Auf dem Weg in ein globales mobiles Netzwerk

Vor der Verfassung meines Blogbeitrages habe ich mir die Frage gestellt, ob das Thema Secure Access Service Edge (SASE) mittlerweile nicht doch ein „alter Hut“ sei und bereits zu breitgetreten ist. Tatsächlich gab es schon viele Artikel, Vorträge und Hersteller-Aktionen zu diesem Thema in allen Varianten und Formen. Doch nach einem kurzen, nachdenklichen Moment und einem ordentlichen Schluck Kaffee, kann ich das definitiv verneinen.
Denn ehrlich gesagt, sind wir gerade erst am Anfang und haben dieses Thema evtl. noch gar nicht aus der richtigen Perspektive betrachtet.
Es geht schließlich nicht nur um hochgelobte neue Technik, neue Architekturansätze und „fancy Buzzwords“. Wir als IT-Administratoren, IT Engineers, IT-Abteilungen oder IT-Verantwortliche sollten einen genaueren Blick auf die relevanten Erwartungen, Anforderungen und den tatsächlichen Bedarf werfen. Doch bevor wir tiefer einsteigen und uns die wirklich relevanten Fragen stellen, möchte ich erstmal ein paar Schritte zurück gehen. Fassen wir mal zusammen: Was hat sich innerhalb der letzten Jahre geändert und vor welchen neuen Herausforderungen stehen wir?

Egal ob am heimischen Schreibtisch, auf der Couch, dem Balkon oder im Garten – sogar im Park oder im Café lassen wir die Tasten der Laptops und unsere Fingerspitzen „glühen“. Selbst das fröhliche Tippen im Büro ist wieder nahezu uneingeschränkt möglich. Eine Vielzahl von Unternehmen haben ein Hybrid-Office-Modell bereits eingeführt oder erarbeiten ein passendes Modell.
Das bedeutet, wir arbeiten von nahezu beliebigen Standorten aus. Und nicht nur das – die Art und Weise, wie und wo Anwendungen, Daten und somit Informationen zur Verfügung gestellt werden, hat sich ebenfalls grundsätzlich geändert. Es dreht sich nicht mehr alles um das eigene Rechenzentrum.
Das Internet liefert relevante Informationen, wir arbeiten mit SaaS (Software-as-a-Service)-Lösungen/Webanwendungen und nutzen Public-Cloud-Dienste wie Azure, AWS oder GPC. Im Jahr 2020 nutzten 33 % der Unternehmen in der EU Cloud-Dienste und im Jahr 2021 waren es bereits 42 % (Quelle: Eurostat). Der Trend ist nicht mehr von der Hand zu weisen. Daraus ergeben sich einige neue Herausforderungen, die ich gemeinsam mit Ihnen aus verschiedenen Perspektiven betrachten möchte.
Beginnen wir mit der Sichtweise der Anwender, denn letztendlich sind wir alle Anwender. Ob wir nun Rechnungen in SAP fakturieren, Kundenstammdaten im CRM pflegen oder eine Firewall-Regel ändern – es sind alles Anwender.

Als Anwender müssen wir sicher, schnell und zuverlässig auf die erforderlichen Anwendungen, Daten und Information zugreifen können. Und natürlich unabhängig von Ort und Zeit.
Betrachten wir die letzten Jahre, schauen wir auf eine sehr herausfordernde Zeit für die Wirtschaft und das Management zurück. Und eine Trendwende ist aktuell nicht in Sicht.

Da sammelt sich eine enorme Menge strategischer Fragen:
Wie geht unser Unternehmen mit leerstehenden Immobilien um und ist das Hybrid Office ein sinnvoller Ansatz? Wie setzt man ein Hybrid-Office-Modell um? Und ist das aktuelle Geschäftsmodell noch zukunftsträchtig? Als zusätzliches Gewicht „on the top“ steht der Blick auf einen zentralen Punkt gerichtet: Business Continuity Management – den störungs- und unterbrechungsfreien Geschäftsbetrieb gewährleisten. Es kreisen also viele Fragen durch die Köpfe der Entscheider und die Antworten können häufig nur mit Unterstützung der Fachabteilung in die richtige Richtung gelenkt werden.
An dieser Stelle kommt die IT ins Spiel.

Denn die IT spricht Empfehlungen aus und trifft die Entscheidungen, welcher Hersteller und welche Technologie implementiert wird, um eine sichere und hochverfügbare IT-Infrastruktur, und somit den unterbrechungsfreien Geschäftsbetrieb, dauerhaft zu gewährleisten.
In den folgenden Leseminuten versuchen wir die Entscheidungsfindung für unser gemeinsames Thema ein wenig zu erleichtern. Aber fassen wir erst nochmal kurz zusammen – wir haben:

1. Viele verschiedene Orte, von denen Mitarbeiter arbeiten

2. Viele verschiedene Lokationen, an denen Anwendungen, Daten und Information bereitgestellt werden

Wir benötigen also eine sichere, zuverlässige und hochverfügbare Vermittlungsschicht. An dieser Stelle könnte SASE (Secure Access Service Edge) ein guter Wegbegleiter werden. Jetzt könnten Sie fragen: Aber was kann denn SASE überhaupt und wann ist es für unser Unternehmen interessant?

