Was ist SASE?

Was ist SASE?

Der von Gartner im Jahr 2019 geprägte Begriff Secure Access Service Edge (SASE) beschreibt eine moderne Cybersicherheitsarchitektur. Das SASE-Modell konzentriert sich darauf, den Benutzern Sicherheitsservices näherzubringen und ihnen den angemessenen Zugriff zu gewähren, der auf ihrem aktuellen Risikograd basiert.

SASE (ausgesprochen „Sassi“) ist die Verkörperung von Netzwerken, die mit Netzwerksicherheit konvergieren. Eine SASE-Plattform bietet einen starken Schutz vor Angriffen unabhängig vom Standort des Benutzers und gewährleistet eine konsistente Durchsetzung von Richtlinien, wo immer sich Benutzer befinden, ohne dass der Datenverkehr an einen Unternehmensstandort zurückgeführt werden muss. Dieser Prozess ist für Benutzer transparent und bietet eine sicherere Umgebung.

 

Welche Probleme werden durch SASE gelöst?

Viele Organisationen haben eine komplizierte Netzwerkinfrastruktur: verteilte Standorte, externe Benutzer, zu viele Anwendungen. Die betriebliche Komplexität dieser Elemente stellt SecOps-Teams vor erhebliche Management- und Wartungsprobleme.

Viele Sicherheitskontrollen verwenden ein eigenes Sicherheitsmanagementsystem mit jeweils eigenen Konfigurationsprozessen und durch Interoperabilität verursachte Herausforderungen. Diese Situation führt häufig zu Lücken in der Visibilität, die das Risiko erhöhen und IT-Teams überfordern können. Darüber hinaus erfordern Schwankungen des Netzwerkverkehrs und der Anwendungsvielfalt zusätzliche Ressourcen, um Nutzungsspitzen auszugleichen und gleichzeitig die Latenz zu minimieren. 

Die meisten IT-Teams haben viel Zeit und Geld investiert, um sich auf die Zunahme des Datenverkehrs und die erwartete Flut von Cyberangriffen vorzubereiten. Sie sind oft gezwungen, schwierige Entscheidungen zwischen Zugänglichkeit und Sicherheit zu treffen. Dies liegt daran, dass herkömmliche Architekturen den Datenverkehr zur Sicherheitsüberprüfung an einen zentralen Netzwerk-Hub zurückleiten und ihn dann an die gewünschte Anwendung oder den gewünschten Service weiterleiten. Dieser Prozess ist zwar sehr sicher, wirkt sich jedoch negativ auf Leistung und Budget aus, insbesondere wenn klar wird, dass zusätzliche Kapazität erforderlich ist.

Im Gegensatz dazu überprüft eine SASE-Architektur den Datenverkehr und macht Services an Points of Presence in der Nähe des geografischen Standorts des Benutzers zugänglich. Zusätzliche Ressourcen können auf flexible Weise hinzugefügt werden, um Nachfragespitzen auszugleichen, und dann reduziert werden, wenn die Nachfrage sinkt. Durch das Eliminieren von Datenverkehr-Backhauling müssen Unternehmen nicht mehr zwischen Sicherheit und Zugänglichkeit wählen, wodurch die Endbenutzererfahrung nahtlos und das Risiko verringert wird.

 

Wie erstellt SASE ein „auf Bedrohungen vorbereitetes“ Netzwerk?

Eine SASE-Plattform bietet Netzwerk- und Sicherheitslösungen als einen zusammenhängenden Service, der die Herausforderungen des Netzwerk- und Sicherheitsmanagements eines Unternehmens angeht. IT-Teams können alle Verbindungspunkte im Netzwerk verwenden, um böswillige Aktivitäten anzuzeigen, zu automatisieren und vor ihnen zu schützen, anstatt sich auf die Ausführung dieser Aufgaben in einem Datencenter-Gateway oder am physischen Netzwerkrand zu beschränken.

Diese Funktionen ermöglichen es dem Netzwerk, „auf Bedrohungen vorbereitet“ zu sein, d. h Bedrohungen zu erkennen und zu verhindern, dass sie sich im Netzwerk einnisten. Dadurch wird der Schutz von Benutzeridentitäten, Anwendungen und Infrastruktur einfacher.

