SASE
NetMotion gibt Tipps für den Aufbau einer erfolgreichen SASE-Strategie
In fünf Etappen zur erfolgreichen SASE-Einführung
SASE (Secure Access Service Edge) ist ein Ansatz, von dem Analysten, Anbieter und andere Experten behaupten, dass Unternehmen nicht darauf verzichten können. Aber wie kann SASE in die Praxis umgesetzt werden? Es mag zwar einfach sein, über Zero Trust, die Cloud und Edge zu sprechen, aber die Realität sieht völlig anders aus. Viele IT-Experten mühen sich immer noch ab mit veralteten Altsystemen und haben mit den Folgen von Entscheidungen zu kämpfen, die vor einem Jahrzehnt getroffen wurden. Aus diesen und weiteren Gründen beißen viele IT-Mitarbeiter die Zähne zusammen, wenn sie an SASE denken. NetMotion gibt eine Anleitung, wie die Einführung von SASE in fünf Schritten umgesetzt werden kann.
Vereinfacht ausgedrückt, stellt SASE die neuen Tools und Prozesse dar, die ein Unternehmen benötigt, um seine Mitarbeiter in einer Welt zu schützen, die sich nicht mehr innerhalb des Netzwerkperimeters abspielt. Beschäftigte arbeiten von zu Hause aus, außerhalb des Büros und in nicht verwalteten Netzwerken. Außerdem greifen sie auf Ressourcen zu, die das öffentliche Web, IaaS, SaaS und Anwendungen vor Ort umfassen. SASE enthält moderne Funktionen, die diese neue Arbeitsumgebung besser widerspiegeln und die schwerfällige und komplizierte „Netzwerkgymnastik“ vermeiden, die bei älteren Technologien erforderlich war: Firewalls, Secure Web Gateways und Hardware-VPNs.
Wo soll man anfangen?
Auf dem Papier klingt das alles großartig, aber die riesige Landschaft der SASE-Technologien kann einschüchternd sein, wenn man nicht weiß, wo man überhaupt anfangen soll. Am einfachsten gelingt der Einstieg vielleicht mit etwas, das Unternehmen bereits einsetzen. Content Delivery Networks (CDNs) oder SD-WANs sind zum Beispiel ein attraktiver Ansatzpunkt. Diese bieten verbesserte Konnektivität und Optimierungen, wenn auch typischerweise für Mitarbeiter in Zweigstellen und nicht für Mitarbeiter in Heimarbeit. Aus diesem Grund nutzen viele IT-Verantwortliche SD-WAN als einen frühen Eckpfeiler ihrer SASE-Strategien.
Letztendlich werden sich die meisten SASE-Strategien jedoch auf den sicheren Zugang als Teil dieses Akronyms konzentrieren. Wenn nicht VPN und Secure Web Gateway (SWG), was dann? Genauer gesagt, wie können SASE-Lösungen dazu beitragen, Mitarbeiter und Unternehmensressourcen in der neuen, verteilten und Cloud-lastigen Arbeitswelt zu schützen? Die folgenden Schritte helfen Sicherheitsverantwortlichen, zumindest in eine Richtung ihrer SASE-Roadmap zu navigieren – mit dem Fokus auf sicherem Zugang und dem Weg von Legacy-VPNs zu modernem Zero Trust Network Access (ZTNA).
Schritt eins: Konsolidierung fragmentierter Zugangslösungen
Wenn Unternehmen noch nicht die Cloud nutzen, um den sicheren Zugang zu verwalten, dann sind sie nicht allein. Vor den Ereignissen des Jahres 2020 verließen sich die meisten Unternehmen auf einen fragmentierten Satz von VPN-Tools, um Remote-Mitarbeiter zu verwalten. Oft verwalteten IT-Teams mehr als eine Lösung für den Fernzugriff und nutzten kostenlose Produkte oder solche mit einer schlechten Benutzeroberfläche, um sich für den seltenen Fall zu wappnen, dass Mitarbeiter außerhalb des Büros arbeiteten. In vielen Fällen kam ein robusteres, spezialisiertes Produkt wie NetMotion nur bei Mitarbeitern zum Einsatz, die keine Kompromisse bei der Erfahrung eingehen konnten, wie z. B. Außendienstmitarbeiter.
