Das sollte Ihr Managed-SASE-Anbieter können

Aus sechs Unternehmen entstand AmerCareRoyal, ein Anbieter von Einwegprodukten für das Gastronomie- und Hotelgewerbe. Bei so vielen Fusionen und Übernahmen in nur wenigen Jahren konnte das Netzwerk-Security-Setup nicht mehr mithalten. Deshalb wollte Jeff DeSandre, der 2019 als CIO in das Unternehmen eintrat, eine SD-WAN-Plattform einrichten, die über moderne Verwaltungsoptionen und Firewalls verfügte. Nachdem er sich auf dem Markt umgesehen hatte, fügte er seiner Wunschliste Funktionen zur Erkennung von Anomalien und Reaktion auf Bedrohungen hinzu. "Ich konzentrierte mich zuerst darauf, unser Wide Area Network schnell in den Griff zu bekommen und unseren Edge zu sichern, und dann sicherzustellen, dass die Lösung, für die ich mich entschied, zu meiner langfristigen Roadmap passte", erklärt der CIO.

Jetzt kostenlos für den CSO-Newsletter anmelden

SASE als Managed Service

Letztendlich kaufte DeSandre für AmerCareRoyal eine SASE-Lösung ein. Der Begriff Secure Access Service Edge wurde erstmals von Gartner 2019 definiert und bezeichnet eine Netzwerkarchitektur, die SD-WAN mit Sicherheitsdiensten wie Secure Web Access Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Firewall as a Service (FWaaS) in einem einzigen, in der Cloud bereitgestellten Servicemodell kombiniert.

Zwar prognostiziert Gartner, dass 80 Prozent der Unternehmen bis 2025 eine SASE-Architektur eingeführt haben werden, doch die Implementierung des Modells kann eine Herausforderung sein. Bei AmerCareRoyal etwa waren die IT-Mitarbeiter nicht ausreichend geschult, um selbst neue Netzwerk- und Sicherheitsfunktionen einzurichten und zu warten. Zum damaligen Zeitpunkt waren Weiterbildungen oder die Einstellung neuer Mitarbeiter keine Option für das Unternehmen. "Wenn Technologie nicht das Kerngeschäft eines Unternehmens ist, kann es für dieses schwierig sein, qualifizierte Netzwerkspezialisten zu finden und zu halten. Ebenso schwierig ist es, das Netzwerk rund um die Uhr und 365 Tage im Jahr zu überwachen und den sicheren Betrieb aufrechtzuerhalten", sagt DeSandre.

Der CIO wollte für diese Aufgaben Experten: "Ich wollte die Besten. Ich wollte Leute, deren tägliche Aufgabe Netzwerksicherheit ist, und die schon mit verschiedenen Kunden zusammengearbeitet haben und wissen, wie ein SASE-Modell aussehen muss." Deshalb entschied sich AmerCareRoyal für die Bereitstellung von SASE durch den Managed Service Provider (MSP) Open Systems. Die SASE-Infrastruktur würde die Sicherheits- und Netzwerkanforderungen abdecken, und das Team des Anbieters würde das Fachwissen bereitstellen, das das Unternehmen für eine ordnungsgemäße Implementierung und laufende Verwaltung benötigte.

Lesetipp: Was Sie über SASE wissen sollten

Managed SASE in der Praxis

"Es dauerte etwa drei Monate, bis wir mit der Bereitstellung beginnen konnten. Das war während der Covid-Pandemie, die die Dinge ein wenig verlangsamte", erinnert sich DeSandre. Die Ergebnisse seien jedoch hervorragend gewesen. Im Laufe der Zeit integrierte das Unternehmen deshalb weitere Sicherheitskomponenten. Zu den Sicherheitsfunktionen, die AmerCareRoyal nun von Open Systems bezieht, gehören das E-Mail Gateway sowie weitere Gateway Services, in diesem Jahr soll auch noch CASB dazukommen.

Trotz der Inanspruchnahme der Dienstleistung ist das inhouse IT-Team von AmerCareRoyal nicht überflüssig. Stattdessen ist das Unternehmen nun in der Lage, sich auf die Geschäftsexpansion zu konzentrieren. "Wir haben immer noch sehr erfahrene und talentierte Infrastruktur-Ressourcen im Team", sagt DeSandre. "Sie konzentrieren sich jedoch auf Wachstum und Innovation statt auf laufende Aktivitäten. Das bedeutet einen messbaren Wert für das Unternehmen."

AmerCareRoyal ist nicht das einzige Unternehmen, das sich an einen Managed-SASE-Dienst einkauft, um sein IT-Team zu entlasten. Nichtsdestotrotz sei Managed SASE noch relativ neu und existiere in dieser Form erst seit 2021, so Jonathan Forest, Senior Director und Analyst bei Gartner. "Ein MSP kann die SASE-Implementierung zu einer praktikablen Option für ein Unternehmen machen, für das es schwierig oder unmöglich wäre, dies selbst zu tun", erklärt er. Trotzdem sollten Unternehmen die Vor- und Nachteile sorgfältig abwägen und sich vergewissern, dass sie ein Maximum an Wert und Servicequalität erhalten, bevor sie sich für einen MSP entscheiden.

