Hinter der Bezeichnung SASE – »Secure Access Service Edge« – verbirgt sich eine zukunftsträchtige Idee, die unter anderem das alte Dilemma Sicherheit vs. Performance vs. Usability löst: Das eine schließt die anderen nicht aus, im Gegenteil. Unser Roundtable brachte die Vorzüge des spannenden Konzepts auf den Punkt. [...]
Die Bedrohungslandschaft verändert sich ständig«, sagt Stefan Schachinger, Product Manager Network Security bei Barracuda. »Wir befinden uns in einem laufenden Wandel, der nicht erst vor vier Jahren mit der Pandemie begonnen hat, sondern schon mit Einführung des Internets. Es gibt laufend große Veränderungen. Wir sind zum Beispiel von lokalen Infrastrukturen in Richtung Public Cloud gegangen und konsumieren sehr viele Services. Das heißt, die Art, wie wir konsumieren, hat sich stark verändert. Früher gab es für jede Applikation quasi ein eigenes Protokoll, heute ist alles mehr oder weniger Web-Traffic. Wir nutzen cyber-physikalische Systeme, die mitreden, IoT-Devices, die eingebunden werden. Wir sind mit einer Situation konfrontiert, in der Mitarbeiterinnen und Mitarbeiter zu Hause oder von unterwegs aus arbeiten, die auf Inhalte zugreifen, die nicht in der Firma beheimatet sind, sondern in der Public Cloud oder anderswo. All das führt dazu, dass wir uns in komplett verteilten Umgebungen wiederfinden, wo zentralisierte Sicherheitsansätze nicht mehr greifen und daher neu gedacht werden müssen.«
Laut Matthias Lutz, Senior Account Executive bei Cloudflare, habe die Pandemie den Ausschlag dafür gegeben, »dass sehr überhastet auf die neuen Anforderungen reagiert werden musste. Es wurden sehr schnell Patchwork-Lösungen eingesetzt, VPNs eingerichtet, Hardware gekauft, Software heruntergeladen, die gar nicht richtig lizensiert war bzw. nicht entsprechend gecheckt wurde. Heute müssen wir mit den Folgen leben. Nicht wenige Unternehmen stehen jetzt vor der Frage: Welche Cloud-Lösungen sind überhaupt im Einsatz? Haben wir eine Shadow-IT? Diese ist entstanden, weil die gekauften Lösungen nicht das erfüllt haben, was die Mitarbeiter und Mitarbeiterinnen gebraucht haben.«
»Mit den SaaS-Diensten sind Services entstanden, die eine ›Checkbox-Security‹ inkludieren«, ergänzt Patrick Fetter, Security Engineer & Cyber Security Evangelist bei Check Point. »Durch einen geringen Aufpreis gibt es zusätzliche Security-Funktionen, so die Versprechungen. Dies führt zu einer Vielzahl an Lösungen, die schwer zu managen sind. Einerseits ist die Komplexität historisch gewachsen, andererseits kann ich mit dem Zücken der Kreditkarte Dienstleistungen hinzunehmen, mit denen ich vielleicht meine bestehende Security kompromittiere und neue Herausforderungen schaffe.«
Thomas Wethmar, Regional Director DACH bei Skyhigh Security, berichtet von Kundengesprächen, bei denen etwa neue Compliance-Anforderungen – NIS2 steht vor der Türe – oder eben auch das Thema Komplexität im Mittelpunkt stehen. »Es geht darum, eine einheitliche Plattform zu finden, um sämtliche Szenarien – sei es der Schutz des eigenen Infrastruktur oder die Zusammenführung der Cloud-Infrastruktur – abzudecken. Wie sind nicht in einer Welt mit 100 Prozent Cloud. Wir haben immer die Herausforderung, zwei Welten zusammenzuführen. Die Fragen, die Kunden stellen, ist: Wie bekomme ich bessere Visibilität, wie schütze ich meine Daten on-prem, in der Cloud und auf dem Weg dahin, damit sie nicht in falsche Hände geraten?«
Fabian Freundt, Senior Solutions Engineer ALPS bei SonicWall, bringt das Problem des Fachkräftemangels in die Diskussion: »Oft kommt es vor, dass eine einzige Person für die gesamte IT verantwortlich ist. Das umfasst nicht nur die Security, sondern auch Server, Printer und vieles mehr. Er oder sie hat gar nicht die Möglichkeit, sich auf das Security-Thema, das sehr komplex ist, einzulassen. Damit ist es schwierig, die Sicherheit im Unternehmen zu gewährleisten. Wer hat denn die Zeit, neben allen anderen Aufgaben die Logs anzusehen und zu analysieren, was gerade im Netzwerk passiert? Gibt es Anomalien im Netzwerk oder nicht?«
Was ist SASE?
