Die Komponenten von SASE
SASE vereint Netzwerk- und Sicherheitsfunktionen in einem Cloud-nativen Modell mit einem einzigen Dienst und umfasst mehrere unterschiedliche Komponenten.
SASE ist mehr als eine einzelne Technologie; es ist ein ganzes Paket von Technologien, das die Sicherheit in das globale Netzgefüge einbettet, sodass sie immer verfügbar ist, unabhängig davon, wo sich der Benutzer befindet, wo sich die Anwendung oder die Ressource befindet, auf die zugegriffen wird, oder welche Kombination von Transporttechnologien den Benutzer und die Ressource miteinander verbindet.
Software-definiertes WAN (SD-WAN)
Die sichere SD-WAN-Technologie bildet die Grundlage einer SASE-Lösung durch optimale Leistung und intelligentes Routing in einer Client-zu-Cloud-Netzwerkarchitektur. Zu den wichtigsten Funktionen gehören:
- Sicheres Ein- und Ausschleusen von Datenverkehr
- Multicloud-Konnektivität
- Integrierte UTM-Sicherheitsfunktionen
- Nutzung von internetbasierten Backbones
- Verkehrsrouting von jedem Ort aus
- DIA, direkter Cloud-Zugang und intelligente Verkehrssteuerung
- Pfadauswahl zur Optimierung der Benutzerfreundlichkeit
- Inline-Verschlüsselung
- Advanced Routing und dynamische Pfadauswahl
- Anwendungsbezogenheit und Verkehrsklassifizierung
- Global verteilte Gateways
- Optimierung der Latenzzeit
- Selbstreparierende Netzwerkfunktionen
Eine Cloud-basierte Next Generation Firewall (NGFW) ist eine skalierbare, anwendungsorientierte Softwarelösung, mit der Unternehmen die Probleme älterer gerätebasierter Lösungen beseitigen können, und bietet einen vollständigen Satz von UTM-Funktionen. Eine NGFW-Lösung geht über eine Stateful-Firewall hinaus und bietet Funktionen wie erweiterten Schutz vor Bedrohungen, Web- und Netzwerktransparenz, Threat Intelligence und Zugriffskontrolle. Unternehmen sollten bei ihrer NGFW-Implementierung mindestens Folgendes erwarten:
- Zugriffskontrolle für Benutzer und Anwendungen
- Intrusion Detection und Prevention
- Erweiterte Malware-Erkennung
- Bedrohungs- und Netzwerkinformationen
- Automatisierung und Orchestrierung
Ein SWG schützt WFA-Benutzer und -Geräte vor Bedrohungen aus dem Internet und schützt das Gerät eines im Internet surfenden Benutzers vor der Infizierung mit unerwünschter Software oder Malware sowie vor der Einhaltung von Unternehmensrichtlinien und Vorschriften. Ein SWG umfasst:
- Durchsetzung von Internet-Sicherheits- und Compliance-Richtlinien
- Filterung von bösartigem Internetdatenverkehr mit UTM-Funktionen wie unter anderem URL-Filterung, Antivirus, Anti-Malware, IDS/IPS, Schutz vor Zero-Day-Angriffen und Phishing
- Funktionen zur Anwendungsidentifizierung und -kontrolle
- Funktionen zur Verhinderung von Datenverlusten und -lecks (DLP)
- Remote Browser Isolation (RBI) zur Überprüfung von Benutzersitzungen auf Risiken, damit Benutzer sicher durch die Bedrohungslandschaft von heute navigieren können. Riskante Websites werden auf Remote-Browsern wiedergegeben, während die bereinigten Seiten (meist als Bilddateien) auf dem Browser des Benutzers wiedergegeben werden. RBI ermöglicht anonymes Surfen und einen risikofreien offenen Zugriff auf Internetseiten.
SWGs können als Hardware am Standort, als virtuelle Geräte, als Cloud-basierte Dienste oder im Hybridmodus als Kombination aus Standort und Cloud implementiert werden.
Cloud Access Security Broker (CASB)
Ein CASB bietet Produkte und Dienste zur Behebung von Sicherheitsmängeln bei der Nutzung von Cloud-Diensten durch ein Unternehmen. Er erfüllt den Bedarf an sicheren Cloud-Diensten, die von den Benutzern in zunehmendem Maße angenommen werden, sowie den zunehmenden Einsatz des direkten Cloud-zu-Cloud-Zugangs. Ein CASB bietet eine zentrale Stelle für gleichzeitige Richtlinien und Governance über mehrere Cloud-Dienste für Benutzer und Geräte hinweg sowie eine detaillierte Transparenz und Kontrolle über Benutzeraktivitäten und sensible Daten.
Ein CASB bietet fünf wichtige Sicherheitsfunktionen:
- Erkennung von Cloud-Anwendungen
- Datensicherheit
- Adaptive Zugriffskontrolle
- Malware-Erkennung
- Analyse des Benutzer- und Entitätsverhaltens (UEBA), die die Durchsetzung von Richtlinien auf der Grundlage ungewöhnlicher Verhaltensmuster des Datenverkehrs zu/von Cloud-Diensten ermöglicht
CASBs können entweder vor Ort oder als Cloud-basierte Punkte zur Durchsetzung von Sicherheitsrichtlinien zwischen Cloud-Dienst-Kunden und Cloud-Dienstleister platziert werden, um die Sicherheitsrichtlinien des Unternehmens beim Zugriff auf Cloud-basierte Daten oder Anwendungen durchzusetzen.
ZTNA ist ein Rahmenwerk von zusammenarbeitenden Technologien, das auf dem Grundsatz beruht, dass nichts vertrauenswürdig ist: weder Benutzer, Geräte, Daten, Arbeitslasten, Standorte noch das Netz. Die Hauptfunktion von ZTNA innerhalb einer SASE-Lösung ist die Authentifizierung von Benutzern gegenüber Anwendungen. Erweiterte kontext- und rollenbasierte Identitäten, kombiniert mit Multifaktor-Authentifizierung (MFA), sind für die Sicherung des Zugriffs für Benutzer und Geräte, sowohl für den netzinternen als auch für den netzexternen Zugriff, unerlässlich.
Für die Implementierung einer ZTNA stehen zwei allgemeine Modelle zur Verfügung:
Client-initiierte ZTNA
Ein auf dem Gerät installierter Software-Agent sendet seinen Sicherheitskontext und seine Anmeldedaten zur Authentifizierung an einen SDP-Controller. Dieses Modell ist für verwaltete Geräte geeignet.
Dienst-initiierte ZTNA
Ein zusammen mit der Anwendung installierter SDP- (oder ZTNA-) Verbinder baut eine ausgehende Verbindung zum Cloud-Anbieter auf und hält sie aufrecht. Die Benutzer werden aufgefordert, sich beim Anbieter zu authentifizieren, um auf geschützte Anwendungen zuzugreifen. Dieses Modell ist für nicht verwaltete Geräte geeignet, da auf dem Endgerät keine spezielle Software erforderlich ist.