Secure Access Service Edge

Der große SASE-Kaufratgeber

Secure Access Service Edge kombiniert Networking mit Security und stellt das Ganze als Service bereit. Die Angebote sind jedoch höchst unterschiedlich. Lesen Sie, worauf Sie beim Kauf einer SASE-Lösung achten sollten.
Von  und
CSO | 20. Februar 2023 06:04 Uhr
Schöne, neue Security-Welt? Eine SASE-Lösung bringt Sie ein Stück näher an das Idealbild - wenn Sie einige Dinge beachten.
Schöne, neue Security-Welt? Eine SASE-Lösung bringt Sie ein Stück näher an das Idealbild - wenn Sie einige Dinge beachten.
Foto: Gorodenkoff - shutterstock.com

Das Ziel von Secure Access Service Edge (SASE) ist es, Benutzern unabhängig von ihrem Standort einen sicheren und effizienten Zugriff auf Applikationen und Daten zu ermöglichen. Dazu kombiniert SASE Networking- und Security-Funktionalitäten. Allerdings handelt es sich nicht um einzelnes Produkt, sondern vielmehr um einen Ansatz beziehungsweise eine Plattform.

Der Begriff Secure Access Service Edge wurde von der Unternehmensberatung Gartner in einem Forschungsbericht aus dem Jahr 2019 geprägt. Der Name blieb haften und seitdem versuchen etliche Anbieter, möglichst komplette SASE-Angebote zusammenzustellen. Zum jetzigen Zeitpunkt verfügt jedoch kaum ein Anbieter über ein wirklich vollständiges und ausgereiftes SASE-Angebot. Entsprechend warnt Gartner in seiner Strategic Roadmap for SASE Convergence: "Nicht jeder Anbieter, der behauptet, eine SASE-Lösung anzubieten, liefert derzeit alle erforderlichen und empfohlenen Funktionen. Und selbst wenn, weisen nicht alle Anbieter in diesem Bereich den gleichen Reife- und Funktionalitätsgrad auf."

Das ist allerdings kein Grund zur Beunruhigung: Gartner weist darauf hin, dass "die Umstellung von Unternehmen auf ein vollständiges SASE-Modell Zeit braucht". Um ein Gefühl für den groben Zeitrahmen zu vermitteln, prognostizieren die Auguren, dass bis zum Jahr 2025 mindestens 60 Prozent der Unternehmen Strategien und Zeitpläne für die SASE-Einführung implementiert haben werden. Wie schnell ein Unternehmen auf Secure Access Service Edge umstellen kann, hängt von einer Vielzahl von Faktoren ab, darunter:

  • Hardware-Aktualisierungszyklen,

  • das Transformationstempo in Zweigstellen,

  • IT Skill Gaps und

  • organisatorische Unterschiede zwischen Sicherheits- und Netzwerkteams.

Nichtsdestotrotz ist jetzt die richtige Zeit, um diese Umstellung anzugehen. Unser SASE-Kaufratgeber zeigt Ihnen die wichtigsten zur Verfügung stehenden Anbieter. Darüber hinaus gibt er Ihnen auch die wichtigsten Fragen an die Hand, die Sie den Providern vor Vertragsabschluss stellen sollten.

Secure Access Service Edge - Definition

Definieren wir zunächst die in SASE enthaltenen Funktionen:

  • SD-WAN: Die Technologie kommt an entfernten Standorten zum Einsatz, um jede Art von WAN-Datenverkehr zu bündeln, zu sichern und zu optimieren. Ursprünglich vor allem als günstigere Alternative zu teuren MPLS-Verbindungen angepriesen, ist SD-WAN inzwischen für Mitarbeiter in Zweigstellen unverzichtbar geworden, die auf webbasierte Produktivitätsanwendungen zugreifen müssen.

  • FWaaS: Next Generation Firewall-as-a-Service substituiert die Hardware-Firewall durch ein Cloud-basiertes Software-Äquivalent, das deutlich einfacher zu implementieren und zu managen ist. FWaaS umfasst in der Regel IPS/IDS und Anti-Malware.

  • SWG: Secure Web Gateway ist ein Content Filter, der bösartigen Datenverkehr blockiert, aber auch bei der Durchsetzung von Inhalts- und Datenzugriffsrichtlinien hilft. Zu den SWG-Funktionen gehören URL-Filtering, SSL-Inspection und DNS-Monitoring.

  • CASB: Cloud Access Security Broker überwachen sowohl den ausgehenden als auch den eingehenden Datenverkehr auf Sicherheits- und Richtlinienkonformität. CASBs bieten auch Einblicke in SaaS-Anwendungen.