Ein SASE-Modell liefert das auf Bedrohungen vorbereitete Netzwerk für das Zeitalter der öffentlichen Cloud und sollte letztendlich die Sicherheit verbessern und gleichzeitig die Komplexität reduzieren und die Verwaltung rationalisieren. Diese Vereinfachung des Sicherheitsmanagements wird dazu führen, dass Netzwerkprojekte, die bisher nicht als praxistauglich gelten, machbar werden.

SASE-Diagramm auf einen Blick

SASE auf einen Blick

Was sind die Vorteile von SASE?

SASE ist kein einziges Produkt, sondern eine architektonische Veränderung in der Art und Weise, wie Netzwerk- und Sicherheitstechnologien implementiert werden. SASE-Anbieter stellen Unternehmen eine flexiblere, skalierbarere und sicherere Möglichkeit zur Verwaltung ihrer Netzwerke zur Verfügung, insbesondere angesichts der steigenden Zahl von Cloud-Anwendern und Remote-Mitarbeitenden. Seine Kosteneffizienz und die Möglichkeit, komplexe Netzwerkarchitekturen zu simplifizieren, machen es auch zu einer überzeugenden Option für moderne Unternehmen. Eine SASE-Architektur hilft bei der Weiterentwicklung der heutigen Unternehmensnetzwerke mit:

  • Verbesserter Sicherheit: Hacker setzen alle Mittel ein, um ein Netzwerk anzugreifen. Es ist unerlässlich, über einheitliche Sicherheitsrichtlinien und -services im gesamten Netzwerk zu verfügen, um Benutzer, Infrastruktur und Anwendungen überall dort zu schützen, wo sie sich befinden. SASE liefert eine verbesserte Sicherheitslösung, die einfach bereitzustellen ist und nutzt verteilte Verbindungspunkte, um Sicherheitsrichtlinien anzuwenden. Außerdem setzt SASE die Bedrohungsprävention durch, um die flächendeckende Sicherheit zu verstärken.
  • Höhere betriebliche Agilität: Die netzwerkweite Visibilität ist entscheidend, um den Anwendungs- und Netzwerkzustand schnell zu beurteilen und potenziell böswillige Aktivitäten zu identifizieren. Durch die Reduzierung der Komplexität können vorhandene Ressourcen mehr leisten und weiter sehen. Die natürliche Konvergenz des Netzwerks mit Sicherheitsfunktionen bietet Systemadministratoren einen klaren Schwerpunkt. Die Richtlinienkonsistenz reduziert Konfigurationsfehler und verbessert die allgemeine Sicherheitseffizienz.
  • Verbesserte Benutzerfreundlichkeit: In der Vergangenheit mussten sich Unternehmen mit der Weiterleitung des Datenverkehrs durch mehrere Verteidigungsebenen und primäre „Engpässe“ befassen, an denen sich Firewalls befanden. Dazu kommen noch viele andere Zugriffskontrollen, die verwaltet werden müssen. Bei SASE liegt der Schwerpunkt auf der direkten Verbindung zwischen dem Client-Gerät und der Cloud.
  • Verbesserte Netzwerkleistung: SASE verbessert die Netzwerkleistung, indem der Datenverkehr über den nächstgelegenen Point of Presence (PoP) geleitet wird, wodurch die Latenzzeit verringert wird. Es ermöglicht Benutzern, sich direkt auf sichere Weise mit Cloud-Anwendungen zu verbinden, ohne den Datenverkehr in ein Datencenter zurückführen zu müssen, was die Benutzererfahrung verbessert. Die Nutzung von Edge-Standorten, die näher an den Nutzern liegen, gewährleistet zudem eine bessere Leistung für zeitkritische Anwendungen.
  • Niedrigere Betriebskosten: SASE reduziert den Bedarf an mehreren Einzelprodukten (z. B. separate Firewall-, VPN- und WAN-Lösungen), indem es Netzwerk- und Sicherheitsservices in einem einzigen Framework zusammenfasst und so die Betriebskosten senkt. Das Cloud-basierte Modell macht kostspielige Hardware an jedem Standort überflüssig, was die Investitionskosten minimiert.

 

Wie hilft SASE, das Netzwerk zu schützen?

