Die SASE-Architektur (Secure Access Service Edge): der Grundstein für Ihr digitales Unternehmensnetzwerk

Als Gartner in seinem „Hype Cycle for Enterprise Networking, 2019“ erstmals den Begriff Secure Access Service Edge (SASE) einführte, wurde SASE als der nächste Transformationsschritt für Unternehmensnetzwerke und -sicherheit bezeichnet. Die SASE-Architektur beschrieb keine neue Funktionalität, sondern die optimierte Nutzung bestehender Technologien durch die Zusammenführung von Netzwerken und Sicherheitsbereichen in einem einzigen, globalen Cloudservice.

Die Kategorie war so bedeutend, dass Gartner SASE als „transformativ“ bezeichnete. Zum Vergleich: SD-WAN wurde von Gartner in einem Hype Cycle noch nie als transformativ eingestuft, obwohl die Technologie erhebliche Verbesserungen für Unternehmensnetzwerke mit sich bringt.

Nach wie vor wird SASE als transformativ und wegweisend angesehen. Die Architektur hat sich als Maßstab für Unternehmensnetzwerke und die Sicherheitsbranche etabliert. Doch jenseits aller Werbeversprechen hat keiner eine vollständig verteilte und vollständig redundante SASE-Architektur, wie die Cato Single Pass Cloud Engine (SPACE) eingeführt, die das Kernstück der SASE-Plattform von Cato bildet. (Weitere Informationen zu SASE und dazu, wie Cato die SASE-Funktionen bereitstellt, finden Sie hier in diesem Whitepaper.) Es lohnt sich, etwas genauer hinzuschauen.

Warum gerade jetzt und weshalb ist SASE so transformativ?

SASE ist die Antwort auf die Herausforderungen der digitalen Geschäftswelt von heute. Ziel der Digitalisierung ist Geschwindigkeit und Agilität. Die Menschen müssen schneller und von überall arbeiten, z. B. im Home-Office oder unterwegs als mobile Benutzer. Die standortunabhängige Vernetzung von Teams und Ressourcen für eine schnellere Produktentwicklung, kürzere Markteinführungszeiten und eine schnellere Anpassung an neue Geschäftsbedingungen sind wesentliche Aspekte der digitalen Transformation in Unternehmen. Bei derartigen Veränderungen spielt die Technologie eine wesentliche Rolle. Ein gutes Beispiel dafür ist die weit verbreitete Nutzung von Cloud Computing-Lösungen. Dank der Vorteile, die die SASE-Technologie bietet, kann diese neue Ära eingeläutet werden.

Doch während die Cloud agil, anpassungsfähig und allgegenwärtig ist, sind Unternehmensnetzwerke und Sicherheitsinfrastrukturen bislang genau das Gegenteil. Ein Netzwerk ist unflexibel und statisch. Zudem sind die Sicherheitsfunktionen durch verschiedene physische Standorte, Cloudressourcen und mobile Benutzer fragmentiert. Netzwerke und Sicherheitsmaßnahmen bremsen Geschäftsabläufe regelrecht aus, da die vor Jahrzehnten errichteten Silos erweitert und gepatcht werden müssen, um neuen Geschäftsanforderungen gerecht zu werden.

Die bisherige Methode, mit der Unternehmen ihre Netzwerke aufgebaut haben, ist überholt. Der Ansatz, Netzwerkprobleme mit einer Kombination aus SD-WAN-Geräten, Firewalls, IPS-Appliances und anderen Sicherheits- und Netzwerklösungen zu lösen, ist selbst zum eigentlichen Problem geworden. Gartner schreibt: „Die digitale Transformation und die Einführung von Bereitstellungsmodellen für den Mobil- , Cloud- und Edge-Zugriff verändern den Netzwerkdatenverkehr grundlegend. Daher sind die bisherigen Netzwerk- und Sicherheitsmodelle nicht mehr zeitgemäß.“

Was ist eine SASE-Netzwerkarchitektur?

Die SASE-Cloudarchitektur bietet eine Lösung für dieses Problem. Diese umfasst ein einziges, umfassend gesichertes Netzwerk, das physische Standorte, Cloudressourcen und mobile Benutzer überall miteinander verbindet. Dabei zeichnet sich die SASE-Cloud durch vier Hauptmerkmale aus: Sie ist identitätsbezogen und Cloud nativ, unterstützt alle Randbereiche des Netzwerks und ist global verteilt:

  • Identitätsbezogen:  Die Benutzer- und Ressourcen-ID und nicht bloß eine IP-Adresse bestimmt die Netzwerkfunktionen und den Umfang der Zugriffsrechte. Servicequalität, Routenauswahl, Anwendung risikobezogener Sicherheitsmaßnahmen – sie alle werden durch die mit jeder Netzverbindung verbundenen Identität gesteuert. Dadurch wird der Betriebsaufwand erheblich reduziert, da die Unternehmen für Benutzer unabhängig von Gerät oder Standort entsprechende Netzwerk- und Sicherheitsrichtlinien entwickeln können.
  • Cloudnative Architektur: Die SASE-Architektur nutzt wichtige Eigenschaften der Cloud wie Flexibilität, Anpassungsfähigkeit oder automatische Reparatur- und Wartungsfunktionen. So wird eine Plattform bereitgestellt, die die Kosten auf die Kunden verteilt, um möglichst effizient zu arbeiten, sich leicht an neue Geschäftsanforderungen anpassen lässt und überall verfügbar ist.
  • Unterstützung für alle Randbereiche des Netzwerks: SASE schafft ein Netzwerk für alle Unternehmensressourcen wie Rechenzentren, Niederlassungen, Cloudressourcen und mobile Benutzer. Beispielsweise unterstützen SD-WAN-Appliances physische Randbereiche, wohingegen Benutzer unterwegs durch mobile Clients und clientlosen Browserzugriff mit dem Netzwerk verbunden werden.
  • Global verteilt: Damit überall sämtliche Netzwerk- und Sicherheitsfunktionen verfügbar sind und in allen Randbereichen das bestmögliche Benutzererlebnis erzielt wird, muss die SASE-Cloud global verteilt sein. Deshalb, so Gartner, bedarf es einer größeren Reichweite, damit Unternehmen ein Service mit niedriger Latenz geboten werden kann.

SASE ist kein vom Telekommunikationsanbieter verwalteter Netzwerkdienst

Der SASE-Cloudservice verwendet eine Engine für die Datenverkehrsverarbeitung in einem einzigen Durchgang (Single-Pass), die den Datenverkehr von allen Randbereichen verarbeitet, d. h. von Standorten, der Cloud und mobilen Benutzern. Er führt alle Netzwerkoptimierungen, Sicherheitsprüfungen und die Durchsetzung von Richtlinien mit umfangreichem Kontext effizient durch, bevor er den Datenverkehr an sein Ziel weiterleitet.

In dieser Hinsicht ist SASE ein grundlegend anderer Ansatz als der von Telekommunikationsanbietern, die integrierte Pakete mit Punktlösungen anbieten. Dieser Ansatz verdeckt zwar die Komplexität des zugrundeliegenden Netzwerks, aber die Unternehmen geben nach wie vor immer mehr Geld für die Produkte und deren Verwaltung aus.

Im Gegensatz dazu erscheint die SASE-Lösung mit ihrer cloudbasierten Single-Pass-Architektur nicht nur schlanker zu sein – sie ist es tatsächlich. Alle Funktionen werden zusammengeführt. Der Datenverkehr wird schneller und kontextbezogener verarbeitet als bei der Verkettung mehrerer Punktlösungen. SASE basiert auf der Skalierbarkeit, dem Self-Service und der Agilität der Cloud. Die Lösung Ihres Telekommunikationsanbieters jedoch nicht.

Das Gleiche gilt für Netzwerkbetreiber, die virtuelle Maschinen in der Cloud betreiben, aber auch für Lösungen mit Serviceverkettung. In beiden Fällen müssen die eingesetzten VNFs (Virtual Network Functions), VMs und Services separat dimensioniert, skaliert und verwaltet werden. Und bei den Anbietern von Integrationslösungen für verschiedene Sicherheitsfunktionen in der Cloud fehlen noch immer die Hauptelemente von SASE: die Steuerung der Datenflüsse im Netzwerk und die native Unterstützung des Randbereichs im WAN.

Letztendlich bietet SASE Konvergenz als eine der Haupteigenschaften. Wenn keine Netzwerk- und Sicherheitsfunktionen bereitgestellt werden, sondern diese als separate Appliances beibehalten werden oder eine Serviceverkettung genutzt wird, ist dies keine konvergente Lösung, sondern lediglich eine unzureichende Verknüpfung von Punktlösungen.

Cato – die weltweit erste SASE-Plattform

Seit der Firmengründung im Jahr 2015, vier Jahre vor der Einführung des Begriffs „SASE“, bietet Cato eine komplette SASE-Architektur an. Tagtäglich stellt Cato Netzwerk- und Sicherheitsfunktionen für unzählige Unternehmen weltweit mit Hunderttausenden von Niederlassungen, Cloudinstanzen und mobilen Benutzern bereit. Cato wurde in jedem „Hype Cycle for Enterprise Networking“ seit der Einführung der SASE-Kategorie als „Sample Vendor“ ausgezeichnet.

