Secure Access Service Edge (SASE) für digitale Transformation

Von: Stefan Hager

“The future of network security is in the cloud” ist der Titel einer Gartner-Publikation vom August 2019. In dem Papier erläutern die Autoren, warum die digitale Transformation Netzwerksecurity und deren Design auf den Kopf stellt.

Digitale Transformation und der Einbezug von Partnern, Software-as-a-Service (SaaS) wie auch durch COVID-19 vervielfachte Arbeit von remote, über VPN und andere Wege, verschiebt sowohl das Zentrum der Datenverarbeitung als auch den Perimeter, und der bisherige Ansatz der Netzwerksecurity scheint dafür nicht ausreichend.

Dieser Ansatz war bis vor wenigen Jahren, irgendwo im Zentrum des Rechenzentrums das innere Sanktum zu haben, mit all den Daten, die wichtig waren, am besten geschützt vor jeglichem Missbrauch. Eine zentrale Stelle mit fest definierten Kommunikationswegen, Berechtigungen und Wegen, an der sich Policies und Sicherheitsvorkehrungen orientiert haben. Weiterhin einen Perimeter, einen Übergang von eigenen Netzen zu freundlich gesinnten Partnern bis hin zur fremden Wildnis Internet.

Mit der Migration wichtiger Dienste und Daten in die Cloud wurden viele bestehende Vorkehrungen ausgehebelt, ersetzt oder obsolet. Ein dezentrales Modell muß auf andere Weise abgesichert und behandelt werden als ein zentrales, und hier geht es nicht um eine Wertung, sondern einfach um die Unterschiede der beiden Herangehensweisen.

Bei einer strikt zentralen Lösung ist es vielleicht schwierig, aber nicht unmöglich, einen Perimeter zu ermitteln und nur freigegebene Kommunikationswege zu erzwingen, also zum Beispiel mittels bestimmter Kriterien am Endgerät, Authentifizierung der Person, VPN, Firewallregulierungen für die Zugriffe und Autorisation auf erlaubte Datentöpfe des Benutzers oder der Benutzerin.

Wenn ein Unternehmen aber beispielsweise entscheidet, die Unternehmenskommunikation über Gmail abzuwickeln, verändert sich das Bild; die Server sind in der Cloud, Mitarbeiterinnen und Mitarbeiter können mit beliebigen Endgeräten auf Mails zugreifen, so lange sie die Credentials kennen und, falls eingerichtet, ein Token für die Multi-Faktor-Authentifizierung besitzen.

Das gilt natürlich für andere Cloud-Dienste genauso. Die uneingeschränkte Erreichbarkeit plus der Freiheit in der Wahl des Browsers und Endgeräts ist kein geringer Faktor des Erfolgs von Clouddiensten; aber eben mit Einfluss auf die Security-Modelle auf allen Seiten.

Wenn sich eine Firma auf die Cloud einlässt, sollten auch weiterhin einige Dinge beachtet werden; so ist es zum Beispiel nicht im Sinne der Security, dass die Beschäftigten mit jedem Gerät auf jeden eigenen und Partnerdienst zugreifen, von überall.

Die Identität der Benutzer ist der Dreh- und Angelpunkt für alle Entscheidungen bezüglich Zugang zu Diensten und Daten, und nicht mehr das Rechenzentrum und ausgeklügelt regulierte und abgesicherte Datenströme. Kontext wird ein maßgeblicher Faktor in der Entscheidung, ob ein Zugriff gewährt wird oder nicht.

Natürlich bleiben Rechenzentrum oder Datenspeicher weiterhin bestehen und wichtig, aber vielerorts werden sie auf den Status einer weiteren aus dem Internet erreichbaren Quelle für Services oder Daten reduziert.

Wie reguliert man so etwas? Mit SASE verlagert sich der Perimeter des Unternehmens dann bereits auf den Internetübergang vom Gerät der Benutzer. Oder, wie Gartner schreibt:
“The enterprise perimeter is no longer a location; it is a set of dynamic edge capabilities delivered when needed as a service from the cloud.” (“Der Unternehmensperimeter ist nicht länger ein fester Standort, sondern eine Reihe von dynamischen Edge-Funktionen, die bei Bedarf als Dienst aus der Cloud bereitgestellt werden.”)

Und wie ergänzt oder unterscheidet sich das von dem Modell des Cloud Access Security Brokers (CASB), bei dem jede Internetverbindung über einen Dritten gelenkt wird, der dann für Sicherheit, Authentifikation etc. verantwortlich ist? Diesen gordischen Knoten zu lösen ist für einen Techie wie mich nicht wirklich einfach.

Ein bisschen leger gesagt sieht SASE für mich aus wie CASB — aber eben mit einem neuen, von Gartner geprägten Schlagwort, weil CASB nicht den Auftrieb bekommen hat, den man sich vorgestellt hat. Und ja, natürlich sind auch ZTNA (Zero Trust Network Access), SWG (Secure Web Gateways) und FWaaS (Firewalls as a service) wichtige Bestandteile, sowohl bei SASE als auch bei einem Schlagwortgefecht.

Wie sehr die Formulierung von Gartner vielleicht übertrieben ist, so klar ist aber auch, dass die Kernthesen Bestand haben: Um Security in einer Cloud-zentrischen Welt betreiben zu können, müssen neue Wege gegangen werden; die alte Netzwerkinfrastruktur kann nicht länger abbilden, was für eine gelungene digitale Transformation wirklich notwendig ist.

Ihr seid ebenso verrückt nach IT, Software und Tech-Themen und habt Lust, Teil unseres Entwickler-Teams zu werden, hier geht´s zu unseren offenen Stellen: https://www.datev.de/web/de/karriere/geschaeftsbereiche/it/.