Einführung der Cloud
Gartner weist darauf hin, dass inzwischen mehr traditionelle Funktionen des Unternehmensrechenzentrums außerhalb als innerhalb des Rechenzentrums gehostet werden: aaS-Clouds, SaaS-Anwendungen, Cloud-Speicher. Das Rechenzentrum ist nicht mehr der zentrale Zugriffspunkt für Benutzer und Anwendungen. Initiativen zur digitalen Transformation und die Einführung der Cloud haben das Unternehmensnetzwerk vollständig verändert. In der modernen IT-Welt:
- Wird mehr Benutzerarbeit außerhalb des traditionellen Unternehmensumfelds durchgeführt, und mehr sensible Daten befinden sich außerhalb als innerhalb des Unternehmens.
- Werden mehr Arbeitslasten in der Cloud ausgeführt als im Rechenzentrum des Unternehmens.
- Werden SaaS-Anwendungen häufiger genutzt als lokal installierte Anwendungen.
- Ist mehr Datenverkehr für öffentliche Cloud-Dienste bestimmt als für das Unternehmensrechenzentrum.
- Fließt mehr Datenverkehr von Zweigniederlassungen in öffentliche Clouds als in das Unternehmensrechenzentrum.
Konsistente Client-zu-Cloud-Leistung für WFA- und mobile Benutzer
Die Benutzer verbinden sich von Überall. Wegen der Covid-19-Pandemie hat sich das ortsunabhängige Arbeiten (WFA) durchgesetzt. Remote-Benutzer haben sich bislang über VPNs verbunden, die eine VPN-Aggregation und Firewalls an Hub-Standorten und in Rechenzentren zur einmaligen Authentifizierung der Benutzer und zur Anwendung von Sicherheitsrichtlinien erforderten, um dann einen breiten/vollständigen Zugriff innerhalb des Unternehmensnetzwerks zu ermöglichen. Diese veraltete Architektur wird durch Skalierbarkeit, Komplexität, Latenzzeiten und Sicherheitsbedrohungen beeinträchtigt.
Die SASE-Architektur authentifiziert und wendet Sicherheitsrichtlinien pro Transaktion an und gewährt nur den Zugriff mit den geringsten Rechten. Dadurch wird die Leistung erheblich verbessert und die Angriffsfläche verringert.
Konsistente Durchsetzung von Richtlinien für WFA-Benutzer
SASE verfügt über eine Cloud-native Flexibilität, um konsistente Richtlinien bei gleichbleibender Leistung für alle Benutzer und Anlagen unabhängig vom Standort anzuwenden, egal ob sie sich in einem Rechenzentrum, einer Cloud-Plattform oder bei einem SaaS-Anbieter befinden.
Erweiterung des Netzwerkrands
Die Aufgabe ist die Sicherung des Netzwerkrands – das haben wir schon lange getan, aber mit zunehmendem ortsunabhängigen und SaaS-Zugriff ist der Rand formlos und unscharf geworden. Sicherheitsrichtlinien können nicht mehr durch den Schutz eines festen Bereichs erfolgreich sein, sondern müssen dem Benutzer folgen: durchsetzbar, wo auch immer der Benutzer ist, auf welchem Gerät auch immer er arbeitet, wo auch immer die zugreifende Ressource ist, und sie müssen den Datenverkehr über den Internetzugang genauso gut schützen wie früher über MPLS. Kurz gesagt, die Grenze ist jetzt Software-definiert und SASE ist die flexible Technologie zum Schutz einer SD-Grenze.
Nicht verwaltete Geräte
Der Trend zum ortsunabhängigen Arbeiten hat einen parallelen Trend zur Nutzung privater Geräte durch Mitarbeiter für geschäftliche Zwecke verstärkt. Die heutigen privaten Geräte sind genauso leistungsfähig und flexibel wie die von der IT verwalteten Geräte, und die Benutzer halten sie selbst auf dem neuesten Stand. IT-verwaltete Geräte stellten lange Zeit eine lästige Aufgabe für das IT-Team dar.
Die zunehmende Verbreitung von IoT-Geräten erhöht die Belastung durch nicht verwaltete Geräte. Die Geschäftskommunikation von allen Geräten muss in großem Umfang und ohne Verzögerung gesichert werden. Herkömmliche WAN-Sicherheitsarchitekturen sind dafür nicht geeignet, SASE hingegen schon – vor allem die SASE-Implementierungen, die keinen Client-Software-Agenten erfordern.
Anspruchsvolle, sich ständig verändernde Bedrohungslandschaft
Die Bedrohungsakteure und die von ihnen verwendeten Tools werden immer komplexer und einfacher in der Anwendung. Genau wie Unternehmen nutzen auch bösartige Akteure die Flexibilität der Cloud. SaaS-Architekturen machen es für relativ unerfahrene Hacker deutlich einfacher, hochentwickelte und schädliche Angriffe zu starten.
Mit einem herkömmlichen VPN-Zugriff kann sich ein Bedrohungsakteur einmalig Zugriff auf das Unternehmensnetzwerk verschaffen und sich dann seitlich bewegen, ohne dass die Sicherheit aller Daten und Anlagen weiter gewährleistet ist. Die Netzwerksegmentierung trägt dazu bei, diese Bedrohungen einzudämmen, aber SASE schützt die Werte aufgrund seiner Transaktionsorientierung (identitätsbasierte Authentifizierung pro Transaktion) und der Gewährung des Zugriffs mit den geringsten Rechten wesentlich besser.
Trends der digitalen Transformation von Unternehmen
Die Nebeneffekte der digitalen Innovation, wie sich dynamisch verändernde Netzwerkkonfigurationen und eine drastische Vergrößerung der Angriffsfläche, führen dazu, dass herkömmliche Sicherheitslösungen nicht mehr die Geschwindigkeit, Leistung, Sicherheit und Zugriffskontrolle bieten, die Unternehmen und Benutzer benötigen.
Komplexität der IT-Verwaltung
Die Installation unterschiedlicher Einzelprodukte in den Niederlassungen ist kostspielig, führt zu einer Gerätevielfalt, ist schwierig zu verwalten und ermöglicht weder ein ortsunabhängiges Arbeiten noch einen optimalen Cloud-Zugriff. Eine SASE-Architektur, bei der alle Netzwerk- und Sicherheitsfunktionen in einen einzigen Softwarestack integriert sind, reduziert die Investitionskosten, gibt den IT-Mitarbeitern Zeit für strategische Aufgaben, ermöglicht eine kohärente Bereitstellung von Sicherheitsrichtlinien, reduziert die Hardwarekomplexität und -kosten und führt das Unternehmen zu dem zunehmend verbreiteten bedarfsorientierten Modell mit nutzungsabhängiger Bezahlung.