SASE oder SSE? Achten Sie auf Ihre Unternehmensbedürfnisse

Nicht jeder Anbieter kann ein vollständiges SASE anbieten, und das ist auch in Ordnung. Nicht jedes Unternehmen möchte, braucht oder kann dies überhaupt implementieren. [...]

Foto: pixabay.com

Secure Access Service Edge (SASE) hat in den letzten Jahren viel Aufsehen erregt, vor allem angesichts der Pandemie und der damit verbundenen Zunahme von Remote-Mitarbeitern. Aber SASE hat sich nicht ganz so entwickelt, wie Gartner – das den Begriff in einem Whitepaper für 2019 erstmals prägte – ursprünglich erwartet hatte. Vor allem die Idee, dass SASE von einem einzigen Anbieter als integrierter Cloud-Service am Netzwerkrand bereitgestellt werden sollte, stieß auf Widerstand.

Das SASE-Modell kombiniert Netzwerksicherheitsfunktionen mit WAN-Funktionen, wobei die Sicherheitselemente in der Cloud bereitgestellt werden und SD-WAN am Edge oder in der Cloud genutzt wird. Zu den wichtigsten Sicherheitsfunktionen gehören Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA), Firewall as a Service (FWaaS) und ein Cloud Access Security Broker (CASB).

Einige Anbieter auf dem SASE-Markt, vor allem Cato Networks und Versa Networks, behaupten, die ähnlichste Version eines Ein-Lieferant-eine-Plattform-Modells anzubieten. Das ist die puristische Sichtweise von SASE. Andere Anbieter vermarkten das, was sie tun, als SASE und verlassen sich dabei auf Partnerschaften, die Übernahme von Unternehmen und die Entwicklung separater Lösungskomponenten, die zusammen ein vollständiges Portfolio-Angebot ergeben.

In letzter Zeit hat jedoch ein Umdenken stattgefunden, was die Bündelung von Sicherheit und Netzwerken angeht.

Gartner selbst war maßgeblich an der Abkehr von der Idee des SASE-Bündels hin zu dem weniger weit gefassten SSE-Bündel (Secure Service Edge) beteiligt, das CASB, SWG und ZTNA umfasst. Gartner stellte die SSE-Bündelungsoption in seiner strategischen Roadmap für die SASE-Konvergenz 2021 vor.

SSE ist im Grunde der Sicherheitsteil der kombinierten Sicherheits- und Netzwerkdienste, die im Rahmen des SASE-Modells gleichzeitig betreut werden sollten. Gartners Rückbesinnung auf SSE ist eigentlich nur eine Anerkennung dessen, was auf dem Markt geschieht, und gibt dem Wert eines Best-of-Breed-Ansatzes vielleicht etwas mehr Glaubwürdigkeit.

Ich sehe SSE als die Akzeptanz der Marktkräfte und die Erkenntnis, dass der Versuch, eine Reihe verschiedener Dienste auf integrierte Weise bereitzustellen, wenn sich die Anforderungen ständig ändern, sehr komplex ist. Nicht jeder Anbieter will oder kann die idealisierte SASE-Vision liefern. Und das ist in Ordnung. Das ist nicht wirklich wichtig.

Es ist immens wertvoll, jedem dabei zu helfen, die Komponenten einer glaubwürdigen Netzwerk- und Sicherheitsumgebung zu konzipieren, um robuste Dienste bereitzustellen und gleichzeitig Ihr Unternehmen zu schützen; ein großes Lob an Gartner. Aber die Geschwindigkeit, mit der die Anbieter SSE annehmen, zeigt, wie weit viele Anbieter von echter SASE entfernt waren. Es zeigt auch, dass der Versuch, eine Branche mit einem konzeptionellen Modell zu formen, im besten Fall ehrgeizig ist und im schlimmsten Fall zu einem unangebrachten Hype führen kann.

Es ist leichter gesagt als getan, das auszuwählen, was für das eigene Unternehmen am besten funktioniert. Eine der Herausforderungen im SASE/SSE-Bereich besteht darin, dass die Lösungen subtile oder auch nicht so subtile Unterschiede in ihrem Angebot aufweisen können. Eine solide technische und kommerzielle Analyse ist von entscheidender Bedeutung, wenn Sie versuchen, die am besten geeigneten Funktionen zum besten Preis und mit so wenig bösen Überraschungen oder Kostenrisiken wie möglich zu ermitteln.

Um Ihnen den Einstieg zu erleichtern, finden Sie hier fünf Punkte, die Sie berücksichtigen sollten:

Die Lizenzierung, welche Funktionen enthalten sind und welche nicht, sowie die Grundlage für die Bezahlung sind von entscheidender Bedeutung.

An welchen Zeitraum binden Sie sich zum Beispiel? Welche Flexibilität gibt es bei Volumenänderungen (z. B. bei der Anzahl der Nutzer)? Anders als bei der Hardware, die Sie früher gekauft haben, sind Sie bei Software viel stärker von Preisschwankungen und -steigerungen abhängig. Es ist wichtig, dass Sie die Lizenzkosten in vollem Umfang berücksichtigen, wenn Sie die Pläne prüfen und mit den Anbietern verhandeln, und dass Sie vergleichende Bewertungen verschiedener Anbieter vornehmen.

Wie hoch ist der Grad der vertraglichen Flexibilität?

Oder, vielleicht noch wichtiger, was sind die wichtigsten vertraglichen Beschränkungen, die Ihrem Unternehmen schaden könnten? Berücksichtigen Sie unbedingt die „Was-wäre-wenn“-Szenarien in Bezug auf wichtige Vertragskomponenten und -bedingungen. Zum Beispiel: Wie werden die Verpflichtungen funktionieren? Welche Preisüberprüfung ist vorgesehen? Was passiert, wenn sich meine Nachfrage drastisch ändert? Was tun wir, wenn die Leistung nicht der Rechnung entspricht?

Ein guter Rechtsbeistand, der sich in diesem Bereich auskennt, kann von unschätzbarem Wert sein; es gibt keinen Ersatz für eine strenge rechtliche, kommerzielle, dienstleistungsbezogene und technische Prüfung, um sicherzustellen, dass Sie die besten Vereinbarungen treffen. Gleichzeitig sollten Sie bei Ihren Wünschen aber auch praktisch vorgehen. Ein klassisches Beispiel, das den Vertragsabschluss unnötig verzögern kann, ist die Forderung nach Haftungsbeschränkungen, denen kein Lieferant in einer Welt der sich ständig ändernden Sicherheitsbedrohungen zustimmen würde.

Umsetzungsfristen und Lieferantenverpflichtungen werden oft übersehen oder zumindest nicht vollständig berücksichtigt.

Dies kann für Unvorsichtige ein echtes Problem darstellen. Wenn Zeit, Kosten und Umfang der Aktivitäten zur Implementierung Ihrer Lösung unterschätzt werden, müssen Sie den Führungskräften erklären, warum Sie den Zeit- und Kostenrahmen für das Projekt nicht einhalten können. Schlimmer noch, Ihr Unternehmen ist dann möglicherweise Service- und Sicherheitsproblemen ausgesetzt.

Die Ausarbeitung von Lieferantenverpflichtungen und des Prozesses für die Implementierung, die Add-Ons und die optionalen Komponenten kann bei der Einführung von Lösungen viel Unruhe und sogar Konflikte in der Geschäftsbeziehung vermeiden. Am besten ist es, wenn Sie die Implementierungsdetails von Anfang an aktiv mit einbeziehen, beginnend mit der Angebotsanfrage (RFP – request for proposal) oder einer Informationsanfrage (RFI – request for information).

Unterstützungs- und Verwaltungsregelungen für Tag 2 müssen bei jeder Beschaffung von Anfang an im Vordergrund stehen.

Wenn Sie schmerzhafte ( sprich kostspielige oder sich auf den Service auswirkende) Eigentums- oder Umfangslücken vermeiden wollen, ist eine gut strukturierte Leistungsbeschreibung (SOW – statement of work) unerlässlich. Darin müssen Gemeinkosten und Mechanismen zur Festlegung von Verpflichtungen und eindeutigen Verantwortlichkeiten sowohl für das Unternehmen als auch für den Lieferanten enthalten sein. Auch hier ist die Festlegung der Anforderungen zu Beginn der Beschaffungsbemühungen die Grundlage für die Erzielung der erforderlichen SOW-Ergebnisse.

Im weiteren Verlauf des Prozesses geht es dann um die harte Arbeit, die erforderlich ist, um die Anforderungen in dokumentierte Verpflichtungen des Lieferanten umzusetzen. Testen Sie die Zusagen, verstehen Sie die Lücken, verhandeln Sie über Unzulänglichkeiten und dokumentieren Sie dann die Ergebnisse.

Die Bewertung der Geschäftsanforderungen im Vergleich zu den technischen/lösungsbezogenen Fähigkeiten ist die Grundlage für alles andere.

Die Einbindung aller Beteiligten in die Validierung der Projektanforderungen kann von großem Nutzen sein. Die frühzeitige Einbeziehung der Endverbraucher (Ihrer Geschäftskunden) in den Beschaffungsprozess ist wichtig. Sie kann nützliche Erkenntnisse bringen, dabei helfen, Prioritäten zu setzen, und zumindest ein besseres Bewusstsein für die bevorstehende Aufgabe schaffen. Es ist jedoch nicht immer einfach, das richtige Gleichgewicht zwischen den verschiedenen Interessengruppen zu finden.

Versuchen Sie, Stakeholder zu finden, die sich auf die richtige Art und Weise einbringen wollen. Wenn der Dialog auf einer zu hohen Ebene stattfindet, kann er zu „Helikopter“-Einsichten von Führungskräften führen, die sich nicht unbedingt in praktische Beiträge umsetzen lassen. Zu viel auf der Arbeitsebene oder mit zu vielen Beteiligten kann zu Trägheit aufgrund von Überanalysen oder Ablenkungen führen. Es gibt keine einfache Antwort. Es bedarf eines Gleichgewichts – in der Regel ist eine Kerngruppe von Spezialisten mit ausgewählten Interessengruppen auf verschiedenen Ebenen der erfolgreichste Ansatz.

Ein Tipp ist, zu ermitteln, welchen Aufwand alle Beteiligten betreiben können (in der Regel weniger als ideal), und entsprechend zu planen, damit Sie Prioritäten setzen können, was wichtig ist.

Viel Glück!

*Mark Sheard ist geschäftsführender Direktor von TC2(UK). Mit Sitz in London, aber weltweit tätig, er beteiligt sich an TechCaliber Consulting, LLC, einem globalen IT- und Telekommunikationsberatungsunternehmen mit Hauptsitz in Washington, D.C., das die größten Unternehmen der Welt bei Transformationsstrategien zur Senkung ihrer Kosten für Telekommunikations- und IT-Produkte und -Dienstleistungen berät.
TC2 übernimmt keine Verantwortung für die Nutzung der in diesem Artikel genannten Anbieter, es sei denn, sie sind Teil einer fachlichen Bewertung für die spezifischen Anforderungen der Kunden.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*