Lesetipp: MSSPs - 6 Risiken, die Sie im Blick haben sollten

Vorteile von Managed SASE

Der oftmals entscheidende Grund für Managed SASE besteht darin, dass Unternehmen nicht mehr selbst Experten vorhalten müssen, sondern sich das Knowhow einkaufen. Vor dem Hintergrund des akuten Fachkräftemangels ist das ein großer Mehrwert. Eine Studie der Manpower Group ergab, dass 76 Prozent der IT-Arbeitgeber Schwierigkeiten haben, die benötigten Hard- und Softskills zu finden. Anbieter wie Open Systems, Cato Networks, Versa Networks oder Zscaler haben sich auf SASE spezialisiert und verfügen über das nötige Personal mit Fachkenntnissen.

"Es gibt auch einen finanziellen Vorteil", erklärt Iljoskhuja Ikromkhujaev, Softwareingenieur beim Softwareentwickler Nipendo: "Durch die Auslagerung der Bereitstellung und Verwaltung Ihrer SASE-Infrastruktur können Sie den Bedarf an internem IT-Personal und Hardware reduzieren, was zu Kosteneinsparungen führt."

Während ungeübte IT-Teams bei der SASE-Implementierung oftmals SD-WAN mit Sicherheitstechnologien von verschiedenen Herstellern kombinieren - was die Implementierung erschweren und Sicherheitslücken in den Schnittstellen begünstigen kann - bieten MSPs Technologien und Tools, die aufeinander abgestimmt sind. "Die Käufer können eine relativ nahtlose Anwendung der Richtlinien erwarten", sagt Vincent Berk, Chief Revenue and Strategy Officer beim IT-Beratungsunternehmen Quantum Xchange. "Hinzu kommt, dass die Netzwerk- und Sicherheitsabläufe integriert und ebenfalls auf die verwendeten Technologien abgestimmt sind - das ergibt ein überzeugendes Gesamtpaket."

Lesetipp: Was Sie über Managed Security Services wissen sollten

Herausforderungen bei Managed SASE

Wenn sich ein Unternehmen für einen Managed Service für SASE entscheidet, verlässt es sich darauf, dass der Dienstleister alle Facetten seiner Infrastruktur abdeckt. Das bedeutet aber nicht, dass das Unternehmen damit völlig aus dem Schneider ist. Wie DeSandre weiß, müssen Unternehmen in vielen Fällen erst einige Vorarbeit leisten, um mit dem MSP zusammenarbeiten zu können. "Eine Herausforderung war zunächst die Einhaltung der Best Practices, die unser Anbieter durchsetzt", sagt er. "Dadurch waren wir gezwungen, uns viele schlechte Gewohnheiten, die über die Jahre hinweg bei uns standardisiert wurden, abzugewöhnen, was anfangs schmerzhaft war."

AmerCareRoyal musste alle Firewall-Regeln neu erstellen und einige schlechte Prozesse korrigieren, da SASE sonst nicht effizient implementiert werden konnte. "Es ging darum, die Art und Weise, wie wir unsere Infrastruktur aufbauen, zu überprüfen und die Anwendungen, die wir auf der Firewall-Ebene ausführten, auf die Kernanwendungsebene zu verlagern", sagt DeSandre. Das Unternehmen testete den Service erst an nur einem Standort, um sicherzustellen, dass alles in Ordnung war. "In den ersten drei Monaten ging es vor allem darum, die Sünden der Vergangenheit zu beseitigen", sagt der CIO. "Wir mussten wirklich intensiv an den Macken in unserer Infrastruktur arbeiten, aber dann ging es ziemlich schnell."

Sich auf einen MSP zu verlassen, der SASE für ein Unternehmen betreibt, kann auch Risiken bergen. Eines davon ist die Gefahr der Abhängigkeit. Möglicherweise hat der Kunde weniger Kontrolle über seine eigene Infrastruktur, meint David Farkas, Gründer und CEO des Werbedienstleisters The Upper Ranks. "Wenn es beim Anbieter zu Problemen oder Ausfällen kommt, kann sich das auf die Sicherheit des Unternehmens und den Zugang zu den Ressourcen auswirken."

Ein weiteres Risiko von Managed SASE ist es, Technologien einsetzen zu müssen, die möglicherweise nicht den eigenen Bedürfnissen entsprechen. "Wenn ein Unternehmen einen MSP beauftragt, hat es unter Umständen keine große Auswahl bei den verwendeten Technologien", sagt Ikromkhujaev. "Sie haben möglicherweise weniger Kontrolle über die Konfiguration und Anpassung Ihrer SASE-Infrastruktur."

