Secure Access Service Edge
Die Vor- und Nachteile einer Single-Vendor-Strategie
Foto: fizkes - shutterstock.com
Für Village Roadshow, Betreiber von Themenparks in Australien, funktionierte vor Ausbruch der Corona-Pandemie eine herkömmliche WAN-Architektur mit zentraler Sicherheit gut. "Wir konnten fortschrittliche Sicherheitsinspektionsdienste einsetzen, Firewalls sorgten für die Netzwerksegmentierung und wir konnten eine entmilitarisierte Zone implementieren", erklärt Michael Fagan, Chief Transformation Officer bei Village Roadshow. Allerdings musste der Datenverkehr für die Sicherheitsprüfung von entfernten Standorten zu einem Rechenzentrum oder Hub umgeleitet werden. Das habe sich auf die Anwendungsleistung ausgewirkt, die Benutzererfahrung verschlechtert und das Unternehmen an Produktivität gekostet.
Als die Pandemie die Mitarbeiter dazu zwang, von zu Hause oder von einem entfernten Standort aus zu arbeiten, veranlasste dies Village Roadshow dazu, seinen Netzwerk- und Sicherheitsansatz zu überdenken. "Eine Person, die von zu Hause aus arbeitet, ist wie eine Zweigstelle", sagt Fagan. "Genauso könnte eine Achterbahn im Freizeitpark als Büro betrachtet werden. Beide Stellen benötigen einen sicheren Zugang zu den Daten, und zwar auf unterschiedliche Weise." Um dieses Problem zu lösen, entschied sich das Unternehmen, eine SASE-Architektur (Secure Access Service Edge) zu implementieren. Davon versprach sich Fagan eine einfachere Bereitstellung und Verwaltung von Sicherheitsfunktionen und Netzwerkfähigkeiten, die einfach skaliert werden können.
Zunächst nutzte Village Roadshow zwei Anbieter, Zscaler und Check Point, für verschiedene Teile des SASE-Stacks. Das Unternehmen erkannte jedoch bald, dass der Markt in Richtung Konvergenz tendierte, so Fagan. Heute nutzt Village Roadshow mit Palo Alto Networks einen einzigen Anbieter, um alle SASE-Funktionen bereitzustellen. Dazu gehören laut Gartner SD-WAN, ein sicheres Web-Gateway, einen Cloud Access Security Broker, Netzwerk-Firewalls und Zero Trust Network Access (ZTNA).
Lesetipp: Vor- und Nachteile von ZTNA
Die Vorteile von SASE
Dadurch hat Village Roadshow Zeit und Geld gespart. "SASE kostet weniger als dedizierte MPLS-Leitungen, ist unabhängig von den Netzbetreibern und skalierbar", sagt Fagan. "So haben wir die Möglichkeit, schnell neue vernetzte Standorte einzurichten, wie Essensstände in unseren Kinos oder Marketing- und Kundentage in unseren Themenparks." Was die Produktivität angeht, müssen sich die Mitarbeiter keine Passwörter mehr merken, um sich mit den VPNs des Unternehmens zu verbinden, oder physische Token am Schlüsselbund tragen. "Es genügt, sich mit einem vom Unternehmen zur Verfügung gestellten Laptop an einem beliebigen Ort mit dem Internet zu verbinden und innerhalb weniger Sekunden ist man im internen Netzwerk", sagt Fagan. "Insgesamt haben wir eine viel bessere Sicherheitslage und einen besseren Schutz für unsere Mitarbeiter, egal ob sie im Büro oder von zu Hause aus arbeiten." Ein unerwarteter Vorteil der Umstellung auf SASE war zudem die Verringerung der Anzahl der Anrufe beim Service Desk, wodurch sich die Teammitglieder auf andere Aufgaben konzentrieren können, die sich nicht automatisieren lassen", ergänzt Fagan.
Village Roadshow ist nicht das einzige Unternehmen, das seine SASE-Infrastruktur konsolidieren möchte. Vor allem kleinere und mittelgroße Unternehmen können von SASE profitieren, meint Jeffrey Caso, Associate Partner des Beratungsunternehmens McKinsey & Company. "Es gibt eine bedeutende Marktchance für Hersteller und Service Provider, herkömmliche Sicherheitsdienste auf Unternehmensniveau dem Mittelstand sowie kleinen und mittleren Unternehmen anzubieten", sagt Caso. "Für viele kleinere Unternehmen ist SASE eine Gelegenheit sich eine All-in-One-Sicherheits- und Netzwerklösung anzuschaffen, die es ihnen ermöglicht, fortschrittlichere Sicherheit ohne die Komplexität oder den Preis von Einzellösungen einzusetzen."
Allerdings gilt es laut Fagan zu beachten, beim Einsatz von SASE die Services von nur einem Anbieter zu beziehen: "In meiner früheren Position als CIO habe ich die Erfahrung gemacht, dass Switches und Router von zwei verschiedenen Anbietern nicht miteinander funktionierten, und beide zeigten mit dem Finger auf den jeweils anderen. Sie müssen sicherstellen, dass Sie Technologien einsetzen, die sich nahtlos integrieren lassen, damit Sie Ihren Technologie-Stack vereinfachen und konsolidieren und so viel Komplexität wie möglich beseitigen können."