Die Behandlung von Remote-Mitarbeitern als Priorität und nicht als nachträgliche Maßnahme ist der erste Schritt auf dem Weg zu SASE. Der einfachste Ort, um mit dieser Denkweise zu beginnen, ist die Konsolidierung und Skalierung der Fernzugriffslösung auf ein dediziertes Produkt, das für die Unterstützung von massenhaftem verteiltem Arbeiten entwickelt wurde. Ein wichtiger Schritt ist hier die Standardisierung auf softwarebasierte Lösungen, insbesondere auf solche, die Optimierungen und Richtlinienkontrollen bieten können.
Empfehlung: Sie sollten Fernzugriffslösungen auf ein einziges, dediziertes und softwarebasiertes Produkt für alle Mitarbeiter zusammenführen und aufrüsten.
Schritt zwei: Zero Trust umsetzen
Dieser Schritt kann vor oder nach Schritt drei erfolgen, es hängt ganz von der Kultur und dem Reifegrad des Unternehmens ab. Wenn das Bereitstellungsmodell für die Secure-Access-Nutzung zufriedenstellend ist (ob das nun eine SDP, ZTNA oder ein VPN ist), dann können Unternehmen Zero Trust in Betracht ziehen.
Eine durchgängige Zero-Trust-Richtlinie für alle Anwendungsfälle, Anwendungen und Mitarbeiter ist unrealistisch. Stattdessen sollten Sicherheitsexperten eine begrenzte Gruppe auswählen. Dies könnte eine einzelne Abteilung sein oder, was wahrscheinlicher ist, eine bestimmte Ressource (oder eine Gruppe von Ressourcen). Von diesem Ausgangspunkt aus beginnen sie mit der Nutzung der Policy-Engine ihrer Lösung für sicheren Zugriff. Es gilt die Risiken darzustellen, die mit der unerwünschten Nutzung dieser Ressource verbunden sind. Wer kann auf sie zugreifen? Wo sollten sich Nutzer aufhalten? Welche Geräte können sie verwenden? Zu welcher Tageszeit wird der Zugriff erwartet? Über welche Netzwerke oder Arten von Netzwerken kann Zugriff erreicht werden?
Das Stellen und Beantworten dieser Fragen ergibt ein Risikoprofil und einen Satz gewünschter Zugangskontrollregeln, die über eine ZTNA- oder SDP-Lösung implementiert werden können. Durch das Experimentieren mit der Risikotoleranz und der Kombination kontextbezogener Richtlinien lässt sich das richtige Gleichgewicht zwischen Sicherheit und Benutzererfahrung finden. Die Beschränkung auf eine einzige Anwendung begrenzt die Auswirkungen solcher Experimente. Dieser reduzierte Ansatz für Zero Trust ist der beste Weg, um Vertrautheit aufzubauen, ohne das gesamte Unternehmen größeren potenziellen Problemen bei der Benutzerfreundlichkeit und Erfahrung auszusetzen.
Empfehlung: Experimentieren Sie mit den Zero-Trust-Fähigkeiten Ihrer Secure-Access-Lösung, indem Sie ein sehr begrenztes Szenario auswählen und es testen.
Schritt drei: Zero Trust und die Cloud
Dies kann parallel zum frühen Experimenten mit Zero Trust erfolgen: Der Zeitpunkt hängt von den eigenen Prioritäten ab. Sobald Unternehmen eine sichere Zugriffslösung ausgewählt haben, die für eine SASE-Umgebung die erforderliche Funktionalität bietet, besteht der nächste Schritt darin, einen Migrationsplan zu erstellen. Dieser legt den Ort fest, an dem die Lösung gehostet wird. Die Individualität jedes Unternehmens wird diesen Plan stark beeinflussen. Einige Unternehmen, Branchen und Regionen werden langfristige Anforderungen für On-Premises-Optionen beibehalten, zumindest für Teilmengen von Mitarbeitern oder Anwendungen. Die meisten werden jedoch versuchen, einen Großteil in die Cloud zu migrieren.
