Ist SASE die Lösung gegen Cyber Bedrohungen in der hybriden Infrastruktur?
Wir geben Ihnen fünf Argumente für SASE
Die Zahl der Nutzer auf mobilen Endgeräten, der Zugriff auf neue Standorte, Daten und Services, welche nicht mehr im klassischen Perimeter verarbeitet werden, nimmt immer weiter zu. Daneben steigen die Angriffe von Cyber-Kriminellen immer weiter, allein in der Schweiz kommt es fast täglich zu solchen Angriffen. Die Sicherheit und Integrität der Netzwerke müssen darum dringend überdacht und mit neuen, gesamtheitlichen Lösungen ersetzt werden.
Viele auf dem Markt verfügbare Technologien basieren allerdings auf Architekturen, die nach dem klassischen Perimeter aufgebaut wurden. Es werden nicht alle Arten des Datenverkehrs und der Datenpakete geprüft und die Firma wird nicht vom gesamten Spektrum der Cyberbedrohungen geschützt. Es entstehen Silolösungen (wie z.B. Sichere Gateways, VPN-Verbindungen, physische Firewalls oder SD-WAN Services) um die Netzwerke zu schützen. Für jedes dieser Silos muss eine eigene Umgebung eingerichtet werden, Richtlinien konfiguriert, administrative Rechte vergeben sowie Protokolle geprüft und weiterverfolgt werden. Dies ist mit enormem Aufwand und Kosten für die IT-Abteilungen verbunden.
Eine Lösung für dieses Dilemma hat Gartner mit dem Konzept «Secure Access Service Edge (SASE)» definiert. Mit SASE werden die benötigen Netzwerk- und Sicherheitsservices zusammengeführt und in der Cloud bereitgestellt. Die Technologie besteht aus einem einheitlichen Framework für die Bereitstellung konsistenter Sicherheitsservices und standortunabhängiger Zugriffsmöglichkeiten. Die Möglichkeiten für SASE-Lösungen sind unbegrenzt, ob öffentliche oder private Cloud für gehostet Anwendungen (z.B. Salesforce) – alles kann mit SASE abgebildet werden.. Vorhandende Silolösungen können mit der SASE-Architektur abgelöst werden, was im Rückschluss die Komplexität verringert, die Flexibilität für einen weiteren Ausbau des Netzwerks erhöht und Kosten senkt. Die SASE Plattform bietet eine nachhaltige Lösung für Ihre Cybersecurity-Fragen.
Vorteil Nr 1: SD-WAN as simple as possible
Oft werden Zweigstellen und Filialen über ein softwaredefiniertes Weitverkehrsnetz (SD-WAN) miteinander verbunden. Um die sehr kostenintensive Lösung von MPLS-Verbindungen zu umgehen, werden lokale, kostengünstige Internet-Breakouts benutzt, welche den Datenverkehr direkt ins Internet routen (z.B. Office 365). Allerdings ist das noch nicht die endgültige Lösung für alle Probleme, da verschiedene Layer für den Netzwerkaufbau benötigt werden, was wieder die Komplexität enorm erhöht.
In einer SASE-Lösung können SD-WAN-Edge Geräte statt mit physischen, statischen SD-WAN Geräten mit einer flexiblen, cloud-basierten Infrastruktur einfach und skalierbar verbunden werden. Die SASE Lösung von Cato verwendet sogenannte globale Backbone PoPs (Points of Presence), damit die beste Netzwerkverbindung aufgebaut werden kann. Wenn nötig und gewünscht, wir der Traffic auch direkt zu den Cloud Dienstleister (AWS, O365, Teams) weitergeleitet.
Das bietet Ihnen die Möglichkeit, Ihre Netzwerk- und Sicherheitsinfrastruktur von zentraler Stelle aus sicher administrieren, überwachen und verwalten zu können, ohne weitere physische Silo-Lösungen an ihren Zweigstellen aufzubauen zu müssen.
Vorteil Nr 2: VPN Verbindung nur aus der Cloud
Heute kennt die IT-Landschaft vor allem die gängige, verschlüsselte Verbindung über virtuelle private Netzwerke (VPN’s) um mobile Mitarbeitende in Zweigstellen oder von unterwegs einen sicheren Zugriff auf die Unternehmensdaten, Anwendungen und Services zu geben. Dabei werden vor allem die Dienste Ipsec und SSL zur Verschlüsslung verwendet. Jedoch funktionieren diese Dienste nur reibungslos, wenn der Anwender eine Verbindung zu einem VPN-Gateway herstellt. Zur Vermeidung von unnötigen Latenzzeiten können jedoch in diesem Framework keine Zugriffskontrollen angewendet werden.
Mit einer SASE-Lösung werden Ihre VPN-Services auf einen Schlag erweitert. Durch die cloudbasierte Infrastruktur können Sie eine sichere, flexible und einfache Übertragung des Datenverkehrs zwischen dem jeweiligen Benutzer und dem Service oder Ressource garantieren. Die Notwendigkeit zur Umleitung des gesamten Datenverkehres über im Rechenzentrum installierte Gateways entfällt und die Verwaltungskosten werden massiv reduziert. Zugriffe für Applikationen können pro Nutzer einfach und effizient administriert und bei Bedarf überwacht werden.
Vorteil Nr 3: Zero Trust Implementieren einfach gemacht
Viele Unternehmen haben noch keine gesamtheitliche Lösung für den Schutz ihrer Benutzer und Daten in der Cloud implementiert. Wir empfehlen hier den von Forrester entwickelten Prinzip «never trust, always verify» (Deutsch: Grundsätzlich prüfen statt vertrauen). Das Prinzip basiert auf der Idee, dass für jeden Zugriff auf eine Ressource zuerst eine auf verschiedenen Parametern basierende Authentifizierung stattfinden muss. Durch die SASE Konzept erhalten die IT-Administratoren einen Überblick wer im Netzwerk aktiv ist und können verdächtige Bedrohungen schneller isolieren.
Viele Zero Trust Netzwerk Access (ZTNA) Produkte basieren auf einem softwaredefinierten Perimeter (SDP), bei welchem lediglich die Identität geprüft wird aber nicht die Inhalte der Datenpakete. Dadurch sind durch die Umstellung in die Cloud unternehmensinterne Anwendungen und Daten nicht mehr gleich geschützt wie vorher. Der klassische Perimeter wird aufgelöst und Zugriffe werden von verschiedenen Standorten ermöglicht.
Der Vorteil einer SASE Lösung sind die bereits integrierten Zero Trust-Prinzipien in der Lösung und den Services. Das ermöglicht eine einfache Erstellung, Durchsetzung und Verwaltung der Richtlinien, da alle im Netzwerk verfügbaren Benutzer, Geräte und Anwendung identifiziert werden können. Dies geschieht unabhängig vom Standort oder der Art des Geräts. Die Anmeldung an einem dezidierten VPN-Gateway entfällt durch die Verwaltung in einer SASE-Cloud.
Vorteil Nr 4: Umsetzung von Firewall-as-a Service
Die Funktionen für Firewall-as-a Service (FWaaS) bieten Unternehmen die Möglichkeit der sicheren Auslagerung der Firewall Funktion von einem physischen Gerät in die Cloud. Dadurch können dynamisch und effizient weitere Filialen und neue User ins Netzwerk integriert werden.
SASE bietet alle Funktionen und Features einer Next-Generation Firewall. FWaaS ist ein neuer Typ einer Firewall der nächsten Generation. Sie versteckt nicht nur physische Firewall-Appliances hinter einer Cloud, sondern eliminiert den physischen Faktor einer Firewall komplett und macht die Funktionen URL-Filterung (SWG), Standard- und Next-Generation-Anti-Malware (NGAM), verwaltetes IPS-as-a-Service (IPS) sowie ein umfassender Managed Threat Detection and Managed Detection Response (MDR)-Service zur Erkennung gefährdeter Endpunkte überall verfügbar. Auf diese Weise ist das gesamte Unternehmen mit einer einzigen, logischen und globalen Firewall mit einer einheitlichen, anwendungsbezogenen Sicherheitsrichtlinie verbunden.
Vorteil Nr 5: Sichere Internetgateways
Damit Mitarbeitende und deren Geräte nicht auf schädliche oder unerwünschte Websites zugreifen können, werden sichere Internetgateways – Secure Web Gateway (SWG) eingerichtet. Damit werden gesperrte Inhalte (z.B. Pornografie, Onlineglücksspiel oder Streamingdienste) blockiert oder bestimmte Richtlinien zur Nutzung des Internet durchgesetzt.
Die SWG sind bereits in der SASE Lösung intergiert, um den Unternehmen mit steigenden Benutzerzahlen einen einfachen, aber umfassenden Schutz zu bieten. Mit einer SASE-Lösung kann der Zugang granular kontrolliert und geschützt werden. Zusätzlich stehen noch weitere Services wie z.B. DLP-Tools oder einen internen CASB zur Verfügung.
Mit der SASE Lösung von Cato werden die Bereiche Netzwerk und Sicherheit zu einer zentralen Cloudlösung verbunden. Fazit: Die SASE-Lösung Cato bietet Ihnen die sicheren und leistungsstarken Funktionen zur Verhinderung von Datenverlusten, Schutz von Cyberangriffen sowie zur Durchsetzung konsistenter Richtlinien.
- Weitere Infos zu CATO
- Cato unverbindlich selber Testen
Daniel ist Security Consultant bei Inseya mit einem ausgeprägten Interesse an Cybersecurity Themen, wie das Zero Trust Framework, Hybrid Infrastrukturen aus Multicloud/On-Premises, Passwordless MFA Lösungen und Mobile Threat Defense (MTD). Er hat ein CAS in Cybersecurity & Riskmanagement, ist Informationssicherheitsbeauftragter BSI und CISSP zertifiziert.