Was ist keine SASE-Lösung?

Dave Greenfield
May 11, 2022

Der von Gartner 2019 veröffentlichte Artikel „The Future of Network Security Is in the Cloud“ war in zweierlei Hinsicht wegweisend. Erstens hat Gartner genau erkannt und beschrieben, wohin sich Unternehmensnetzwerke und Sicherheitsarchitekturen im nächsten Jahrzehnt entwickeln werden. Zweitens wurde, wie die Google Trends-Zahlen belegen, zur Bezeichnung dieses neuen Ansatzes eines der größten IT-Schlagworte der heutigen Zeit erschaffen: SASE, kurz für „Secure Access Service Edge“.

Aufgrund des großen Hypes um SASE vermarkten viele „SASE-Anbieter“ Lösungen mit Funktionen, die auch in einer SASE-Architektur zu finden sind. Die meisten dieser Angebote erfüllen jedoch nicht das Versprechen von SASE, eine ganzheitliche und konvergente Netzwerksicherheitslösung bereitzustellen. Im Folgenden gehen wir darauf ein, was keine SASE-Lösung ist, um aufzuzeigen, welchen Mehrwert Unternehmen von SASE-Anbietern erhalten sollten.

SD-WAN ist nicht SASE

In manchen Zusammenhängen wird SASE als nächste SD-WAN-Generation dargestellt. Angesichts der dadurch erreichten Flexibilität und Konvergenz der Netzwerkinfrastruktur ist verständlich, warum dieser Vergleich gezogen wird. Tatsächlich sind die optimale Weiterleitung des Datenverkehrs und die Abstraktion vom zugrundeliegenden physischen Medium, welche die Hauptvorteile eines SD-WAN sind, wesentliche Bestandteile der SASE-Architektur.
SD-WAN als solches ist jedoch nur ein Bestandteil einer umfassenderen Lösung, die SASE-Anbieter bereitstellen sollten. Darüber hinaus werden nicht alle SD-WAN-Implementierungen gleich umgesetzt. SASE ist beispielsweise darauf ausgerichtet, alle Randbereiche des Netzwerks zu unterstützen (WAN, Edge Computing, Cloud Computing und Mobilgeräte), doch bei vielen SD-WAN-Appliances fehlt die Unterstützung für Mobilgeräte oder ist überhaupt nicht vorhanden.

Cloudbasierte Sicherheitsfunktionen sind keine SASE-Lösung

Wie bei einem SD-WAN gibt es viele Sicherheitsfunktionen, die auch wichtige Bestandteile einer SASE-Lösung sind. Dazu gehören IPS (Intrusion Prevention System), NGFW (Next-Generation Firewall) und SWG (Secure Web Gateway).

Identitätsbezogene Sicherheitsmaßnahmen und eine cloudnative Architektur sind entscheidende Merkmale von SASE. Daher liegt der Schluss nahe, dass eine funktionsreiche, cloudbasierte Firewall zur Implementierung von SASE geeignet ist. Doch in der Praxis zeigt sich, dass dies nicht funktioniert. Sicherheitsfunktionen sind nur die eine Hälfte der SASE-Architektur, und eine cloudbasierte Firewall und ein IPS allein reichen nicht aus, um die Weiterleitung und WAN-Optimierung auf globaler Ebene zu gewährleisten.

Wie bei einem SD-WAN machen die Vorteile dieser Technologien sie zu einem wichtigen Element von SASE, doch auch wenn sie kombiniert werden, sind sie für sich genommen noch keine SASE-Lösung.

Die Verbindung mehrerer separater Appliances ergibt noch keine SASE-Lösung

Die SD-WAN-Funktionen, die eine flexible und effiziente Weiterleitung ermöglichen, sind ein zentraler Bestandteil von SASE. Auch Sicherheitsfunktionen wie IPS, SWG und NGFW spielen bei einer SASE-Architektur eine entscheidende Rolle. Durch die einfache Bereitstellung von Appliances und Lösungen eines „SASE-Anbieters“, die alle Punkte des SASE-Funktionsumfangs erfüllen, lässt sich das Leistungsversprechen von SASE jedoch nicht einhalten.

Der Grund dafür ist, dass mit einem Flickenteppich aus Netzwerk- und Sicherheitsappliances sowie Cloudlösungen schlichtweg nicht die Flexibilität, Transparenz, Benutzerfreundlichkeit und Leistung einer zentralen konvergenten Lösung erreicht werden kann. Die Beschaffung, Bereitstellung, Verwaltung und Integration verschiedener Produkte treibt nicht nur die Kosten in die Höhe, sondern trägt auch zur Komplexität des Netzwerks bei. Folglich führt ein Lösungs-Mix, der auf dem Papier zunächst gut aussieht, im großen Maßstab oft zu betrieblichen Engpässen und Sicherheitslücken. Auch wenn einige empfehlen, die komplexen Anforderungen an einen Serviceprovider zu übertragen, löst dies nicht die eigentlichen Probleme und führt oft zu höheren Kosten bei suboptimaler Leistung.

