Secure Access Service Edge (SASE) ist ein Bestandteil von Zero-Trust-Architekturen, der Netzwerkelemente innerhalb und außerhalb einer herkömmlichen Netzwerkgrenze schützt. Mit dem fortschreitenden digitalen Wandel von Unternehmen, der zunehmenden Normalität von Remote-Arbeit und der Nutzung von Cloud-Diensten zur Ausführung von Anwendungen wechselt die Sicherheit in die Cloud – und SASE bietet diese Sicherheit.
Früher bestanden Computernetzwerke aus einem Büronetzwerk und dem spezifischen Rechenzentrum eines Unternehmens. Mitarbeitende kamen ins Büro und meldeten sich an einem Computer an, um auf im Rechenzentrum ausgeführte Anwendungen zuzugreifen. Alle Unternehmenstransaktionen erfolgten innerhalb des Netzwerkperimeters.
Bei diesem traditionellen Ansatz zur Netzwerksicherheit wurde eine Firewall rund um das Netzwerk eingerichtet. Befand sich ein Anwender erst einmal innerhalb dieser Firewall, galt der entsprechende Computer für das Sicherheitsprotokoll als vertrauenswürdig, und die weiteren Aktivitäten des Anwenders im Netzwerk wurden nicht mehr überwacht.
Durch den digitalen Wandel hat sich die Arbeitsweise der Mitarbeitenden drastisch verändert. Viele greifen im Büro oder per Fernzugriff auf Anwendungen zu, die außerhalb der Sicherheitsvorkehrungen des unternehmenseigenen Rechenzentrums im Internet ausgeführt werden. Beispielsweise könnte ein Mitarbeiter über einen Laptop am Küchentisch auf Salesforce zugreifen. Die Anwendung könnte sich dabei im Internet befinden, oder der Mitarbeiter greift per Fernzugriff auf die im unternehmenseigenen Rechenzentrum gehostete Anwendung zu.
In der Arbeitswelt von heute existiert der einst sorgsam geschützte Netzwerkperimeter nicht mehr, weil sich überall Zugangspunkte befinden. Und inzwischen ist das Internet das Mittel der Wahl für den Informationsaustausch. Die Herausforderung besteht in dieser Umgebung darin, die Gateways zu schützen, die zurück in die Unternehmensumgebung führen, die sogenannten Edges.
Um unzureichende Sicherheitsprotokolle für Perimeter in dieser verteilten Umgebung zu ergänzen, stützen sich IT-Teams häufig auf eine Vielzahl von Anbietern, Richtlinien und Konsolen, die Daten schützen sollen – und zwar nicht immer ganz erfolgreich. SASE ist eine neue Lösung zur Vereinfachung der Cybersicherheit und Verbesserung der Effektivität von Umgebungen mit verteiltem Zugriff.
SASE ist eine Sammlung von Technologien, die Netzwerkfunktionen (SD-WAN, VPN) und Sicherheitsfunktionen (SWG, CASB, FWaaS, ZTNA) kombiniert. Solche Technologien werden üblicherweise siloartig in Form von Einzellösungen bereitgestellt. SASE – oder Zero Trust Edge – kombiniert sie in einem einzelnen, integrierten Cloud-Dienst.
Komponenten des SASE-Modells
Softwaredefiniertes Wide Area Network (SD-WAN):
SD-WAN optimiert den Netzwerkverkehr, indem dynamisch der effizienteste Pfad ausgewählt wird, wodurch Leistung und Zuverlässigkeit verbessert werden. Die Lösung lässt sich in SASE integrieren, um sichere, leistungsstarke Konnektivität für Remote-Benutzer zu gewährleisten.
Virtuelles privates Netzwerk (VPN):
VPNs schaffen sichere Tunnel für den Remote-Zugriff, verfügen jedoch nicht über die granulare Kontrolle neuerer Technologien. Innerhalb von SASE werden VPNs durch zusätzliche Sicherheitsmaßnahmen erweitert, um ein robusteres Remote-Zugriffsmanagement zu ermöglichen.
Secure Web Gateway (SWG):
SWGs sichern Internet-gebundenen Datenverkehr, indem sie schädliche Inhalte filtern und die Compliance durchsetzen. Im SASE-Framework bieten sie Schutz vor Online-Bedrohungen und gewährleisten sicheres Browsen.
Cloud Access Security Broker (CASB):
CASBs verwalten und sichern den Cloud-Zugriff und bieten Transparenz und Kontrolle über die Datenübertragung zwischen Benutzern und Cloud-Services. Sie sind für SASE entscheidend, um cloudbasierte Anwendungen und Daten zu schützen.
Firewall as a Service (FWaaS):
FWaaS bietet Cloud-basierte Firewall-Funktionen, die zentrale Verwaltung und Sicherheit bieten. In SASE integriert, schützt es vor externen Bedrohungen und unterstützt gleichzeitig eine verteilte, Cloud-zentrierte Netzwerkumgebung.