Ein zeitgemäße Antwort auf die genannten Herausforderungen sei das SASE-Konzept (Secure Access Service Edge), sind sich die Teilnehmer der Diskussion einig. »Man definiert die Anforderungen, die in einem SASE-Framework wichtig sind, und die entsprechenden Schutzmaßnahmen. Essenziell ist, dass der User im Fokus steht«, so Patrick Fetter. »Das bedeutet, dass wir uns vom Perimeter-Ansatz im Rechenzentrum entfernen und uns stattdessen auf den Benutzer konzentrieren, unabhängig von seinem Standort oder den Ressourcen, auf die er zugreift. Aus unserer Sicht definiert sich SASE aus den Kundenanforderungen. Basierend auf diesen können sich die Konzepte grundlegend unterscheiden. Zum Beispiel: Brauche ich eine moderne Remote-Access-Lösung? Wie wird die Standortsicherheit und -vernetzung umgesetzt? Wird ein sicherer Internet-Zugang benötigt? Ein Großteil der Unternehmen nutzt bereits Teile von SASE. Wir haben eine globale Umfrage unter 600 Security-Experten gestartet. Das Ergebnis zeigt, dass über 80 Prozent schon ein Zero-Trust-Konzept im Einsatz haben und dieses mit unterschiedlichen Ansätzen kombinieren, wie etwa mit Firewall-Segmentierung oder Endpoint-Security.«
»SASE ist per Definition die Konsolidierung von Netzwerk und Security, das heißt die Zusammenführung beider Bereiche, was gerade in mittelständischen Unternehmen sehr viel Sinn macht«, fügt Stefan Schachinger zu. »Zusätzlich beschreibt es eine Plattform, die einzelne Produkte in Features einer größeren Lösung verwandelt. Die Liste der verpflichtenden oder optionalen Bestandteile einer SASE-Lösung ist nach der Definition von Gartner lang: Firewalling, Web-Security, Zero Trust Network Access, sichere Remote-Zugriffe, der Connectivity-Aspekt und mehr.«
»Am Ende geht es darum, dass der oder die Sicherheitsverantwortliche einen ganzheitlichen Blick darüber bekommt, was in Sachen Sicherheit im Unternehmen passiert«, bringt es Matthias Lutz auf den Punkt. »Wo gibt es potenzielle Angriffe? Wo sind die Risiken? Wenn das Gesamtsystem nicht konsolidiert ist, wenn wie früher eine Best-of-Breed-Kultur vorherrscht und man mit 20 verschiedenen Dashboards umgehen muss, fällt es sehr schwer, das Gesamtbild zu erkennen. Man sieht immer nur kleine Ausschnitte. Daher ist der Plattform-Ansatz von SASE wesentlich besser als traditionelle Strategien.«
Auf die Frage, wie Performance, Sicherheit und Usability bei SASE zusammenhängen, antwortet Lutz: »Am Edge, an den Kontenpunkten, muss eine gewisse Geschwindigkeit gegeben sein, was zur Usability führt: Wenn das Gesamtsystem zu langsam ist, lehne ich es als User ab. Wir als Hersteller müssen sicherstellen, dass viel auf dem Edge erledigt wird. Wenn ich zum Beispiel auf einer Website klicke, wo ich nicht sollte, ist es vorteilhaft, wenn die Security direkt auf dem Edge stattfindet. Das garantiert die Verbindung von Geschwindigkeit und Sicherheit. Die Informationen darüber sollten jedoch zentral ankommen, um das System managen zu können.«
Thomas Wethmar weist darauf hin, dass SASE in der Öffentlichkeit zu 100 Prozent mit Cloud verbunden wird, »was ich so nicht unterschreiben würde. SASE ist eine Architektur, ein Framework, ein Werkzeugkasten. Der kann on-premise sein, der kann in der Cloud sein, in der Regel ist es eine Mischung aus beiden Bereichen. Wir bieten unsere Lösung hybrid für stark regulierte Unternehmen an, aber immer mit einem einheitlichen Management und einheitlicher Policy im Security-Bereich. Das macht es gerade großen Security-Abteilungen deutlich einfacher, den Weg von der heutigen Welt zu einer SASE-Architektur zu gehen – und das Schritt für Schritt. Gerade in großen Strukturen ist der Move von der Best-of-Breed-Architektur zu einer hybriden SASE-Architektur gar nicht so einfach. Neben dem Handwerkszeug braucht es einen Bauplan, der mir sagt, wie der Weg aussieht. Beides muss aufeinander abgestimmt sein.«
Für Fabian Freundt spiegelt SASE den Trend in Richtung Security aus einer Hand wider. »In der Vergangenheit galt der Ansatz: Ich möchte mich nicht auf einen einzigen Hersteller fokussieren. Man weiß ja nicht, wie sich der Markt weiterentwickelt. Daher hat man begonnen, eine Multi-Vendor-Strategie zu fahren. In der heutigen Zeit, in der Audits immer wichtiger werden und immer mehr Compliance-Regeln eingehalten werden müssen, verursacht diese Strategie Probleme. Audits mit fünf, sechs verschiedenen Management-Konsolen sind sehr schwierig. Daher glaube ich, dass die Multi-Vendor-Strategie sich nun in Richtung weniger oder nur eines Hersteller entwickelt. Ziel ist das Single-Pane-of-Glass-Modell, womit ich all meine Produkte administrieren kann, aber auch die Visibilität darüber habe, was in meinem Netz passiert.«
Wer ist der typische SASE-Kunde?
