SASE
SASE - Secure Access Service Edge etwas genauer betrachtet
Palo Alto Networks beleuchtet die Aspekte von SASE
Als Teilnehmer der SASE Converge 2021 fast Palo Alto Networks im folgenden Text aktuelle Fragen und Antworten rund um SASE (Secure Access Service Edge) zusammen.
SASE stellt den Benutzer in den Mittelpunkt des Universums
Neil MacDonald, Vice President von Gartner und angesehener Analyst gab auf der SASE Converge eine der bislang umfassendsten und verständlichsten Beschreibungen von SASE. Da sich mehr Daten und Anwendungen außerhalb des traditionellen Rechenzentrums befinden als innerhalb, sind die klassischen Netzwerk- und Netzwerksicherheitsarchitekturen von Grund auf gestört. SASE stellt diese Modelle auf den Kopf und rückt den Benutzer in den Mittelpunkt des Universums. In Bezug auf die Sicherheit „ist der Perimeter nicht länger ein Ort (…), er ist eine Fähigkeit, die dynamisch aus der Cloud bereitgestellt wird“.
Anschließend beschrieb er vier Ergebnisse, die von der Implementierung einer SASE-Architektur heute zu erwarten sind, darunter:
- Möglichkeiten zur Anbieterkonsolidierung
- Verringerung der Komplexität
- Erreichen einer Zero-Trust-Sicherheitsposition
- Am wichtigsten sei jedoch, dass SASE es Mitarbeitern ermögliche, unabhängig von Standort und Gerät bessere Arbeit zu leisten.
SASE ist ein signifikanter Wettbewerbsvorteil
Vor der Pandemie begann die globale Investmentbank Jefferies mit der Einführung von SASE unter Verwendung von Prisma Access, um den Zugang für ihre Benutzer zu sichern und das Arbeiten von überall aus zu ermöglichen. Im Jahr 2020 war die Bank darauf vorbereitet, als die Pandemie sie dazu zwang, ihre Büros zu schließen und ihre gesamte globale Belegschaft von zu Hause aus arbeiten zu lassen. In der Zwischenzeit hatten viele ihrer Konkurrenten im Bankensektor einen weniger nahtlosen Übergang zur Telearbeit zu verzeichnen.
„Wir hatten eine SASE-Architektur aufgebaut, die sowohl die Infrastruktur und die Konnektivität zu unseren Rechenzentren bereitstellt, als auch den kompletten Security-Stack in der Mitte, ganz nah am Endbenutzer, wo auch immer er sich während der Pandemie weltweit aufhielt. Diese Architektur stellte das kritische Rückgrat dar, damit unser Unternehmen unsere Kunden bedienen konnte“, sagte Josh Dye, Senior Vice President of Information Security bei Jefferies. „Wir waren in der Lage, anderen Banken, die sich nicht so schnell umstellen konnten wie wir, Marktanteile abzunehmen, um unseren Kunden diese Dienstleistungen wieder anbieten zu können.“
Durch die Pandemie wird die bisherige Arbeit nie wieder dieselbe sein.
Wie jedes andere Unternehmen musste auch Palo Alto Networks nach dem Ausbruch der Pandemie schnell reagieren, um die Sicherheit und Produktivität aller seiner 10.000 Mitarbeiter zu gewährleisten. Das Unternehmen nutzte die Gelegenheit jedoch auch, um andere Aspekte der Mitarbeitererfahrung neu zu gestalten.
Obwohl Fernarbeit anfangs für die meisten Büromitarbeiter eine Voraussetzung war, stellte sich die Unternehmensführung eine Zukunft vor, in der der Arbeitsort nur eine von vielen individuellen Entscheidungen sein sollte, die ein Mitarbeiter selbst treffen kann. Liane Hornsey, Chief People Officer, erinnerte sich: „Wir erkannten, dass wir, wenn wir dieses Paradigma (dass Mitarbeiter vom Büro aus arbeiten sollten) zerschlagen konnten und keine Produktivitätseinbußen hinnehmen mussten, auch andere Dinge anders machen konnten.“
Im Jahr 2020 führte das Unternehmen FLEXWORK ein, ein Programm, bei dem die Mitarbeiter selbst entscheiden können, wie sie arbeiten möchten. Es umfasst eine breite Palette von Initiativen, darunter zusätzliche Flexibilität bei den Sozialleistungen, den Schulungsmöglichkeiten und dem Arbeitsort. Auch nach dem Ende der Pandemie sieht Hornsey die Flexibilität des Arbeitgebers in Bezug auf Dinge wie den Arbeitsort als eine Voraussetzung für Unternehmen, um mit einem globalen Pool von Wissensarbeitern wettbewerbsfähig zu bleiben.
Zum Glück war es für die IT-Organisation von Palo Alto Networks recht einfach, den Mitarbeitern die Möglichkeit zu geben, von überall aus zu arbeiten. Da das Unternehmen bereits eine SASE-Architektur implementiert hatte, waren laut CIO Naveen Zutshi keine manuellen Infrastrukturänderungen erforderlich, um das neue FLEXWORK-Paradigma zu ermöglichen. Darüber hinaus hat die Umstellung auf eine cloudbasierte Infrastruktur die tägliche Arbeitsbelastung reduziert und der IT-Abteilung den Rücken freigemacht, um neue Programme zu implementieren, die die Zukunft der Arbeit im Unternehmen weiter vorantreiben werden.
SASE ist die einzige Möglichkeit, Zero Trust für Benutzer zu erreichen
In seinem Vortrag über die Rolle von SASE bei Zero Trust stellt Nir Zuk, Gründer und CTO von Palo Alto Networks , Zero Trust Enterprise vor, ein strategisches Rahmenwerk für das Verständnis und die praktische Umsetzung einer Zero Trust-Sicherheitshaltung im Unternehmen. Das Framework gliedert das Unternehmen in drei Bereiche (Benutzer, Anwendungen und Infrastruktur) und vier Teile jeder digitalen Transaktion, die überprüft werden müssen (Identität, Gerät/Workload, Zugriff und Transaktion), um jegliches implizites Vertrauen zu beseitigen.
Der Versuch, jede der notwendigen Sicherheitsfunktionen als verschiedene punktuelle Produkte für verschiedene Anwendungsfälle zu erhalten – der „Whac-a-mole“-Ansatz – würde zu unterschiedlichen Sicherheitsniveaus führen und ein gewisses Maß an implizitem Vertrauen erfordern. Daher ist SASE der einzige Weg, um wirklich Zero Trust für die Benutzer zu erreichen. SASE bedeutet die Durchsetzung des Zugriffs mit den geringsten Privilegien und die Überprüfung von Benutzertransaktionen auf die gleiche Art und Weise, unabhängig davon, wo sich der Benutzer befindet und welche Art von Anwendung er verwendet.
„Wir haben die Möglichkeit, die Dinge im Bereich der Cybersicherheit richtig zu machen“, sagte Nir Zuk. „Wir sind dabei, unser WAN und unsere Internet-Sicherheitsinfrastruktur neu zu gestalten. Wir bauen die Sicherheit unserer Rechenzentren und unserer Security Operations Centers neu auf. Wenn es um Zero Trust für die Nutzer geht, ist SASE der beste Weg, dies zu erreichen.“
Mit SASE nicht in die Konvergenzfalle tappen
Herkömmliche Hub-and-Spoke-Architekturen mit disparaten Netzwerk- und Sicherheits-Stacks sind für hybrides Arbeiten und die Cloud nicht geeignet. Die Konvergenz von Netzwerk und Sicherheit in der Cloud mit SASE verspricht, diese Mängel zu beheben, aber nicht alle Angebote können diese Vision verwirklichen.
Die meisten heute verfügbaren SASE-Lösungen sind unzusammenhängend und unvollständig, so dass Kunden bei der Umstellung auf ein cloudbasiertes SASE-Modell inakzeptable Kompromisse hinsichtlich Sicherheitseffizienz oder Netzwerkfunktionalität eingehen müssen. Die alten Herausforderungen beim Zusammenfügen einer Umgebung mit mehreren Anbietern bleiben bestehen, und die Fehlerbehebung ist ein Alptraum.
Digital Experience Management ist die geheime Zutat für SASE
Wenn Benutzer von überall aus arbeiten und auf jede beliebige Anwendung zugreifen, wer ist dann dafür verantwortlich, dass sie ein gleichbleibend gutes Erlebnis haben? Wenn der Benutzer auf ein Problem stößt, selbst wenn es durch einen Ausfall eines Drittanbieters oder durch das Spielen eines bandbreitenintensiven Videospiels durch das eigene Kind verursacht wird, ist der IT-Helpdesk immer noch derjenige, der die Anrufe entgegennimmt. Wie erhält der Helpdesk die nötigen Einblicke, um sicherzustellen, dass die Benutzer produktiv bleiben können?
In dieser Session demonstrierte Anupam Upadhyaya, Vice President of Product Management bei Palo Alto Networks, wie ADEM von Palo Alto Networks Unternehmen einen durchgängigen Überblick über eine einzige Verwaltungskonsole bietet. Im Gegensatz zu anderen Lösungen, die eine fortgeschrittene IT-Spezialisierung und eine separate Agentenverwaltung auf Endpunkten und Zweigstellen erfordern, ermöglicht die Benutzerfreundlichkeit von ADEM selbst den unerfahrensten Analysten, tiefe Einblicke in die Anwendungsperformance zu gewinnen. Durch den Einsatz von GlobalProtect-Agenten für die Sichtbarkeit der Endpunkte und die native Prisma SD-WAN-Integration für entfernte Standorte und Zweigstellen sorgt ADEM für einen möglichst geringen Platzbedarf.
Prisma Access 2.2 vereinfacht die Verwaltung von Secure Web Gateways
Da Anwendungen immer mehr in die Cloud verlagert werden und Benutzer von überall aus arbeiten, ist es für Sicherheitsadministratoren schwierig, einheitliche Richtlinien für ihre Benutzer unabhängig von deren Standort durchzusetzen. Häufig werden Secure Web Gateways (SWG) getrennt von anderen Sicherheitskontrollen verwaltet, was zu Komplexität und inkonsistenten Richtlinien führt und letztlich Sicherheitslücken entstehen lässt, die Unternehmen gefährden.
Administratoren benötigen einen plattformbasierten Ansatz für die Sicherheit, bei dem SWG als Teil einer SASE-Plattform integriert sind. Prisma Access 2.2 von Palo Alto Networks bietet ein nativ integriertes Cloud-SWG mit einem völlig neu konzipierten, benutzerzentrierten Workflow, der von Grund auf so aufgebaut ist, dass er sehr einfache und leicht zu definierende Web-Sicherheitsregeln bietet. Mit vordefinierten Empfehlungen und kontinuierlichen Bewertungen auf der Grundlage von Best Practices erhalten Kunden optimale Sicherheit für ihr Unternehmen, unabhängig davon, ob ihre Benutzer mobil oder in Zweigstellen tätig sind. Jetzt können Unternehmen über die traditionellen „Erlauben oder Sperren“-Regeln hinausgehen und detailliertere Aktionskontrollen aktivieren, um den neuen Anforderungen ihrer hybriden Belegschaften gerecht zu werden.