  • ZTNA: Zero Trust ist ein weiterer von Analysten inspirierter Begriff, der ebenfalls eher eine Herangehensweise als ein spezifisches Produkt darstellt. Das Zero-Trust-Konzept sieht vor, dass alle Benutzer und Geräte unabhängig vom Standort als nicht vertrauenswürdig einzustufen sind. Die Benutzer müssen sich bei jeder Anmeldung authentifizieren, haben nur begrenzten Zugriff auf Anwendungen und sollten während der gesamten Sitzung hinsichtlich unbefugter oder verdächtiger Aktivitäten überwacht werden. Zu den Implementierungsmethoden von Zero Trust gehören unter anderem Multi-Faktor-Authentifizierung, eine granulare Zugangskontrolle und Netzwerksegmentierung.

Neben diesen Kernfunktionen von Secure Access Service Edge gibt es noch weitere, sekundäre Funktionen, die bei Ihrer Kaufentscheidung ebenfalls eine Rolle spielen können. Dazu gehören etwa:

  • Remote-Browser-Isolierung,

  • Netzwerk-Sandboxing,

  • Support für nicht-verwaltete Geräte sowie

  • Schutz für Webanwendungen und APIs.

Darüber hinaus können - je nach Anwendungsfall - auch der Schutz von Wi-Fi-Hotspots oder die Unterstützung von Legacy-VPNs Teil des SASE-Pakets sein.

SASE - Anbieterlandschaft

Die Liste der Anbieter von Secure-Access-Service-Edge-Lösungen scheint täglich zu wachsen. Wir haben die Anbieter für Sie kategorisiert:

Netzwerkausrüster

Cisco, Extreme Networks, VMware und andere sind auf den SASE-Zug aufgesprungen. Diese Anbieter haben strategische Übernahmen getätigt und versuchen - entweder intern oder durch Partnerschaften - ein vollständiges SASE-Portfolio zu entwickeln.

Im August hat Extreme beispielsweise Ipanema Technologies, einen SD-WAN/SASE-Anbieter, übernommen. Cisco arbeitet daran, mehrere Akquisitionen unter dem Banner seiner Umbrella-Lösung zu integrieren, darunter Viptela (SD-WAN), Meraki (SD-WAN) und Duo Security (Zero Trust, Multi-Faktor-Authentifizierung). VMware fusioniert seine SD-WAN-Akquisition VeloCloud mit seiner Netzwerkvirtualisierungs- und Sicherheitsplattform NSX. Das Unternehmen pflegt außerdem Partnerschaften mit Menlo Security und Zscaler, um sein SASE-Angebot zu erweitern.

Traditionelle Security-Anbieter

Sicherheitsanbieter wie Palo Alto, McAfee, Forcepoint, Barracuda und Fortinet stellen ebenfalls SASE-Angebote zusammen - auch die traditionellen Sicherheitsanbieter setzen dazu auf Eigenentwicklungen und Übernahmen.

Palo Alto kaufte den SD-WAN-Anbieter CloudGenix, Fortinet sicherte sich den Zero-Trust-Spezialisten OPAQ und Barracuda übernahm das Zero-Trust-Startup Fyde. McAfee kaufte Light Point Security (Browser-Isolierung) und Forcepoint erwarb Bitglass.

Cloud-native Sicherheitsanbieter

Mehrere Unternehmen haben ihre eigenen globalen Cloud-Netzwerke geschaffen und bauen Cloud-native SASE-Funktionalitäten auf. Zu diesen Anbietern gehören Cato Networks, Netskope, Versa und Zscaler. Ähnlich wie die traditionellen Sicherheitsanbieter integrieren auch diese Newcomer eifrig neue SASE-Funktionen in ihr Portfolio. Cato etwa hat vor kurzem bekanntgegeben, eine 200-Millionen-Dollar-Finanzspritze erhalten zu haben. Die soll nach Angaben des Unternehmens dazu verwendet werden, die Entwicklung des CASB-Angebots zu beschleunigen.

Die Content Delivery Network (CDN)-Anbieter Cloudflare und Akamai haben ebenfalls SASE-Funktionen in ihre globalen Cloud-Netzwerke integriert. Auch große TK-Anbieter wie AT&T und Verizon wollen inzwischen am SASE-Markt mitmischen: AT&T hat vor kurzem einen SASE-Dienst angekündigt, der auf Palo-Alto-Equipment basiert. Verizon hingegen kündigte ein SASE-Angebot an, das Technologien von Versa und Zscaler umfasst. Mit letztgenanntem Unternehmen kooperiert auch IBM bei seinem SASE-Offering. Was den europäischen Raum angeht, behauptet etwa die Deutsche Telekom, sie konnte bereits auf "Secure Access Service Edge" zurückgreifen, noch bevor der Begriff geprägt wurde.

