Die Entwicklung zu SASE: Cloudbasiertes Netzwerkmodell mit Security Services


    Herkömmliche WAN-Architektur 

    In herkömmlichen Netzwerken stellt das unternehmenseigene Rechenzentrum bzw. der Hauptstandort des Unternehmens den Knotenpunkt für den gesamten Datenverkehr dar. Die Internet- bzw. Cloud-Konnektivität erfolgt über die eigene demilitarisierte Zone (DMZ) – eine Pufferzone, welche das externe Netz (Internet) mit strengen Kommunikationsregeln und Firewalls vom internen Netz trennt. Sämtliche Zweigstellen sind über WAN-Verbindungen (MPLS/VPN) mit dem Rechenzentrum der Hauptstelle verbunden und greifen darüber auf Internet- und Cloud-Services zu. Das hat mehrere Nachteile: Der gesamte Netzwerkverkehr muss über das Rechenzentrum laufen (Backhauling), was mit Engpässen im Datenverkehr verbunden ist. Die Lösung wäre mehr Bandbreite – was Kosten und Aufwand nach sich zieht. 

    Transformation zur dezentralisierten Vernetzung und cloudbasierten Security 

    Die hohe Komplexität heutiger Netzwerke, (z. B. Mikrosegmentierung), der wachsende Datenverkehr sowie verteilte Datenquellen und Nutzer erfordern eine cloudbasierte Sicherheitsarchitektur, um die steigenden Cybergefahren zu bewältigen. Mit diesen Anforderungen ist die traditionelle lokale Security zunehmend überfordert. 

    Im Zeitalter von Cloud und verteiltem Arbeiten setzen Unternehmen vermehrt auf SD-WAN-Architekturen: Der Internetzugang erfolgt nicht mehr zwingend über das Rechenzentrum am Hauptsitz des Unternehmens, sondern direkt vom Router des jeweiligen Standorts (Direct Internet Access, kurz DIA). Dadurch werden Latenzzeiten deutlich reduziert und die Benutzerfreundlichkeit wird verbessert. Über das softwarebasierte Netzwerk-Overlay lassen sich Netzwerkeigenschaften für sämtliche Firmenstandorte zentral steuern und konfigurieren und man hat jederzeit den Überblick über den Zustand des Unternehmensnetzwerks. In diesem Modell wird die Sicherheit noch lokal implementiert – meist in der Zentrale oder Teile davon in den Geräten der Aussenstandorte. Zudem wird der Datenverkehr bei Remote-Zugriffen nach wie vor über das Rechenzentrum geleitet. 

    Secure Service Edge (SSE) ist ein cloudbasiertes Sicherheitskonzept, das sich auf den Schutz von Daten, Anwendungen und Nutzern konzentriert, indem es Sicherheitsfunktionen direkt an den Netzwerkzugriffspunkt (Edge) bringt. Als umfassende Sicherheitslösung bietet SSE zentrale Schutzfunktionen, darunter: 

    • Zero Trust Network Access (ZTNA): Anwendungsspezifischer Zugriff auf private Applikationen mit minimaler Rechtevergabe 

    • Cloud Access Security Broker (CASB): Zugriffskontrolle für Cloud-Anwendungen, inklusive Data Loss Prevention (DLP) 

    • VPN as a Service (VPNaaS): Cloudbasierter VPN-Dienst für sichere Remote-Arbeit 

    • Firewall as a Service (FWaaS): Umfassender Bedrohungsschutz aus der Cloud 

    • Secure Web Gateway (SWG): Inhaltsfilterung, Malware-Scanning und Anwendungssteuerung für den Webdatenverkehr 

    Dank SASE sind sämtliche Netzwerk- und Cloud-Zugriffe gesichert – unabhängig davon, ob sich der User innerhalb oder ausserhalb des Firmennetzwerks befindet.