Lesetipp: Der große SASE-Kaufratgeber
Netzwerk und Sicherheit zusammenführen
Auch Gartner beobachtet ein wachsendes Interesse von Kunden an SASE-Plattformen eines einzigen Anbieters, so der Analyst Andrew Lerner, der sich für das Forschungsunternehmen mit Unternehmensnetzwerken beschäftigt. Kleine Unternehmen ohne separate Sicherheits- und Netzwerkteams seien, genauso wie große Unternehmen mit eigenen Architekturteams an Lösungen eines einzigen Anbieters interessiert. Übergreifende Architekturteams könnten jedoch dabei helfen, über das Tagesgeschäft hinaus zu sehen und die Herausforderungen besser zu erkennen, die mit der Verwendung mehrerer Anbieter einherkommen. Zu den Herausforderungen gehören die verschiedenen Integrationspunkte, Richtlinien und Verwaltungsebenen. "Das alles muss miteinander verknüpft werden, was zu administrativer Ineffizienz und irreführenden Verkehrsflüssen führen kann", sagt Lerner.
Für Unternehmen, die einen Best-of-Breed-Ansatz oder getrennte Ansätze für Netzwerke und Security verfolgen, kann die Zusammenführung der beiden Bereiche eine Herausforderung darstellen - vor allem für das Management. "Man muss die Teams dazu bringen, zusammenzuarbeiten und regelmäßig zu kommunizieren. Außerdem muss die Teamleistung auf der Grundlage von Geschäftsergebnissen und nicht auf der Grundlage von isolierten organisatorischen Metriken gemessen werden", sagt Lerner. Darüber hinaus gibt es noch weitere Herausforderungen zu bewältigen. Zum Beispiel können verschiedene Systeme unterschiedliche Aktualisierungs- und Erneuerungszyklen haben. Die SD-WAN-Funktion könnte möglicherweise zur Erneuerung anstehen, aber ein Unternehmen hat vielleicht nicht das Budget oder die Möglichkeit, auch eine Aktualisierung der Security-Komponente bis zum nächsten Jahr in Angriff zu nehmen.
Zudem kann es sein, dass das Netzwerkteam und das Sicherheitsteam unterschiedliche Anbieter bevorzugen, die jedoch nicht kompatibel miteinander sind. Will man SASE mit nur einem Anbeter umsetzen, müssen die Teams sich einigen. "SASE ist eine Gelegenheit für Netzwerk- und Sicherheitsteams, ihre Kräfte zu bündeln und der Sicherheit eine größere Rolle zukommen zu lassen", sagt Allie Earle, Partnerin bei der Parthenon Software Strategy Group von Ernst & Young. "Die Art und Weise wie Unternehmen arbeiten, interagieren und ihren Footprint ausbauen, muss die Sicherheit von Anfang an in den Vordergrund stellen. Je schneller die Unternehmen erkennen, dass beide Aspekte miteinander harmonieren müssen, desto besser werden sie in der Lage sein, sicher zu skalieren und zu wachsen."
Lesetipp: Das sollte Ihr Managed-SASE-Anbieter können
Risiken der Single-Vendor-Strategie
Alle SASE-Komponenten von einem einzigen Anbieter zu beziehen, erleichtert zwar die Implementierung und Verwaltung, birgt aber auch einige Nachteile. "So kann ein einzelner Anbieter zwar alle Funktionen anbieten, aber nicht in jedem Bereich über die besten Punktlösungen verfügen", sagt Earle von Ernst & Young. Außerdem verändern sich Unternehmen und ihre Anforderungen ständig. "Mit all den unterschiedlichen Datenbereichen, dem Secure Edge, der Cloud, dem IoT ist es schwer vorherzusagen, wie sich Ihr Unternehmen entwickeln wird", sagt Earle. Ein einzelner SASE-Anbieter, der heute gut passe, sei morgen möglicherweise nicht mehr der Beste.
Auch CloudFactory, ein Unternehmen für die Auslagerung von Geschäftsprozessen, hat sich dazu entschlossen, SASE mit nur einem Anbieter umzusetzen. Shayne Green, Leiter der Sicherheitsabteilung bei CloudFactory, wog die Vor- und Nachteile ab. "Sich zu sehr auf einen einzigen Anbieter zu verlassen, ist immer ein gewisses Risiko, vor allem, wenn Ihr Unternehmen von den Dienstleistungen des Anbieters abhängig ist", sagt Green. "Aus diesem Grund ist es immer sinnvoll, zu diversifizieren. Außerdem hält die Zusammenarbeit mit mehreren Anbietern die Wettbewerbsfähigkeit aufrecht." Andererseits könne es in der SASE-Welt bei so vielen Überschneidungen in der Funktionalität zwischen verschiedenen Anbietern ineffizient sein, mehrere Anbieter zu nutzen. "Außerdem kann ein einziger Anbieter aufgrund der gegenseitigen Abhängigkeit engagierter sein", sagte er. "Streben Sie eine starke Partnerschaft mit Ihrem Anbieter an und fordern Sie ihn heraus, da dies wiederum zur allgemeinen Weiterentwicklung der Technologie beitragen wird."
Lerner empfiehlt, ein funktionales Pilotprojekt an einem realen Standort oder mit einer realen Benutzerbasis durchzuführen, um Erfahrungen zu sammeln, kürzere Vertragslaufzeiten zu wählen, mit den Referenzkunden des Anbieters zu sprechen und ihn einer sorgfältigen Prüfung zu unterziehen. So können Unternehmen sichergehen, dass der Anbieter für ihren tatsächlichen Anwendungsfall geeignet ist. (ms)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.