Herauszufinden, welche SASE-Funktionalitäten der einzelnen Anbieter "hausgemacht" sind und welche von Dritten übernommen wurden, ist nicht einfach. Dabei kommt jedoch zum Tragen, dass der Begriff Secure Access Service Edge nicht von einem Anbieter, sondern von Gartner definiert wurde. So bleiben in vielerlei Hinsicht kleine Unklarheiten bestehen. In folgenden Bereichen müssen keine Entscheidungen getroffen werden:

  • Hardware vs. Software

  • On-Premises vs. Cloud

  • Best-of-Breed-Point-Produkte vs. strategische Partner

SASE ist per definitionem ein rein Software- und cloud-basierter Managed Service, der von einem oder höchstens zwei Anbietern bereitgestellt werden sollte.

SASE-Lösungen - diese Fragen sollten Sie stellen

Im Folgenden finden Sie einige spezifische Fragen, die Sie bei der SASE-Anbietersuche unterstützen können.

Netzwerkausrüster und Sicherheitsanbieter

  • Bietet der Anbieter alle Funktionen an, die in der Definition von SASE enthalten sind? Wenn nicht, wo liegen die Lücken? Wenn der Anbieter behauptet, alle Funktionen anzubieten, wo liegen dann die Stärken und Schwächen? Wie passt der Reifegrad der Anbieterangebote zu Ihren eigenen Stärken, Schwächen und Prioritäten? Mit anderen Worten: Wenn Ihr wichtigstes Bedürfnis Zero Trust ist und die Stärke des Anbieters SD-WAN, dann passt das Angebot möglicherweise nicht richtig.

  • Wie gut sind die verschiedenen Komponenten, aus denen sich SASE zusammensetzt, integriert? Ist die Integration nahtlos?

  • Angenommen, der Anbieter ist noch dabei, sein SASE-Angebot zu entwickeln, wie sieht dann seine Roadmap aus? Wie sieht der Ansatz des Anbieters in Bezug auf den Ausbau von Fähigkeiten aus? Wie sieht die Erfolgsbilanz des Anbieters bei der Integration früherer Übernahmen aus? Wenn der Anbieter intern entwickelt, wie steht es um die Einhaltung der Produkt-Deadlines?

  • Wem gehört die Cloud eigentlich? Verfügt der Anbieter über eine eigene globale Cloud oder arbeitet er mit einem Partner zusammen? Falls ja, wie gestaltet sich diese Beziehung in Bezug auf Verantwortlichkeiten, Management, SLAs und Fehlerbehebung?

Managed Service Provider

  • Wie viele Points of Presence (PoPs) haben sie und wo befinden sie sich? Stimmt der Cloud-Footprint des Anbieters mit den Standorten Ihrer Niederlassungen überein?

  • Verfügt der Anbieter über den Umfang, die Bandbreite und das technische Knowhow, um eine Line-rate Traffic Inspection zu ermöglichen?

  • Für Cloud-native Anbieter: Wie können Sie nachweisen, dass Ihre selbst entwickelten SASE-Tools beispielsweise mit den Firewall-Funktionen eines namhaften Anbieters in diesem Bereich mithalten können?

  • Besteht das Risiko, dass der Anbieter ein Übernahmeziel sein könnte? Da der Markt weiterwächst, sind weitere Übernahmen wahrscheinlich, wobei die größeren Anbieter möglicherweise die Cloud-native Newcomer aufkaufen.

  • Verfügen die traditionellen Anbieter von Managed Services wie AT&T und Verizon über alle SASE-Funktionen? Woher beziehen sie diese und wie gut sind sie integriert? Wie sieht der Prozess für Fehlerbehebung, SLAs und Support aus? Gibt es ein einheitliches Management-Dashboard?

Alle potenziellen Anbieter

  • Der Nachteil beim SASE-Einsatz manifestiert sich darin, dass die Unternehmen zwar den Vorteil haben, viele Probleme auf die Schultern des Dienstanbieters abwälzen zu können (Bereitstellung, Konfiguration, Aktualisierungen, etc.). Gleichzeitig ist die IT-Abteilung trotzdem gegenüber den Endbenutzern verantwortlich, wenn etwas nicht läuft. Es sollte also eine enge, konstruktive Beziehung zwischen Unternehmen und Serviceanbieter bestehen - insbesondere in Sachen Management.

  • Besteht Flexibilität bei der Durchsetzung von Richtlinien? Mit anderen Worten: Kann eine konsistente SASE-Sicherheitsrichtlinie im gesamten globalen Unternehmen angewandt werden? Und kann diese Richtlinie je nach Geschäftspolitik und Compliance-Anforderungen auch lokal durchgesetzt werden?