"Jedes Unternehmen ist was seine Aufgaben und Bedürfnisse angeht einzigartig. Die ineinandergreifenden SASE-Technologien, die ein MSP anbietet, können dem Käufer viel Flexibilität und die Fähigkeit nehmen, seine Anforderungen an die Konnektivität an die Ziele des Unternehmens anzupassen", warnt Berk. Wenn ein Kunde nicht genau verstehe, was ein Hersteller eigentlich anbietet, könne dies ebenfalls zu Schwierigkeiten führen. "Es ist wichtig, dass das Unternehmen weiß, wie es mit seinem Service Provider interagieren kann und somit in der Lage ist, zur Lösung von Problemen beizutragen", ergänzt Rik Turner, Senior Principal Analyst bei Omdia.

Doch CISOs sollten nicht nur die technischen Herausforderungen, die Managed SASE mitbringt, auf dem Schirm haben. Es kommen außerdem die vertraglichen Inhalte hinzu, die es mit dem MSP zu klären gilt. "Unternehmen sollten auf die Service Level Agreements ein besonderes Augenmerk legen, um eine möglichst kurze Reaktionszeit ihres MSPs zu erhalten", sagt Maxime Martelli, Consulting Cybersecurity Manager und SASE Leader bei ISG. Kunde und Anbieter müssen sich auf den Umfang des Services einigen, Überschneidungen mit bestehenden Sicherheitslösungen sollten vermieden werden. Zudem sollte der MSP sich selbst um die Verwaltung der SASE-Lösung kümmern, ohne mit weiteren Dienstleistern dafür zusammenzuarbeiten, so Martelli.

Lesetipp: Gibt es bald den "CISO-as-a-Service"?

Der ideale SASE-Dienstleister

Wie bei jedem Managed Service, können sich auch Anbieter von Managed SASE mit zusätzlichen Funktionen von ihren Konkurrenten abheben. Mögliche Add-ons sind zum Beispiel Managed Operations and Response Services, Detection and Response Services und Threat Intelligence. Um sich für einen Anbieter zu entscheiden, sollten CISOs sich der Bedürfnisse ihres Unternehmens bewusst werden. Dann können sie beurteilen, welcher Dienstleister für sie den größten Mehrwert liefern kann.

"Unternehmen sollten sich mit einem Managed Service Provider zusammenschließen, der über adaptive Netzwerktechnologien, globale Konnektivität und Sicherheitspakete verfügt, die die Funktionalität von SD-WAN mit Cloud-Sicherheitsfunktionen wie ZTNA, SWG, CASB und Firewall as a Service integrieren", sagt Ken Bisnoff, Senior Vice President und Channel Chief beim Telekommunikationsunternehmen GTT.

Zudem sollten die Entscheider darauf achten, dass der Dienstleister ihrer Wahl die richtigen Spezialisten wie Lösungsarchitekten, Designingenieure und technische Manager im Team hat, empfiehlt Bisnoff. "Sie sollten auch nach Anbietern Ausschau halten, die globale Tier-1-Internetkonnektivität und sichere Netzwerke bereitstellen können", fügt er hinzu. "Das ist wichtig, da das erweiterte Internet heute in vielen Unternehmensnetzwerken eine führende Rolle spielt und beispielsweise SD-WAN unterstützt, wobei die Sicherheit die Qualität der Netzwerkleistung und des Online-Erlebnisses nicht beeinträchtigen darf."

Gartner-Analyst Forest bringt es auf den Punkt: Ein Unternehmen sollte sich vergewissern, dass sich die Kosten für einen Managed Service Provider lohnen. "Fragen Sie sich: Was leistet der MSP über das hinaus, was das Unternehmen nicht vom SASE-Hersteller direkt bekommen kann", sagt Forest. "Verfügt der MSP über Partnerschaften mit anderen Herstellern, um einen zusätzlichen Mehrwert zu schaffen?" Managed SASE müsse ein besseres Service-Erlebnis bieten, leistungsfähiger und flexibler sein und die Fehlerbehebung schneller machen als der Betrieb von SASE im Alleingang.

"Unterm Strich sollten Unternehmen darauf achten, dass sie für Managed SASE nicht zu viel bezahlen und den gebotenen Mehrwert skeptisch burteilen, um sicherzustellen, dass der Service nachweislich besser ist als das, was das Unternehmen nur in Zusammenarbeit mit dem Hersteller für sich tun kann", sagt Forest.

Heute ist DeSandre mit den Ergebnissen des Managed-SASE-Dienstes von Open Systems sehr zufrieden: "Ich muss mir keine Sorgen mehr machen, ob unser Netzwerk reibungslos läuft, oder noch schlimmer, ob es angegriffen wird." (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.