Secure Access Service Edge

Ist SASE wirklich neu oder alter Wein in neuen Schläuchen?

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
SASE-Plattformen werden immer populärer, weil sie eine Möglichkeit bieten, die zusätzlichen Aufgaben durch die Vielzahl an Konnektivitäts- und Sicherheitslösungen (SD-WAN, Firewalls, IPS- und VPN-Systeme) in den Griff zu bekommen. Doch was ist neu und was nur neu verpackt?
Noch ist umstritten, ob mit SASE ein wirklich guter, neuer Wein entsteht, oder ob unter dem Begriff nur ein Reihe von vorhandenen Technologien als alter Wein in neuen Schläuchen angepriesen wird.
Noch ist umstritten, ob mit SASE ein wirklich guter, neuer Wein entsteht, oder ob unter dem Begriff nur ein Reihe von vorhandenen Technologien als alter Wein in neuen Schläuchen angepriesen wird.
Foto: ZemfiraS - shutterstock.com

"Vertrauen in die Cloud ist top, Cloud-Zugang oft ein Flop", so die knappe und eingängige Zusammenfassung des Anfang dieses Jahres vorgestellten SASE-Reports von Barracuda Networks. Für den hatte das Marktforschungsunternehmen Censuswide IT-Verantwortliche weltweit befragt. Von den Befragten nutzen mehr als drei Viertel Cloud-Anbieter wie AWS, Microsoft Azure und GCP. Allerdings schaffen es 56 Prozent nicht, für ihr Unternehmen nahtlose Verfügbarkeit und jederzeit Zugriff auf Cloud-Anwendungen sicherzustellen. Fast 70 Prozent berichten von Latenz- und Leistungsproblemen bei SaaS-Workloads, beispielsweise Microsoft 365.

Teuer ist das Ganze auch noch. Denn über 70 Prozent der Befragten nutzen "traditionelle Zugangsmethoden" - allen voran MPLS -, und mehr als 60 Prozent berichten, dass die Kosten dafür aufgrund von saisonalen Lastspitzen stark ansteigen. Mehr als 70 Prozent der Befragten planten, in den kommenden zwölf Monaten eine SD-WAN-Lösung zu implementieren, um Probleme mit der Cloud-Konnektivität zu lösen. Gleichzeitig befürchten fast 60 Prozent, dass es komplex und teuer wird, eine SD-WAN-Lösung einzuführen.

Auch Netmotion, eines der Unternehmen, die sich als SASE-Spezialisten positionieren, hat im Januar 750 IT-Verantwortliche zu SASE befragt. Davon haben zwölf Prozent das Konzept vollständig umgesetzt. Rund ein Viertel machte im Bereich SASE bisher nichts. Allerdings ist das Potenzial groß: Bis 2024 wollen mindestens 40 Prozent eine Strategie für die Umsetzung im eigenen Unternehmen haben.

SASE und Zero Trust Edge (ZTE)

Gartner bezeichnet mit SASE die Konvergenz einer Reihe von Netzwerk- und Sicherheitslösungen. Dazu gehören SD-WAN, Zero Trust Network Access (ZTNA) beziehungsweise Angebote für "Software-defined Perimeter ebenso wie Cloud Access Security Broker (CASB) und die traditionelle Firewall. Diese Komponenten werden nach Vorstellung von Gartner alle zusammengefasst und einheitlich aus der Cloud bereitgestellt. Vorzeigeanbieter für SASE ist laut Gartner Cato Networks, das sich genau darauf spezialisiert hat. Aber andere haben inzwischen ähnliche Angebote entwickelt.

2020 war VPN bei den von Netmotion befragten Unternehmen das am häufigsten eingesetzte Cloud Security Tool. Nur 15 Prozent nutzten ZTNA/SDP (Software defined Perimeter). Von den Befragten setzten übrigen nur 4 Prozent komplett auf die Cloud, alle anderen hielten zumindest irgendwelche Ressourcen noch lokal vor.
2020 war VPN bei den von Netmotion befragten Unternehmen das am häufigsten eingesetzte Cloud Security Tool. Nur 15 Prozent nutzten ZTNA/SDP (Software defined Perimeter). Von den Befragten setzten übrigen nur 4 Prozent komplett auf die Cloud, alle anderen hielten zumindest irgendwelche Ressourcen noch lokal vor.
Foto: Netmotion

Auch die Analysten von Forrester sehen einen Bedarf nach neuen Strategien bei der Absicherung von Firmennetzwerken. Sie verwenden den Begriff Zero Trust Edge (ZTE), beschreiben im Grunde jedoch das gleiche Konzept wie Gartner mit SASE. Wichtiger Unterschied, ist, dass bei Forrester Zero Trust stärker betont wird. Allerdings scheint sich bei den Herstellern der Begriff SASE durchgesetzt zu haben - vielleicht auch, weil Zero Trust Edge (ZTE) als Überbegriff, unter dem auch Zero Trust Network Access (ZTNA) unterkommen muss, einfach zu verwirrend ist.

