In vier Schritten zur SASE-Implementation Mehr Work-Life-Balance für Netzwerkadmins mit SASE

Von Stephan Wanke

Anbieter zum Thema

Je komplexer und flexibler Netzwerke werden, desto intelligentere Sicherheitslösungen sind notwendig. Mit Secure Access Service Edge (SASE) ist eine Sicherheits-Architektur entstanden, die den Widerspruch zwischen Flexibilität und Sicherheit auflöst und IT-Teams entlastet.

Die Sicherheit rundum im Blick zu behalten ist für viele IT-Teams nicht mehr stemmbar. SASE kann hier Kapazitäten schaffen, die dringend benötigt werden, um den Angreifern wieder einen Schritt voraus zu sein.
Die Sicherheit rundum im Blick zu behalten ist für viele IT-Teams nicht mehr stemmbar. SASE kann hier Kapazitäten schaffen, die dringend benötigt werden, um den Angreifern wieder einen Schritt voraus zu sein.
(Bild: allvision - stock.adobe.com)

Es gibt einen Witz, bei dem ein IT-Experte nach seinem Ableben von Petrus vor die Wahl gestellt wird, in den Himmel oder in die Hölle zu gehen. Beide sehen gleich aus: ein Raum mit den schnellsten Servern, neuester Hardware, den besten Workstations. Nach dem Unterschied gefragt, antwortet Petrus: „In der Hölle bist du der Admin“.

Wenn man die aktuellen Meldungen im Bereich Cybersecurity verfolgt, bekommt man eine Ahnung, wie die Hölle für Experten schon auf Erden aussehen muss. Kaum eine Woche vergeht, in der nicht vor einer Cyber-Attacke gewarnt wird. Genauso wie die digitale Transformation in Unternehmen vorangeht, passiert sie eben auch auf der „anderen“ Seite. Anfang des Jahres hat die größte DDoS-Attacke aller Zeiten IT-Teams des betroffenen Unternehmens in Atem gehalten , aktuell ist Ransomware auf dem Vormarsch. Hier werden von Hackern gesperrte, sensible Daten erst gegen ein horrendes Lösegeld freigegeben. Laut einer Studie des XDR-Anbieters Cybereason war fast die Hälfte der betroffenen Unternehmen gezwungen zu zahlen, weil ihre Systeme nur unzureichend vorbereitet waren und keine zentral gesteuerte Isolierung betroffener Systeme eingeleitet werden konnte.

Flexibles Netzwerk– Fluch und Segen zugleich

Ein Grund für die zunehmende Schlagzahl und Entwicklung neuer Angriffsformen, sind veränderte Netzwerkumgebungen. In den vergangenen Jahren sind sie immer komplexer und flexibler geworden. Die Verlagerung von Geschäftsanwendungen in die Cloud und die Einbindung zahlreicher Mitarbeiter über das Homeoffice haben das Unternehmensnetzwerk um eine Vielzahl von Zugriffspunkten und Standorten erweitert. Wegbereiter dafür ist SD-WAN, eine Netzwerktechnologie, die sich als Standard für die hybride Arbeitswelt etabliert. Mit SD-WAN ist das gesamte Netzwerk über einen Software-basierten Network Controller zentral steuerbar. Das reduziert nicht nur den Wartungsaufwand deutlich. Anpassungen müssen nicht mehr manuell an den Routern vor Ort vorgenommen werden, sondern können quasi per Knopfdruck oder auch automatisiert standortübergreifend durchgeführt werden.

Was auf der einen Seite optimierte Geschäftsprozesse ermöglicht, potenziert auf der anderen Seite die Anzahl der Angriffspunkte. Nicht ohne Grund fällt Unternehmen noch heute der Abschied von MPLS schwer. Dieses bietet durch die Hardware-abhängige Verbindungsstruktur nicht die gleiche Flexibilität, doch mit dem Rechenzentrum als einzigem Daten-Drehkreuz ins Internet und die Cloud zumindest ein hohes Maß an Kontrolle.