»Es ist keine Frage der Größe oder der Industrie«, sagt Matthias Lutz von Cloudflare. »Vertreter bestimmter Branchen waren früher der Meinung, dass Angriffe in ihrem Sektor nicht so häufig seien. Im Healthcare-Bereich war das lange tatsächlich so, es gab eine Art Ehrenkodex auf der Seite der Blackhats. Das hat sich geändert. Die entscheidende Frage ist die nach dem ROI: Was passiert, wenn wir gebreacht werden würden? Auch für kleine Unternehmen, die den Aspekt der Sicherheit nach außen tragen, etwa ein kleiner Provider oder App-Hersteller, ist es wesentlich, das Thema frühzeitig zu überdenken. Ebenso kann eine Bäckerei Kundendaten verlieren. Die Forschungs- und Entwicklungsabteilung eines Maschinenbauunternehmens hat sensible Daten, die nicht nach außen gelangen dürfen. Welche Auswirkungen hätte ein Dataloss auf den Ruf oder die Umsätze? Wenn man sich diese Frage stellt, dann ist der nächste Schritt, in Cybersecurity wie SASE zu investieren, ein kleiner.«
Für Thomas Wethmar von Skyhigh Security gibt es nicht den typischen Kunden. »Es hängt davon ab, wo die Daten liegen und wie Unternehmen arbeiten. Für ein Unternehmen mit fünf Mitarbeitern, die nicht mobil auf Daten zugreifen, ist SASE nicht das optimale Konzept. Sobald man sich davon löst – und viele mittelständische Unternehmen arbeiten nicht an einem Standort, die Mitarbeiter und die Geschäftspartner, die auf das Netzwerk zugreifen, sind verteilt, Maschinen müssen zugreifen, im Gesundheitsbereich verbinden sich Dienstleister und Hersteller mit medizinischen Geräten – dann ist SASE ein sehr interessantes Konzept.«
Fabian Freundt von SonicWall beschreibt die Verbindung zur digitalen Transformation, »die hinunter bis zu den KMU reicht. Viele beziehen Teile von SASE aus der Cloud, um sich das Leben insofern einfacher zu machen, als dass sie nicht um das serverseitige Betreiben kümmern müssen. Es ist im Grunde für jeden die richtige Lösung, wenn er die Cloud in Form von SaaS nutzt. Ich kann damit die Sicherheit dorthin bringen, wo sie benötigt wird.«
Schritt für Schritt
SASE wird oft als Reise beschrieben, die für Patrick Fetter von Check Point mit der Schaffung einer Vertrauensbasis beginnt. »Sobald die Reise definiert wurde und der Kunde sich die Lösungsvorschläge anschauen konnte, stellt sich die Frage, ob er die Lösung annimmt und eine Vertrauensbasis besteht. Wenn Ja, dann kann man den nächsten Schritt der SASE-Reise gehen. Hat man etwa mit einem Secure Web Gateway begonnen, um User vor Phishing oder Malware zu schützen, wäre der nächste Schritt zum Beispiel eine Remote Access-Lösung. Es ist immer wichtig, genau zuzuhören, was tatsächlich benötigt wird. Ich erachte es als nicht zielführend, den Kunden von Anfang an mit Produkten zu überfordern. Der Kunde möchte eine Lösung, kein Produkt.«
Laut Stefan Schachinger von Barracuda müsse man nicht nur sehr genau die Anwendungsfälle ansehen, die SASE abbilden soll. »Man braucht auch einen genauen Implementierungsplan, weil es nicht gelingen wird, alles über Nacht umzusetzen. Man wird mit einem parallelen Betrieb beginnen und die größten Lücken als erstes schließen, um danach schrittweise vorzugehen. Meines Erachtens ist es sehr wichtig, dass der Kunde sehr schnell den ersten Nutzen aus der Lösung zieht und dann kontinuierlich den Ausbau vorantreibt, um weitere Anwendungsfälle abzudecken. Damit werden in der Regel traditionelle Lösungen mit der Zeit ersetzt.«