Schub durch die Coronapandemie

Als Framework für die Sicherheit in stark verteilten ­hybriden Infrastrukturen hat SASE durch die Pandemie einen gewaltigen Schub erhalten. Schließlich wurden dadurch auch viele Unternehmen gezwungen, sich auf Homeoffice, Remote-Zugriff und Cloud-Nutzung (SaaS-Dienste) einzustellen. Das untermauern auch Ergebnisse einer weltweiten Umfrage von Check Point Software unter 450 IT- und Sicherheitsexperten.

„Die Verlagerung zu dezentralem und hybridem Arbeiten ist eine der wichtigsten Veränderungen, die als Folge der Covid-19-Pandemie stattgefunden hat", sagt Rafi Kretchmer, VP of Product Marketing bei Check Point Software.
„Die Verlagerung zu dezentralem und hybridem Arbeiten ist eine der wichtigsten Veränderungen, die als Folge der Covid-19-Pandemie stattgefunden hat", sagt Rafi Kretchmer, VP of Product Marketing bei Check Point Software.
Foto: Check Point Software

Darin sagen 45 Prozent, dass Unternehmen mit der Umstellung auf Remote-Arbeit einem höheren Risiko von Cyberangriffen ausgesetzt sind. Als problematisch sehen die Befragten vor allem die Skalierung der Leistung (46 Prozent) sowie die Unterstützung des Fernzugriffs für nicht verwaltete Geräte der Mitarbeiter (40 Prozent). Um Fernzugriff für zusätzliche Mitarbeiter zu ermöglichen, setzten der Umfrage zufolge 69 Prozent auf Kapazitäten im eigenen Netzwerk, 66 Prozent auf cloudbasierende Sicherheitslösungen und 36 Prozent auf einen Mix.

Interessant ist in dieser Umfrage, dass 94 Prozent der Befragten Secure Access Service Edge als Framework schon kennen. 9 Prozent gaben an, dass sie es bereits umgesetzt haben, 21 Prozent planen dies zu tun. Bei Foremn ist also großes Interesse da. „Die Verlagerung zu dezentralem und hybridem Arbeiten ist eine der wichtigsten Veränderungen, die als Folge der Covid-19-Pandemie stattgefunden hat", sagt Rafi Kretchmer, VP of Product Marketing bei Check Point Software.

Das hohe Interesse am SASE-Konzept erklärt er folgendermaßen: "Viele Unternehmen mussten in ihren verteilten Umgebungen Kompromisse bei der Netzwerkleistung und dem Schutz eingehen, weil sie mehrere verschiedene Produkte einsetzen, was zu einer komplexen Verwaltung und einer fragmentierten Bedrohungsübersicht führt.“

„Unternehmen erkennen, dass der Wechsel zu SaaS-Anwendungen und der öffentlichen Cloud sowohl die Benutzererfahrung als auch die Sicherheit verbessert, sodass sie beginnen, neue SASE-Technologien zu nutzen“, sagt Klaus Gheri, Vice President Network Security, bei Barracuda.
„Unternehmen erkennen, dass der Wechsel zu SaaS-Anwendungen und der öffentlichen Cloud sowohl die Benutzererfahrung als auch die Sicherheit verbessert, sodass sie beginnen, neue SASE-Technologien zu nutzen“, sagt Klaus Gheri, Vice President Network Security, bei Barracuda.
Foto: Barracuda

Attraktiv scheint SASE für Unternehmen auch deshalb, weil sich auf vorhandener Technik aufbauen lässt. Da SASE der Dreiklang aus Netzwerk (SD-WAN), Sicherheit und Identität ist, bringen sich Anbieter aus all diesen Marktsegmenten als "SASE-Anbieter" in Stellung. Die Liste reicht von SASE-Spezialisten wie Cato Networks und Versa Networks über Netzwerk-Uurgesteine wie Cisco Systems und Juniper Networks, IT-Security-Anbieter wie Fortinet und Palo Alto Networks bis zu McAfee.

Wie viel am jeweiligen SASE-Konzept tatsächlich neu ist und wie viel lediglich neu strukturiert wurde, damit das Angebot die Kriterien erfüllt, ist sehr unterschiedlich. Deutlich erkennbar sind jedoch bei allen Anbieter das Bemühen und der Trend, Steuerung und Abstimmung einzelner Bausteine stärker zu verknüpfen, um den neuen Anforderungen Rechnung zu tragen.

