Placeholder

Daten

SD-WAN – Technologie mit Zukunft

  • Vorheriger
  • Artikel
Placeholder

Daten

Die Früchte der Digitalisierung ernten

  • Nächster
  • Artikel
Mitarbeiter:innen arbeiten zusammen

Lesedauer

5 Minuten

Daten

Was ist eigentlich SASE?

Mitarbeiter:innen arbeiten zusammen

Home-Office gilt als “New Way of Work” und bietet nicht nur Mitarbeiter:innen, sondern auch Unternehmen zahlreiche Vorteile.

Bei Internet Security Herstellern trifft man heute immer wieder auf SASE. Erfahren Sie, was dahinter steckt.

SASE (Secure Access Service Edge) ist ein Begriff, den die Analysten von Gartner geprägt haben. Entstanden sind sie aus den Anforderungen an Security und Connectivity der IT-Infrastruktur in Unternehmen. Das starke Wachstum bei Cloud Applikationen und Services, getrieben durch verstärktes Home-Office, erfordert neue Lösungen, um  Mitarbeiter:innen von jedem Ort aus optimal und sicher mit den jeweiligen Services und Applikationen zu verbinden.

Es ist abzusehen, dass dieser “New Way of Work” auch nach Corona bleiben wird, denn nicht nur für Mitarbeiter:innen  hat das Home-Office gewisse Vorteile, sondern auch für Firmen: Weniger Stromverbrauch, weniger Abnutzung, weniger Verschmutzung, um nur ein paar zu nennen. Teilen sich Mitarbeiter:innen einen Arbeitsplatz wechselweise, dann kann sogar Büroraum eingespart werden. Daher ist absehbar, dass die Vorteile von Home-Office auch nach Corona weiter genutzt werden.

Problematik Homeoffice

Durch verstärktes Home-Office bei gleichzeitiger Verwendung vieler Cloudservices ergibt sich aber eine Problematik: In einer nach frühen Konzepten abgesicherten  Netzwerkinfrastruktur verbindet sich ein Mitarbeiter bzw. eine Mitarbeiterin zum Beispiel mit seinen  Microsoft 365 Services, um E-Mails abzurufen, zu telefonieren oder Dateien zu speichern immer noch über seine VPN-Verbindung über die Firmenfirewall, die seinen Datenverkehr überprüft.

Das heißt, der Datenverkehr wird vom Home-Office Arbeitsplatz zurück in die Zentrale geführt, nur um dann wiederum in das Internet zu den Cloud-Services geleitet zu werden. Dieses sogenannte “Backhauling” belastet einerseits die Leitung mit dem doppelten Datenverkehr als auch die Firewall, die auf einmal eigentlich doppelt so groß dimensioniert sein müsste.

Was aber ist die Alternative?

Eine Möglichkeit ist Split-Tunneling. Das heißt, dass nur noch der Verkehr auf Applikationen, wie Datenbanken die onPrem im Serverraum in der Zentrale stehen, über die Firmen-VPN-Verbindung  geleitet werden. Der ganze andere Traffic für E-Mails, Telefonie oder auch Filesharing über OneDrive wird direkt vom Home-Office-Arbeitsplatz in das Internet geführt. Der Nebeneffekt in einer solchen Konstellation ist allerdings der Verlust von Security und Kontrolle.

Mitarbeiter:innen sind nicht mehr durch die Firmenfirewall geschützt und können Opfer einer Cyberattacke werden - bewusst oder unbewusst. Ein Beispiel für unkontrollierten Datenaustausch wären sensible Daten wie Kundenlisten, die über eine Shareplattform, wie WeTransfer geteilt werden. In Zeiten von heftigen DSGVO-Strafen sollte man so was auf jeden Fall vermeiden.

Cloud-Firewall als Zukunftsmodell

In diesem Fall bietet sich eine Cloud-Firewall als Alternative an. Hersteller wie Zscaler bieten Lösungen, die direkt auf dem Endgerät der Mitarbeiter:innen installiert werden und den Traffic über das eigene Cloud-Firewallprodukt leiten. Dieser Client kann nicht abgeschaltet oder deaktiviert werden und ist sofort nach dem Einloggen des Users aktiv. In der Cloud-Firewall kann fein granuliert eingestellt werden, was Mitarbeiter:innen dürfen und was nicht.

So ist es sogar möglich, den Zugriff auf Microsoft 365 grundsätzlich zu sperren, aber den Zugang zu dem firmeneigenen Microsoft 365 Portal zu gewähren. Eine Möglichkeit, die nicht viele Firewall-Hersteller bieten.

Solche Cloud-Firewalls können aber nicht nur einzelne Benutzer per installierten Client nutzen, es ist auch möglich, ganze Firmenstandorte und die Zentrale anzubinden. Die Vorteile liegen auf der Hand: Man hat eine gemeinsame Sicht, ein “single Pane of glass” über alle seine User. Die Firewall wird nach User und Traffic lizenziert, d.h. man zahlt also nur das, was man braucht. An den Standorten werden lediglich Devices eingesetzt, die eine Verbindung zur Cloud-Firewall aufbauen.

Die Connectivity von SASE

Da kommt dann der 2. Teil von SASE ins Spiel. Standorte sollen optimal, ausfallsicher und trotzdem kostengünstig mit dem Internet verbunden sein. Je mehr Services aus der Cloud bezogen werden, desto wichtiger ist es, dass die Verbindung stabil und schnell ist. Mit SD-WAN wurde eine Möglichkeit geschaffen, über kostengünstige Internetverbindungen, wie zum Beispiel DSL Verbindung oder mobilnetzbasierte Datenverbindungen, Standorte quasi ausfallsicher anzubinden.

Die Logik im SD-WAN-Device ermöglicht, dass der Datenverkehr immer den optimalen Weg nutzen kann. Wichtiger Traffic, wie Sprache, wird über die quasi latenzfreie DSL-Verbindung geschickt, während zum Beispiel nicht so zeitkritischer Email-Traffic über eine mobile Datenverbindung abgewickelt werden kann. Sollte eine dieser Verbindungen ausfallen, übernimmt automatisch die andere.

Aber das ist nur eine von viele Möglichkeiten, wie SD-Wan eingesetzt werden kann. Jede Firma ist anders aufgebaut und hat andere Anforderungen. Ein multinationaler Konzern wird seine Security und sein Netzwerk anders designen als der lokale Textilhändler mit ein paar Filialen.

Und genau das ist auch der Sinn hinter dem Framework SASE. Hier gilt es, die optimale Lösung aus einem großen Baukasten von Möglichkeiten für die individuellen Anforderungen der jeweiligen Firma zu finden.  Jeder Hersteller von SASE ist mit dem Fokus auf seine Produkte etwas anders und hat ein anderes Lösungskonzept, aber eines haben sie alle gemeinsam: Sie sorgen dafür, dass alle Mitarbeiter:innen die gleiche Security und Verbindungsqualität haben, egal von welchem Standort aus sie gerade arbeiten.

Artikelübersicht