Welches sind die wichtigsten Komponenten SASE ?

SASE kombiniert SD-WAN-Netzwerke und eingebettete Sicherheitsfunktionen auf eine Cloud-native Art und Weise, die den Sicherheitsfokus von einem verkehrsflusszentrierten zu einem identitätszentrierten Ansatz verschiebt.

Frühere Netzwerkarchitekturen wurden mit spezifischen Punkten zur Durchsetzung von Netzwerkrichtlinien konzipiert und leiteten den Datenverkehr zwangsweise durch diese Punkte, was oft zu äußerst ineffizienten Aggregationspunkten und Engpässen führte, um Sicherheitskontrollen durchzusetzen. Der Ansatz von SASEist das genaue Gegenteil: Er verlagert die Durchsetzung der Sicherheit dorthin, wo der Datenverkehr fließt: zu den Client- und Anwendungsendpunkten sowie zu strategisch platzierten Gateways und Proxies entlang des bereits etablierten, effizientesten Pfads.

SASE ermöglicht eine allgegenwärtige und direkte Client-to-Cloud-Sicherheit auf der Grundlage von Benutzeridentität und -kontext, die vollständig in ein optimales Client-to-Cloud-WAN-Routing integriert ist. Dies ermöglicht eine flexible und skalierbare Netzwerkarchitektur, die sowohl eingebettete Sicherheit als auch eine optimale Leistung entlang des Software-Defined Perimeter (SDP) bietet.

sase Illustration

Vier Faktoren, auf die sich der SASE stützt

Die Sicherheitsrichtlinien für Benutzersitzungen zum Zugriff auf Ressourcen oder Anwendungen sind vom Standort des Benutzers, des Geräts und der Ressource entkoppelt und basieren stattdessen auf vier Faktoren:

  • Die Identität der Stelle, die den Zugang beantragt
  • Sitzungskontext (z. B. der Zustand und das Verhalten des Benutzers und/oder des Geräts oder die Sensibilität der Ressourcen, auf die zugegriffen wird)
  • Die Sicherheits- und Compliance-Richtlinien, die in jeder einzelnen Situation Zugriffsrechte gewähren
  • Laufende Analyse und Risikobewertung für jede Sitzung

SASE

SASE bietet eine sichere Verbindungsstruktur zwischen SDP-Client und Service-Edge, einschließlich öffentlicher und privater Clouds, Rechenzentren, privater Unternehmens- und Regierungsnetzwerke, Internet, großer Büros, Zweigstellen, Heimbüros, mobiler oder temporärer Standorte, mobiler Nutzer, Work-from-Anywhere (WFA)-Nutzer, mobiler Geräte, BYOD, IoT, On-Prem- und Off-Prem-Standorte.

SASE bestimmt den Zugang auf der Grundlage der Identität einer Person, eines Geräts, einer Anwendung oder eines Dienstes und des Kontexts, in dem sie miteinander verbunden sind. SASE bietet WFA-Benutzern Zugang zu allen Anwendungen und Daten, unabhängig davon, wo sich der Benutzer befindet, welche Transporttechnologien zwischen ihnen eingesetzt werden oder wer Eigentümer der Transportnetze ist.

sase Illustrationen.webp

Die Fähigkeiten und Attribute von SASE

Eine führende SASE ist eine rein softwaregesteuerte Lösung, die die folgenden Merkmale aufweist:

Identität

  • Identitätsbasierter Zugriff pro Sitzung
  • Authentifizierung auf Unternehmensniveau für jeden Zugriffsversuch

Architektur und Verkehr

  • Cloud-native Architektur
  • Unterstützt alle Kantenarten entlang des SDP
  • Transportunabhängigkeit: jeder verfügbare kabelgebundene, drahtlose oder zellulare Internetzugang
  • Ein global verteilter SD-WAN-Footprint mit optimierter Routing-Pfadintelligenz
  • Ermöglicht sichere Client-to-Cloud-Konnektivität
  • Verschlüsselte Verkehrsanalyse
  • Global verteilte Gateways und Proxys mit integrierter Sicherheit, die sich nahtlos in die Authentifizierungsmethoden des Unternehmens einfügen
  • Mehrmandanten-Isolierung
  • Mikrosegmentierter Zugriff auf alle Ressourcen und Assets

Politikgesteuert

  • Zero-Trust-Ansatz für alle Nutzer, Geräte und Ressourcen, unabhängig vom Standort
  • Verteilte und konsistente Durchsetzung der Sicherheitsrichtlinien des Unternehmens pro Sitzung, unabhängig davon, wo sich der Benutzer befindet, welches Gerät verwendet wird, auf welches Gut zugegriffen wird oder wo sich das Gut befindet
  • Least-Privilege, Need-to-know, anwendungsorientierter Zugriff

Orchestrierung und Sichtbarkeit

  • Aktiviert „Continuous Diagnostics and Mitigation“ (CDM)
  • Kontinuierliche Bewertung und Überwachung von Risiko und Vertrauen
  • Fortgeschrittene Analysen und Risikobewertungen, die maschinelles Lernen und künstliche Intelligenz (ML/AI) nutzen
  • Umfassende Transparenz und Kontrolle von Benutzern, Anwendungen und Risiken

Die Komponenten des SASE

SASE vereint sowohl Netzwerk- als auch Sicherheitsfunktionen in einem Cloud-nativen Modell mit einem einzigen Dienst und umfasst mehrere unterschiedliche Komponenten.