Es spielt keine Rolle, ob sie den sicheren Zugang in ihrer eigenen IaaS-Umgebung (Azure, AWS, Google Cloud) verwalten oder die Lösung vollständig über SaaS nutzen. Viele IT-Abteilungen streben eine Cloud-first-Strategie für die Netzwerksicherheit an. Unternehmen sollten einen Anbieter auswählen, der flexibel auf die Anforderungen aller drei Varianten (SaaS, IaaS und On-Prem) eingeht, um schrittweise den Weg zu SASE zu beschreiten, ohne Kompromisse bei bestimmten Anwendungsfällen einzugehen, die selten homogen sind.
Empfehlung: Stellen Sie sicher, dass Ihre Bereitstellungsmethode für die Nutzung Ihrer Secure-Access-Lösung skalierbar, rationalisiert und zukunftssicher ist, ohne die heutigen Anforderungen zu beeinträchtigen.
Schritt vier: Ausweitung von Zero Trust
Zu diesem Zeitpunkt werden Unternehmen bereits mehrere Jahre auf dem Weg zu SASE sein und vielleicht auch Lösungen aus anderen Bereichen des Frameworks wie Cloud Access Security Broker (CASB) oder Firewall as a Service (FWaaS) implementieren. Nachdem sie eine tiefere Vertrautheit mit Zero Trust entwickelt haben (wie in Schritt zwei skizziert), sollten sie nun bereit sein, Zero-Trust-Richtlinien zu skalieren. Mehr Abteilungen, eine größere Anzahl von Geräten, eine breitere Palette von Anwendungen und eine nicht enden wollende Liste von Anwendungsfällen sollten das Ziel sein. Die Prinzipien von Zero Trust reduzieren nachweislich die Angriffsfläche, daher ist die Ausweitung der Implementierung im gesamten Unternehmen unerlässlich, um sowohl sicher als auch agil zu bleiben.
Empfehlung: Setzen Sie die Rollouts neuer Zero-Trust-Richtlinien für Einzelpersonen, Teams, Anwendungen, Regionen und Anwendungsfälle im gesamten Unternehmen fort.
Schritt fünf: Integriertes SASE
Neben diesem einfachen Reifegradmodell werden Unternehmen mit ziemlicher Sicherheit weitere Technologien eingeführt haben. Speziell im Hinblick auf den sicheren Zugriff werden die wichtigsten ein Cloud Access Security Broker und ein Cloud Secure Web Gateway sein. Diese helfen dem Unternehmen bei der Sicherung von SaaS-Anwendungen bzw. dem breiteren öffentlichen Web. Nach einigen Jahren der SASE-Reise wird die Raffinesse des Ansatzes für SASE-Technologien den Zenit erreicht haben, um fast an der Idealvorstellung der Gartner-Analysten bezüglich eines modernen Secure Access angelangt zu sein.
In der letzten Phase geht es darum, sicherzustellen, dass jede der Lösungen gut mit den anderen integriert oder zumindest interoperabel ist. Einige Anbieter versprechen „alle Lösungen aus einer Hand“ und suggerieren damit, dass dies von Anfang an möglich ist. Die Realität stimmt jedoch nur selten mit dem Marketing überein. Nur in den seltensten Fällen kann ein einziger Anbieter wirklich eine komplette Suite von Produkten nach einem branchenführenden Standard liefern. So ist das wahrscheinlichere Ergebnis, dass Unternehmen mehrere Lösungen von mehreren Anbietern verwalten, genau wie bei traditionellen Network-Security-Stacks. Die Nutzung von Integrationen zwischen ZTNA, CASB, Cloud SWG, Cloud VPN, FWaaS, SD-WAN und anderen disparaten Technologien wird entscheidend sein, um die Vorteile einer SASE-Strategie voll auszuschöpfen.
Empfehlung: Implementieren Sie SASE-Lösungen, die nebeneinander bestehen und miteinander integriert sind, um technologieübergreifende Vorteile zu erzielen