SASE – Sicherheit als Cloud-Service

Die gute Nachricht ist: Mit SD-WAN wurde zugleich das Fundament der bisher effektivsten und zugleich händelbarsten Sicherheitsinfrastruktur auf dem Markt geschaffen: Secure Access Service Edge (SASE) beschreibt eine Architektur, die SD-WAN-Funktionen mit Cloud-nativen Sicherheitsdiensten verbindet und so den Schutz aller Zugriffsarten und Applikationen bis zum Netzwerkrand (Edge) ermöglicht. SASE beruht auf dem gleichen Prinzip wie SD-WAN: verteilte Struktur, zentrales Management. Das Framework schafft es, sowohl Sicherheits- als auch flexible Netzwerkverbindungstechnologien zu einer einzigen, über die Cloud bereitgestellten Plattform zu bündeln und in das Netzwerk zu integrieren. Damit vereinfacht sich das Netzwerkmanagement deutlich, denn Anpassungen und Änderungen müssen nur einmal durchgeführt werden, statt manuell vor Ort an den einzelnen Standorten.

Menschen und Maschinen als sichere Endpunkte

Die Zugangsrechte für jeden Anwender können dabei über ein intuitives Online-Portal zugewiesen werden. Damit herrscht volle Transparenz im Netzwerk. Denn die Gefahren lauern nicht nur außerhalb, sondern auch innerhalb: Laut einer Studie des Digitalverbandes Bitkom, haben Schäden durch unabsichtlich handelnde Mitarbeiterinnen und Mitarbeiter besonders zugenommen.

Das Prinzip der sicheren Endpunkte umfasst nicht nur die Mitarbeiter im Homeoffice oder unterwegs, auch IoT-Geräte können als Punkte definiert werden, um das Abschöpfen sensibler Daten zu verhindern. Selbst auf den ersten Blick unkritische Infrastruktur wie Drucker, die im Regelbetrieb maximal durch Papierstau zur Weißglut treiben, hat das Potenzial massiveren Schaden anzurichten. Hacker verschaffen sich dadurch Zugang zu Informationen über das Netzwerk, lesen Passwörter aus und haben Zugriff auf vertrauliche Dokumente.

In vier Schritten zur SASE-Implementation

Doch wie gelingt die Integration von SASE? Ist sie auch dann sinnvoll, wenn gerade massiv in die Infrastruktur investiert wurde und das Budget für einen erneuten Austausch erschöpft ist? Die folgenden vier Schritte geben Antworten.

Schritt 1: Geschäfts- und Sicherheitsziele definieren

Wie bei jeder Einführung gilt es zu prüfen, welche Ziele mit der Umstellung erreicht werden sollen. Dabei geht es vor allem darum, einen Blick auf die zukünftigen Geschäftsanforderungen zu werfen. Ist ein Aufbau neuer Organisationseinheiten geplant? Verändern sich Standorte? Wie verhält sich der Anteil der Remote-Worker und sollen neue Technologien eingeführt werden wie beispielsweise KI zur Optimierung des Kundensupports oder des Netzwerkmanagements? Wie ist der Status der Cloud-Migration? Machen bestimmte Anwendungen einen Plattformwechsel nötig? Da Sicherheit immer mehr ein Infrastrukturthema ist, haben diese Entscheidungen einen direkten Einfluss auf die Sicherheitsarchitektur. Vor allem gilt es zu klären, wie die Ressourcen der IT eingesetzt werden sollen. Wie viel Kapazitäten und Budget stehen zur Verfügung? Welche Sicherheitslösungen sind wo im Einsatz, wo gibt es Möglichkeiten der Vereinfachung?

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Schritt 2: Überblick über Netzwerkrand verschaffen

Zudem sollten im Vorfeld der Implementierung die Anforderungen an den eigenen Netzwerkrand feststehen. Denn die Edge ist in der hybriden Arbeitswelt durch die Vielzahl von externen Geräten und Benutzern sowie IoT-Devices nicht mehr klar definiert. Hierfür sollten sich Administratoren über folgende Fragen bewusst werden:

  • Wo befinden sich die Nutzer?
  • Wie verbinden sie sich mit dem Netzwerk?
  • Welche Geräte nutzen sie dabei?
  • Welche Maschinen-Endpunkte müssen geschützt werden?

Darauf aufbauend können schließlich die individuellen Zugangsprofile für jeden Anwender definiert werden. Denn bei SASE basieren Netzwerkzugang und Sicherheit auf der Identität des Nutzers, anstatt wie bisher auf Geräten oder Zugangspunkten. Nicht mehr der Standort ist also Grundlage für die Sicherheitseinschätzung, sondern klar definierte Sicherheits- und Zugriffsregeln, die für jeden Anwender individuell definiert werden können.

Schritt 3: Bestandsaufnahme Infrastruktur: On-Premise, Cloud-Native, Hybrid?

