Ein Zeigefinger zeigt auf das Wort SASE
Security

SASE: So schützt Secure-Access-Security-Edge Ihre Daten

Komplexe IT-Architekturen in Unternehmen, die per Cloud-Computing verschiedene Standorte mit einbeziehen, erfordern ein hohes Maß an Sicherheit. In diesem Zusammenhang ist Ihnen vermutlich bereits der Begriff Secure-Access-Service-Edge (SASE) begegnet. Diese Technologie führt Sicherheitsfunktionen im Netzwerk direkt an der jeweils benötigten Stelle aus und beschleunigt damit Reaktionszeiten. Doch was bedeutet das konkret?

Immer mehr Unternehmen binden in den letzten Jahren unterschiedliche Firmenstandorte, die Homeoffices und Mobilgeräte von Mitarbeiter:innen in ihr Netzwerk ein. Traditionelle Sicherheitskonzepte sind in diesen neuen Strukturen an ihre Grenzen geraten. Security-Access-Service-Edge gilt in diesem Zusammenhang als zeitgemäßes Konzept für effektive Cloud-Security. Erst im Jahr 2019 definierten die Gartner-Analysten Neil McDonald und Joe Skorupa diesen neuen Begriff in Bezug auf dezentrale Sicherheitskonzepte in Wide-Area-Networks (WANs).

Wie Security-Access-Service-Edge funktioniert, welche Funktionen das Konzept beinhaltet und wie es auch Ihre Unternehmensdaten schützen kann, erfahren Sie in diesem Artikel.

Inhaltsverzeichnis

Was ist Security-Access-Service-Edge?

Software-Defined Wide-Area-Networks (SD-WANs), also Rechnerverbünde über einen mitunter großen geografischen Bereich verteilt, sind zunehmend verbreitet – und damit auch Edge Computing. Hierdurch erhält SASE ebenfalls eine immer größere Bedeutung. Beide Konzepte haben gemeinsam, dass sie das Netzwerk und dessen Funktionen software-basiert an den Endpunkten verwalten, anstatt von einem zentralen Rechenzentrum aus.
Die bisherigen, vorwiegend linear strukturierten Netzwerke reichen nicht mehr aus. Sie können die Sicherheit eines eines ununterbrochenen, dezentralen Netzwerkzugangs zu cloudbasierten Anwendungen und Daten oft nicht mehr gewährleisten. Das hängt mit der enorm gestiegenen Angriffsfläche von WANs zusammen: Der Schutz muss sich dort nicht nur auf eine deutlich gewachsene native Netzwerkinfrastruktur erstrecken, sondern auch auf viele Zugangspunkte unterschiedlicher Natur. Zentrale Sicherheitsfunktionen sind dafür nur unzureichend ausgelegt und vor allem nicht mehr schnell genug – zum Beispiel, wenn es um den Schutz von Echtzeitanwendungen des Internet of Things (IoT) geht.
Security-Access-Service-Edge verlagert die Überprüfung und Durchsetzung von Sicherheitsfunktionen an den Rand des Netzwerks, also dahin, wo sie benötigt werden. Die Zugangsanforderungen von SASE erfolgen dabei stets identitätsgebunden, um die dynamischen Organisationsmodelle von Unternehmen zu unterstützen. Es kann sich bei verifizierten Identitäten um Personen handeln, Netzwerkzweigstellen, Hardware, Anwendungen und deren spezifische Dienste – aber auch um IoT-Geräte oder Edge-Computing-Standorte.
Unternehmen, die SASE nutzen, erhalten an jedem „Point of Presence“ (PoP), also ihren lokalen Netzzugangspunkten, sämtliche Netzwerk- und Sicherheitsfunktionen ohne Latenzzeiten. Das Prinzip ähnelt also dem Edge-Computing, das ebenfalls Rechenleistung an den Rand des Netzwerks verlagert, um zentrale Ressourcen sowie die Verbindungen dorthin zu entlasten.
SASE umfasst in diesem Zusammenhang aber nicht nur eine einzelne Software, sondern kombiniert mehrere Sicherheitsdienste und -funktionen mit SD-WAN-Architekturen. Dazu gehören unter anderem Secure-Web-Gateways (SWG), Data-Loss-Prevention (DLP) und Firewall-as-a-Service (FWaaS). Mehr zu den integrierten Software-Komponenten und deren Funktionen erfahren Sie im folgenden Abschnitt.
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Aus welchen Komponenten besteht SASE?