Virtuelle Appliances auf Edge-Geräten sind keine SASE-Lösung

Die Ausführung virtueller Appliances auf einem Edge-Gerät reduziert zwar den Platzbedarf für die Hardware, hat aber kaum Auswirkungen auf die Betriebskosten. Die Appliances müssen nach wie vor bereitgestellt, integriert, aktualisiert und gewartet werden. Die bestehenden Silos und die damit verbundene Komplexität bleiben weiterhin ein Problem. Bei echten SASE-Plattformen entfällt der Appliance-Formfaktor. Die Funktionen werden über eine mehrinstanzenfähige, cloudnative Plattform bereitgestellt. Diese Plattform wird von den SASE-Anbietern zum Vorteil aller Kunden verwaltet und gepflegt. Weder für das Unternehmen noch für den Anbieter entstehen Betriebskosten für die Verwaltung der Appliances.

Was genau ist dann aber eine SASE-Lösung?

SASE bedeutet die Konvergenz von Netzwerk und Sicherheit, die die Leistung optimiert, die betriebliche Komplexität verringert und die Sicherheitsmaßnahmen auf globaler Ebene verbessert. Damit diese Voraussetzungen erfüllt sind, muss eine echte SASE-Lösung die folgenden Merkmale aufweisen:

  • Unterstützung für alle Randbereiche des Netzwerks: Der Zugriff über Mobilgeräte, die Cloud, das WAN oder den Randbereich des Netzwerks muss ohne Leistungs- oder Funktionseinbußen unterstützt werden. Viele virtuelle und physische Appliances haben Schwierigkeiten, dieses Kriterium zu erfüllen. Das liegt daran, dass Sicherheitsappliances oft grundsätzlich an einen bestimmten Standort gebunden sind.
  • Identitätsbezogene Sicherheitsmaßnahmen: Das SASE-Sicherheitsmodell basiert auf einer genauen Erkennung von Ressourcen. Bei SASE muss jede Anwendung, jede Person und jedes Gerät erfasst und der Datenfluss eingehend analysiert werden können. Dies ermöglicht Transparenz im gesamten Netzwerk und kontextbezogene Überwachung, um so Bedrohungen abzuwehren.
  • Cloudnative Architektur: Zur Vereinfachung der komplizierten Verwaltungsabläufe und zur Bereitstellung von Flexibilität, Ausfallsicherheit und automatischen Wartungsfunktionen, durch die die SASE-Lösung für das Unternehmen leistungsfähig und skalierbar wird, ist eine mehrinstanzenfähige, cloudnative Architektur unverzichtbar.
  • Global verteilte Netzwerkkonnektivität: Dank einer global verteilten Cloudplattform sind alle SASE-Funktionen unabhängig von den geografischen Standorten der Unternehmensnetzwerke verfügbar. Das bedeutet, dass die SASE-PoPs (Points of Presence) nicht nur in öffentlichen Cloudrechenzentren installiert sein müssen, sondern auch Konnektivität mit niedriger Latenz für alle WAN-Endpunkte sicherstellen müssen.

Für echte SASE-Anbieter ist Konvergenz der Schlüssel

Die wichtigste Erkenntnis dabei ist folgende: Bei SASE geht es nicht nur um stabile Netzwerk- und Sicherheitsfunktionen. Vielmehr geht es um die Konvergenz dieser Funktionen, damit die Leistung und die Sicherheit verbessert und gleichzeitig die Komplexität und die Kosten verringert werden. Im dritten Jahr in Folge wurde Cato Networks von Gartner im aktuellen „Hype Cycle for Enterprise Networking“ als „Sample Vendor“ in der SASE-Kategorie ausgezeichnet, denn der SASE-Ansatz von Cato wurde unter dem Aspekt der Konvergenz und den digitalen Geschäftsanforderungen von heute entwickelt.

Wenn Sie mehr über die SASE-Lösung und deren Relevanz für Ihr Unternehmen erfahren möchten, lesen Sie unser kostenloses E-Book „Secure Access Service Edge (SASE): die zukunftsweisende Plattform für digitale Unternehmensnetzwerke“. Sie können unsere cloudbasierte SASE-Lösung auch einfach unverbindlich testen. Nehmen Sie dazu bitte Kontakt mit uns auf oder melden Sie sich gleich für eine Demo an.

Dave Greenfield