durchsetzung von Richtlinien

CASB-Architektur

Eine CASB bietet einen zentralen Ort für gleichzeitige Richtlinien und Governance über mehrere Cloud-Dienste für Benutzer und Geräte hinweg sowie granulare Einsicht in und Kontrolle über Benutzeraktivitäten und sensible Daten. Es gibt zwei Bereitstellungsoptionen für CASBs: den API-Modus und den Proxy-Modus.

API-Modus

CASB-Architektur

Proxy-Modus

CASB-Architektur

ZTNA-Architektur

ZTNA liegt der SDP-Architektur zugrunde. Das Wesen von ZTNA besteht darin, nichts zu vertrauen und jeden Zugriffsversuch auf der Grundlage von Identität und Kontext zu authentifizieren. Die Hauptfunktion von ZTNA innerhalb einer SASE ist die Authentifizierung von Benutzern gegenüber Anwendungen unter Verwendung einer erweiterten kontext- und rollenbasierten Identität in Kombination mit Multifaktor-Authentifizierung (MFA).

ZTNA-Architektur

 

Kostenloses eBook

SASE für Dummies

Lernen Sie die geschäftlichen und technischen Hintergründe von SASE kennen, einschließlich bewährter Verfahren, realer Kundenimplementierungen und der Vorteile, die eine SASE Organisation mit sich bringt.

Holen Sie sich das eBook

Mehr erfahren

Hier finden Sie weitere Untersuchungen, Analysen und Informationen zu SASE (Secure Access Service Edge), Netzwerken, Sicherheit, SD-WAN und Cloud von Branchenvordenkern, Analysten und Experten.

 

 

On-Demand-Webinar: 60 Minuten

Sicherer Zugangsdienst EdgeSASE)

Secure Access Service Edge ( SASE) ist ein neues Konzept für die Cybersicherheit. In diesem Video erfahren Sie, wie die wichtigsten Funktionen von SASE die Anforderungen der wachsenden Netzwerkausbreitung und die Herausforderungen der digitalen Transformation Ihres Unternehmens erfüllen.

 

 

 

10:08 min Video

Versa Networks SD-WAN und Sicherheitsdemo

Eine umfassende Demonstration, die Sie mit den Grundlagen der Versa-Terminologie, dem Onboarding von Geräten, Vorlagen für Anwendungsdienste, Sicherheit und Fehlerbehebung vertraut macht.

 

 

 

On-Demand-Webinar: 60 Minuten

Umfassende integrierte Sicherheit

Erfahren Sie, wie eine umfassende integrierte Sicherheitsarchitektur den Schutz vor Bedrohungen, die Leistung und das Anwendungserlebnis erheblich verbessern kann.