SASE hilft beim Schutz des Netzwerks, indem es mehrere Sicherheitsfunktionen in einer einheitlichen, Cloud-nativen Plattform kombiniert. Es geht auf die Herausforderungen im Bereich der Sicherheit moderner, verteilter Umgebungen ein, in denen Benutzer, Geräte und Anwendungen über mehrere Standorte verteilt sind. Zu den Komponenten von SASE gehören:

  • Softwaredefiniertes Wide-Area Networking (SD-WAN): Ein automatisierter, programmatischer Ansatz für die Verwaltung von Netzwerkkonnektivität und Circuit-Kosten von Unternehmen
  • Firewall-as-a-Service (FWaaS): Identifiziert Anwendungen und überprüft den Datenverkehr auf Exploits und Malware mit einer Effektivität von über 99,8 %
  • Secure Web Gateway (SWG): Schützt den Webzugriff, indem es akzeptable Nutzungsrichtlinien durchsetzt und webbasierte Bedrohungen verhindert.
  • Cloud Access Security Broker (CASB): Bietet Einblicke in SaaS-Anwendungen und granulare Kontrollen, um autorisierten Zugriff, Bedrohungsprävention und Compliance sicherzustellen.
  • Data Loss Prevention (DLP): Klassifiziert und überwacht Datentransaktionen und stellt sicher, dass Business-Compliance-Anforderungen und Datenschutzregeln eingehalten werden.
  • Zero Trust Network Access (ZTNA): Ermöglicht Remote-Benutzern einen sicheren Remote-Zugriff auf Unternehmens- und Cloud-basierte Ressourcen und bietet zuverlässige Konnektivität und konsistente Sicherheit für jedes Gerät an jedem Ort. Reduziert das Risiko durch Erweiterung der Visibilität und Durchsetzung der Richtlinien für Remote-Benutzer und -Geräte überall dort, wo sie sich gerade befinden.
  • Advanced Threat Prevention: Erkennt Zero-Day-Malware und schädliche Verbindungen, einschließlich Botnets und C2, selbst wenn der Datenverkehr nicht entschlüsselt werden kann. Erzwingt granulare Schutzmechanismen wie Dateiquarantäne und eingeschränkte Zugriffsrechte.

 

SASE-Anwendungsszenarien

Eine SASE-Architektur eignet sich gut für eine Vielzahl von modernen Netzwerk- und Sicherheitsanforderungen. Zu den häufigsten Anwendungsszenarien gehören die folgenden:

  • Sichere verteilte Belegschaften: SASE bietet einen sicheren Zugriff auf Cloud- und lokale Anwendungen mit ZTNA und SWG, sodass Mitarbeitende von jedem Standort aus mit konsistenten Sicherheitsrichtlinien und optimierter Leistung eine Verbindung herstellen können.
  • Übernahme von Cloud- und SaaS-Anwendungen: SASE ermöglicht einen direkten, sicheren Zugriff auf Cloud-Anwendungen (z. B. AWS, Microsoft 365, Salesforce), ohne den Datenverkehr über ein zentralisiertes Datencenter zurückzuführen. Es optimiert die Leistung durch Edge-Computing und SD-WAN und bietet gleichzeitig Sicherheitsservices wie CASB, um die Nutzung von Cloud-Apps zu steuern und Daten zu schützen.
  • Simplifizierung der Netzwerk- und Sicherheitsverwaltung: SASE führt Netzwerke und Sicherheit in einer einzigen Plattform zusammen und bietet zentralisierte Steuerung und Visibilität. Dieser einheitliche Ansatz simplifiziert die Richtlinienverwaltung, reduziert den Bedarf an mehreren Einzellösungen und gewährleistet eine konsistente Durchsetzung von Sicherheitsrichtlinien im gesamten Netzwerk. 
  • Konnektivität von Zweigstellen: SASE ersetzt MPLS durch SD-WAN und bietet eine sichere, leistungsstarke Konnektivität für Zweigstellen. Sicherheitsservices wie Firewalls der nächsten Generation (NGFWs) und Bedrohungsschutz sind in die Architektur integriert, sodass jede Zweigstelle geschützt ist, ohne dass lokale Sicherheitshardware erforderlich ist.
  • Implementierung der Zero-Trust-Sicherheit: SASE basiert auf dem ZTNA-Modell, das die Identität von Benutzern und Geräten kontinuierlich überprüft und ihnen nur Zugriff auf die spezifischen Ressourcen gewährt, die sie benötigen. Dies begrenzt die laterale Bewegung von Bedrohungen innerhalb des Netzwerks.
  • Sicheres Internet und SaaS-Zugriff: SASE nutzt SWG und CASB, um einen sicheren, kontrollierten Zugriff auf SaaS- und webbasierte Anwendungen zu bieten. Außerdem wird sichergestellt, dass Sicherheitsrichtlinien einheitlich durchgesetzt werden, sodass Daten vor der Offenlegung geschützt und Malware- oder Phishing-Angriffe verhindert werden.
  • Datenschutz und Compliance: SASE umfasst DLP-Funktionen, die Unternehmen helfen, die Bewegung von sensiblen Daten zu überwachen und zu steuern. Seine einheitliche Plattform simplifiziert auch die Audits und Berichterstattung und gewährleistet die Einhaltung von Vorschriften wie DSGVO, HIPAA oder PCI-DSS.
  • Optimierte Leistung für globale und verteilte Benutzer: SASE nutzt eine global verteilte Cloud-Architektur und Edge-Computing, um sicherzustellen, dass Benutzer mit dem nächstgelegenen Point of Presence (PoP) verbunden sind. Dies reduziert die Latenz und optimiert die Anwendungsleistung, insbesondere für Benutzer an entfernten Standorten.

