Secure Access Service Edge (SASE)

Secure Access Service Edge, or SASE, is an emerging cybersecurity concept. In this video, you understand how the key capabilities of SASE address the demands of growing network sprawl and the challenges of digitally transforming your business.

Versa for Work-From-Home

Versa has made it simple for organizations to offer Secure SD-WAN for Work-From-Home users on home appliances or working from anywhere.

 
 
Top Energy Firm Achieves Comprehensive “Work-From-Anywhere” with Versa SASE

A large, publicly traded energy company operating in all areas of the oil and gas industry has dramatically simplified their network stack and realized huge cost savings with Versa SASE.

 
Availability and Buying Options in the Emerging SASE Market

EMA evaluates the different SASE vendors and their approaches to architecture, go-to-market, and support for their cloud-delivered and hybrid services.

 
Versa Networks - Explained in 1 minute

Learn about the Versa Secure SD-WAN solution in a high-level, one minute overview.

Versa SASE (Secure Access Service Edge)

SASE is the simplest, most scalable way to continuously secure and connect the millions points of access in and out of the corporate resources regardless of location.

 
Versa Secure SD-WAN – Simple, Secure, and Reliable Branch to Multi-Cloud Connectivity

Versa Secure SD-WAN is a single software platform that offers multi-layered security and enables multi-cloud connectivity for Enterprises.



Was sind die wichtigsten Komponenten von SASE?

SASE kombiniert SD-WAN-Netzwerke und integrierte Sicherheitsfunktionen auf eine Cloud-native Art und Weise, die den Sicherheitsfokus von der Verkehrsflusszentrierung auf die Identitätszentrierung verlagert.

In früheren Netzwerkarchitekturen wurden bestimmte Punkte für die Durchsetzung von Netzwerkrichtlinien festgelegt und der Datenverkehr zwangsweise über diese Punkte geleitet, was häufig zu äußerst ineffizienten Aggregationspunkten und Engpässen führte, um Sicherheitskontrollen durchzusetzen. Der SASE-Ansatz ist das genaue Gegenteil: Er setzt die Sicherheit dort durch, wo der Datenverkehr fließt: an den Client- und Anwendungsendpunkten sowie an strategisch platzierten Gateways und Proxys entlang des bereits etablierten effizientesten Pfads.

SASE ermöglicht eine universelle und direkte Client-zu-Cloud-Sicherheit auf der Grundlage von Benutzeridentität und -kontext, die vollständig in ein optimales Client-zu-Cloud-WAN-Routing integriert ist. So entsteht eine flexible und skalierbare Netzwerkarchitektur, die sowohl integrierte Sicherheit als auch optimale Leistung entlang des Software-Defined Perimeter (SDP) Edge bietet.

Die vier Faktoren, auf denen SASE basiert

Die Sicherheitsrichtlinien für Benutzersitzungen zum Zugriff auf Ressourcen oder Anwendungen sind vom Standort des Benutzers, des Geräts und der Ressource entkoppelt und basieren stattdessen auf vier Faktoren:

  1. Die Identität der Entität, die den Zugriff anfordert
  2. Sitzungskontext (z. B. der Zustand und das Verhalten des Benutzers und/oder des Geräts oder die Empfindlichkeit der Ressourcen, auf die zugegriffen wird)
  3. Die Sicherheits- und Compliance- Richtlinien, die in jeder spezifischen Situation Zugriffsrechte gewähren
  4. Laufende Analyse und Risikobewertung für jede Sitzung

SASE Verbindungsstruktur

SASE bietet eine sichere Verbindungsstruktur zwischen SDP-Client und Service-Edge, einschließlich öffentlicher und privater Clouds, Rechenzentren, privater Unternehmens- und Regierungsnetzwerke, Internet, großer Büros, Niederlassungen, Home-Offices, mobiler oder temporärer Standorte, mobiler Benutzer, ortsunabhängigen (WFA-) Benutzern, Mobilgeräten, BYOD, IoT, lokaler und nicht lokaler Standorte.

SASE bestimmt den Zugriff auf der Grundlage der Identität einer Person, eines Geräts, einer Anwendung oder eines Dienstes und des Kontexts, in dem sie miteinander verbunden sind. SASE bietet WFA-Benutzern Zugriff auf alle Anwendungen und Daten, unabhängig vom Standort des Benutzers, von den Transporttechnologien zwischen ihnen oder vom Eigentum an den Transportnetzen.