Dieses Schaubild visualisiert SASE als Transportebene zwischen den einzelnen Stationen und zeigt die Hauptmerkmale und Funktionen. Denn SASE ist grundsätzlich nicht mehr als eine weltweite Security- und Network-as-a-Service-Infrastruktur, aus der man sich im Baukastenprinzip bedienen kann.
Nehmen wir einfach den ersten Anwendungsfall und verbinden mobile und stationäre Anwender sicher, zuverlässig und schnell mit dem Internet. Dazu greifen wir uns den Baustein SWG (das Secure Web Gateway) mit allen relevanten Sicherheitsfunktionen wie z.B. URL-Filter, Proxy, SSL Inspection und Threat Prevention, Sandboxing etc.
Beim Zugriff auf SaaS (Software-as-a-Service)-Anwendungen lassen wir die CASB (Cloud Access Security Broker)-Funktionen ihre Stärken einbringen und können auf diesem Weg Zugriffe auf SaaS Anwendungen überwachen, kontrollieren und regulieren. Bitte nicht vergessen: DLP (Data Loss Prevention) gehört natürlich auch mit an Bord.
Sollen Anwender nun zusätzlich auf Daten und Anwendungen im eigenen Rechenzentrum oder der Public Cloud (IaaS) zugreifen, krabbeln wir den Baustein ZTNA (Zero Trust Network Access) aus der Kiste und bekommen eine fein granulare Identitäts- und anwendungsbezogene Zugriffssteuerung gestellt. Natürlich dürfen sämtliche NextGeneration Firewall Features nicht außen vor bleiben und deshalb setzen wir den nächsten Baustein für eine massive Grundmauer mit FWaaS (Firewall as a Service) und sichern die Verbindungen zwischen einzelnen Endpunkten mit IPS (Intrusion Prevention System Features) etc. ab.
Möchte man abschließend noch einzelne Standorte sicher und hochverfügbar untereinander verbinden und kommunizieren lassen, dann kommt SD-WAN (Software Defined – Wide Area Network) als Network-as-a-Service-Lösung ins Rennen und rundet das gesamte Paket ab.

Bei diesen ganzen interessanten Bausteinen ist es allerdings häufig vom Hersteller abhängig, welche Funktionen in dem jeweiligen Portfolio verfügbar sind und in welchem Umfang diese genutzt werden können. Bitte prüfen Sie das immer sehr genau.
Alles in allem könnte man nun sagen: Mensch, das hört sich grundsätzlich erst mal nach einer sehr charmanten Lösung an.
Und man stellt sich die Frage: Ist SASE auch für unser Unternehmen sinnvoll und relevant?

Das ist die Frage aller Fragen!

Wir haben einen Quick-Check für Sie vorbereitet, mit dem Sie prüfen können, ob es sinnvoll ist, sich weiter mit dem Thema SASE zu befassen.

Viele Standorte europa-/weltweit?

Sollten Sie mehr als 10 Standorte europa- oder weltweit haben oder eine Expansion planen, dann könnte SASE eine Lösung für ihr Unternehmen sein. Mittels SASE kann das sogenannte „Backhauling“ von Datenverkehr verhindern. D.h. es wird kein Datenverkehr aus anderen Standorten und ggf. einem benachbarten Land über ihr lokales Rechenzentrum in das Internet geleitet.

Ein Beispiel: Der Standort Barcelona muss nicht über das Rechenzentrum in Frankfurt auf das Internet und Cloud-Anwendungen zugreifen, sondern es wird ein nahezu direkter Zugriff über die globale SASE-Cloud-Infrastruktur ermöglicht. Im Falle von Barcelona würde der Datenverkehr tatsächlich einen nahe gelegenen Zugangspunkt zur SASE-Infrastruktur passieren und dann direkt ins Internet geleitet werden. Als weiteren Benefit können Unternehmen auf diesem Weg auch Bandbreite bei ihrer Rechenzentrumsanbindung einsparen.

Großer Anteil an "mobiler Arbeit"/ Hybrid Office?

Dies ist ein weiterer Punkt, der das Thema „Backhauling“ von Datenverkehr anschneidet, da mobile Anwender via SASE ebenfalls weltweit und nahezu direkten Zugriff auf das Internet erhalten können. Natürlich inkl. aller sicherheitsrelevanten Features. Jetzt könnte man meinen: Wir haben doch Split Tunneling aktiv“, aber hier ist Vorsicht geboten, denn bei aktivem Split Tunneling umgeht man den gesamten Security Stack im lokalen Rechenzentrum, z.B. Proxy etc., und es bleibt als letzte Instanz der Client mit lokaler Windows-Firewall, AV oder wenigstens noch der EDR (Endpoint Detection and Response). Meine persönliche Empfehlung lautet: Split Tunneling, sofern möglich, immer zu umgehen oder nur für tatsächlich sichere Zieladressen zu aktivieren. Und selbst hier bleibt ein minimales Restrisiko bestehen.

Geplante Migration in die Cloud?

Ihr Unternehmen befindet sich gerade auf dem Weg in die Cloud oder es ist ein hybrider Ansatz geplant und Sie stehen bereits in den Startlöchern? Dann können Sie ggf. direkt von zwei Vorteilen durch SASE profitieren. Bei Punkt eins sind wir wieder beim Thema „Backhauling“. Der zweite Punkt betrifft die Verbindung vom Rechenzentrum in die Cloud zwecks Datenmigration/-übertragung. Hier können Sie – abhängig vom SASE-Anbieter – auf eine teure direkte Anbindungslösung von z.B. Microsoft mit „Express Route“ oder Amazon mit „Direct Connect“ verzichten und die normale Internetleitung in Kombination mit der SASE-Infrastruktur nutzen. So können Sie zusätzlich alle Security Features wie z.B. DLP mit einbeziehen. Aber auch hier gilt: Stets vorab einen detaillierten Blick auf das Angebot des jeweiligen Anbieters zu werfen.

Bereits SaaS/ Hybrid-Cloud /Multi-Cloud?

Ihr Unternehmen nutzt bereits eine Vielzahl von Clouddiensten? So können Sie von den erweiterten Sicherheitsfeatures und den Vorteilen des weltweiten, nahezu direkten Zugriffs profitieren. Besonders die granulare Zugriffssteuerung (ZTNA) sowie DLP bringen hier einen enormen Mehrwert.

Anstehende Merger /Unternehmenszusammenschlüsse / 3rd Party Sites + User?

Bei einem Merger/Unternehmenszusammenschluss stellt sich häufig die Herausforderung, dass möglichst zeitnah unkomplizierte „cross company / cross network“ -Zugriffe ermöglicht werden müssen. D.h. Anwender von Unternehmen A müssen auf Ressourcen im Rechenzentrum von Unternehmen B zugreifen und umgekehrt. Nicht gerade selten stellt sich hier ein Problem mit doppelten IP-Subnetzen und komplizierten NAT-Regeln dar. Mit vielen SASE-Anbietern lässt sich dieses Problem geschickt umschiffen, da die Verbindung über Connection Broker geregelt wird und die Zustellung in das jeweilige Rechenzentrum erfolgt über den FQDN (Fully Qualified Domain Name). Die IP-Adresse wird somit erst im lokalen Rechenzentrum ab dem SASE Security Gateway (Übergabepunkt im RZ) relevant.
Via ZTNA (Zero Trust Security Model) lassen sich granulare Regelwerke für externe Partner erstellen und verwalten. Auf diesem Weg lassen sich schnelle du unkomplizierte Zugriffe auf explizite interne Ressourcen ermöglichen z. B. auf eine Entwicklungsumgebung für ein spezielles Entwicklungsprojekt.

Sollten Sie Ihr Unternehmen nun in einem oder sogar mehreren dieser Punkte wiedergefunden haben, dann möchte ich Ihnen noch weitere Top 5 Punkte mit auf den Weg geben, die man unbedingt vorab bedenken sollte.

Volles Vertrauen in den Dienstanbieter + Cloud-Service?

Ein Vertrauensanker zu dem jeweiligen Anbieter ist immer wichtig. Sofern kein gegenseitiges Vertrauen besteht, sollte man keine Geschäftsbeziehung eingehen. Außer dem Vertrauensanker gibt es natürlich weitere Punkte zu berücksichtigen. Sobald personenbezogene Daten verarbeitet werden, sollten stets die verantwortlichen Ansprechpartner bzgl. Datenschutz, der CISO, und für vertragliche Aspekte die Rechtsabteilung oder ein Anwalt hinzugezogen werden. Drei relevante Stichworte sind: Schrems2, EU-DSGVO und der Cloud-Act. Es ist immer relevant, alle Details vertraglich und rechtskonform auszugestalten, um das Unternehmen, die Mitarbeitenden und die relevanten Daten bestmöglich zu sichern. Bei Managed-Service-Providern gilt es stets die gesamte Vertragskette bis zum Hersteller prüfen zu lassen.

