SSE: Security Service Edge

Was ist SSE?

Im Jahr 2021 führte Gartner die neue Kategorie „Security Service Edge“ (SSE) ein, um die Konvergenz bestimmter Netzwerksicherheitsfunktionen in der Cloud zu beschreiben. SSE vereint SWG, CASB/DLP und ZTNA in einem einzigen Cloudservice. SSE ist ein Teilbereich der Sicherheitsschicht von SASE, der als eigenständige Komponente oder als Schritt auf dem Weg zu einer vollständigen SASE-Transformation bereitgestellt werden kann.

Damit ermöglicht SSE einen sicheren Zugriff auf internet- und cloudbasierte Anwendungen, ohne jedoch direkt die Optimierung des globalen Anwendungszugriffs und die Sicherheit des Ost-West-WAN-Datenverkehrs anzugehen. Verbesserte Transparenz und Kontrolle über den gesamten Datenverkehr ist ein wesentliches Merkmal vergleichbarer SSE-Architekturen.

Mehr Infos zu Cato SSE 360

Security Service Edge (SSE)

Was sind die Gründe für die Nutzung von SSE?

Veraltete Netzwerke basierend auf physischen Rechenzentren

Die Verlagerung in die Cloud erfordert eine Umgestaltung der Netzwerk- und Sicherheitsarchitektur, um den Benutzerzugriff auf interne Anwendungen in physischen und Cloudrechenzentren sowie auf öffentliche Cloudanwendungen jederzeit und überall zu unterstützen.

Zurückgeleiteter Internetdatenverkehr verlangsamt sicheren Cloudzugriff

Angesichts der steigenden Datenmengen im Internet und der Cloud ist es unzweckmäßig, den gesamten Datenverkehr durch die Firewalls des Rechenzentrums zu leiten. Ein direkter, sicherer Internetzugang muss an jedem Standort und sogar für jeden Remotebenutzer eingerichtet werden, um umfassende Transparenz und Kontrolle ohne Beeinträchtigung der Benutzererfahrung zu gewährleisten.

Unternehmen mit hybriden IT-Lösungen

Mit der Umstellung auf ein hybrides Arbeitsmodell müssen auch die Sicherheitsmaßnahmen in den Unternehmen angepasst werden. Für die ortsunabhängige Arbeit wird eine Plattform benötigt, die so flexibel und skalierbar ist, dass die uneingeschränkte Durchsetzung von Sicherheitsmaßnahmen und Richtlinien für alle Bereiche (Benutzer, Standorte, Anwendungen, Cloud) an jedem Ort sichergestellt ist.

Ältere Sicherheitsanwendungen sind nicht skalierbar

Ältere Sicherheitsanwendungen können die heutigen Anforderungen von Unternehmen nicht erfüllen: Sie sind standortgebunden, erfordern ständige Wartung und können bei steigender Auslastung nicht skaliert werden. Die Unterstützung einer hybrid arbeitenden Belegschaft verlangt nach einer flexiblen und skalierbaren Sicherheitsarchitektur, die alle Benutzer an jedem Standort schützt: im Büro, zu Hause und unterwegs.

Hoher Verwaltungsaufwand durch Punktlösungen

Punktlösungen steigern den Arbeitsaufwand der IT-Abteilung für Patches und Upgrades und führen zu mehr Fehlern und Versäumnissen. Mit dem As-a-Service-Bereitstellungsmodell ist es nicht mehr notwendig, die Sicherheitsinfrastruktur zu aktualisieren, um den Sicherheitsstatus aufrechtzuerhalten.

Welche Vorteile bietet SSE?

Konsistente Durchsetzung von Richtlinien

SSE bildet eine globale Struktur, die alle Bereiche mit einer zentralen Sicherheitsplattform verbindet. Der gesamte Datenverkehr zwischen zwei Bereichen wird überprüft, und Unternehmensrichtlinien werden zur Bedrohungsabwehr und zum Datenschutz durchgesetzt.

