Im August 2019 veröffentlichten die Marktforscher von Gartner in ihrer Studie „The Future of Network Security is in the Cloud [1]“ ein Architekturmodell mit dem Namen „Secure Access Service Edge“ (SASE), das WAN-Funktionalitäten und verbesserte Netzwerksicherheit zu einem konsistenten Dienst in der Cloud kombiniert.

Die Autoren der Studie bezeichnen SASE (ausgesprochen: Sassy) als „die Zukunft der Netzwerksicherheit in der Cloud“. Doch was steckt hinter diesem Modell? Kann es sein Versprechen einlösen oder ist es doch nicht mehr als ein weiteres wohlklingendes Akronym, von dem es in der ITK-Welt allzu viele gibt.

Was ist SASE?

Secure Access Service Edge (SASE) ist eine Netzwerkarchitektur, die die Vorteile von Software-Defined Wide Area Network (SD-WAN) und Netzwerksicherheit kombiniert und als Cloud-Service bereitstellt. Die Vorzüge dieser integrierten Lösung liegen dabei in der vereinfachten WAN-Bereitstellung, der verbesserten Effizienz und Sicherheit sowie der Bereitstellung einer angemessenen Bandbreite pro Anwendung. Da SASE ein Cloud-Dienst ist, können die notwendigen Service-Ressourcen dynamisch je nach Anforderung bedarfsgetrieben hoch- und runterskaliert werden.

Abbildung 1 - SASE-Modell als Erweiterung der SD-WAN Architektur

Abbildung 1 – SASE-Modell als Erweiterung der SD-WAN Architektur

Die Anbindung der Endgeräte und Standorte an das SASE-Netzwerk kann sowohl über Hardware-Appliances als auch über Software-Clients erfolgen (siehe Abbildung oben).

Netzwerkkomponente

WAN-seitig stützt sich SASE auf Funktionen, die durch SD-WAN-Technologien bereitgestellt werden. Mehr dazu finden Sie in unserer ausführlichen Blogreihe. Zusammengefasst lassen sich die Hauptmerkmale von SD-WAN wie folgt wiedergeben:

  • Dynamische Pfadauswahl
  • Erhöhter Datendurchsatz durch Bündelung mehrerer physikalischer WAN-Anschlüsse zu einem virtuellen Link
  • Hot-Failover
  • Hoher Automatisierungsgrad für Verbindungsparameter
  • Einfache Steuerung und Überwachung der Anschlüsse, Komponenten und virtuellen Verbindungen

Sicherheitskomponente

Auf der Security-Seite bietet SASE Cloud-basierte Sicherheitsfunktionen, wie z.B. Zero-Trust-Networkaccess (ZTNA), Cloud-Access-Security-Broker (CASB), Secure Web Gateways (SWG), Firewall-as-a-Service (FWaaS), DNS-Absicherung und vieles mehr. Im Idealfall werden all‘ diese Funktionen als SASE-Service von einer einzigen integrierten Lösung angeboten. Hierbei werden laufzeitkritische Sicherheitsfunktionen im sogenannten “Edge” der SASE-Architektur verortet, die in kundennahen PoPs der SASE-Provider oder 3rd-Party Anbieter bereitgestellt werden.

Welche Notwendigkeit besteht für SASE?

Gartner beschreibt in seiner bereits erwähnten Studie, dass mittlerweile mehr traditionelle RZ-Funktionen außerhalb des Unternehmensrechenzentrums betrieben werden. Während diese Funktionen bereits ihren Weg in Clouds von IaaS-Anbietern, in SaaS-Anwendungen und Cloud-Speicher gefunden haben, befinden sich die Sicherheitsfunktionen der WAN-Architektur nach wie vor in den Rechenzentren von Unternehmen vor Ort.

Die Nutzer, die aus der Ferne auf Unternehmensdaten und Anwendungen zugreifen wollen, müssen in der Regel zunächst eine VPN-Verbindung zu den Firewalls an den Standorten aufbauen. Bei traditionellen Architekturen folgt darauf die Authentifizierung gegenüber einer zentralen Sicherheitsstelle, die den Zugriff gewährt, aber auch den Datenverkehr durch diese zentrale Stelle leitet.