Die Fähigkeiten und Attribute von SASE

Eine führende SASE-Lösung ist eine rein softwaregesteuerte Lösung, die die folgenden Merkmale aufweist:


Identität
  • Identitätsbasierter Zugriff pro Sitzung
  • Authentifizierung der Enterprise-Klasse für jeden Zugriffsversuch
Architektur und Transport
  • Cloud-native Architektur
  • Unterstützt alle Edge-Typen entlang der SDP
  • Transportunabhängigkeit: jeder verfügbare kabelgebundene, drahtlose oder mobile Internetzugang
  • Ein global verteilter SD-WAN-Footprint mit optimierter Routing-Pfadintelligenz
  • Ermöglicht sichere Client-zu-Cloud-Konnektivität
  • Verschlüsselte Verkehrsanalyse
  • Global verteilte Gateways und Proxys mit integrierter Sicherheit, die sich nahtlos in die Authentifizierungsmethoden des Unternehmens einfügen
  • Mehrmandanten-Isolierung
  • Mikrosegmentierter Zugang zu allen Ressourcen und Assets
Richtliniengesteuert
  • Zero-Trust-Ansatz für alle Benutzer, Geräte und Ressourcen, unabhängig vom Standort
  • Verteilte und konsistente Durchsetzung der unternehmensweiten Sicherheitsrichtlinien pro Sitzung, unabhängig vom Standort des Benutzers, vom verwendeten Gerät, vom Zugriff auf die Ressource oder vom Standort der Ressource
  • Zugriff mit geringsten Rechten, Zugriff nach Bedarf, anwendungsorientierter Zugriff
Orchestrierung und Transparenz
  • Ermöglicht kontinuierliche Diagnostik und Schadensbegrenzung (CDM)
  • Kontinuierliche Bewertung und Überwachung von Risiko und Vertrauen
  • Fortschrittliche Analysen und Risikobewertungen, die maschinelles Lernen und künstliche Intelligenz (ML/AI) nutzen
  • Umfassende Transparenz und Kontrolle von Benutzern, Anwendungen und Risiken

Die Komponenten von SASE

SASE vereint Netzwerk- und Sicherheitsfunktionen in einem Cloud-nativen Modell mit einem einzigen Dienst und umfasst mehrere unterschiedliche Komponenten.

SASE ist mehr als eine einzelne Technologie; es ist ein ganzes Paket von Technologien, das die Sicherheit in das globale Netzgefüge einbettet, sodass sie immer verfügbar ist, unabhängig davon, wo sich der Benutzer befindet, wo sich die Anwendung oder die Ressource befindet, auf die zugegriffen wird, oder welche Kombination von Transporttechnologien den Benutzer und die Ressource miteinander verbindet.


Software-definiertes WAN (SD-WAN)

Die sichere SD-WAN-Technologie bildet die Grundlage einer SASE-Lösung durch optimale Leistung und intelligentes Routing in einer Client-zu-Cloud-Netzwerkarchitektur. Zu den wichtigsten Funktionen gehören:

  • Sicheres Ein- und Ausschleusen von Datenverkehr
  • Multicloud-Konnektivität
  • Integrierte UTM-Sicherheitsfunktionen
  • Nutzung von internetbasierten Backbones
  • Verkehrsrouting von jedem Ort aus
  • DIA, direkter Cloud-Zugang und intelligente Verkehrssteuerung
  • Pfadauswahl zur Optimierung der Benutzerfreundlichkeit
  • Inline-Verschlüsselung
  • Advanced Routing und dynamische Pfadauswahl
  • Anwendungsbezogenheit und Verkehrsklassifizierung
  • Global verteilte Gateways
  • Optimierung der Latenzzeit
  • Selbstreparierende Netzwerkfunktionen

Firewalling: NGFW und Firewall als Dienst (FWaaS)

Eine Cloud-basierte Next Generation Firewall (NGFW) ist eine skalierbare, anwendungsorientierte Softwarelösung, mit der Unternehmen die Probleme älterer gerätebasierter Lösungen beseitigen können, und bietet einen vollständigen Satz von UTM-Funktionen. Eine NGFW-Lösung geht über eine Stateful-Firewall hinaus und bietet Funktionen wie erweiterten Schutz vor Bedrohungen, Web- und Netzwerktransparenz, Threat Intelligence und Zugriffskontrolle. Unternehmen sollten bei ihrer NGFW-Implementierung mindestens Folgendes erwarten:

  • Zugriffskontrolle für Benutzer und Anwendungen
  • Intrusion Detection und Prevention
  • Erweiterte Malware-Erkennung
  • Bedrohungs- und Netzwerkinformationen
  • Automatisierung und Orchestrierung

Secure Web Gateway (SWG)

Ein SWG schützt WFA-Benutzer und -Geräte vor Bedrohungen aus dem Internet und schützt das Gerät eines im Internet surfenden Benutzers vor der Infizierung mit unerwünschter Software oder Malware sowie vor der Einhaltung von Unternehmensrichtlinien und Vorschriften. Ein SWG umfasst:

  • Durchsetzung von Internet-Sicherheits- und Compliance-Richtlinien
  • Filterung von bösartigem Internetdatenverkehr mit UTM-Funktionen wie unter anderem URL-Filterung, Antivirus, Anti-Malware, IDS/IPS, Schutz vor Zero-Day-Angriffen und Phishing
  • Funktionen zur Anwendungsidentifizierung und -kontrolle
  • Funktionen zur Verhinderung von Datenverlusten und -lecks (DLP)
  • Remote Browser Isolation (RBI) zur Überprüfung von Benutzersitzungen auf Risiken, damit Benutzer sicher durch die Bedrohungslandschaft von heute navigieren können. Riskante Websites werden auf Remote-Browsern wiedergegeben, während die bereinigten Seiten (meist als Bilddateien) auf dem Browser des Benutzers wiedergegeben werden. RBI ermöglicht anonymes Surfen und einen risikofreien offenen Zugriff auf Internetseiten.

SWGs können als Hardware am Standort, als virtuelle Geräte, als Cloud-basierte Dienste oder im Hybridmodus als Kombination aus Standort und Cloud implementiert werden.

Cloud Access Security Broker (CASB)

Ein CASB bietet Produkte und Dienste zur Behebung von Sicherheitsmängeln bei der Nutzung von Cloud-Diensten durch ein Unternehmen. Er erfüllt den Bedarf an sicheren Cloud-Diensten, die von den Benutzern in zunehmendem Maße angenommen werden, sowie den zunehmenden Einsatz des direkten Cloud-zu-Cloud-Zugangs. Ein CASB bietet eine zentrale Stelle für gleichzeitige Richtlinien und Governance über mehrere Cloud-Dienste für Benutzer und Geräte hinweg sowie eine detaillierte Transparenz und Kontrolle über Benutzeraktivitäten und sensible Daten.

Ein CASB bietet fünf wichtige Sicherheitsfunktionen:

  • Erkennung von Cloud-Anwendungen
  • Datensicherheit
  • Adaptive Zugriffskontrolle
  • Malware-Erkennung
  • Analyse des Benutzer- und Entitätsverhaltens (UEBA), die die Durchsetzung von Richtlinien auf der Grundlage ungewöhnlicher Verhaltensmuster des Datenverkehrs zu/von Cloud-Diensten ermöglicht

CASBs können entweder vor Ort oder als Cloud-basierte Punkte zur Durchsetzung von Sicherheitsrichtlinien zwischen Cloud-Dienst-Kunden und Cloud-Dienstleister platziert werden, um die Sicherheitsrichtlinien des Unternehmens beim Zugriff auf Cloud-basierte Daten oder Anwendungen durchzusetzen.

Zero-Trust-Netzwerkzugriff (ZTNA)

ZTNA ist ein Rahmenwerk von zusammenarbeitenden Technologien, das auf dem Grundsatz beruht, dass nichts vertrauenswürdig ist: weder Benutzer, Geräte, Daten, Arbeitslasten, Standorte noch das Netz. Die Hauptfunktion von ZTNA innerhalb einer SASE-Lösung ist die Authentifizierung von Benutzern gegenüber Anwendungen. Erweiterte kontext- und rollenbasierte Identitäten, kombiniert mit Multifaktor-Authentifizierung (MFA), sind für die Sicherung des Zugriffs für Benutzer und Geräte, sowohl für den netzinternen als auch für den netzexternen Zugriff, unerlässlich.

Für die Implementierung einer ZTNA stehen zwei allgemeine Modelle zur Verfügung:

Client-initiierte ZTNA

Ein auf dem Gerät installierter Software-Agent sendet seinen Sicherheitskontext und seine Anmeldedaten zur Authentifizierung an einen SDP-Controller. Dieses Modell ist für verwaltete Geräte geeignet.

Dienst-initiierte ZTNA

Ein zusammen mit der Anwendung installierter SDP- (oder ZTNA-) Verbinder baut eine ausgehende Verbindung zum Cloud-Anbieter auf und hält sie aufrecht. Die Benutzer werden aufgefordert, sich beim Anbieter zu authentifizieren, um auf geschützte Anwendungen zuzugreifen. Dieses Modell ist für nicht verwaltete Geräte geeignet, da auf dem Endgerät keine spezielle Software erforderlich ist.

Kostenloses eBook

SASE
For Dummies

Lernen Sie die geschäftlichen und technischen Hintergründe von SASE kennen, einschließlich bewährter Verfahren, realer Kundenimplementierungen und der Vorteile, die sich aus einer SASE-fähigen Organisation ergeben.