Security-Access-Service-Edge bringt unterschiedliche Netzwerktechnologien zusammen, die nicht nur für stabilere Verbindungen und geringere Latenzen sorgen sollen, sondern auch für eine erhöhte Sicherheit. Im Folgenden stellen wir Ihnen die wichtigsten Komponenten von SASE in kompakter Form vor.
SD-WAN
Die Grundvoraussetzung für den Einsatz von SASE sind Software-Defined Wide-Area-Networks. Als moderne Art der Standortvernetzung von Unternehmen verlagert ein SD-WAN den Netzwerkzugriff an den jeweiligen Ort des Endgeräts. Eine Software wählt den jeweils bestmöglichen Übertragungsweg und kann damit den Ausfall einzelner Trägermedien oder zentraler Netzwerksteuerungen kompensieren.
SD-WAN bindet im Unterschied zum lange vorherrschenden Multiprotocol-Label-Switching (MPLS) das Mobilfunknetz als primären Übertragungsweg mit ein. Dies sorgt für eine bessere Stabilität und eine größere Netzverfügbarkeit, sodass Unternehmen an ihren Zugriffspunkten also nicht länger auf eine einzelne, möglicherweise störanfällige Festnetzleitung angewiesen sind. Davon können Firmen jedweder Größe profitieren.
Zero-Trust
Zero Trust bedeutet so viel wie „Vertraue niemandem“ und ist eine grundlegende Prämisse für moderne Netzwerksicherheit. Diese Architektur gestattet keinem Akteur oder Dienst einen pauschalen Zugriff auf Daten und Ressourcen. Der externe Zugriff erfordert beispielsweise einen zusätzlichen Identitätsnachweis – unter anderem die Multi-Faktor-Authentifizierung beim Online-Banking ist ein Beispiel für Zero Trust.
Die Prämisse gilt aber auch innerhalb von Netzwerken: Selbst bei erfolgreicher Authentifizierung gestattet das System den Benutzer:innen keinen pauschalen Zugang. Stattdessen verlangt jede neue Zugriffsanforderung auch nach einer erneuten Authentifizierung. Sie können sich das wie ein Haus vorstellen, in dem jeder Raum einen anderen Schlüssel verlangt – mit dem Hausschlüssel können Sie lediglich das Gebäude betreten.
Firewall-as-a-Service
Firewall-as-a-Service (FWaaS) verlagert den traditionellen Firewall-Schutz vom Rand eines Netzwerks in die Cloud. Ursprüngliche Firewalls sind auf zentralen Rechnern von Unternehmen installiert und bieten keine ausreichende Skalierbarkeit in Bezug auf cloud-native Anwendungen. FWaaS ermöglicht dagegen, die Funktionen einer Next-Generation-Firewall als Cloud-Service bereitzustellen. Dazu gehören auch eine zeitgemäße und effektive SSL-Überprüfung sowie verzögerungsfreie Übertragungsraten bei hohem Zugriffsvolumen.
Es ist also egal, wer sich mit welchem Gerät von einem beliebigen Ort aus in das Unternehmensnetzwerk einwählt: Der Schutz gilt immer, ebenso wie einheitliche Sicherheitsrichtlinien des Unternehmens. Diese sind nicht länger an geographische Reichweiten gebunden und ergänzen die SASE-Infrastruktur um einen weiteren wichtigen Faktor.
Ein Mann mit Kapuze sitzt vor einer Tastatur, im Vordergrund grüne Viren- und Datensymbole

Risikofreies Cloud-Computing: Vodafone Total Cloud Security

Immer mehr DDoS-Attacken, professionellere Hacker-Angriffe, gestiegene Compliance-Anforderungen – nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen als heute.