Auch Fabian Freundt empfiehlt, das Thema SASE Schritt für Schritt anzugehen. Und: »Ich würde noch stärker das Augenmerk auf die Usability legen. Der User sieht, dass das System funktioniert und zuverlässig ist, ohne dass er sich jede Stunde drei-, viermal neu verbinden muss. Auch die Performance ist gegeben. Auf der anderen Seite genießen die IT-Teams die Einfachheit der Administration. Wir müssen beide Seite zufriedenstellen, damit die Lösung akzeptiert wird. Der Enduser erkennt, wie einfach die Lösung ist. Die IT-Teams können mit möglichst wenig Aufwand die damit verbundenen Aufgaben erledigen.«
Sicherheit als Enabler
Patrick Fetter unterstreicht die Bedeutung von SASE im Zeitalter von New Work. »Unternehmen, die heute noch eine No-Cloud-Strategie fahren und die Mitarbeiter anhalten, immer vom Büro aus zu arbeiten, werden durch die modernen Anforderungen aber auch Lösungsanbieter, motiviert, ihre Strategie zu überdenken. Früher oder später muss sich jedes Unternehmen Gedanken über ein zeitgemäßes Arbeitsumfeld und einen modernen Security-Ansatz machen. Es ist nicht die Frage ob, sondern wann es passiert. Ein weiterer Treiber ist das Thema Einfachheit. Unternehmen sind angehalten, ihre Prozesse zu vereinfachen und das Security-Team zu entlasten, Stichwort Fachkräftemangel. Die Konsolidierung der IT-Security muss in enger Zusammenarbeit mit den Usern und dem Sicherheitsteam gemacht werden. Security soll kein Verhinderer, sondern ein Enabler werden.«
Matthias Lutz: »Ich glaube, dass viele Unternehmen schon die ersten Schritte gegangen sind. Sie sehen die Vorteile ganz klar. Wir reden davon, dass die IT-Abteilung, die sich um sehr viele Themen kümmern muss, chronisch unterbesetzt ist. Wie bei einem sinkenden Schiff schöpft das Team ständig Wasser aus dem Rumpf. Wenn man das Security-Thema konsolidiert, einfacher und übersichtlicher macht, dann fangen Unternehmen an, die Löcher zu stopfen. Dem Sicherheitsverantwortlichen, der sich bis dato um 50 und mehr Systeme kümmern musste, wird nach der Konsolidierung klar: Man spart Zeit, man spart Ressourcen, man spart auch Geld.«
»Ich bin der Meinung, dass sowohl das IT-Team, das die Lösung managed, als auch der User relativ schnell merkt, dass SASE deutlich einfacher ist als Lösungen der Vergangenheit«, ergänzt Thomas Wethmar. »Ich muss keinen VPN-Client starten, um mich mit meinem Netzwerk zu verbinden. Das macht das System automatisch. Wenn ich irgendwo hinsurfe, wo ich nicht sein sollte, werden mir eventuell Vorschläge gemacht, was die besseren Alternativen wären und vieles mehr. Also nicht nur verbieten, sondern auch führen, was ein großes Thema ist.«
Fabian Freundt betont den Nutzen von SASE beim Thema NIS2. »Mit SASE und hier besonders mit der User-spezifischen Access Control können wir sehr gut auditieren, wer was wann wo gemacht hat. Das zu dokumentieren, ist eine Vorgabe von NIS2. Es geht auf jeden Fall in die richtige Richtung. Denkt man weiter – die Angriffe nehmen an Geschwindigkeit zu, KI ist zunehmend ein Thema – dann ist eine SASE-Lösung eine sehr gute Möglichkeit, Probleme schneller zu erkennen. Hier könnte KI künftig eine große Rolle spielen, die dabei hilft, viel rascher zu reagieren.«
Auch Stefan Schachinger ist überzeugt, dass KI ein sehr großes Potenzial bei der Weiterentwicklung von SASE bietet. »Die Reise wird definitiv dahin gehen, dass die Konsolidierung noch weiter ausgebaut und das Gesamtwissen, das komponentenübergreifend gesammelt wird, gezielter verwertet wird, um daraus Einzelmaßnahmen abzuleiten. Das ist einer der großen Vorteile einer einheitlichen Lösung wie SASE im Unterschied zu mehreren Silos, die nicht miteinander interagieren.
Be the first to comment