SASE oder SSE? Achten Sie auf Ihre Unternehmensbedürfnisse

Nicht jeder Anbieter kann ein vollständiges SASE anbieten, und das ist auch in Ordnung. Nicht jedes Unternehmen möchte, braucht oder kann dies überhaupt implementieren. [...]

Foto: pixabay.com

Secure Access Service Edge (SASE) hat in den letzten Jahren viel Aufsehen erregt, vor allem angesichts der Pandemie und der damit verbundenen Zunahme von Remote-Mitarbeitern. Aber SASE hat sich nicht ganz so entwickelt, wie Gartner – das den Begriff in einem Whitepaper für 2019 erstmals prägte – ursprünglich erwartet hatte. Vor allem die Idee, dass SASE von einem einzigen Anbieter als integrierter Cloud-Service am Netzwerkrand bereitgestellt werden sollte, stieß auf Widerstand.

Das SASE-Modell kombiniert Netzwerksicherheitsfunktionen mit WAN-Funktionen, wobei die Sicherheitselemente in der Cloud bereitgestellt werden und SD-WAN am Edge oder in der Cloud genutzt wird. Zu den wichtigsten Sicherheitsfunktionen gehören Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA), Firewall as a Service (FWaaS) und ein Cloud Access Security Broker (CASB).

Einige Anbieter auf dem SASE-Markt, vor allem Cato Networks und Versa Networks, behaupten, die ähnlichste Version eines Ein-Lieferant-eine-Plattform-Modells anzubieten. Das ist die puristische Sichtweise von SASE. Andere Anbieter vermarkten das, was sie tun, als SASE und verlassen sich dabei auf Partnerschaften, die Übernahme von Unternehmen und die Entwicklung separater Lösungskomponenten, die zusammen ein vollständiges Portfolio-Angebot ergeben.

In letzter Zeit hat jedoch ein Umdenken stattgefunden, was die Bündelung von Sicherheit und Netzwerken angeht.

Gartner selbst war maßgeblich an der Abkehr von der Idee des SASE-Bündels hin zu dem weniger weit gefassten SSE-Bündel (Secure Service Edge) beteiligt, das CASB, SWG und ZTNA umfasst. Gartner stellte die SSE-Bündelungsoption in seiner strategischen Roadmap für die SASE-Konvergenz 2021 vor.

SSE ist im Grunde der Sicherheitsteil der kombinierten Sicherheits- und Netzwerkdienste, die im Rahmen des SASE-Modells gleichzeitig betreut werden sollten. Gartners Rückbesinnung auf SSE ist eigentlich nur eine Anerkennung dessen, was auf dem Markt geschieht, und gibt dem Wert eines Best-of-Breed-Ansatzes vielleicht etwas mehr Glaubwürdigkeit.

Ich sehe SSE als die Akzeptanz der Marktkräfte und die Erkenntnis, dass der Versuch, eine Reihe verschiedener Dienste auf integrierte Weise bereitzustellen, wenn sich die Anforderungen ständig ändern, sehr komplex ist. Nicht jeder Anbieter will oder kann die idealisierte SASE-Vision liefern. Und das ist in Ordnung. Das ist nicht wirklich wichtig.

Es ist immens wertvoll, jedem dabei zu helfen, die Komponenten einer glaubwürdigen Netzwerk- und Sicherheitsumgebung zu konzipieren, um robuste Dienste bereitzustellen und gleichzeitig Ihr Unternehmen zu schützen; ein großes Lob an Gartner. Aber die Geschwindigkeit, mit der die Anbieter SSE annehmen, zeigt, wie weit viele Anbieter von echter SASE entfernt waren. Es zeigt auch, dass der Versuch, eine Branche mit einem konzeptionellen Modell zu formen, im besten Fall ehrgeizig ist und im schlimmsten Fall zu einem unangebrachten Hype führen kann.

Es ist leichter gesagt als getan, das auszuwählen, was für das eigene Unternehmen am besten funktioniert. Eine der Herausforderungen im SASE/SSE-Bereich besteht darin, dass die Lösungen subtile oder auch nicht so subtile Unterschiede in ihrem Angebot aufweisen können. Eine solide technische und kommerzielle Analyse ist von entscheidender Bedeutung, wenn Sie versuchen, die am besten geeigneten Funktionen zum besten Preis und mit so wenig bösen Überraschungen oder Kostenrisiken wie möglich zu ermitteln.

Um Ihnen den Einstieg zu erleichtern, finden Sie hier fünf Punkte, die Sie berücksichtigen sollten:

Die Lizenzierung, welche Funktionen enthalten sind und welche nicht, sowie die Grundlage für die Bezahlung sind von entscheidender Bedeutung.

An welchen Zeitraum binden Sie sich zum Beispiel? Welche Flexibilität gibt es bei Volumenänderungen (z. B. bei der Anzahl der Nutzer)? Anders als bei der Hardware, die Sie früher gekauft haben, sind Sie bei Software viel stärker von Preisschwankungen und -steigerungen abhängig. Es ist wichtig, dass Sie die Lizenzkosten in vollem Umfang berücksichtigen, wenn Sie die Pläne prüfen und mit den Anbietern verhandeln, und dass Sie vergleichende Bewertungen verschiedener Anbieter vornehmen.

Wie hoch ist der Grad der vertraglichen Flexibilität?

Oder, vielleicht noch wichtiger, was sind die wichtigsten vertraglichen Beschränkungen, die Ihrem Unternehmen schaden könnten? Berücksichtigen Sie unbedingt die „Was-wäre-wenn“-Szenarien in Bezug auf wichtige Vertragskomponenten und -bedingungen. Zum Beispiel: Wie werden die Verpflichtungen funktionieren? Welche Preisüberprüfung ist vorgesehen? Was passiert, wenn sich meine Nachfrage drastisch ändert? Was tun wir, wenn die Leistung nicht der Rechnung entspricht?