Zusammenfassend lässt sich sagen, dass sich die SASE-Architektur ideal für Unternehmen eignet, die verteilte Arbeitsplätze absichern, Cloud- und SaaS-Anwendungen einführen, die Netzwerk- und Sicherheitsverwaltung simplifizieren und die Leistung verbessern möchten, während gleichzeitig der Datenschutz und die Compliance aufrechterhalten werden.

 

SASE vs. SSE

SASE ist ein umfassendes Framework, das sowohl Netzwerk- (z. B. SD-WAN) als auch Sicherheitsservices (z. B. SWG, CASB, ZTNA) in einer einzigen Cloud-nativen Lösung kombiniert, um verteilte Benutzer, Geräte und Standorte sicher zu verbinden. Im Gegensatz dazu ist SSE (Security Service Edge) eine Untergruppe von SASE, die sich ausschließlich auf Sicherheitsservices konzentriert, ohne die Netzwerkaspekte wie SD-WAN einzubeziehen. SSE sichert den Zugriff auf Cloud-Services, private Anwendungen und das Internet, überlässt aber die Netzwerkverwaltung und -optimierung anderen Lösungen. Im Wesentlichen deckt SASE sowohl das Netzwerk als auch die Sicherheit ab, während SSE nur auf Sicherheitsfunktionen beschränkt ist.

 

SASE-Lösung von Juniper

Juniper Secure AI-Native Edge ist nicht nur eine Sicherheitslösung, sondern auch ein „Business Enabler“. Sie hilft Unternehmen, bessere Geschäftsergebnisse zu erzielen, indem sie die betriebliche Effizienz steigert und eine bessere Benutzererfahrung bietet. In Kombination mit der branchenführenden Sicherheitseffizienz bietet sie überlegenen Schutz und Leistung mit außergewöhnlicher betrieblicher Agilität.

Juniper bietet die einzige Secure AI-Native Edge-Lösung, die Netzwerke und Sicherheit in einem gemeinsamen Betriebsportal mit branchenführenden AIOps integriert. Dies fördert kollaboratives Arbeiten, verbessert die Netzwerkvisibilität und ermöglicht eine effizientere Fehlerbehebung sowie schnellere Reaktionen auf Sicherheitsvorfälle. 

Secure AI-Native Edge bietet umfassende Sicherheit für Web-, SaaS- und On-Premise-Anwendungen. Es stellt sicher, dass Benutzer einen konsistenten und sicheren Zugriff haben, der ihnen überall hin folgt, und sie effektiv vor einer Vielzahl von digitalen Bedrohungen schützt. In Kombination mit dem AI-Driven SD-WAN von Juniper bietet die Secure AI-Native Edge-Lösung einen erstklassigen SASE-Ansatz. Diese Integration hilft bei der Rationalisierung des WAN-Betriebs, der Verbesserung der Leistung von Cloud-Anwendungen und der Gewährleistung einer sicheren und optimierten Konnektivität unabhängig vom Standort.

Juniper trägt zur Risikominimierung bei, indem es effektive Services zur Abwehr von Bedrohungen einsetzt, die sich als die effektivsten auf dem Markt erwiesen haben, um den Datenverkehr zu untersuchen und einen sicheren Zugriff auf Web-, SaaS- und lokale Anwendungen von überall aus zu gewährleisten.

SASE – FAQs

Was ist SASE?

SASE (Secure Access Service Edge) ist ein Cybersicherheits-Framework, das Wide Area Networking (WAN)-Funktionen mit Sicherheitsservices kombiniert, um die dynamischen und sicheren Zugriffsanforderungen moderner Unternehmen zu unterstützen.

