SASE Architektur

Unternehmen stellen von lokalen Anwendungen, Daten und Diensten auf cloudgehostete Anwendungen um, um neue Arbeitsplätze von überall aus zu vernetzen. In diesem Artikel erfahren wir mehr über die Komponenten einer SASE-Architektur und ihren Wert

Das Wachstum der Cloud, der Übergang zur Telearbeit und die zunehmende Nutzung mobiler Geräte führen dazu, dass sich die IT-Infrastruktur eines Unternehmens schnell außerhalb des Netzwerkperimeters verlagert. Um den neuen verteilten IT-Bereich ohne Einbußen bei Leistung und Benutzererlebnis zu sichern, ist ein neuer Ansatz für das Netzwerkdesign erforderlich, den Gartner als Secure Access Service Edge (SASE) -Architektur bezeichnet.

Mehr erfahren Laden Sie das Datenblatt herunter

Was ist eine Secure Access Service Edge (SASE)-Architektur?

Das moderne Unternehmen verfügt wahrscheinlich über mehr Benutzer, Geräte, Anwendungen, Dienste und Daten außerhalb seines Netzwerkperimeters als innerhalb. Dies bedeutet, dass die traditionelle, auf den Perimeter fokussierte Sicherheitsarchitektur nicht mehr effektiv ist.

Um den Anforderungen moderner Unternehmen gerecht zu werden, hat Gartner die SASE-Architektur definiert. Diese Architektur ist darauf ausgelegt, die Netzwerk- und Sicherheitsanforderungen einer Organisation in einer einzigen Lösung zu erfüllen.

  • Optimiertes Netzwerk-Routing: Verteilte Benutzer und Dienste führen dazu, dass die Topologie des unternehmensweiten Wide Area Netzwerks (WAN) komplexer geworden ist. Eine hohe Quality of Experience (QoE) erfordert eine dynamische und optimierte Pfadauswahl für den Netzwerkverkehr mithilfe softwaredefinierter Richtlinien.
  • Sicherheit als Service: Die zentralisierte Sicherheit an den physischen Standorten einer Organisation erhöht die Netzwerklatenz für externen Datenverkehr. Sicherheit muss als Service am Cloud-Edge bereitgestellt werden und nicht vor Ort am Rande des Netzwerks der Zentrale. Eine geografisch verteilte Netzwerkarchitektur bietet einer verteilten mobilen Belegschaft einen besseren Zugriff auf Cloud-Anwendungen.
  • Sicherer Zugriff: Da Sicherheitsdienste konsolidiert und als Cloud-Dienst bereitgestellt werden, können Zero-Trust- Prinzipien mit starkem Multi-Faktor-Zugriffsmanagement während einer Sitzung angewendet werden. Effizienzsteigerungen werden durch die Vereinheitlichung von Management und Inspektion erreicht. Entschlüsselung, Überprüfung und Verschlüsselung erfolgen einmal, wodurch die Latenz reduziert wird.

Um die Anforderungen an Netzwerkleistung und -sicherheit in Einklang zu bringen, ist eine Netzwerk- und Sicherheitsarchitektur mit diesen Funktionen erforderlich. Wie in der Abbildung unten gezeigt, umfasst SASE eine Reihe verschiedener Netzwerk- und Sicherheitsfunktionen.

Diese Funktionalität kann in drei Kategorien eingeteilt werden: Cloud-gehostete Sicherheit, Zero-Trust-Netzwerkzugriffsprinzipien und Netzwerkdienste.

#1. CloudSicherheitskomponenten

Da sich die Sicherheit an den Rand des Netzwerks verlagert, müssen Sicherheitslösungen, die traditionell am Netzwerkrand eingesetzt werden, in die Cloud verlagert werden. Die SASE-Architektur bietet Cloud-native Optionen für zentrale Sicherheitsfunktionen, darunter:

  • Firewall as a Service (FWaaS): Eine Firewall ist die Grundlage der Netzwerk-Sicherheitsarchitektur einer Organisation. Mit SASE kann eine Firewall als Cloud-basierter Dienst bereitgestellt werden, um Sicherheit mit minimalen Auswirkungen auf die Netzwerkleistung zu bieten.
  • Secure Web Gateway (SWG): Sowohl Benutzer vor Ort als auch Remote-Benutzer müssen vor webbasierten Bedrohungen geschützt werden. Eine SWG setzt die Cybersicherheitsrichtlinien des Unternehmens durch und prüft und filtert böswilligen Internetverkehr.
  • Cloud Access Security Broker (CASB): CASB ist eine Software-as-a-Service (SaaS)-Sicherheits- und Zugangskontrolllösung. Es hilft, den Zugriff auf Cloud-basierte Anwendungen wie Office 365 zu überwachen und zu sichern.

#2. ZTNA-Komponenten

Eine Zero-Trust-Sicherheitsrichtlinie soll die Berechtigungen und den Zugriff eines Benutzers auf ein Netzwerk auf das für seine berufliche Rolle erforderliche Minimum beschränken. Dies begrenzt die Wahrscheinlichkeit und Auswirkung eines Sicherheitsvorfalls.

Zero-Trust-Netzwerkzugriffslösungen (ZTNA) – auch bekannt als Software-Defined Perimeter (SDP) – erzwingen ein Zero-Trust-Sicherheitsmodell. Dies wird erreicht durch die Implementierung von:

  • Starke Authentifizierung: Bei einer Zero-Trust-Architektur basieren Zugriff und Berechtigungen auf der Rolle eines Benutzers innerhalb einer Organisation und der Überprüfung des Geräts. Identitätsbasierte Sicherheit erfordert eine starke Benutzerauthentifizierung, die durch mehrstufige Authentifizierung (MFA) und Geräte-Compliance-Lösungen geschützt ist.
  • Autorisierung und Zugriffskontrolle: Sobald die Identität eines Benutzers nachgewiesen wurde, sollte eine ZTNA-Lösung die Gültigkeit zukünftiger Anfragen bestimmen. Dazu ist es erforderlich, eine Anfrage mit rollenbasierten Zugriffskontrollen (RBAC) zu vergleichen und den Zugriff von Fall zu Fall zu erlauben oder zu verweigern.
  • Kontinuierliche Sitzungsüberwachung: Zero-Trust-Sicherheit ist darauf ausgelegt, Risiken zu minimieren, die eine kontinuierliche Sitzungsüberwachung erfordern. Diese laufende Überwachung ermöglicht die Aktualisierung von Risikoberechnungen und Vertrauensniveaus nach Bedarf auf der Grundlage des beobachteten Verhaltens.

#3. Komponenten der Netzwerkdienste

SASE bietet nicht nur Sicherheit für das Unternehmens-WAN, sondern ist auch darauf ausgelegt, die Netzwerkleistung für die verteilte Organisation zu optimieren. Dies wird durch die Integration softwaredefinierter WAN-Funktionen (SD-WAN) und die Sicherung mobiler und temporärer Benutzer erreicht.

SD-WAN wird als Netzwerk von SD-WAN-Appliances bereitgestellt, entweder physisch oder in der Cloud. Der gesamte Datenverkehr, der über das Unternehmens-WAN fließt, wird je nach Anwendung und Geschäftsabsicht von seinem Eintrittspunkt zur SD-WAN-Appliance geleitet, die seinem Ziel am nächsten liegt. Der Einsatz von SD-WAN als Teil von SASE bietet eine Reihe von Vorteilen:

  • Optimierte Pfadauswahl: Netzwerkausfälle, Bandbreitenbeschränkungen und Überlastung können die Netzwerklatenz erhöhen. SD-WAN nutzt Leistungsüberwachung und intelligente Routenauswahl, um die Netzwerkleistung zu maximieren.
  • Anwendungsbasiertes Routing: Remote- und mobile Unternehmensbenutzer benötigen auch außerhalb eines Büros eine sichere Verbindung zu Unternehmensressourcen. Darüber hinaus benötigen Auftragnehmer möglicherweise Zugriffe von Geräten, die nicht verwaltet werden. Mit einer Secure Remote Access-Lösung können sowohl Client- als auch clientlose Geräte sicheren Zugriff auf das SASE-Netzwerk und von dort aus auf die gewünschte Ressource haben.

Wert einer SASE-Architektur

Mit der Weiterentwicklung von Unternehmensnetzwerken müssen sich auch die Netzwerk- und Sicherheitsarchitekturen weiterentwickeln. SASE ist darauf ausgelegt, sowohl Sicherheit als auch optimierte Netzwerkleistung in einer einzigen Lösung zu bieten. Durch die Verlagerung der Sicherheits- und Netzwerk-Routing-Funktionalität an den Netzwerkrand minimiert SASE die Auswirkungen der Sicherheit auf das Benutzererlebnis und sorgt gleichzeitig für ein hohes Maß an Sicherheit.

Check Point’s Harmony SASE enables organizations to deploy network and security functionality that meets their needs. To learn more about how Harmony SASE works and see it in action, request a demo.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK