Warum sich Unternehmen mit SASE und Zero Trust schwertun

Die Vorteile des Rahmenwerks Secure Access Service Edge (SASE)  bei der Einführung von Digitalisierungsprojekten liegen auf der Hand. Es geht dabei um eine strategische Herangehensweise der Neugestaltung von IT-Infrastrukturen unter Einbeziehung von Applikationen, Netzwerk- und Sicherheitsaspekten gleichermaßen. Durch ganzheitliche Betrachtung vermeiden Unternehmen, dass sie mitten in einem Projekt nachjustieren müssen, weil beispielsweise die Bandbreite beim Zugriff auf die Cloud oder die Sicherheit außer Acht gelassen wurde und Multiprotocol Label Switching (MPLS)-Kosten in die Höhe schnellen. Dennoch tun sich viele Unternehmen schwer bei der Realisierung solch hochintegrativer Projekte, die die angestammte IT-Umgebung aus den Angeln hebt.

Es fehlt an Wissen und Inhouse-Experten einerseits, andererseits tun sich Unternehmen aber auch schwer, herkömmliche Infrastrukturen hinter sich zu lassen. Wie mit der Einführung jeder neuen Technologie geht auch mit dem SASE-Rahmenwerk eine grundlegende Veränderung angestammter Vorgehensweisen und eingespielter Prozesse einher. Dementsprechend besteht immer zuerst einmal ein Vorbehalt, sich den Neuerungen zu öffnen. Es hilft sich in Bewegung zu setzen, wenn der Leidensdruck im Umgang mit existierenden Systemen entsprechend groß ist.

Permanentes Feuer bekämpfen durch „Working from Anywhere“ oder ausufernde Multicloud-Umgebungen – also der alltägliche Kampf mit dem Administrationsaufwand, Beschwerden von Anwendern hinsichtlich der Performanz bestehender Systeme, Schließen von Sicherheitslücken oder ausufernde Kosten – können Entscheidungsträger mürbe machen, sich nach neuen Ansätzen umzusehen. Dabei könnte ein SASE-Projekt diesen Kampf beheben, denn es geht schließlich genau darum, Zugriff von überall aus auf Anwendungen, die überall vorgehalten werden können, sicher und performant zu gestalten. Genau genommen haben sich Unternehmen auch bisher schon in gewisser Weise mit exakt diesen Problemstellungen auseinandergesetzt. Allerdings bis dato nur punktuell, und nicht so hochintegriert, wie es das SASE-Rahmenwerk vorschlägt.

Mit SASE geht ein grundlegend neuer Denkansatz einher, wie Netzwerkarchitektur, Konnektivität und IT-Sicherheit zusammenspielen. Einzelne Bestandteile sind durchaus bekannt. Mit einer Firewall geht schon immer eine Richtlinienvergabe einher, und auch mit VPN-Systemen waren Überlegungen verbunden, wer Remote-Zugriff erhalten sollte. Allerdings waren das immer überschaubare Konstrukte, die ins sich abgeschlossen behandelt werden konnten. Die Cloud hat den beherrschbaren Perimeter nun gesprengt und die neuen Anforderungen kulminieren in einer Kombination verschiedenster Technologien, die miteinander für eine einheitliche Arbeitsweise harmonieren müssen.

Neue Konzepte für neue Herausforderungen und gegen sich stetig ändernde Bedrohungen

Die Zurückhaltung lässt sich also dadurch erklären, dass das Silodenken aufgebrochen werden muss. Abteilungsübergreifende Zusammenarbeit ist gefragt, um die Veränderungen auf den Weg zu bringen, und das allein mag schon abschreckend genug sein, um einen Anfangspunkt zu setzen. Es geht nur nicht darum, Anwendungen aus dem Rechenzentrum in eine neue, Cloud-basierte Umgebung zu verlagern nach einem „Lift und Shift-Ansatz“, sondern neben der Fachabteilung eben auch die Netzwerkarchitekten und Sicherheitsverantwortlichen an einen Tisch zu holen, um das große Ganze zusammenzusetzen. Doch wer sollte dabei den ersten Schritt auf die anderen Abteilungen zu gehen, um dem Gesamtkonzept den Schrecken zu nehmen?

Das SASE-Rahmenwerk bringt Konnektivität und IT-Sicherheit unter einen Hut. Was bisher dabei das fehlende Glied in der Kette war, ist die Funktionalität eines übergreifenden Kontrollmechanismus, der sicherstellt, dass Mitarbeiter mit den richtigen Applikationen verbunden werden. Und hier kommt heute das Prinzip des Least Privilege ins Spiel. Ein Zero Trust Network Access (ZTNA) stellt den Mechanismus dar, der für die Umsetzung des SASE-Rahmenwerks unerlässlich ist. Dadurch erfolgt die kontinuierliche Validierung, dass der User auf die richtige Applikation zugreift. Hinzu kommt eine zusätzliche Sicherheitskomponente für Unternehmen. Denn Zero Trust ermöglicht eine granulare Mikrosegmentierung, da nur der berechtigte Anwender seine Anwendung erreicht und nicht mehr der Zugang zum gesamten Netzwerk besteht, so dass zeitgleich die Angriffsfläche im Unternehmen deutlich reduziert werden kann.

Und damit einhergehend schrumpft der Aufwand für die klassische Netzwerksegmentierung und die IT-Abteilung gewinnt Luft, sich neuer Projekte anzunehmen. Auch wenn Automatisierung helfen kann, ganz ohne Aufwand geht die Umstellung auf ein Zero Trust-Konzept nicht einher. Denn es muss schließlich definiert werden, wer auf welche Applikationen Zugriff erhalten darf. Und zeitgleich ist der Überblick gefragt, welche Anwendungen im Netzwerk oder in den Multicloud-Umgebungen überhaupt vorhanden sind.

Fazit

Ein guter Ansatzpunkt kristallisiert für den Start eines SASE-Projekts kristallisiert sich durch die Pandemie heraus. Durch den Remote-Zugriff auf Anwendungen können Unternehmen sehr gut herausfiltern, welche Anwendungen wirklich von den Mitarbeitern benötigt wurden und welche Apps unbenutzt im Netzwerk schlummern. Und darauf aufbauend lassen sich bereits die nötigen Richtlinien definieren, wer auf welche Applikation zugreifen können muss. Ist einmal der erste Schritt für die Implementierung von SASE getan, fällt aufbauend auf den Erfahrungswerten die künftige Zusammenarbeit der verschiedensten Teams viel leichter.