SSL Inspection / doppelte Verschlüsselung?

Dieses Thema betrifft natürlich nicht nur SASE-Lösungen, sondern den Internetzugriff und SWG (Secure Web Gateway) im Allgemeinen. Da mittlerweile nahezu 95 % des Datenverkehrs im Internet verschlüsselt sind, ist es aus Sicherheitsgründen fast unverantwortlich, diesen Datenverkehr nicht auf potenziell gefährlichen Inhalt zu überprüfen. Doch auch hier kommen personenbezogene Daten ins Spiel und je nach Betriebsvereinbarung muss eine explizite Regelung mit dem Betriebsrat geprüft und offiziell vereinbart werden. Dieses Thema kann viel Zeit in Anspruch nehmen, da datenschutzrechtliche Hintergründe eine relevante Rolle spielen. Für manche Abteilungen mag es sogar sinnvoll sein, eine doppelte Verschlüsselung ohne SSL Inspection zu aktivieren z. B. für HR (Human Resources) oder für den Vorstand.

Tatsächliche Kosten - wann lohnt sich die Umstellung?

Erstellen Sie eine umfassende Aufstellung der tatsächlichen Kosten. Vergleichen Sie genau, welche Kosten Sie mit der aktuellen Lösung haben und was die neue SASE-Lösung mit sich bringt. Denn nicht immer ist auch aus monetärer Sicht eine Umstellung auf SASE sinnvoll bzw. günstiger. Natürlich spielen hier auch weitere individuelle Faktoren eine relevante Rolle, die mit entsprechender Gewichtung in die Entscheidung miteinfließen sollten.

Technische Probleme - alle Protokolle und Anwendungen unterstützt?

Der SASE-Provider sollte eine vollständige Liste mit Einschränkungen zu Protokollen und Anwendungen zur Verfügung stellen. Ein Beispiel stellt VoIP (Voice over IP) dar. Nicht jeder Anbieter unterstützt dieses Protokoll. Ein Call-Center-Betrieb kann dadurch stark eingeschränkt werden. Ein weiteres Beispiel ist UDP (User Datagram Protocol).

Zertifikatsbasierende Authentifizierung und Public IP Whitelisting für SaaS?

Manche Anbieter von SaaS-Anwendungen bieten eine zusätzliche Überprüfungsinstanz mittels „Public IP Whitelisting“ an. Hierbei wird die öffentliche Quell-IP-Adresse der eingehenden Verbindung geprüft und entweder zugelassen oder blockiert. In den meisten Fällen wird hier die öffentliche IP-Adresse des Rechenzentrums verwendet. Findet nun eine Migration zu einer SASE-Architektur statt, so ändert sich diese IP-Adresse entsprechend auf eine IP-Adresse aus dem Pool Ihres Anbieters. Es sollte geprüft werden, welche SaaS-Anwendungen hiervon betroffen sind. Erfahrungsgemäß sind dies mehr als erwartet und werden teilweise auch von einzelnen Abteilungen selbstverwaltet. Generell ist „Public IP Whitelisting” kein sicherer und verlässlicher Schutz und sollte durch Mechanismen wie MFA / 2FA (Multi-Faktor-Authentifizierung / 2-Faktor-Authentifzierung) ersetzt werden, sofern es irgendwie möglich ist.

Kommen wir nun zu einer persönlichen Empfehlung, dieses Thema anzugehen:

Gehen Sie den Quick-Check Punkt für Punkt durch und betrachten Sie dazu auch die Top 5 Punkte, die unbedingt berücksichtigt werden sollten
Stimmen Sie sich mit dem Management ab und betrachten die geplante Unternehmensentwicklung: Heute vs. in 5 Jahren
Sammeln Sie in Gesprächen mit den Fachabteilungen konkrete „Business-Anforderungen“ und erstellen Sie sinnvolle „Use Cases“
Vergleichen Sie die neu gesammelten Informationen erneut mit den beiden Top 5 Listen
Entwerfen Sie Ihre individuelle Roadmap!

Wir beraten und unterstützen Sie sehr gerne mit praktischem Wissen aus unserer eigenen Erfahrung.
Zum Abschluss möchte ich mit Ihnen eine Prognose von Gartner betrachten:

Gartner schätzt: 2025 werden ca. 60 % der Unternehmen explizite Strategien und Timelines zur Implementierung von SASE fixiert haben. 2020 waren es gerade mal 10 %. Persönlich halte ich diese Einschätzung für realistisch, daher sollten Unternehmen nicht einfach abwarten und sich überraschen lassen – bereiten Sie sich aktiv und sicher auf die Zukunft vor. Denn die Erfahrung hat immer wieder gezeigt, es ist besser, einen sinnvollen Plan zu haben – auch wenn der Plan nur vorbereitet in der eigenen Schublade liegt.