Unser DDoS Mitigation Service analysiert einlaufenden Traffic und alarmiert Sie automatisch bei drohenden Attacken. Mit Managed Firewall bekommen Sie umfassenden hardware-dedizierten Schutz vor IT-Gefahren. Außerdem verfügen wir über die ISO 27001-Zertifizierung für Cloud & Hosting Services und für Rechenzentrums-Dienstleister in Deutschland.

Cloud-Access-Security-Broker (CASB)
Ein Cloud-Access-Security-Broker (CASB) ist Teil der Cloud-Web-Security, also von cloudbasierten Sicherheitsdiensten und -services. Dieses Cloud-Computing-Programm ist an der Stelle zwischen Cloud-Diensten und deren Benutzer:innen platziert. Es überwacht den Datenpfad zwischen Cloud-Services und den Zugangspunkten.
CASBs überwachen als Teil der SASE-Infrastruktur vor allem die jeweiligen Identitäten: Sie stellen fest, wenn diese von der vorgegebenen Konfiguration oder den Compliance-Richtlinien des Unternehmens abweichen.
Secure-Web-Gateways
Secure-Web-Gateways (SWGs) agieren zwischen dem Internet und den Mitarbeiter:innen eines Unternehmens, um Unternehmensdaten zu schützen und Sicherheitsrichtlinien durchzusetzen. Sie filtern vor allem unsichere Inhalte aus dem Datenstrom, damit diese nicht bis zu den Endgeräten gelangen, die im Netzwerk angemeldet sind.
Dazu gehören unter anderem Bedrohungen wie Malware und Datenschutzverletzungen. Des weiteren blockieren Secure Web Gateways unsicheres und unautorisiertes Verhalten seitens der Benutzer:innen. SWGs sind meist gemeinsam mit Maßnahmen wie DLP und CASB in SASE eingebettet.
Data-Loss-Prevention
Data-Loss-Prevention (DLP) bezeichnet allgemein Maßnahmen zum Schutz sensibler Daten. Damit können zwei Dinge gemeint sein: sowohl eine einheitliche Strategie gegen Datenverlust in IT-Netzwerken als auch konkrete Software-Lösungen und -Anwendungen zur Durchsetzung dieses Ziels. Große Software-Firmen wie Microsoft und Google integrieren zum Beispiel DLP-Dienste in ihre Produkte, um Daten in ihren Anwendungen zu schützen.
Entsprechende Anwendungen und Dienste sind gewöhnlich auch Bestandteil der Cloud-Web-Security von SASE, um eine ganzheitliche Cyber-Sicherheit in SD-WAN-Umgebungen zu gewährleisten.

Die Unterschiede zwischen SASE und SSE

Security-Access-Service-Edge ist als Begriff wie erwähnt erst seit 2019 gebräuchlich, ist aber mittlerweile als Beschreibung für ein ganzheitliches Sicherheitskonzept weit verbreitet. Nicht zu verwechseln ist SASE mit dem etwas jüngeren Begriff Security-Service-Edge (SSE), denn SSE beschreibt lediglich einen Teilbereich von SASE.
Die ebenfalls von Gartner-Expert:innen etablierte Bezeichnung SSE umfasst als Sammelbegriff einen abgegrenzten Bereich der konvergenten Sicherheitsfunktionen eines Netzwerks. Er kommt zum Einsatz, wenn dieser Bereich mehrere Dienste zusammenführt: wie etwa Secure-Web-Gateways, Cloud-Access-Security-Broker, Zero-Trust-Networks und Maßnahmen zur Data-Loss-Prevention in einem einzigen cloudnativen Service.
SASE verfolgt also einen ganzheitlichen Ansatz zur Sicherung und Optimierung des kompletten Netzwerkzugriffs, während SSE lediglich einen wichtigen Teil davon darstellt.
Grafik zeigt SSE (Security-Service-Edge) als Teil von SASE
Unterschied zwischen SASE und SSE: SSE ist ein Sammelbegriff für einen Teil der Sicherheitsfunktionen eines Netzwerks.