Ein guter Rechtsbeistand, der sich in diesem Bereich auskennt, kann von unschätzbarem Wert sein; es gibt keinen Ersatz für eine strenge rechtliche, kommerzielle, dienstleistungsbezogene und technische Prüfung, um sicherzustellen, dass Sie die besten Vereinbarungen treffen. Gleichzeitig sollten Sie bei Ihren Wünschen aber auch praktisch vorgehen. Ein klassisches Beispiel, das den Vertragsabschluss unnötig verzögern kann, ist die Forderung nach Haftungsbeschränkungen, denen kein Lieferant in einer Welt der sich ständig ändernden Sicherheitsbedrohungen zustimmen würde.

Umsetzungsfristen und Lieferantenverpflichtungen werden oft übersehen oder zumindest nicht vollständig berücksichtigt.

Dies kann für Unvorsichtige ein echtes Problem darstellen. Wenn Zeit, Kosten und Umfang der Aktivitäten zur Implementierung Ihrer Lösung unterschätzt werden, müssen Sie den Führungskräften erklären, warum Sie den Zeit- und Kostenrahmen für das Projekt nicht einhalten können. Schlimmer noch, Ihr Unternehmen ist dann möglicherweise Service- und Sicherheitsproblemen ausgesetzt.

Die Ausarbeitung von Lieferantenverpflichtungen und des Prozesses für die Implementierung, die Add-Ons und die optionalen Komponenten kann bei der Einführung von Lösungen viel Unruhe und sogar Konflikte in der Geschäftsbeziehung vermeiden. Am besten ist es, wenn Sie die Implementierungsdetails von Anfang an aktiv mit einbeziehen, beginnend mit der Angebotsanfrage (RFP – request for proposal) oder einer Informationsanfrage (RFI – request for information).

Unterstützungs- und Verwaltungsregelungen für Tag 2 müssen bei jeder Beschaffung von Anfang an im Vordergrund stehen.

Wenn Sie schmerzhafte ( sprich kostspielige oder sich auf den Service auswirkende) Eigentums- oder Umfangslücken vermeiden wollen, ist eine gut strukturierte Leistungsbeschreibung (SOW – statement of work) unerlässlich. Darin müssen Gemeinkosten und Mechanismen zur Festlegung von Verpflichtungen und eindeutigen Verantwortlichkeiten sowohl für das Unternehmen als auch für den Lieferanten enthalten sein. Auch hier ist die Festlegung der Anforderungen zu Beginn der Beschaffungsbemühungen die Grundlage für die Erzielung der erforderlichen SOW-Ergebnisse.

Im weiteren Verlauf des Prozesses geht es dann um die harte Arbeit, die erforderlich ist, um die Anforderungen in dokumentierte Verpflichtungen des Lieferanten umzusetzen. Testen Sie die Zusagen, verstehen Sie die Lücken, verhandeln Sie über Unzulänglichkeiten und dokumentieren Sie dann die Ergebnisse.

Die Bewertung der Geschäftsanforderungen im Vergleich zu den technischen/lösungsbezogenen Fähigkeiten ist die Grundlage für alles andere.

Die Einbindung aller Beteiligten in die Validierung der Projektanforderungen kann von großem Nutzen sein. Die frühzeitige Einbeziehung der Endverbraucher (Ihrer Geschäftskunden) in den Beschaffungsprozess ist wichtig. Sie kann nützliche Erkenntnisse bringen, dabei helfen, Prioritäten zu setzen, und zumindest ein besseres Bewusstsein für die bevorstehende Aufgabe schaffen. Es ist jedoch nicht immer einfach, das richtige Gleichgewicht zwischen den verschiedenen Interessengruppen zu finden.

Versuchen Sie, Stakeholder zu finden, die sich auf die richtige Art und Weise einbringen wollen. Wenn der Dialog auf einer zu hohen Ebene stattfindet, kann er zu „Helikopter“-Einsichten von Führungskräften führen, die sich nicht unbedingt in praktische Beiträge umsetzen lassen. Zu viel auf der Arbeitsebene oder mit zu vielen Beteiligten kann zu Trägheit aufgrund von Überanalysen oder Ablenkungen führen. Es gibt keine einfache Antwort. Es bedarf eines Gleichgewichts – in der Regel ist eine Kerngruppe von Spezialisten mit ausgewählten Interessengruppen auf verschiedenen Ebenen der erfolgreichste Ansatz.

Ein Tipp ist, zu ermitteln, welchen Aufwand alle Beteiligten betreiben können (in der Regel weniger als ideal), und entsprechend zu planen, damit Sie Prioritäten setzen können, was wichtig ist.

Viel Glück!

*Mark Sheard ist geschäftsführender Direktor von TC2(UK). Mit Sitz in London, aber weltweit tätig, er beteiligt sich an TechCaliber Consulting, LLC, einem globalen IT- und Telekommunikationsberatungsunternehmen mit Hauptsitz in Washington, D.C., das die größten Unternehmen der Welt bei Transformationsstrategien zur Senkung ihrer Kosten für Telekommunikations- und IT-Produkte und -Dienstleistungen berät.
TC2 übernimmt keine Verantwortung für die Nutzung der in diesem Artikel genannten Anbieter, es sei denn, sie sind Teil einer fachlichen Bewertung für die spezifischen Anforderungen der Kunden.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*