ZTNA beschränkt den Zugriff auf Anwendungen basierend auf Benutzeridentität und Kontext und reduziert das Risiko eines unbefugten Zugriffs. Innerhalb von SASE bietet ZTNA einen sicheren, adaptiven Ansatz für den Remote-Zugriff.
Organisationen, die ihr anwenderseitiges Netzwerk und ihre Sicherheitsprotokolle für die Netzwerkverwaltung optimieren möchten, führen die SASE-Architektur ein, um Zero Trust Network Access zu ermöglichen. Beim Zero-Trust-Modell geht es darum, nie zu vertrauen, immer zu verifizieren und stets mit Bedrohungen zu rechnen, bis sich ein Computer als vertrauenswürdig erwiesen hat. Durch das Internet ist alles miteinander verbunden, und kein Gerät ist von Natur aus vertrauenswürdig, da es sich um eine offene Informationsplattform handelt.
SASE ist ein essenzielles Element der Zero-Trust-Architektur. Viele Aspekte von SASE sind keine von Grund auf neuen Technologien, sondern eine Kombination neuer und vorhandener Technologien. SASE bietet dem Anwender, Gerät oder Edge-Computing-Standort Sicherheitskontrolle. In der Vergangenheit entstand durch Cybersicherheitsprotokolle Firewall-Schutz für ein Rechenzentrum; bei SASE hingegen basiert die Authentifizierung auf der digitalen Identität, Echtzeit-Kontext und Unternehmensrichtlinien.
SASE umfasst drei wesentliche Bestandteile:
SASE-Vorteile für Unternehmen
Reduziert Kosten:
SASE konsolidiert Sicherheitsfunktionen in einem Cloud-basierten Service, reduziert Hardwarekosten und reduziert Verwaltungskosten.
Verringert Komplexität:
SASE vereinfacht durch die Vereinheitlichung mehrerer Sicherheitslösungen die Verwaltung und reduziert die Komplexität, die mit der Handhabung verschiedener Tools und Anbieter verbunden ist.
Unterstützt die Ausrichtung von Netzwerk- und Sicherheitsrichtlinien:
SASE stellt eine konsistente Durchsetzung von Netzwerk- und Sicherheitsrichtlinien in allen Umgebungen sicher und verbessert die allgemeine Sicherheit.
Reduziert Sicherheitsvorfälle:
Mit integrierten Sicherheitskontrollen verbessert SASE die Erkennung und Reaktion von Bedrohungen und senkt die Wahrscheinlichkeit erfolgreicher Angriffe.
Bietet Benutzern an jedem Standort ein nahtloses Erlebnis:
SASE bietet sicheren Hochgeschwindigkeitszugriff auf Anwendungen von überall aus und steigert die Produktivität und Benutzererfahrung für Remote- und Hybrid-Mitarbeiter.
Ein SWG steuert den Internetzugriff und legt fest, worauf ein Anwender zugreifen kann und worauf nicht. Wenn ein Anwender versucht, auf einer verdächtigen Website auf einen Inhalt zuzugreifen oder diesen herunterzuladen, oder versucht, auf ein verbotenes Ziel zuzugreifen, etwa eine Glücksspiel-Site, wird dieser Vorgang durch das Gateway blockiert.
Cyberangriffe sind heutzutage ausgesprochen ausgeklügelt. Inzwischen kennen die meisten Leute den alten Stil einer klassischen Phishing-E-Mail mit falsch geschriebenen Wörtern und einem ungewöhnlichen sprachlichen Stil. Daher gehen böswillige Angreifer inzwischen raffinierter vor. Jetzt ist es fast unmöglich zu erkennen, welche E-Mails legitim sind und welche von einem Hacker gesendet wurden. Das gilt selbst für versierte Anwender.
Interne Schulungen zum Thema Cybersicherheit sind unabdingbar für zuverlässigeren Schutz, aber selbst geschulte Anwender können Fehler machen. SWG ist ein weiteres Tool, das Ihr Sicherheitsteam nutzen kann, um den gesamten eingehenden und ausgehenden Datenverkehr Ihres Netzwerks zu überwachen. Wenn eine Bedrohung auftaucht, kann das Sicherheitsteam diese mit SWG eindämmen.
CASB verleiht SaaS-Anwendungen Transparenz. Wenn ein Anwender eine Verbindung zu Salesforce, Office 365 oder einer anderen Anwendung herstellt, kann Ihr Sicherheitsteam sehen, welche Daten Ihre Anwender übermitteln, welche Dateien zu OneDrive oder SharePoint hochgeladen bzw. von dort heruntergeladen werden und wer den entsprechenden Vorgang wann gestartet hat.
Bei CASB handelt es sich um lokal oder in der Cloud gehostete Software. Diese vermittelt unter Verwendung von Sicherheitsrichtlinien für den Cloud-Zugriff zwischen Anwendern und Cloud-Diensten und verfolgt Handlungen im Netzwerk nach.