Die Vorteile von Security-Access-Service-Edge

SASE bietet Ihnen deutliche Vorteile gegenüber den bisher üblichen zentralen Sicherheitslösungen und trägt den veränderten IT-Strukturen und Nutzungsgewohnheiten von Unternehmen zeitgemäß Rechnung.
Zu den wichtigsten Vorteilen von SASE gehören:
  • Hohe Skalierbarkeit:
    Als cloudnatives Security-Konzept können Sie SASE vollständig und jederzeit nach Ihren eigenen Wünschen und Bedürfnissen skalieren. Das System mit allen seinen Komponenten kann problemlos mit den IT-Strukturen Ihres Unternehmens mitwachsen oder -schrumpfen. Denn bei geringerem Bedarf an Cloudressourcen können Sie es ebenfalls entsprechend anpassen.
  • Bessere Performance:
    Durch die Implementierung von SASE in Ihre Cloud-Infrastruktur und deren dezentrale, softwarebasierte Funktionsweise erhöht sich die Leistung Ihres Unternehmensnetzwerks. Verzögerungen bei hohem Workload und zu hohe Latenzzeiten bei Echtzeitanwendungen wie etwa in einer Smart Factory gehören durch SASE üblicherweise der Vergangenheit an.
  • Kostenreduzierung:
    Netzwerk-Security besteht häufig aus verschiedenen Einzelkomponenten, die kombiniert, aber getrennt voneinander arbeiteten. Durch das integrierte SASE-Modell reduziert sich die Anzahl einzelner Lösungen, sodass Ihnen weniger fixe Kosten und Verwaltungsaufwand entstehen.
  • Remote-Unterstützung:
    Aufgrund der veränderten Arbeitsgewohnheiten im Zuge von New Work und hybriden Beschäftigungsmodellen steigen auch die Anforderungen an Unternehmensnetzwerke. Unabhängig vom Zugriffsort gewährleistet SASE unternehmensweite Sicherheit für sämtliche Mitarbeiter:innen Ihres Unternehmens.
  • Höhere Sicherheit:
    SASE nutzt Threat-Intelligence-Technologien wie die Cloud-Web-Security-Dienste und folgt zudem dem ganzheitlichen Zero-Trust-Ansatz. Deshalb haben es Angreifer deutlich schwerer, umfassenden Zugang zu Ihrem Unternehmensnetzwerk zu erlangen. Dieser Schutz gilt immer – unabhängig davon, ob sich Benutzer:innen innerhalb oder außerhalb des Netzwerks befinden.
  • Optimiertes Nutzungserlebnis:
    Neben der Sicherheit optimiert SASE auch die Anwendungsfreundlichkeit für Ihre Mitarbeiter:innen, indem sich Latenzzeiten reduzieren und die Architektur in Echtzeit auf veränderte Bedrohungssituationen reagiert. Wartezeiten und Verzögerungen entfallen somit.
  • Datenschutz:
    SASE sorgt für einen umfassenden Schutz Ihrer Daten und deren Verarbeitung, indem es Compliance-Richtlinien in der gesamten Infrastruktur eines SD-WANs einheitlich durchsetzt. Unbefugter und böswilliger Zugriff darauf kann damit von vornherein verhindert werden.
Ein Mann im roten Shirt blickt lächelnd auf ein Tablet

Secure Access Gateway mit Zscaler

Unsere Security-as-a-Service-Funktion für umfassenden Schutz. Durch die Kombination der Sicherheitsfunktionen von Zscaler mit unseren sicheren Netzwerkdiensten ersetzen Sie herkömmliche Inbound- und Outbound-Gateways durch moderne, cloudbasierte Services.