Die Rolle von Zero Trust für SASE-Konzepte

Der Umfrage von Netmotion zufolge ist VPN die bereits am häufigsten eingesetzte Komponente aus dem SASE-Baukasten (54 Prozent). Ebenfalls weit verbreitet sind WAN-Optimierung (49 Prozent) und Cloud Secure Web Gateways (46 Prozent). Es folgen Firewall as a Service (39 Prozent) und SD-WAN (29 Prozent). 56 Prozent der befragten Unternehmen haben bereits damit begonnen, eine Zero-Trust-Strategie umzusetzen. 24 Prozent planen dies gar nicht.

„Schon mit ZTNA wird einem Großteil der herkömmlichen Angriffe die Spitze genommen – nämlich jenen, die sich eine Lücke in einem Rechner zunutze machen, über das VPN ins Firmennetzwerk eindringen und sich dann seitlich ausbreiten, um zu sehen, wo es lohnende Angriffsziele gibt“, betont Michael Veit, Technology Evangelist bei Sophos.
„Schon mit ZTNA wird einem Großteil der herkömmlichen Angriffe die Spitze genommen – nämlich jenen, die sich eine Lücke in einem Rechner zunutze machen, über das VPN ins Firmennetzwerk eindringen und sich dann seitlich ausbreiten, um zu sehen, wo es lohnende Angriffsziele gibt“, betont Michael Veit, Technology Evangelist bei Sophos.
Foto: Sophos

Das zeigt indirekt, dass sie das Konzept nicht vollkommen verstanden haben. "SASE ist ein eher schwammiger Ausdruck. Er umfasst eine Reihe von Technologien zur Absicherung des Zugriffs auf Cloud-Ressourcen und physische Ressourcen mit dem Fokus auf Benutzer und Applikationen", erklärt Michael Veit, Technology Evangelist bei Sophos. "Damit ist SASE nicht eine Bezeichnung für eine komplett neue Technologie, sondern auch ein Sammelbegriff für viele Technologien, die zumindest teilweise schon bisher in Produkten zum Einsatz kommen. Unterbereiche von SASE sind die in den vergangenen Jahren viel diskutierten Bereiche SD-WAN, CASB und Zero Trust Network Access - wobei aus meiner Sicht ZTNA das Herzstück und der Dreh- und Angelpunkt ist."

Der Aspekt werde schließlich auch durch das Wort "Access" im Begriff "Secure Access Service Edge" betont, bei dem es um die Identität von Benutzern geht. Veit weiter: "Darin unterscheidet sich der Ansatz von früheren, bei denen es in erster Linie um die Absicherung der Geräte ging." Sophos fasse daher in seinem Angebot Next-Generation-Aspekte und ZTNA zusammen. "Damit verfolgen wir auch schon den Ansatz, nicht vorrangig das Gerät, sondern den Nutzer zu kennen, zu identifizieren - etwa durch MFA - und zu schützen." Endgerätesicherheit sei natürlich weiterhin wichtig, werde aber bei Sophos mit ZTNA kombiniert.

Datenschutz als Achillesferse von SASE

Der Haken an SASE aus Sicht europäischer Nutzer: Da alle Nutzeridentitäten in der Cloud verwaltet werden und dies meist in einer "amerikanischen Cloud" stattfindet, sind solche Lösungen seit "Schrems II", dem EuGH-Urteil, das das Privacy-Shield-Abkommen kippte, aus rechtlicher Sicht nicht mehr möglich. Oder sie erfordern zumindest einen hohen zusätzlichen Aufwand, um die Nutzerdaten zu schützen. In der Praxis ignorieren Firmen diesen Aspekt allerdings oft. Ob sich diese lockere Einstellung später rächt oder ob die Aufsichtsbehörden ein Auge zudrücken, Übergangsfristen zugestehen und Ausnahmen erlauben, ist derzeit noch offen.

Der Sachverhalt könnte jedoch auch erklären, warum Firmen hierzulande bei der Adaption des sich ansonsten sehr schnell ausbreitenden neuen Konzepts zögerlicher sind. Immerhin gaben in der Check-Point-Umfrage 42 Prozent der Befragten an, dass sie bei SASE "Probleme mit dem Datenschutz und der Datenhoheit" sehen. Es kann sich für IT-Dienstleister daher durchaus lohnen, diese Bedenken ernst zu nehmen und Konzepte aufzusetzen, die einerseits die Leistungsmerkmale von SASE bieten, andererseits aber auch die Datenschutzproblematik berücksichtigen.

Mehr zum Thema

SASE-Spezialist Cato Networks schließt weitere Finanzierungsrunde ab

Wie sich SASE und MDR ergänzen

Was Sie über SASE wissen sollten

ChannelPartner-Workshop zu Zero-Trust-Strategien

Zur Startseite