SASE mehr als nur eine einzelne Technologie; es handelt sich um ein ganzes Technologiepaket, das Sicherheit in die globale Netzwerkstruktur integriert, sodass diese stets verfügbar ist – unabhängig davon, wo sich der Nutzer befindet, wo sich die Anwendung oder Ressource befindet, auf die zugegriffen wird, oder welche Kombination von Transporttechnologien den Nutzer mit der Ressource verbindet. Bevor wir näher darauf eingehen, hier ein kurzer Überblick:

Wichtige SASE

  • Software-definiertes WAN (SD-WAN)
  • NGFW und Firewall-as-a-Service (FWaaS)
  • Sicheres Web-Gateway (SWG)
  • Cloud Access Security Broker (CASB)
  • Zero Trust Network Access (ZTNA)
SD-WAN

Software-definiertes WAN (SD-WAN)

Secure SD-WAN bildet die Grundlage einer SASE , indem sie optimale Leistung und intelligentes Routing in einer Client-zu-Cloud-Netzwerkarchitektur ermöglicht. Zu den wichtigsten Funktionen gehören:

  • Sichere Auf- und Abfahrtsrampen
  • Multicloud-Konnektivität
  • Eingebettete UTM-Sicherheitsfunktionen
  • Nutzung von internetbasierten Backbones
  • Verkehrslenkung von überall aus
  • DIA, direkter Cloud-Zugang und intelligente Verkehrssteuerung
  • Pfadauswahl zur Optimierung der konsistenten Benutzererfahrung
  • Inline-Verschlüsselung
  • Fortschrittliches Routing und dynamische Pfadwahl
  • Anwendungsbezogenheit und Verkehrsklassifizierung
  • Weltweit verteilte Gateways
  • Optimierung der Latenzzeit
  • Fähigkeiten zur Selbstreparatur des Netzwerks
CASB

Cloud Access Security Broker (CASB)

Eine CASB bietet Produkte und Dienste an, um Sicherheitsmängel bei der Nutzung von Cloud-Diensten durch ein Unternehmen zu beheben. Sie erfüllt den Bedarf an sicheren Cloud-Diensten, die von den Nutzern zunehmend angenommen werden, und an der zunehmenden Bereitstellung von direktem Cloud-to-Cloud-Zugang. Eine CASB bietet eine zentrale Stelle für gleichzeitige Richtlinien und Governance über mehrere Cloud-Dienste für Benutzer und Geräte hinweg sowie einen detaillierten Einblick in und die Kontrolle über Benutzeraktivitäten und sensible Daten.

Eine CASB bietet fünf wichtige Sicherheitsfunktionen:

  • Erkennung von Cloud-Anwendungen
  • Sicherheit der Daten
  • Adaptive Zugangskontrolle
  • Erkennung von Malware
  • User and Entity Behavior Analytics (UEBA), die die Durchsetzung von Richtlinien auf der Grundlage ungewöhnlicher Verhaltensmuster des Datenverkehrs zu/von Cloud-Diensten ermöglicht

CASBs können entweder vor Ort oder als Cloud-basierte Sicherheitsrichtlinien-Durchsetzungsstellen zwischen Cloud-Service-Kunden und Cloud-Service-Anbietern platziert werden, um die Sicherheitsrichtlinien des Unternehmens beim Zugriff auf Cloud-basierte Daten oder Anwendungen durchzusetzen.

Firewall

Firewalling: NGFW und Firewall-as-a-Service (FWaaS)

Eine Cloud-basierte Next-Generation-Firewall (NGFW) ist eine skalierbare, anwendungsbezogene Softwarelösung, die es Unternehmen ermöglicht, die Herausforderungen herkömmlicher Appliance-basierter Lösungen zu beseitigen und einen vollständigen Satz von UTM-Funktionen anzubieten. Eine NGFW-Lösung geht über eine Stateful-Firewall hinaus und bietet Funktionen wie erweiterten Schutz vor Bedrohungen, Web- und Netzwerktransparenz, Threat Intelligence und Zugriffskontrolle. Unternehmen sollten bei ihrer NGFW-Bereitstellung mindestens Folgendes erwarten:

  • Zugriffskontrolle für Benutzer und Anwendungen
  • Erkennung und Verhinderung von Eindringlingen
  • Erweiterte Malware-Erkennung
  • Informationen über Bedrohungen und Netzwerke
  • Automatisierung und Orchestrierung
Zero-Trust-ZTNA

Zero Trust Network Access (ZTNA)

ZTNA ist ein Rahmenwerk von zusammenarbeitenden Technologien, das auf der Prämisse beruht, dass nichts vertrauenswürdig ist: weder Benutzer, Geräte, Daten, Arbeitslasten, Standorte noch das Netz. Die Hauptfunktion von ZTNA innerhalb einer SASE ist die Authentifizierung von Benutzern gegenüber Anwendungen. Erweiterte kontext- und rollenbasierte Identitäten, kombiniert mit Multifaktor-Authentifizierung (MFA), sind für die Sicherung des Zugriffs für Benutzer und Geräte, sowohl für den netzinternen als auch für den netzexternen Zugriff, unerlässlich.

Es gibt zwei allgemeine Modelle für eine ZTNA-Implementierung:

SWG

Sicheres Web-Gateway (SWG)

Eine SWG schützt WFA-Benutzer und -Geräte vor Bedrohungen aus dem Internet, indem sie das Gerät eines im Internet surfenden Benutzers vor einer Infektion mit unerwünschter Software oder Malware schützt und die Einhaltung von Unternehmensrichtlinien und Vorschriften durchsetzt. Eine SWG umfasst:

  • Durchsetzung von Maßnahmen zur Internetsicherheit und Einhaltung von Vorschriften
  • Filtern von bösartigem Internetverkehr mit UTM-Funktionen wie URL-Filterung, Antivirus, Anti-Malware, IDS/IPS, Schutz vor Zero-Day-Angriffen, Phishing-Schutz und mehr
  • Funktionen zur Identifizierung und Kontrolle von Anwendungen
  • DLP-Funktionen (Data Loss/Leakage Prevention)
  • Remote Browser Isolation (RBI), um Benutzersitzungen auf Risiken zu scannen, so dass die Benutzer sicher durch die bedrohliche Bedrohungslandschaft von heute navigieren können. Riskante Websites werden in entfernten Browsern dargestellt, während die bereinigten Seiten (meist als Bilddateien) im Browser des Benutzers dargestellt werden. RBI ermöglicht anonymes Surfen und einen risikofreien offenen Zugang zu Internet-Seiten.
Abbildung: RBI

SWGs können als Hardware vor Ort, als virtuelle Appliances, als Cloud-basierte Dienste oder im hybriden Modus als Kombination aus vor Ort und in der Cloud implementiert werden.

Kundeninitiierte ZTNA

Ein auf dem Gerät installierter Software-Agent sendet seinen Sicherheitskontext und seine Anmeldedaten zur Authentifizierung an einen SDP-Controller. Dieses Modell ist für verwaltete Geräte geeignet.

Illustration: ztna

Dienstveranlasste ZTNA

Ein zusammen mit der Anwendung installierter SDP- (oder ZTNA-) Konnektor stellt eine ausgehende Verbindung zum Cloud-Anbieter her und hält sie aufrecht. Die Benutzer müssen sich beim Anbieter authentifizieren, um auf geschützte Anwendungen zugreifen zu können. Dieses Modell ist für nicht verwaltete Geräte geeignet, da auf dem Endgerät keine spezielle Software erforderlich ist.

Kostenloses E-Book

SASE für Dummies

Lernen Sie die geschäftlichen und technischen Hintergründe von SASE kennen, SASE Best Practices, realen Kundenimplementierungen und den Vorteilen, die eine SASE Organisation mit sich bringt.

Holen Sie sich das eBook
SASE Anfänger

Mehr erfahren

Hier finden Sie weitere Untersuchungen, Analysen und Informationen zu SASE (Secure Access Service Edge), Netzwerken, Sicherheit, SD-WAN und Cloud von Branchenvordenkern, Analysten und Experten.

On-Demand-Webinar: 60 Minuten

Mit SASE eine Brücke für sichere Multi-Cloud-Konnektivität bauen

Erfahren Sie, wie Sie nahtlos eine gemischte Kombination aus Cloud- und lokalen Diensten bereitstellen können, um konsistente Dienste, Funktionen, Richtlinien und Konfigurationen zu schaffen, unabhängig davon, wo der Dienst bereitgestellt wird.

Mehr erfahren

Weißbuch

Zero Trust Sicherheit

Zero Trust ist ein neues Sicherheitskonzept, das von Unternehmen einen grundlegenden Wandel in der Art und Weise verlangt, wie sie mit Identität und Zugang umgehen.

Mehr erfahren

5:30 min Video

Was ist Versa Access (VSA)?

Versa Access (VSA) ist die branchenweit erste Lösung, die führende Secure SD-WAN und private Konnektivität für Mitarbeiter bereitstellt, die remote oder von zu Hause aus arbeiten.

Mehr erfahren