Geringere Angriffsfläche

SSE implementiert einen Zero-Trust-Zugriff, sodass Benutzer nur mit minimalen Zugriffsrechten auf autorisierte Anwendungen zugreifen können. Der Anwendungsdatenverkehr wird fortlaufend auf Anomalien, Bedrohungen, Angriffe und den Verlust sensibler Daten überwacht.

Leistungsstarke Sicherheitskontrollen

Bei SSE handelt es sich um eine cloudnative Lösung, die über ein globales Backbone-Netzwerk von PoPs bereitgestellt wird. SSE prüft lückenlos den gesamten Datenverkehr, lässt sich vertikal und horizontal mit zunehmendem Datenverkehr skalieren und minimiert die Latenzzeit, da jeder PoP innerhalb von 25 Millisekunden von jedem Benutzer und Standort entfernt ist.

Verbesserter Sicherheitsstatus

SSE entlastet die IT-Abteilung von der manuellen Bereitstellung geeigneter Schutzmaßnahmen gegen neue Bedrohungen. Dank der Kompetenz des SOC eines SSE-Anbieters sind die Endbenutzer stets geschützt, und die Angriffsfläche des Unternehmens wird minimiert.

Entlastung für die IT-Abteilung

Zur Bereitstellung eines automatischen Wartungsservice arbeitet der SSE-Anbieter an der kontinuierlichen Verbesserung aller in der Cloud bereitgestellten Funktionen. Dies entlastet die IT-Abteilung, sodass sie sich auf geschäftskritische Aktivitäten konzentrieren kann, anstatt sich um die Aufrechterhaltung des Betriebs kümmern zu müssen.

Das neue Cato SSE 360: Vollständige Transparenz und Kontrolle über den gesamten WAN-, Cloud- und Internetdatenverkehr

Cato SSE 360 geht über den Konvergenzrahmen von SSE hinaus und bietet vollständige Transparenz, Optimierung und Sicherheit für den gesamten Datenverkehr, alle Benutzer, Geräte und Anwendungen – überall.

Die meisten herkömmlichen SSE-Lösungen bieten einen sicheren Zugang zum Internet und zu Cloudanwendungen sowie zu ausgewählten internen Anwendungen. Doch Unternehmen müssen den gesamten Datenverkehr zu allen WAN-, Cloud- und Internetanwendungen und -ressourcen sowie über alle Ports und Protokolle hinweg optimieren und sichern. Zum Schließen dieser Sicherheitslücken werden daher zusätzliche Punktlösungen wie Firewalls und globale Backbone-Netzwerke benötigt.
Durch die Kombination mit Cato Edge-SD-WAN bietet Cato SSE 360 einen direkten Weg zur SASE-Konvergenz.

„Die in der Infrastruktur verankerten Sicherheitsmaßnahmen helfen uns, unsere Audit- und Geschäftsanforderungen zu erfüllen und Standards einzuhalten, ohne dass wir unzählige Sicherheitsanwendungen warten und verwalten müssen.“

„Wir haben die Möglichkeit, für jede Niederlassung Daten über die Leitungsqualität zu sammeln und Sicherheitswarnungen zu erhalten, damit wir im Falle von Angriffen oder Malware schnell reagieren können.“

Dave Oliver,
IT Manager, Grant and Stone

Herausforderung

Standortunabhängige Sicherung und Optimierung des gesamten Datenverkehrs ist kostenintensiv und kompliziert

Getrennte Sicherheitspunktlösungen überlasten IT-Teams mit begrenzten Ressourcen, beeinträchtigen den Sicherheitsstatus und erhöhen das allgemeine Risiko aufgrund von Konfigurationsfehlern.

Die übliche SSE-Konvergenz entschärft zwar diese Herausforderungen, aber bietet lediglich eingeschränkte Transparenz und Kontrolle, die nur das Internet, öffentliche Cloudanwendungen und ausgewählte interne Anwendungen abdeckt. Dadurch bleibt der WAN-Datenverkehr ungeprüft und wird nicht optimiert.

Bei einer SSE-Plattform, die nicht zu einer SASE-Lösung eines einzigen Anbieters gehört, lässt sich die Konvergenz zudem nicht auf das SD-WAN ausweiten, um so die SASE-Transformation erfolgreich abzuschließen.