  • Zscaler sichert als Web Security Gateway den Internetzugang über jede Verbindung.
  • Zscaler Private Access ermöglicht als Remote-Access-Lösung den Zugriff auf interne Applikationen On-Premises und in der Cloud.

So führen Sie SASE in Ihrem Unternehmen ein

Möchten Sie Ihre Cybersicherheit künftig auf Basis von Security-Access-Service-Edge errichten, erfordert dies eine gründliche Vorbereitung. Die Planung und Implementierung eine neuen dezentralen Sicherheitsarchitektur sollten Sie dabei spezialisierten Expert:innen anvertrauen. Neben der Einrichtung erfordert ein SASE-System zudem eine durchgehende Überwachung und Anpassung.
Ein planvolles Vorgehen zur Etablierung von SASE in Ihrem Unternehmen könnte folgendermaßen aussehen:
  • Ziele und Anforderungen festlegen:
    Welche Ziele soll SASE in Ihrem Unternehmen realisieren und welche Probleme können Sie mit der Implementierung lösen? Haben Sie diese Fragen beantwortet, können Sie eine Erwartung an Ihre Geschäftsergebnisse formulieren. Außerdem können Sie konkret bestimmen, welche SASE-Komponenten Sie benötigen, um Sicherheitslücken in der Netzwerkinfrastruktur Ihres Unternehmens zu schließen.
  • Backbone für SD-WAN wählen:
    Der Begriff „Backbone“ bezeichnet in einer WAN-Struktur das Kernnetz innerhalb der Hierarchie des Gesamtnetzwerks. Der Backbone stellt mit Breitbandgeschwindigkeit die Verbindungen zwischen den einzelnen Mitgliedern her – in diesem Fall zwischen Ihren Unternehmensstandorten und anderer Zugangspunkten Ihres Firmennetzwerks. Kombinieren Sie ein passendes SD-WAN mit entsprechenden SSE-Funktionen, um ein ganzheitliches Konzept zu etablieren.
  • Zero Trust integrieren:
    Integraler Bestandteil Ihrer SASE-Struktur sollte das Prinzip „Zero Trust“ sein. Cloudnative Zero-Trust-Dienste sorgen dafür, dass Ihr gesamtes SD-WAN identitätsbasiert abgesichert ist. Selbst wenn Angreifer:innen Zugriff auf geschützte Bereiche erhalten, ist dieser stark
  • Struktur testen:
    Vor der definitiven Etablierung sollten Sie die SASE-Struktur ausführlichen Tests unterziehen und Bedrohungsszenarien aussetzen. Einerseits spielt dabei die reibungslose Integration in Ihre bestehenden Systeme sowie die fehlerfreie Funktionalität eine Rolle. Andererseits sollten Sie auch überprüfen, ob die Sicherheit Ihrer Daten und Anwendungen gegenüber typischen Angriffsarten tatsächlich erhöht worden ist.
  • SASE-Framework überwachen:
    Haben Sie SASE erfolgreich in Ihr Unternehmensnetzwerk integriert, sollten Sie das System stets überwachen. Optimierungen und Aktualisierungen bestehender Funktionen sollten dabei obligatorisch sein. Daneben sollten Sie regelmäßig überprüfen, ob die bestehenden Strukturen für die Sicherheit Ihres Netzwerks ausreichen – oder ob sie vielleicht stattdessen sogar überdimensioniert sind, weil sich etwas in Ihren Geschäftsprozessen verändert hat.
Mitarbeiter mit Helm prüft Daten am Tablet