Ist SASE Cloud-basiert?

Ja, SASE ist Cloud-basiert – von Anfang an. Es integriert Netzwerk- und Sicherheitsservices in eine einheitliche, Cloud-native Plattform. Dieser Cloud-zentrierte Ansatz ermöglicht es SASE, Skalierbarkeit, Flexibilität und eine zentrale Verwaltung für Unternehmen mit verteilter Belegschaft, mehreren Zweigstellen und Cloud-Umgebungen zu bieten.

Gibt es bei SASE Backhaul-Datenverkehr?

Nein, SASE führt den Datenverkehr im herkömmlichen Sinne nicht zurück. Einer der Hauptvorteile von SASE besteht darin, dass das in älteren Netzarchitekturen häufig vorkommende Backhauling des Datenverkehrs entfällt. Eine Reduzierung des Backhaulings verringert den redundanten Datenverkehr, der über das Netzwerk verläuft. Dies führt zu einer Freigabe von Bandbreite und einer Verbesserung der Gesamteffizienz.

Was ist ein „auf Bedrohungen vorbereitetes“ Netzwerk?

Ein auf Bedrohungen vorbereitetes Netzwerk ist ein Netzwerk, das darauf ausgelegt ist, Sicherheitsbedrohungen in Echtzeit proaktiv zu erkennen, darauf zu reagieren und sie zu mindern. Es integriert erweiterte Sicherheitsmechanismen und Bedrohungsinformationen, um den Datenverkehr zu überwachen, potenzielle Schwachstellen zu identifizieren und schnell zu handeln. So können böswillige Aktivitäten neutralisiert werden, bevor sie Schaden anrichten können. Die Hauptfunktion eines auf Bedrohungen vorbereiteten Netzwerks ist seine Fähigkeit, ständig neue Cyberbedrohungen zu bewerten und sich an sie anzupassen.

Ist SASE eine kosteneffiziente Lösung?

Ja, SASE gilt im Allgemeinen als eine kostengünstige Lösung, da es mehrere Sicherheits- und Netzwerk-Tools konsolidiert, die Hardware- und Wartungskosten reduziert, die Bandbreiteneffizienz verbessert und die Skalierbarkeit erhöht. Seine Cloud-native Architektur macht teure Hardware überflüssig, während Preismodelle auf Abonnementbasis finanzielle Flexibilität bieten. Darüber hinaus reduziert die Fähigkeit von SASE, die Netzwerkleistung zu optimieren und die Sicherheit zu erhöhen, sowohl die Betriebskosten als auch die finanziellen Risiken, die mit Cyberbedrohungen verbunden sind, was es zu einer finanziell soliden Wahl für moderne Unternehmen macht.

Ressourcencenter

Produkte

Netzwerksicherheit
Security Director
Secure Edge
Juniper Session Smart-Router

Lösungen

SASE-Lösungen (Secure Access Service Edge) von Juniper

Webinar

Juniper SASE – Webinar und Demo

Blogbeiträge

Der Weg zu SASE ist eine Reise, kein Sprint
Nächster Stopp auf der SASE-Reise: Aufbau eines erfolgsorientierten Plans und Teams
Die Wahl der Architektur: Der Schlüssel zu einer erfolgreichen SASE-Reise
Die Implementierung einer SASE-Lösung erfordert mehr als Marketing

Podcast

Was ist SASE?

E-Guides

SASE: Tatsachen statt Hype
SASE: Kaufberatung (PDF)
Die Vorzüge von SASE: Ein Leitfaden für Erwägungen zum Erfolg (PDF)

Verwandte Inhalte

    
FORSCHUNGSTHEMEN

Was ist SD-WAN?

Ein softwaredefiniertes WAN (SD-WAN) ist ein automatisierter, programmatischer Ansatz für die Verwaltung von Netzwerkkonnektivität und Circuit-Kosten von Unternehmen
FORSCHUNGSTHEMEN

Was ist Netzwerksicherheitsmanagement?

Das Netzwerksicherheitsmanagement ermöglicht es einem Administrator, ein Netzwerk, das aus physischen und virtuellen Firewalls besteht, von einem zentralen Standpunkt aus zu verwalten.
FORSCHUNGSTHEMEN

Was sind IDS und IPS?

Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) sind Sicherheitsmaßnahmen, die im Netzwerk bereitgestellt werden, um potenzielle Vorfälle zu erkennen und zu stoppen.