Auf den Punkt gebracht ist die SASE-Plattform:

  • Cloudnativ: Cato hat Netzwerk- und Sicherheitsfunktionen in einer Softwareplattform zusammengeführt, die die fünf Voraussetzungen für eine Cloud native Plattform erfüllt: Sie ist mehrinstanzenfähig, skalierbar, schnell, effizient und ist flächendeckend einsetzbar. Die Cato SPACE ist das Kernelement der SASE-Architektur von Cato und wurde speziell für die Bereitstellung eines globalen, skalierbaren und stabilen SASE-Cloudservices entwickelt. Über Tausende von Cato SPACEs kann Cato SASE Cloud jedem Benutzer bzw. jeder Anwendung überall auf der Welt sämtliche Netzwerk- und Sicherheitsfunktionen über die Cloud zur Verfügung zu stellen. Zudem umfasst dieser Service automatesierte Reparatur- und Wartungsfunktionen.
  • Identitätsbezogen: Die IT-Abteilung kann benutzerorientierte Sicherheits- und Netzwerkrichtlinien mit der Benutzeridentität verknüpfen. Die Funktionsweise der Cato-Lösung ist vollständig identitätsbezogen. Die Identität ist eines von vielen kontextbezogenen Elementen, die von der Cato SPACE aus jedem Datenstrom extrahiert werden.
  • Unterstützung für alle Randbereiche des Netzwerks: Cato verbindet alle Randbereiche des Unternehmens – physische Standorte, Cloudressourcen und Mobilgeräte – miteinander und mit dem Internet. Physische Standorte werden über Cato-SD-WAN-Geräte verbunden; mobile Benutzer nutzen den Cato-Client oder einen clientlosen Zugang; die agentenlose Konfiguration von Cato ermöglicht die Verbindung von Cloudressourcen mit Cato. Der Datenverkehr wird an den nächstgelegenen Cato-PoP gesendet, wo eine Cato SPACE Kontextinformationen extrahiert und die entsprechende Richtlinie auf den Datenstrom anwendet.
  • Global verteilt: Das private globale Backbone-Netzwerk von Cato ist ein globales, geografisch verteiltes, SLA-gestütztes Netzwerk von mehr als 65 PoPs, die über mehrere Tier-1-Carrier miteinander verbunden sind. Auf jedem PoP wird der komplette konvergente Software-Stack von Cato ausgeführt und die genauen SASE-Vorgaben, einschließlich WAN- und Cloudoptimierung, werden angewendet, um den globalen Zugriff auf Anwendungen an allen Standorten zu verbessern.

Cato wurde erneut als „Sample Vendor“ in der SASE-Kategorie ausgezeichnet. Viele unserer Wettbewerber haben den Aspekt der Konvergenz entweder ignoriert oder die Zusammenführung von Appliances vorangetrieben – beides eher schlechte Schachzüge. Seit langem informiert Cato darüber, was eine SASE-Plattform tatsächlich ist, und bietet eine echte SASE-Lösung an. Shlomo Kramer, CEO und Gründungsmitglied von Cato Networks, bringt es auf den Punkt: „Seit der Gründung von Cato haben wir uns auf die Konvergenz von Netzwerk- und Sicherheitsfunktionen in der Cloud konzentriert und eine zentrale, globale und Cloud native Architektur geschaffen, die alle Standorte, Cloudressourcen und mobilen Benutzer überall miteinander verbindet und schützt.

Erfahren Sie mehr über das Angebot von Cato, indem Sie CASB mit SASE und ZTNA mit SASE vergleichen und herausfinden, was keine SASE-Lösung ist. Steigen Sie mit unserem Leitfaden SASE für Dummies ein, oder werden Sie mit unserem Kurs und der Prüfung zum zertifizierten SASE-Experten. Kontaktieren Sie uns, und bringen Sie Ihr SASE-Projekt noch heute auf den Weg!

** Gartner, „Markttrends: Vorteile durch die Konvergenz einer WAN-Edge- und Sicherheitslösung in einer Secure Access Service Edge-Plattform“, Joe Skorupa und Neil MacDonald, 29. Juli 2019.

Haftungsausschluss:

Gartner empfiehlt keine Anbieter, Produkte oder Services, die in den veröffentlichten Marktforschungsergebnissen genannt sind, und rät Technologieanwendern nicht, nur die Anbieter mit den höchsten Bewertungen oder anderen Auszeichnungen zu wählen. Die Publikationen von Gartner stellen die Meinung der Marktforschungsabteilung von Gartner dar und sind nicht als reine Fakten zu verstehen. Gartner lehnt jede ausdrückliche oder stillschweigende Haftung bezüglich dieser Studie ab, einschließlich jeglicher Haftung für die Markttauglichkeit oder Eignung für einen bestimmten Zweck.

Related Articles