Secure Access Service Edge

Secure Access Service Edge, kurz SASE, ist eine Technologie, die softwaredefinierte Netzwerkfunktionen mit Netzwerksicherheit zusammenführt. Das cloudbasierte Architekturkonzept ist eine Kombination aus einem erweiterten und aus einer Zweigstelle bereitgestellten SD-WAN-Edge und umfassenden Sicherheitsdiensten, die über die Cloud laufen.^[1]

Wide Area Network und Sicherheitskontrollen werden als Cloud Computing-Dienst direkt an der Quelle der Verbindung (Benutzer, Gerät, Zweigstelle, IoT-Gerät oder Edge-Computing-Standort) und nicht in einem Rechenzentrum verarbeitet.^[1] Die Sicherheit basiert hierbei auf Kontrollen von digitaler Identität, Echtzeit-Kontexten sowie gesetzlichen Compliance-Richtlinien. Eine digitale Identität kann mit einer Person, einem Gerät, einer Zweigstelle, einem Cloud-Dienst, einer Anwendungssoftware, einem IoT-System oder einem Edge-Computing-Standort verbunden sein.^[2] Der SASE-Begriff wurde von der Marktforschungsanalysefirma Gartner geprägt.

Die aus Sicherheitsgründen vorgenommene Praxis des Backhauling vom gesamten WAN-Verkehr zu einem oder mehreren Rechenzentren eines Unternehmens oder einer Einrichtung über große Entfernungen führt zu zusätzlichen Netzwerk-Latenzen, wenn Benutzer und ihre Anwendungen nicht lokal On-Premises, sondern dezentral verstreut sind.^[2]

Überblick

SASE kombiniert SD-WAN mit Computersicherheitsfunktionen, einschließlich Cloud Access Security Broker (CASB), Secure Web Gateways (SWG), Malware-Inspektion, Virtual Private Network (VPN), Firewall as a Service (FWaaS) und Data Loss Prevention (DLP), die alle von einem einzigen Cloud-Service am Netzwerkrand bereitgestellt werden.^[3]

Um die Zuverlässigkeit zu erhöhen und die Leistung zu maximieren, können SD-WAN-Serviceerweiterungen neben einer WAN-Optimierung konvergierte Backbones umfassen.^[4]

WAN- und Sicherheitsfunktionen werden in der Regel als ein einziger Service an verteilten SASE-Points of Presence (PoPs) bereitgestellt, die sich so nah wie möglich an verteilten Benutzern, Zweigstellen und Cloud-Services befinden. Um auf SASE-Services zuzugreifen, stellen Edge-Standorte oder Benutzer eine Verbindung zum nächstgelegenen verfügbaren PoP her.^[2]

Geschichte

Der Begriff SASE wurde von den Gartner-Analysten Neil McDonald und Joe Skorupa geprägt. In einem Bericht über den Netzwerk-Hype-Zyklus^[5] und Markttrends vom 29. Juli 2019^[6] sowie in einem Gartner-Bericht vom 30. August 2019 beschreiben sie das neuartige Architekturkonzept.^[2]

SASE wird durch den Anstieg von Mobile Computing, Edge Computing und Cloud Computing im Unternehmenskontext auf Kosten der Verwendung von LAN und Rechenzentren vorangetrieben. Da Benutzer, Anwendungen und Daten aus dem Rechenzentrum in die Cloud und an den Netzwerkrand verlagert werden, müssen im Umkehrschluss auch Kontrollmechanismen für Netzwerksicherheit und WAN-Funktionen an den Netzwerkrand verlagert werden. Somit lassen sich Latenzprobleme und Leistungsprobleme minimieren.^[7]

Das Cloud-Computing-Modell SASE soll die Bereitstellung von SD-WAN und Sicherheitsfunktionen an mehrere Edge-Computing-Geräte und Standorte delegieren und vereinfachen. Laut Gartner können auf der Grundlage von Richtlinien unterschiedliche Sicherheitsfunktionen auf verschiedene Verbindungen und Sitzungen derselben Einrichtung angewandt werden, sei es für SaaS-Anwendungen, soziale Medien, Rechenzentrumsanwendungen oder persönliche Bankgeschäfte.^[2]

Die Cloud-Architektur zeichnet sich durch typische Cloud-Erweiterungen wie Elastizität, Flexibilität, Agilität, globale Reichweite und eine großflächig-delegierte Verwaltung aus.

Definition und Merkmale

SASE wird laut Gartner folgendermaßen definiert:

„Secure Access Service Edge ist ein neu entwickeltes Angebot, das die Leistungsfähigkeit von WAN mit umfassenden Netzwerksicherheitsfunktionen (wie SWG, CASB, FWaaS und ZTNA) kombiniert, um den Bedarf digitaler Unternehmen an sicherem Zugang zu decken.“^[2]

Die wichtigsten Merkmale von SASE sind:

• Konvergenz von WAN- und Netzwerkfunktionen mit Funktionen der Netzwerksicherheit
• Eine cloud-native Architektur, die konvergentes WAN und Sicherheitsfunktionen als Dienst bereitstellt. Dieser Dienst bietet die für alle Cloud-Dienste typische Skalierbarkeit, Elastizität, Anpassungsfähigkeit und Disaster Recovery.
• Eine weltweit verteilte Struktur von PoPs, die eine vollständige Palette von WAN- und Sicherheitsfunktionen mit niedriger Latenz garantiert, unabhängig davon, wo sich Geschäftsbüros, Cloud-Anwendungen und mobile Benutzer befinden. Um niedrige Latenzzeiten an jedem Standort zu gewährleisten, müssen die SASE-PoPs zahlreicher und umfangreicher sein als die PoPs, die von typischen Public-Cloud-Anbietern bereitgestellt werden.
• Ein SASE-Modell beinhaltet identitätsgesteuerte Dienste. Eine Identität kann mit allem verbunden sein, von einer Person oder einer Zweigstelle bis hin zu einem Gerät, einer Anwendung, einem Dienst, einem IoT-Gerät oder einem Edge-Computing-Standort an der Quelle der Netzwerkverbindung. Die Identität ist der wichtigste Kontext und beeinflusst die SASE-Sicherheitspolitik maßgeblich. Standort, Tageszeit, Risikostatus und Vertrauensstatus des verbindenden Geräts und der Anwendung sowie die Sensibilität der Daten liefern zudem einen weiteren Echtzeit-Kontext, der Sicherheitsdienste und Sicherheitsrichtlinien bestimmt, die während jeder WAN-Sitzung angewendet werden.
• Es erfolgt eine gleichmäßige Verteilung aller Standpunkte des Netzwerkrandes, einschließlich physischer Standorte, Cloud-Rechenzentren, mobiler Geräte der Benutzer und Edge Computing. Alle Funktionen werden am lokalen PoP und nicht am Standort des Netzwerkrandes platziert. Edge-Verbindungen zum lokalen PoP können viele verschiedene Formen annehmen. Es kann sich hierbei um SD-WAN für eine Zweigstelle, um einen VPN-Client oder einen clientlosen Web-Zugang für einen mobilen Benutzer handeln. Mehrere Tunneln aus der Cloud oder direkte Cloud-Verbindungen innerhalb eines globalen Rechenzentrums sind weitere Edge-Verbindungen.^[7]

Unterschied zur traditionellen Netzwerkinfrastruktur

SASE findet einen neuen Weg, wie das Unternehmensrechenzentrum nicht zentraler Angelpunkt der Netzwerkstruktur bleiben muss. Durch die Transformation der WAN- und Sicherheitsarchitektur mit SASE kann ein direkter und sicherer Zugriff auf Anwendungen und Dienste in Multi-Cloud-Umgebungen gewährleistet werden. Und das unabhängig vom Standort oder den Zugriff von verwendeten Geräten.^[8]

SASE stellt eine cloudbasierte Alternative zur traditionellen „Hub-and-Spoke“-Netzwerkinfrastruktur dar. In diesen traditionellen Netzwerkmodellen entsteht die Verbindung von Nutzern, Zweigstellen und Anwendungen durch zentralisierte Rechenzentren. Bei dem traditionellen Modell wird die Verbindung zum Rechenzentrum über ein lokales privates Netzwerk oder über ein sekundäres Netzwerk, welches mit VPN auf das primäre Netzwerk Zugriff hat, hergestellt. Der gesamte Anwendungs-Datenverkehr von Zweigstellen für die Sicherheitsprüfung wird über private MPLS-Dienste in das Rechenzentrum des Unternehmens geleitet. In den vergangenen 30 Jahren haben auf diese Art und Weise Netzwerke, Nutzer und Anwendungen um Rechenzentren herum Konnektivität geschaffen. Hierbei schützte ein sicherer Perimeter die Applikationen und Daten vor Zugriffen von außen.^[9]

Diese Lösung wird zunehmend ungeeigneter für die komplexen Herausforderungen von cloudbasierten Diensten (SaaS), IoT-Anwendungen und dem Remotenutzungsanstieg der letzten Jahre. Dies ist auch zu betrachten vor dem Hintergrund der COVID-19-Pandemie. Der für das Internet bestimmte Datenverkehr muss erst durch das Rechenzentrum und die Firewall des Unternehmens laufen, bevor er sein Ziel erreicht. Daher verschlechtern sich die Anwendungsleistung und die Benutzererfahrung.^[10]

Sicherheitsanforderungen können nicht mehr erfüllt werden und Komplexität, Latenz und Kosten erhöhen sich enorm. Es ist dazu nicht funktionell den gesamten Traffic durch ein zentrales Rechenzentrum umzuleiten, wenn die meisten Anwendungen, Workloads und sensible Unternehmensdaten in die Cloud verlagert werden. Verwaltung und Aktualisierung von unterschiedlichen Zugriffsrichtlinien und Sicherheitsservices kann einen erheblichen Mehraufwand bedeuten.

Ergänzende Technologien

SD-WAN

SD-WAN ist eine Technologie, die Wide Area Networking durch eine zentrale Steuerung der Netzwerkhardware oder Netzwerksoftware vereinfacht, indem sie die den Datenverkehr über das WAN leitet. SD-WAN ermöglicht es Anwendern, private WAN-Verbindungen mit Internet-Breitband-, LTE- oder 5G-Verbindungen zu kombinieren oder zu ersetzen. Der zentrale Controller legt Richtlinien fest, priorisiert, optimiert und leitet den WAN-Verkehr.

Typischerweise beinhaltet SASE SD-WAN als Teil des Cloud-Dienstes. Dieser ermöglicht einen mobilen Zugang und einen großen Sicherheitsumfang, der von einem lokalen PoP bereitgestellt wird.

Netzwerk as a Service (NaaS)

SASE und NaaS überschneiden sich im Konzept. NaaS stellt virtualisierte Netzwerkinfrastruktur und Netzwerkinfrastrukturdienste über ein Cloud-Abonnement-Geschäftsmodell bereit. Elemente von NaaS sind meist WAN und VPNs als Service oder Hosted Networks as a Service.^[11] Im Gegensatz dazu ist SASE als eine SD-WAN-Einzellösung für Zweigstellen, mobile Benutzer und Rechenzentren gedacht.

Nächste Generation Firewall (NGFW)

NGFW kombiniert eine traditionelle Firewall mit anderen Funktionen von Sicherheit und Netzwerk, welche auf ein virtualisiertes Rechenzentrum ausgerichtet sind. Zu den Sicherheitsfunktionen gehören Anwendungskontrolle, Deep Packet Inspection und Encrypted Packet Inspection, Intrusion Prevention, Website-Filterung, Anti-Malware, Identitätsmanagement, Threat Intelligence, WAN Quality of Service und Bandwith Management.^[12]

NGFW bietet einen ähnlichen Sicherheitsstandard wie SASE an, umfasst jedoch in der Regel keine SD-WAN-Dienste. NGFW kann vor Ort oder als Cloud-Service implementiert werden, während SASE per Definition eine Cloud-Architektur ist. SASE konzentriert sich zuvorderst auf die Sicherheit von WAN-Verbindungen, eine NGFW kann hingegen überall eingesetzt werden, auch intern im Rechenzentrum.

Firewall as a Service (FWaaS)

Bei FWaaS handelt es sich um eine Firewall, die als Cloud-Service und nicht als Software oder Hardware vor Ort angeboten wird, wobei meistens NGFW-Funktionen als FWaaS verkauft werden.^[13] Im Normalfall ist eine Einrichtung mit einer einzigen FWaaS-Cloud verbunden, ohne dass der Nutzer eigenständig eine Firewall-Infrastruktur unterhalten muss.

SASE wiederum kombiniert FWaaS am Netzwerkrand mit anderen Sicherheitsfunktionen und SD-WAN.^[2]

Weltweiter Markt

Das Marktsegment um SASE wird von Gartner als aufstrebend eingestuft. In diesem Markt vertreiben laut Gartner zwar mehrere Anbieter eine große Anzahl von SASE-Funktionen, ein einzelner Anbieter wiederum stelle selten das gesamte SASE-Portfolio zur Verfügung. Gartner listet 14 Unternehmen in verschiedenen Marktkategorien als SASE-Anbieter auf, darunter Cato Networks, Zscaler, Cloudflare, Cisco, Akamai, Palo Alto Networks, Symantec, VMware und Netskope, und erwartet, dass einige der großen Cloud-Anbieter in diese Kategorie einsteigen werden.^[14]

Standards

Das MEF, das als Metro Ethernet Forum gegründet wurde, hat sich zu einer Standardisierungsorganisation entwickelt und legt den Schwerpunkt auf softwaredefinierte Netzwerk- und Sicherheitsinfrastrukturdienste für Service Provider und Technologiehersteller. Das MEF hat eine Reihe von Industriestandards geschaffen, die sowohl für Schulungen als auch für die Integration von SASE genutzt werden können. Das neu gegründete MEF-Komitee für die Definition von SASE-Diensten (MEF W117) möchte zukünftig einen Dokumentenentwurf für technische Vorgaben zur öffentlichen Verwendung bereitstellen. Zahlreiche Technologiehersteller und Dienstanbieter waren an der Erarbeitung des Vorgabendokuments beteiligt.

Den ersten Arbeitsentwurf, der für teilnehmende Unternehmen und Mitglieder des MEF verfügbar ist, hat das MEF im November 2021 veröffentlicht.^[15]

Kritik

Kritik an SASE kommt von verschiedenen Stellen, darunter IDC und IHS Markit, wie in einem SdxCentral-Beitrag von Tobias Mann vom 9. November 2019 angeführt wird.^[16] Beide Analystenunternehmen kritisieren SASE als einen Gartner-Begriff, bei dem es sich weder um einen neuen Markt noch um eine neue Technologie oder ein neues Produkt handelt, sondern vielmehr um eine Integration bestehender Technologien mit einer einzigen Managementquelle.

Clifford Grossner von IHS Markit kritisiert das Fehlen von Analytik, künstlicher Intelligenz und maschinellem Lernen als Teil des SASE-Konzepts und die Wahrscheinlichkeit, dass Unternehmen nicht alle SD-WAN und Sicherheitsfunktionen von einem einzigen Anbieter beziehen wollen. Gartner entgegnet, dass die Verkettung von Sicherheits- und SD-WAN-Funktionen mehrerer Anbieter zu „inconsistent services, poor manageability and high latency“^[16] führt.

IDC-Analyst Brandon Butler vertritt die Ansicht, dass sich SD-WAN zu SD-Branch weiterentwickeln wird, also zu einer zentralen Bereitstellung und Verwaltung von virtualisierten SD-WAN- und Sicherheitsfunktionen an mehreren Zweigstellenstandorten.^[16]

Einzelnachweise

1. Invest Implications: 'The Future of Network Security Is in the Cloud'. In: Gartner. Abgerufen am 5. April 2020 (englisch). 
2. Neil MacDonald, Lawrence Orans, Joe Skorupa: The Future of Network Security Is in the Cloud. In: Gartner. 30. August 2019 (windows.net [PDF]). 
3. The Network for the Digital Business Starts with the Secure Access Service Edge (SASE). In: Cato Networks. 2019, abgerufen am 30. März 2020 (englisch). 
4. Matt Conran: The evolution to Secure Access Service Edge (SASE) is being driven by necessity. In: Network World. 24. Oktober 2019, abgerufen am 20. Dezember 2020 (englisch). 
5. Andrew Lerner, Danellie Young: Hype Cycle for Enterprise Networking. In: Gartner. 2019, abgerufen am 10. März 2022 (englisch). 
6. Joe Skorupa, Neil MacDonald: Market Trends: How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge. In: Gartner. 2019, abgerufen am 10. März 2022 (englisch). 
7. Matt Conran: Secure Access Service Edge (SASE): A reflection of our times. In: NetworkWorld. 3. Oktober 2019, abgerufen am 10. März 2022 (englisch). 
8. SASE | Die Zukunft der Netzwerksicherheit im Jahr 2022. In: Medialine Group. 2022, abgerufen am 10. März 2022. 
9. Was ist SASE? | Secure Access Service Edge. In: Cloudflare. Abgerufen am 10. März 2022. 
10. SASE-Architektur (Secure Access Service Edge). In: Zscaler. Abgerufen am 10. März 2022. 
11. Dave Greenfield: NaaS Meets SD-WAN: What is NaaS anyway and How Will It Impact Your SaaS, PaaS, and Cloud Strategy? – Cato Networks. Cato Networks, 2019, abgerufen am 10. März 2022 (englisch). 
12. Chris Brook: WHAT IS A NEXT GENERATION FIREWALL? LEARN ABOUT THE DIFFERENCES BETWEEN NGFW AND TRADITIONAL FIREWALLS. In: Digital Guardian. 2020, abgerufen am 10. März 2022. 
13. Dave Greenfield: What is Firewall as a Service (FWaaS) and Why You Need It – Cato Networks. In: Cato Networks. 2018, abgerufen am 10. März 2022 (englisch). 
14. Magic Quadrant for Cloud Access Security Brokers. Abgerufen am 10. März 2022 (englisch). 
15. MEF 70.1 Draft Release 1 SD-WAN Service Attributes and Service Framework.
16. Analysts Debate SASE's Merits as Vendors Board Hype Train. In: SDxCentral. Abgerufen am 18. November 2019.