Wie bei allen Implementierungen schlägt Langfristigkeit kurzfristige Lösungen. Das ist tatsächlich nicht so leicht, wenn man an den Beginn der Corona-Pandemie zurückdenkt. Hier war schnelles Handeln gefragt, um Unternehmen und Mitarbeiter einsatzfähig zu halten. Fakt ist, dass es Security-Lösungen, die mit dem On-Premise-Fokus vor der Cloud-Ära entwickelt wurden, an Skalierbarkeit und Schutz vor neuartigen Cyber-Bedrohungen mangelt. Dennoch bedeutet das nicht, dass man alles wieder über Bord werfen muss, insbesondere wenn ein Unternehmen erst nachgerüstet hat. Beim Cloud-Managed On-Premise-SASE kann SASE aus der Cloud gesteuert werden, während der Rest der Sicherheitsinfrastruktur wie Router und Firewalls lokal genutzt wird. Der Wartungsaufwand der eigenen Hardware ist dann zwar noch vorhanden. Dennoch hat diese Variante auch Vorteile: Da nicht das komplette Sicherheitsmonitoring über die Cloud läuft, wird Netzwerkkapazität geschont. Für große Unternehmen bietet sich eine Mischform an: zentrale Büros können über On-Premise-SASE eingebunden werden, während Homeoffices rein über die Cloud-Native SASE-Variante angeschlossen werden und so Sicherheit bis zum Netzwerkrand hergestellt wird.

Schritt 4: Realistische Einschätzung treffen: Inhouse oder Managed?

Ob Cloud-Native, On-Premise oder Hybrid – alle Bezugsmodelle können als Managed Service abgebildet werden. Hier sollten Unternehmen eine realistische Einschätzung zu ihren Ressourcen treffen. Grundsätzlich entlastet SASE, da es eine zentrale Verwaltung ermöglicht. Dennoch sollte man den Aufwand der Netzwerküberwachung nicht unterschätzen, insbesondere wenn individuelle Sicherheitsmodule lokal gewartet werden müssen. Hier verschaffen Managed Services, die direkt vom Netzwerkprovider angeboten werden, gleich mehrere Vorteile. Eine zentrale Anlaufstelle für Netzwerk und Security schafft eine durchgängige Kontrollkette und reduziert Sicherheitslücken und Kosten, die bei der Nutzung mehrerer Anbieter für Security entstehen würden. Da sichere Verbindungen das Kerngeschäft von Netzwerkanbietern sind, legen sie zudem besonders hohen Wert auf die Sicherheit der eigenen Infrastruktur, die regelmäßig von eigenen Teams geprüft wird. Auch die Bereitstellung der nötigen Performance für die Sicherheitsüberprüfung aus der Cloud ist damit in jedem Bezugsmodell gewährleistet.

Fazit

Der 360-Grad-Blick, der bei flexiblen und mobilen Netzwerken notwendig ist, ist für IT-Teams nicht mehr stemmbar. Er geht mit einem erheblichen Verarbeitungsaufwand einher, der viel Zeit und Ressourcen bindet. Denn ohne ein kontinuierliches Management werden auch Firewalls zu einem Sicherheitsrisiko. SASE ist die Lösung, die durch den zentralen, Cloud-basierten Steuerungsansatz Sicherheit bis zum Netzwerkrand ermöglicht und damit IT-Teams von aufwändigen Monitoring- und Lokalisierungsaufgaben entlastet. Unternehmen, die das rechtzeitig erkennen, schaffen für ihre Cybersecurity-Teams neue Kapazitäten, die sie wieder mehr auf die Entwicklung von innovativen Sicherheitsstrategien verwenden können. Um so den Angreifern einen Schritt voraus zu sein.

Über den Autor: Stephan Wanke ist seit 20 Jahren für Colt Technology Services tätig. In seiner jetzigen Position als Regional Sales Director Enterprise Central & Eastern Europe verantwortet er die Vertriebsstrategie des Netzwerkanbieters für die DACH-Region und Osteuropa mit dem Ziel, international agierende Unternehmen mit hochleistungsfähigen Netzwerkverbindungen bei der digitalen Transformation zu unterstützen. Zu seinen Kernthemen zählen dabei die Migration in die Cloud, Business Continuity sowie SD-WAN und SIP Trunking. Zuvor nahm er Positionen bei anderen Telekommunikationsunternehmen ein.

(ID:48598546)