Getrennte Sicherheitspunktlösungen überlasten IT-Teams mit begrenzten Ressourcen, beeinträchtigen den Sicherheitsstatus und erhöhen das allgemeine Risiko aufgrund von Konfigurationsfehlern.

Die übliche SSE-Konvergenz entschärft zwar diese Herausforderungen, aber bietet lediglich eingeschränkte Transparenz und Kontrolle, die nur das Internet, öffentliche Cloudanwendungen und ausgewählte interne Anwendungen abdeckt. Dadurch bleibt der WAN-Datenverkehr ungeprüft und wird nicht optimiert.

Bei einer SSE-Plattform, die nicht zu einer SASE-Lösung eines einzigen Anbieters gehört, lässt sich die Konvergenz zudem nicht auf das SD-WAN ausweiten, um so die SASE-Transformation erfolgreich abzuschließen.

Cato-Lösung

Cato SSE 360 bietet vollständige Transparenz, Optimierung und Kontrolle über den gesamten Datenverkehr an jedem Ort

Cato SSE 360 ist die einzige umfassende SSE-Plattform für vollständige Transparenz, Optimierung und Kontrolle des gesamten Datenverkehrs im Unternehmen, einschließlich SaaS, Webanwendungen und WAN.

Cato SSE 360 ermöglicht einen einfachen und nahtlosen Übergang zu einer vollständigen SASE-Bereitstellung, da alle physischen Standorte bei Bedarf mit der SD-WAN-Lösung von Cato zusammengeführt werden können.

Cato SSE 360 ist die einzige umfassende SSE-Plattform für vollständige Transparenz, Optimierung und Kontrolle des gesamten Datenverkehrs im Unternehmen, einschließlich SaaS, Webanwendungen und WAN.

Cato SSE 360 ermöglicht einen einfachen und nahtlosen Übergang zu einer vollständigen SASE-Bereitstellung, da alle physischen Standorte bei Bedarf mit der SD-WAN-Lösung von Cato zusammengeführt werden können.

SSE vs. Cato SSE 360

Herkömmliche SSE-Lösungen

Herkömmliche SSE-Lösungen

Cato SSE 360

Cato SSE 360

Transparenz und Kontrolle

Herkömmliche SSE-Lösungen

Begrenzte Transparenz und Kontrolle

Herkömmliche SSE-Angebote setzen auf die Konvergenz fragmentierter Punktlösungen. Sie sind jedoch so konzipiert, dass sie nur SaaS- und Internetdatenverkehr sowie bestimmte interne Anwendungen überprüfen. Dadurch entsteht ein toter Winkel bei der Sicherung und Optimierung des Ost-West-WAN-Datenverkehrs.

Cato SSE 360

Vollständige Transparenz, Optimierung und Kontrolle

Cato SSE 360 basiert auf der Cato Single Pass Cloud Engine-Architektur und bietet vollständige Transparenz, Optimierung und Kontrolle des gesamten Datenverkehrs (WAN, Internet und Cloud) für alle Bereiche (Benutzer, Standorte, Anwendungen und Cloud).

Globale Zugriffsoptimierung

Herkömmliche SSE-Lösungen

Keine globale Optimierung

Herkömmliche SSE-Anbieter leiten den Datenverkehr vom PoP an das öffentliche Internet weiter und verfügen nicht über ein optimiertes, globales privates Backbone-Netzwerk mit einem intelligenten globalen Routing. Die Folge sind Latenzzeiten, Paketverluste und Jitter sowie ein uneinheitliches Benutzererlebnis.

Cato SSE 360

Optimiertes globales privates Backbone-Netzwerk

Cato SSE 360 optimiert den globalen Zugriff auf alle Anwendungen, das WAN, das Internet und die Cloud über ein globales privates Backbone-Netzwerk mit integrierter Datenverkehrsbeschleunigung, die die Unwägbarkeiten des öffentlichen Internets umgeht.