Der Ausgangspunkt für die CASB-Berichterstattung ist die Konfiguration der Optionen für jede Anwendergruppe innerhalb der Organisation. Beispielsweise könnte eine Gruppe autorisiert sein, Inhalte hochzuladen, aber nicht herunterzuladen. Eine andere Gruppe darf vielleicht Dokumente bearbeiten, während wieder eine andere nur Lesezugriff hat. Das Unternehmen legt die Richtlinie fest.
Das Unternehmen bestimmt auch, welche Maßnahme im Falle einer verbotenen Aktion erfolgen soll. Ihr Sicherheitsteam kann Protokolle einrichten, um die Aktivität automatisch zu blockieren oder sie zuzulassen und den Vorfall der für die Überwachung verantwortlichen Person zu melden.
ZTNA-Gateways sind das neue Element von SASE. ZTNA ist eine Sicherheitsarchitektur, die nur Zugriff auf Datenverkehr zwischen authentifizierten Anwendern, Geräten und Anwendungen gewährt. Datenverkehr gilt dabei nie als vertrauenswürdig, und bei allen Endgeräten geht man so lange davon aus, dass der Anwender böswillige Absichten hat, bis das Gegenteil bewiesen ist. ZTNA ersetzt VPNs für die Remote-Authentifizierung von Anwendern.
VPN ist die Technologie, die Unternehmen üblicherweise verwenden, um Remote-Anwender mit dem Firmennetzwerk zu verbinden. VPN bringt einige Probleme mit sich: Die Technologie ist kostspielig, und häufig ist die aufgebaute Verbindung instabil. Darüber hinaus führen ineffiziente Remote-Verbindungen für die Mitarbeitenden häufig zu Problemen dabei, ihre Arbeit zu erledigen. Solche Produktivitätseinbußen kosten das Unternehmen wiederum Geld.
Das größte Problem in Bezug auf VPN ist, dass es Remote-Zugang mit eingeschränkten Sicherheitskontrollen bietet. Um über VPN auf ein Unternehmensnetzwerk zuzugreifen, authentifiziert sich ein Anwender über ein Heimnetzwerk und hat dann vollständigen Zugriff auf das Front- und Backend des Netzwerks. Der Anwender erledigt seine Arbeit im Frontend der Anwendung. Wenn Malware aus dem Internet ihren Weg auf den Computer findet, kann sie ins Backend derselben Anwendung gelangen und alle dort hinterlegten Daten abrufen. Es kommt zu einem Datenleck.
ZTNA nimmt der Malware die Möglichkeit, sich im Netzwerk zu bewegen, da ZTNA jeden Anwender, jedes Gerät und jede Anwendung im Netzwerk einzeln als vertrauenswürdig authentifiziert.
VPN-Schwachstellen:
Der Weg hin zu Zero Trust
Der erste Schritt hin zu Zero Trust ist, dass ein Unternehmen die Entscheidung trifft, diese Architektur einzuführen. Mit der Zeit können IT- und Sicherheitsteams schrittweise Technologien aus unterschiedlichen Produktgruppen implementieren, um den Reifegrad zu erhöhen.
Ein Ausgangspunkt besteht darin, die Probleme in Ihrer Umgebung zu verstehen, mit denen Ihr Unternehmen Tag für Tag zu kämpfen hat. Wenn der Internetzugang beispielsweise nicht kontrolliert wird – also jeder auf alles zugreifen kann und Anwender unbewusst und unbeabsichtigt Malware herunterladen –, könnte SWG Ihr Einstieg in die Zero-Trust-Technologie sein.
Der nächste Schritt könnte darin bestehen, zu bestimmen, welche SaaS-Apps Mitarbeitende nutzen und wer worauf zugreifen kann. Es ist sinnvoll, die Transparenz für Ihr Sicherheitsteam zu erhöhen, damit dieses entsprechend den Zugriff für autorisierte Aktivitäten gewähren und sicherstellen kann, dass sich Anwender stets innerhalb des Richtlinien-Frameworks bewegen.
Letzten Endes geht es bei Zero Trust um den Schutz Ihrer Daten
Auch wenn SASE-Sicherheitsparameter umgesetzt werden, ist das Netzwerk noch nicht vollständig auf Zero Trust ausgelegt; Sie sind jedoch auf dem Weg dorthin. Zero Trust ist eine langfristige Reise zur Verbesserung der Sicherheit in Ihrem Netzwerk, und wenn Sie diesen Weg fortsetzen, wird die Sicherheit immer besser.
Der Schutz physischer Assets wie Laptops oder Server oder digitaler Assets wie Anwenderkonten oder Anwendungen ist nicht das Hauptziel der Cybersicherheit. Vielmehr geht es um den Schutz der im Geschäftsbetrieb verwendeten Daten, einschließlich Anwendernamen, Kennwörtern, proprietärer Unternehmensdaten, vertraulichen Materials und Zahlungsinformationen.