Datenverarbeitung in nahezu Echtzeit – Gamechanger MEC

Als erster Anbieter am deutschen Markt bietet Vodafone in Kooperation mit Amazon Web Services seinen Kunden Distributed Multi-Access Edge Computing (MEC) an. Profitieren Sie von den Vorteilen der AWS Wavelength und den Stärken des Vodafone Netzes:

  • Niedrige Latenzen für Echtzeitanwendungen
  • Verlagerung der Datenverarbeitung vom Gerät in die Edge
  • Längere Batterie- und Akkulaufzeiten

Security-Access-Service-Edge: Das Wichtigste in Kürze

  • Security-Access-Service-Edge führt Sicherheitsfunktionen in Sofware-Defined Wide-Area-Networks (SD-WANs) direkt an der jeweils benötigten Stelle aus und beschleunigt damit Reaktionszeiten.
  • Cybersecurity-Funktionen finden damit am Rand des Netzwerks und nicht mehr zentral statt – aufgrund der veränderten Geschäftsprozesse vieler Unternehmen ist dies eine zeitgemäße und flexible Lösung.
  • Zu den wichtigsten Komponenten von SASE gehören Secure-Web-Gateways (SWG), Cloud-Access-Security-Broker (CASB), eine Zero-Trust-Architektur und der Cloud-Dienst Firewall-as-a-Service (FWaaS).
  • Vorteile von SASE für Unternehmensnetzwerke bestehen vor allem in identitätsgebundenen Sicherheitsfunktionen, einer hohen Skalierbarkeit auch für großflächige Netzwerke mit vielen Standorten, einer höheren Geschwindigkeit aufgrund geringer Latenzen sowie einer Kostenreduktion durch den ganzheitlichen Sicherheitsansatz im Gegensatz zu vielen Einzellösungen.
  • Die Implementierung von SASE in ein Unternehmensnetzwerk erfordert eine gute Planung und Vorbereitung sowie eine ständige Evaluation und Optimierung des kompletten Frameworks.
Das könnte Sie auch interessieren:
Digitalisierung
Ein Mann und eine Frau stehen hinter einem Fenster und schauen gemeinsam auf ein Tablet

Microsoft 365 Business: Die Vorteile für Unternehmen gegenüber On-Premises-Lösungen

Effizient zusammenarbeiten, unterwegs produktiv sein, IT-Aufwand minimieren: Im digitalen Büro können Sie über unzählige Wege Informationen austauschen. Wer Zeit und Aufwand sparen möchte, ist gut damit beraten, alle Anwendungen zu verknüpfen und Daten zentral zu managen. Lösungen wie Microsoft 365 Business heben die Effizienz am digitalen Arbeitsplatz auf ein neues Level. Dass sich die vielen Vorteile von Microsoft 365 Business auch zu erheblichen Kosteneinsparungen summieren, zeigt eine Studie von Forrester Consulting. Erfahren Sie hier, warum sich der Umstieg von On-Premises-Produkten in die Cloud für Ihr Unternehmen lohnt. Kommt Ihnen das bekannt vor? Sie arbeiten stundenlang an der vierten Version einer PowerPoint-Präsentation, schicken das „finale“ Werk per E-Mail an zehn Kolleg:innen, die Ihnen das Dokument jeweils mit neuen Kommentaren und unterschiedlichen Änderungen zurückschicken. Alternativ müssten Sie die Präsentation nacheinander an jede Person einzeln schicken und zwischendurch Änderungswünsche abarbeiten. Diese zeit- und nervenraubende Endlosschleife bei der Arbeit mit On-Premises-Programmen, die lokal in einem Unternehmen und den dortigen Rechnern installiert und betrieben werden, gehört dank Cloud-Lösungen wie Microsoft 365 Business der Vergangenheit an. Das flexible All-in-One-Produkt liefert im Geschäftsalltag nicht nur mehr Effizienz und Produktivität, sondern auch erhebliche Kostenvorteile. Eine DSGVO-konforme Backup-Lösung gibt es ebenfalls.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

0800 505 4512

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort