Secure Access Service Edge (SASE) für digitale Transformation

The future of network security is in the cloud” ist der Titel einer Gartner-Publi­­kation vom August 2019. In dem Papier erläutern die Autoren, warum die digitale Trans­for­mation Netz­werks­ecurity und deren Design auf den Kopf stellt.

Digitale Trans­for­mation und der Ein­bezug von Partnern, Software-as-a-Service (SaaS) wie auch durch COVID-19 ver­viel­fachte Arbeit von remote, über VPN und andere Wege, ver­schiebt sowohl das Zentrum der Daten­ver­ar­beitung als auch den Peri­meter, und der bis­herige Ansatz der Netz­werks­ecurity scheint dafür nicht ausreichend.

Dieser Ansatz war bis vor wenigen Jahren, irgendwo im Zentrum des Rechen­zen­trums das innere Sanktum zu haben, mit all den Daten, die wichtig waren, am besten geschützt vor jeg­lichem Miss­brauch. Eine zen­trale Stelle mit fest defi­nierten Kom­mu­ni­ka­ti­ons­wegen, Berech­ti­gungen und Wegen, an der sich Policies und Sicher­heits­vor­keh­rungen ori­en­tiert haben. Wei­terhin einen Peri­meter, einen Übergang von eigenen Netzen zu freundlich gesinnten Partnern bis hin zur fremden Wildnis Internet.

Mit der Migration wich­tiger Dienste und Daten in die Cloud wurden viele bestehende Vor­keh­rungen aus­ge­hebelt, ersetzt oder obsolet. Ein dezen­trales Modell muß auf andere Weise abge­si­chert und behandelt werden als ein zen­trales, und hier geht es nicht um eine Wertung, sondern einfach um die Unter­schiede der beiden Herangehensweisen.

Bei einer strikt zen­tralen Lösung ist es viel­leicht schwierig, aber nicht unmöglich, einen Peri­meter zu ermitteln und nur frei­ge­gebene Kom­mu­ni­ka­ti­onswege zu erzwingen, also zum Bei­spiel mittels bestimmter Kri­terien am End­gerät, Authen­ti­fi­zierung der Person, VPN, Fire­wall­re­gu­lie­rungen für die Zugriffe und Auto­ri­sation auf erlaubte Daten­töpfe des Benutzers oder der Benutzerin.

Wenn ein Unter­nehmen aber bei­spiels­weise ent­scheidet, die Unter­neh­mens­kom­mu­ni­kation über Gmail abzu­wi­ckeln, ver­ändert sich das Bild; die Server sind in der Cloud, Mit­ar­bei­te­rinnen und Mit­ar­beiter können mit belie­bigen End­ge­räten auf Mails zugreifen, so lange sie die Cre­den­tials kennen und, falls ein­ge­richtet, ein Token für die Multi-Faktor-Authen­­ti­­fi­­zierung besitzen.

Das gilt natürlich für andere Cloud-Dienste genauso. Die unein­ge­schränkte Erreich­barkeit plus der Freiheit in der Wahl des Browsers und End­geräts ist kein geringer Faktor des Erfolgs von Cloud­diensten; aber eben mit Ein­fluss auf die Security-Modelle auf allen Seiten.

Wenn sich eine Firma auf die Cloud ein­lässt, sollten auch wei­terhin einige Dinge beachtet werden; so ist es zum Bei­spiel nicht im Sinne der Security, dass die Beschäf­tigten mit jedem Gerät auf jeden eigenen und Part­ner­dienst zugreifen, von überall.

Die Iden­tität der Benutzer ist der Dreh- und Angel­punkt für alle Ent­schei­dungen bezüglich Zugang zu Diensten und Daten, und nicht mehr das Rechen­zentrum und aus­ge­klügelt regu­lierte und abge­si­cherte Daten­ströme. Kontext wird ein maß­geb­licher Faktor in der Ent­scheidung, ob ein Zugriff gewährt wird oder nicht.

Natürlich bleiben Rechen­zentrum oder Daten­speicher wei­terhin bestehen und wichtig, aber vie­lerorts werden sie auf den Status einer wei­teren aus dem Internet erreich­baren Quelle für Ser­vices oder Daten reduziert.

Wie regu­liert man so etwas? Mit SASE ver­lagert sich der Peri­meter des Unter­nehmens dann bereits auf den Inter­net­übergang vom Gerät der Benutzer. Oder, wie Gartner schreibt:
“The enter­prise peri­meter is no longer a location; it is a set of dynamic edge capa­bi­lities deli­vered when needed as a service from the cloud.” (“Der Unter­neh­mens­pe­ri­meter ist nicht länger ein fester Standort, sondern eine Reihe von dyna­mi­schen Edge-Fun­k­­tionen, die bei Bedarf als Dienst aus der Cloud bereit­ge­stellt werden.”)

Und wie ergänzt oder unter­scheidet sich das von dem Modell des Cloud Access Security Brokers (CASB), bei dem jede Inter­net­ver­bindung über einen Dritten gelenkt wird, der dann für Sicherheit, Authen­ti­fi­kation etc. ver­ant­wortlich ist? Diesen gor­di­schen Knoten zu lösen ist für einen Techie wie mich nicht wirklich einfach.

Ein bisschen leger gesagt sieht SASE für mich aus wie CASB — aber eben mit einem neuen, von Gartner geprägten Schlagwort, weil CASB nicht den Auf­trieb bekommen hat, den man sich vor­ge­stellt hat. Und ja, natürlich sind auch ZTNA (Zero Trust Network Access), SWG (Secure Web Gateways) und FWaaS (Fire­walls as a service) wichtige Bestand­teile, sowohl bei SASE als auch bei einem Schlagwortgefecht.

Wie sehr die For­mu­lierung von Gartner viel­leicht über­trieben ist, so klar ist aber auch, dass die Kern­thesen Bestand haben: Um Security in einer Cloud-zen­­tri­­schen Welt betreiben zu können, müssen neue Wege gegangen werden; die alte Netz­werk­in­fra­struktur kann nicht länger abbilden, was für eine gelungene digitale Trans­for­mation wirklich not­wendig ist.