Von SSE zu SASE

Herkömmliche SSE-Lösungen

Punktlösungen – eine Sackgasse

Klassische SSE-Anbieter können keine vollständige SASE-Transformation durchführen, da sie keine SD-WAN-Konvergenz liefern. Das IT-Team muss eine eigene SASE-Lösung aus komplizierten Einzellösungen und Geräten zusammenschustern.

Cato SSE 360

Nahtloser Übergang zu SASE

Cato bietet die einzige SSE-Lösung, die einen nahtlosen Übergang zu einer vollständigen SASE-Transformation ermöglicht, indem die Bereitstellung um Cato Socket Edge-SD-WAN-Geräte erweitert werden kann.

Herkömmliche SSE-Lösungen

Cato SSE 360

Transparenz und Kontrolle

Begrenzte Transparenz und Kontrolle

Herkömmliche SSE-Angebote setzen auf die Konvergenz fragmentierter Punktlösungen. Sie sind jedoch so konzipiert, dass sie nur SaaS- und Internetdatenverkehr sowie bestimmte interne Anwendungen überprüfen. Dadurch entsteht ein toter Winkel bei der Sicherung und Optimierung des Ost-West-WAN-Datenverkehrs.

Vollständige Transparenz, Optimierung und Kontrolle

Cato SSE 360 basiert auf der Cato Single Pass Cloud Engine-Architektur und bietet vollständige Transparenz, Optimierung und Kontrolle des gesamten Datenverkehrs (WAN, Internet und Cloud) für alle Bereiche (Benutzer, Standorte, Anwendungen und Cloud).

Globale Zugriffsoptimierung

Keine globale Optimierung

Herkömmliche SSE-Anbieter leiten den Datenverkehr vom PoP an das öffentliche Internet weiter und verfügen nicht über ein optimiertes, globales privates Backbone-Netzwerk mit einem intelligenten globalen Routing. Die Folge sind Latenzzeiten, Paketverluste und Jitter sowie ein uneinheitliches Benutzererlebnis.

Optimiertes globales privates Backbone-Netzwerk

Cato SSE 360 optimiert den globalen Zugriff auf alle Anwendungen, das WAN, das Internet und die Cloud über ein globales privates Backbone-Netzwerk mit integrierter Datenverkehrsbeschleunigung, die die Unwägbarkeiten des öffentlichen Internets umgeht.

Von SSE zu SASE

Punktlösungen – eine Sackgasse

Klassische SSE-Anbieter können keine vollständige SASE-Transformation durchführen, da sie keine SD-WAN-Konvergenz liefern. Das IT-Team muss eine eigene SASE-Lösung aus komplizierten Einzellösungen und Geräten zusammenschustern.

Nahtloser Übergang zu SASE

Cato bietet die einzige SSE-Lösung, die einen nahtlosen Übergang zu einer vollständigen SASE-Transformation ermöglicht, indem die Bereitstellung um Cato Socket Edge-SD-WAN-Geräte erweitert werden kann.

Wie funktioniert Cato SSE 360?

Vollständige Transparenz, Optimierung und Kontrolle des gesamten Datenverkehrs

SSE 360 überwacht den Datenverkehr aus allen Bereichen, über alle Ports und Protokolle und in alle Richtungen: WAN, Internet und Cloud. Sämtliche Sicherheitsprüfungen und -optimierungen werden von SSE 360 einheitlich auf den gesamten Datenverkehr über alle Benutzer, Geräte, Anwendungen und Standorte hinweg angewendet.

Leistungsstarke Sicherheitskontrollen – überall

SSE 360 wird über mehr als 75 Cloud-PoPs (Points of Presence) bereitgestellt, die für die Verarbeitung von Datenverkehr mit mehreren Gigabyte ausgelegt sind. So werden niedrige Latenzzeiten (weniger als 25 Millisekunden pro Benutzer und Standort) und eine hohe Leistung auf der „mittleren Meile“ sowohl zu Cloud- als auch zu WAN-Zielen gewährleistet.

Konvergente Verwaltungskonsole

Der Zugriff auf alle SSE 360-Richtlinien, -Ereignisse und -Analysen erfolgt über eine zentrale Benutzeroberfläche und ermöglicht eine präzise Richtlinienverwaltung. Alle Ereignisse in Bezug auf Benutzer, Bedrohungen, Daten und Anwendungszugriffe sind in einem einzigen, einheitlichen Analyse-Dashboard verfügbar.

Zukunftssicherer, resilienter SSE-Service

Dank der konvergenten Single-Pass-Architektur lassen sich neue Sicherheitsfunktionen problemlos über den SSE 360-Cloudservice hinzufügen. Die SSE 360-Cloud ist hochverfügbar, um eine kontinuierliche Sicherheitsprüfung im Falle eines PoP- oder Netzwerkausfalls zu garantieren.

Nahtloser Übergang zu SASE

Cato SSE 360 bietet einen nahtlosen Übergang zur vollständigen Cato SASE-Implementierung. Dazu wird die Bereitstellung auf die konvergente SD-WAN-Lösung und die WAN-Optimierung von Cato ausgeweitet, wodurch die IT-Infrastruktur des Kunden noch effizienter wird.

Welche Komponenten sind in Cato SSE 360 enthalten?

Cloudnatives Security Service Edge

Die Single Pass Cloud Engine (SPACE) von Cato bildet die Grundlage für den globalen, konvergenten, cloudnativen Service von Cato. Folgende konvergente SPACE-Funktionen sind derzeit im Cato SSE 360-Service enthalten: SWG, ZTNA, CASB/DLP, FWaaS und Advanced Threat Prevention (IPS, Next-Generation Anti-Malware).

Globales privates Backbone-Netzwerk von Cato

Das globale, geografisch verteilte, SLA-gestützte Netzwerk von Cato mit mehr als 75 PoPs ist über mehrere Tier-1-Carrier miteinander verbunden. Jeder PoP nutzt alle SSE-Funktionen auf mehreren Rechenknoten und SPACEs, um minimale Latenzzeiten, globale Routingoptimierung und automatische Reparaturfunktionen zu ermöglichen.

Cato ZTNA/SDP-Clients für Benutzer

Benutzer haben die Möglichkeit, sich über einfache Clients mit Cato zu verbinden. Sie können effizient und sicher auf das Internet, interne Anwendungen, On-Premises- und Cloud-Rechenzentren sowie globale öffentliche Cloudanwendungen zugreifen. Für Drittanbieter ist ein clientloser Zugang über ein Anwendungsportal verfügbar.

IPsec-fähige Geräte und Cato-Socket-SD-WAN für Standorte

Physische und Cloudstandorte stellen eine Verbindung mit IPsec-fähigen Geräten von Drittanbietern oder Cato Socket SD-WAN-Edgesher. Zudem können die Kunden bestehende Firewalls oder SD-WAN-Edges in ihren Netzwerken nutzen und von den leistungsstarken Sicherheitsfunktionen von Cato profitieren. Die Cato-Sockets bieten Ausfallsicherheit und QoS auf der letzten Meile und überbrücken Blackouts und Brownouts mit anwendungsbasierter dynamischer Pfadauswahl und Vermeidung von Paketverlusten.

Umfassende Verwaltungsanwendung

Unsere umfassende Verwaltungsanwendung bietet klare Sicherheits- und Netzwerkanalysen sowie eine ausführliche, präzise Richtlinienkonfiguration. Zu den Managed Services gehören Standortbereitstellung, intelligente Überwachungsfunktionen für die letzte Meile, Netzwerkkonfiguration, Änderungen von Sicherheitsrichtlinien und MDR.

  • Was ist SSE?

    2021 führte Gartner die Kategorie „Security Service Edge“ (SSE) ein. SSE vereint Funktionen für einen sicheren Anwendungszugriff wie SWG, ZTNA und CASB/DLP in einem einzigen Cloudservice. Mit SSE können Unternehmen von einer starren, fragmentierten IT-Architektur zu einer konvergenten Sicherheitsplattform wechseln, die als cloudnativer Service bereitgestellt wird. Dank SSE kann die IT-Abteilung eines Unternehmens schnell auf neue Geschäfts- und Sicherheitsanforderungen reagieren, wie beispielsweise eine Cloudmigration, die Einführung von öffentlichen Cloudanwendungen und ortsunabhängiges Arbeiten. Die konvergente Architektur von SSE reduziert Kosten und Komplexität durch eine einfache Verwaltung über eine zentrale Oberfläche, eine Infrastruktur mit automatischer Reparaturfunktion und automatisch angepasste Schutzmaßnahmen, die neue Bedrohungen lückenlos abwehren.

  • Worin besteht der Unterschied zwischen Sicherheitspunktlösungen und SSE?

    Bisher bauten die IT-Abteilungen einen Security-Stack auf, der aus mehreren Punktlösungen und vorhandenen Gerätenbestand. Unternehmen können nur langsam auf die sich ständig ändernden geschäftlichen und technischen Anforderungen und immer neuen Bedrohungen reagieren. Erschwerend kommen fehlende Kenntnisse im Bereich der Cybersicherheit, begrenzte Ressourcen und Budgets sowie hohe Kosten für ausgelagerten Support hinzu.

  • Warum ist SSE von Bedeutung?

    SSE ist ein erster Schritt in Richtung einer sicherheitsorientierten Transformation, bei der alle Benutzer einen sicheren, einheitlichen Zugriff auf alle Anwendungen erhalten. SSE, als Bestandteil der SASE-Plattform eines einzigen Anbieters, ebnet den Weg für eine spätere vollständige SASE-Transformation mit konvergentem SD-WAN und WAN-Optimierung. Je tiefgreifender die IT-Konvergenz ist, desto mehr Vorteile genießt ein Unternehmen in Form von verbesserter Transparenz, niedrigeren Kosten, größeren Betriebskosteneinsparungen und mehr geschäftlicher Agilität.

  • Welche Beziehung besteht zwischen SSE und SASE?

    Zwei Jahre nach der Einführung von SASE (Secure Access Service Edge) stellte Gartner die Kategorie SSE (Security Service Edge) vor. SASE vereint SD-WAN- und cloudnative Sicherheitsfunktionen (FWaaS, CASB, SWG und ZTNA) in einem zentralen Cloudservice. SSE beschreibt einen kleineren Umfang von konvergierten Netzwerksicherheitsfunktionen, bestehend aus SWG, CASB/DLP und ZTNA. Bei SSE liegt der Schwerpunkt auf der Bereitstellung eines sicheren Anwendungszugriffs, ohne dass eine durchgängig optimierte Netzwerkkonnektivität oder Ost-West-WAN-Sicherheit berücksichtigt wird.

  • Worin besteht der Unterschied zwischen klassischen SSE-Anbietern und Cato SSE 360?

    Herkömmliche SSE-Lösungen basieren auf einer Webproxy-Architektur, die den Zugriff auf Websites und SaaS-Anwendungen unterstützt. Um ZTNA für alle Anwendungen einzusetzen, mussten die Anbieter von SSE-Übergangslösungen eine weitere Architektur mit Anwendungs-Konnektoren einführen. Selbst mit dieser Erweiterung bleibt der in den Bereichen des Unternehmens erzeugte Datenverkehr wie IoT, App-zu-App-Datenverkehr und der meiste WAN-Datenverkehr außerhalb des Anwendungsbereichs von SSE.
    Cato SSE 360 basiert auf der Cato Single Pass Cloud Engine-Architektur und bietet vollständige Transparenz, Optimierung und Kontrolle des gesamten Datenverkehrs (WAN, Internet und Cloud) für alle Bereiche (Benutzer, Standorte, Anwendungen und Cloud). Cato SSE 360 optimiert den globalen Zugriff über ein globales privates Backbone-Netzwerk mit integrierter Datenverkehrsbeschleunigung, die die Unwägbarkeiten des öffentlichen Internets umgeht. Schließlich bietet Cato einen nahtlosen Übergang zu einer vollständigen SASE-Transformation, indem die Bereitstellung auf Cato Socket Edge SD-WAN-Geräte erweitert wird.