  • Selbst wenn die Durchsetzungsknoten lokalisiert sind, gibt es eine SASE-Verwaltungskontrollebene, die eine zentrale Verwaltung ermöglicht? Diese Verwaltungsschnittstelle sollte es ermöglichen, Sicherheits- und Netzwerkrichtlinien von einer einzigen Konsole aus zu verwalten und unabhängig vom Standort des Benutzers, der Anwendung oder der Daten anzuwenden.

  • Wie wird mit sensiblen Daten umgegangen? Welche Möglichkeiten gibt es in Bezug auf Transparenz, Kontrolle und zusätzlichen Schutz?

  • Werden die Richtlinien für alle Arten des Fernzugriffs auf Unternehmensressourcen einheitlich durchgesetzt, unabhängig davon, ob sich diese Ressourcen im öffentlichen Teil des Internets, einer SaaS-Anwendung oder einer Unternehmensapplikation befinden, die vor Ort oder in einer IaaS-Umgebung genutzt wird?

  • Werden die Richtlinien für alle möglichen Zugriffsszenarien konsistent durchgesetzt - für einzelne Endbenutzer, die von einem Heimbüro oder einem entfernten Standort aus auf Ressourcen zugreifen, für Benutzergruppen in einer Zweigstelle sowie für verwaltete und nicht verwaltete Edge-Geräte?

  • Ist das Netzwerk in der Lage, eine Single-Pass-Inspektion des verschlüsselten Datenverkehrs mit Leitungsgeschwindigkeit durchzuführen? Da SASE mehrere Sicherheits- und Policy-Enforcement-Prozesse kombiniert - einschließlich der besonderen Behandlung sensibler Daten - muss die gesamte Datenverkehrsprüfung in einem einzigen Durchgang mit Leitungsgeschwindigkeit erfolgen, um die von den Kunden geforderte Benutzerfreundlichkeit zu gewährleisten.

  • Ist der SASE-Dienst skalierbar, elastisch, widerstandsfähig und über mehrere PoPs hinweg verfügbar? Vergewissern Sie sich, dass der Dienstanbieter die vertraglich festgelegten SLAs einhält.

  • Eines der Schlüsselkonzepte von Zero Trust besteht darin, dass das Verhalten des Endbenutzers während der gesamten Sitzung überwacht und Maßnahmen ergriffen werden sollten, um den Zugriff zu beschränken oder zu verweigern, wenn ein Richtlinienverstoß vorliegt. Kann die SASE-Lösung diese Art von Maßnahmen in Echtzeit umsetzen?

  • Bietet das SASE-Angebot eine transparente und simple Endbenutzererfahrung, unabhängig von Standort, Gerät, Betriebssystem oder Browser?

Secure Access Service Edge - erste Schritte

Gartner selbst stellt klar, dass SASE ein Prozess ist: "Unternehmen können nicht einfach einen Schalter umlegen und SASE einführen. Die überwiegende Mehrheit der SASE-Implementierungen im Enterprise-Bereich wird sich über mehrere Jahre erstrecken. Wobei neben einer Zero-Trust-Sicherheitsarchitektur die Bereiche im Fokus stehen, in denen die Chancen für Kosteneinsparungen, Komplexitätsreduzierungen und Redundanzreduktionen am ausgeprägtesten sind."

Unternehmen sollten sich die Zeit nehmen, eine umfassende Strategie für den Secure-Access-Service-Edge-Einsatz zu entwickeln. Diese sollte sowohl spezifische Zeitpläne als auch messbare Ziele beinhalten. Vergessen Sie dabei nicht, dass SASE mit strategischen Initiativen wie Multi-Cloud-Architekturen, Transformationsprojekten und Zero Trust abgestimmt werden muss. Intern sollten Unternehmen jetzt damit beginnen, die Silos zwischen Netzwerk- und Sicherheitsteams aufzubrechen. Interdisziplinäre Arbeitsgruppen, die sich auch mit der Transformation der Belegschaft und der Zweigstellen befassen, sind ein guter erster Schritt.

Ganz konkret sollten Unternehmen außerdem so schnell wie möglich ihren alten, VPN-basierten Netzwerkzugang über Bord zu werfen und durch Zero Trust Network Access zu ersetzen. Planen Sie Aktualisierungszyklen und stellen Sie eine Strategie auf, um von Appliance-basierten Produkten auf Cloud-basierte Optionen umzusteigen. Das Ziel sollte es sein, die Anzahl der Anbieter systematisch zu konsolidieren, um Kosten zu senken und Komplexität zu reduzieren.

Halten Sie in dieser Übergangsphase die Verträge möglichst kurzfristig, achten Sie auf die Einhaltung von SLAs und stellen Sie Ihre SASE-Migrationspläne immer wieder auf den Prüfstand, wenn sich der Markt weiter konsolidiert und reift.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.

Neal Weinberg schreibt als freiberuflicher Autor unter anderem für unsere US-Schwesterpublikation Network World.
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.