Es ist offensichtlich, dass diese Architektur eine hohe Komplexität und lange Datenlaufzeiten mit sich bringt.

Welche Vorteile bietet SASE?

SASE bietet eine Vielzahl an Vorteilen. Da es sich bei SASE um ein umfassendes Lösungsmodell handelt, ermöglicht es Unternehmen, sowohl Kosten als auch Komplexität der IT-Anbindung zu reduzieren. Dies wird dadurch erreicht, dass auf Anschaffung, Betrieb und Wartung mehrerer Einzelsysteme verzichtet werden kann und sich die IT-Abteilung nicht mehr mit der Technik verschiedenster Hersteller auseinandersetzen muss.

Die IT-Systemverantwortlichen können – ähnlich wie bei der Stand Alone SD-WAN-Lösung auch – Verbindungsparameter und Sicherheitsrichtlinien aus der Ferne zentral über Cloud-basierte Verwaltungsplattformen steuern und überwachen.

Mit SASE erfolgt die Verarbeitung der gesamten Netzwerkkommunikation über eine zentrale Cloud-basierte und integrierte Lösung und ermöglicht hierdurch eine umfassende Verhaltensanalyse zum Datenaustausch der Anwendungen. Bedrohungen und Anomalien lassen sich so erkennen und abwehren, die in isolierten Systemen sonst nicht sichtbar wären. Darüber hinaus können aktualisierte Bedrohungsdaten und andere externe Informationen für die Analyse eingebunden werden. Um Laufzeiten gering zu halten, erfolgt die Anbindung des Kundennetzes über Standortnahe PoPs der SASE-Anbieter.

Die Secure Access Service Edge Architektur vereinfacht auch den Authentifizierungsprozess, indem die entsprechenden Sicherheitsrichtlinien für die vom Benutzer angeforderten Ressourcen auf Basis der Erstanmeldung angewendet werden. Diese Funktion ist vor allem für den Zugang durch Nutzer und Endgeräte über Zero-Trust-Netze erforderlich, um die Sicherheit der vertraulichen Unternehmensdaten zu gewährleisten.

Ein weiterer Vorteil, den SASE bietet, ist die Bereitstellung der Anbindung mit unterschiedlichen Qualitätsmerkmalen nach Bandbreite und Latenz. So können je nach Anforderung der Anwendung unterschiedliche Servicequalitäten bereitgestellt werden.

Fazit

SASE ist mittlerweile kein bloßes theoretisches Konzept mehr. Laut den Marktforschern von Dell’Oro wird der Markt für SASE-Produkte bis 2024 auf 5 Milliarden US-Dollar geschätzt [2]. Großer Treiber dieses Technologietrends ist die anhaltende COVID-19 Pandemie, die zur massiven Steigerung der Zahl an Home-Office Stellen und mobilem Arbeiten geführt hat. Arbeitswissenschaftler gehen davon aus, dass auch nach der Corona-Pandemie das Arbeiten aus der Ferne, wenn auch im kleineren Umfang als jetzt, als Teil der hybriden Arbeitswelt fortbestehen wird.

Dell’Oro schreibt in seiner Studie, dass 27 Anbieter SASE in ihr Portfolio aufgenommen haben, darunter Akamai, Aruba, Barracuda Networks, Cato, Cisco, Fortinet, Palo Alto Network, VMware und Zscaler.

Es ist nicht nur die aktuelle Notwendigkeit zur Absicherung der Anbindung von Heimarbeitsplätzen an die IT des Unternehmens, die SASE für Firmen attraktiv macht. SASE fügt sich als Cloud-basierte Lösung in den Trend vieler Unternehmen ein, die die in den eigenen Räumlichkeiten bereitgestellten IT-Dienste zunehmend in die Cloud verlagern wollen. Diese Faktoren lassen darauf schließen, dass die Nachfrage nach SASE-Produkten steigen wird.

[1] MacDonald, Orans, Skorupa: „The Future of Network Security is in the Cloud”, Gartner, 30. August 2019

[2] Mann: „Dell’Oro: SASE Market to Hit $5B by 2024”, www.sdxcentral.com, 30.10.2020, abgerufen: 30.04.2021