Brücke Diepoldsau

SASE = SSE + SD-WAN: Doch was sind SWG, CASB, ZTNA, etc.?

Secure Access Service Edge (SASE) kombiniert SD-WAN mit Security-Funktionen (SSE) um die Zugangsanforderungen heutiger Unternehmen zu erfüllen. SASE wird als zentraler, cloudbasierter Service innerhalb der Firma bereitgestellt, um ein einheitliches, effektives und zentrales Richtlinien-Management zu gewährleisten. Im wesentlichen verbinden sich Clients und Standorte nicht mehr direkt untereinander, sondern über einen Cloud-Service. Dieser bietet so die Möglichkeit, schnell auf Geschäftsveränderungen in sämtlichen Niederlassungen und mobilen Arbeitsplätzen zu reagieren.

SASE ist eine Architektur, welche von den Herstellern unterschiedlich beworben wird. Hersteller der ersten Stunde verfügen über ein ganzheitliches Portfolio, welches Soft- und Hardware umfasst. Andere Hersteller entwickeln sich erst in diese Richtung, weshalb SSE und SD-WAN oft noch eigenständige Produkte mit entsprechenden Schnittstellen sind.

SSE

Security Service Edge oder auch mit dem Akronym SSE bekannt, ist die Zusammenfassung der Sicherheitskomponenten von SASE, die den Zugriff auf das Internet, SaaS-Anwendungen und private Anwendungen schützt. Dazu gehören fortschrittliche Sicherheitsfunktionen wie Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Firewall-as-a-Service (FWaaS).

SD-WAN

SD-WAN ist die Abkürzung für Software-Defined Networking (SDN) in einem Wide Area Network (WAN). SD-WAN vereinfacht die Verwaltung und den Betrieb eines WAN, indem die Netzwerkhardware von ihrem Steuerungsmechanismus entkoppelt wird. Eine Hauptanwendung von SD-WAN besteht darin, Unternehmen den Aufbau effizienterer WANs mit kostengünstigen, handelsüblichen Internetverbindungen zu ermöglichen. Auf diese Weise können Unternehmen teure private WAN-Technologien wie MPLS teilweise oder vollständig ersetzen.

Use Cases

Secure Internet Access

Sicherer Zugriff auf Internetressourcen durch Funktionen wie DNS- und URL-Filterung sowie Website-Analyse. SASE ersetzt herkömmliche Sicherheitslösungen wie Proxy-Server und Sandboxes, indem sie deren klassische Funktionen mit der Flexibilität der Cloud vereint.

Secure Private Access

Sicherer Zugriff auf private Ressourcen z.B. im Datacenter, Public Cloud oder SaaS. SASE ersetzt und erweitert den klassischen VPN-Client und ermöglicht einen flexibleren und granulareren Zugriff auf private Ressourcen.

Vorteile

  • Eine einheitliche Netzwerk- und Security-Plattform ermöglicht eine flexible und dynamische Architektur.
  • Geringere Kosten da das Ökosystem reduziert werden kann. In vielen verschiedenen Umgebungen sind verschiedene Sicherheitstechnologien in doppelter Form vorhanden.
  • Die Komplexität von WAN und Netzwerk Security Funktionen werden reduziert und vereinheitlicht. Ebenso sind komplette Anbindungen von Zweigstellen in wenigen Stunden möglich.
  • Die User Experience wird durch einen einheitlichen SASE-Client deutlich gesteigert. Der Benutzer muss nicht mehr mit einem VPN-Client interagieren.
  • Die Produktivität wird durch zentrale SASE-Services gesteigert. Das Unternehmen kann sich auf die eigentlichen wirtschaftlichen Ziele ausrichten.
  • Der Datenschutz wird erhöht durch kontextbasierendes DLP. Somit können Daten nicht mehr so einfach missbraucht oder weitergegeben werden. Das Risiko einer Datenschutzverletzung kann deutlich minimiert werden.
  • Durchsetzung von Security Richtlinien über sämtliche Ebenen hinweg trägt zu besserer Visibilität bis zum Endpunkt bei.

Glossar

Nächste Generation Firewall (NGFW)

NGFW kombiniert eine traditionelle Firewall mit anderen Funktionen von Sicherheit und Netzwerk, welche auf ein virtualisiertes Rechenzentrum ausgerichtet sind. Zu den Sicherheitsfunktionen gehören Anwendungskontrolle, Deep Packet Inspection und Encrypted Packet Inspection, Intrusion Prevention, Website-Filterung, Anti-Malware, Identitätsmanagement, Threat Intelligence, WAN Quality of Service und Bandwidth Management.

Firewall-as-a-Service (FWaaS)

Bei FWaaS handelt es sich um eine Firewall, die als Cloud-Service und nicht als Software oder Hardware vor Ort angeboten wird, wobei meistens NGFW-Funktionen als FWaaS verkauft werden. Im Normalfall ist eine Einrichtung mit einer einzigen FWaaS-Cloud verbunden, ohne dass der Nutzer eigenständig eine Firewall-Infrastruktur unterhalten muss.

Secure Web Gateway (SWG)

Ein SWG überwacht und filtert den Datenverkehr zwischen Nutzern und dem Internet, um Bedrohungen abzuwehren und die Einhaltung von Unternehmensrichtlinien zu gewährleisten. Es schützt vor Malware, unbefugtem Zugriff und Datenverlust durch Funktionen wie URL-Filterung, Antivirus-Scanning und Datenverlustprävention (DLP).

Cloud Access Security Broker (CASB)

Ein CASB dient als Vermittler zwischen Nutzern und Cloud-Diensten, um die Sicherheit und Compliance beim Zugriff auf Cloud-Anwendungen zu gewährleisten. CASBs bieten Funktionen wie Sichtbarkeit, Datenverschlüsselung, Bedrohungsschutz und Richtlinienkontrolle, um sensible Daten zu schützen und unautorisierten Zugriff zu verhindern.

Zero Trust Network Access (ZTNA)

ZTNA ist ein Sicherheitsmodell, das den Netzwerkzugriff streng überprüft und nur authentifizierten und autorisierten Benutzern sowie Geräten den Zugriff auf Anwendungen und Daten erlaubt, unabhängig von ihrem Standort. ZTNA basiert auf dem Prinzip “niemals vertrauen, immer verifizieren” und gewährleistet eine kontinuierliche Überprüfung und Überwachung aller Zugriffe, um Sicherheitsrisiken zu minimieren. 

Remote Browser Isolation (RBI)

RBI ist eine Sicherheitslösung, die Webinhalte auf einem entfernten Server ausführt und nur die sichere, gefilterte Darstellung an das Endgerät des Nutzers überträgt. Dadurch werden potenzielle Bedrohungen wie Malware und Phishing-Angriffe isoliert und von den lokalen Netzwerken und Geräten ferngehalten.

Data Loss Prevention (DLP)

DLP bezeichnet Strategien und Technologien, die darauf abzielen, den ungewollten Verlust, Missbrauch oder die unbefugte Weitergabe sensibler Daten zu verhindern. DLP-Systeme überwachen, erkennen und blockieren Datenbewegungen sowohl innerhalb eines Netzwerks als auch nach aussen, um die Datensicherheit zu gewährleisten.