Gartner hat vor Kurzem die strategische Roadmap für die SASE-Konvergenz 2021 veröffentlicht, in der die wichtigsten Herausforderungen beschrieben werden, die zu einer Umstellung auf die Secure Access Services Edge (SASE)-Architektur führen. Wenig überraschend sind Konsistenz, Einfachheit, Transparenz und Wirksamkeit die größten Herausforderungen – und eine ordnungsgemäß implementierte SASE-Architektur kann diese lösen.
Aber wie kommen wir angesichts der Herausforderungen zu SASE? Hat Ihre Reise bereits begonnen? Was sind die richtigen Schritte?
Nach einer der verheerendsten makroökonomischen und globalen Gesundheitskrisen der jüngeren Geschichte planen Unternehmen nun ihre Zukunft. Diese Zukunftspläne stützen sich auf die Unterstützung von IT-Führungskräften bei der Bewältigung der vier laufenden Transformationen – in den Bereichen Anwendungen, Daten, Netzwerke und Sicherheit – um starke wirtschaftliche Ergebnisse, besseren Zugriff und geringere Risiken zu erzielen.
Wie bei den meisten Entscheidungen oder Vorhaben sind die großen Entscheidungen grundlegender Natur: Sie bestimmen das Ergebnis. Wenn Unternehmen in die Cloud migrieren, können Sie sich die Herausforderung mit dem Wechsel von einer einspurigen Landstraße – die auf einen Kontrollpunkt mit einer einzigen Funktion beschränkt ist – zu einer mehrspurigen Schnellstraße vergleichen, auf der auf allen Spuren ohne jegliche Kontrollen beschleunigt wird. Dasselbe passiert beim App- und Datenzugriff in der Cloud: Benutzer greifen von jedem beliebigen Ort und jedem verfügbaren Gerät auf Web-, Cloud- und private Ressourcen zu, ohne die erwartete Leistung oder den entsprechenden Schutz zu bieten. Aufgrund dieser Faktoren müssen Unternehmen darüber nachdenken, wie sie bessere Kontrollen und eine leistungsfähigere Benutzererfahrung implementieren und die Prinzipien der SASE-Architektur auf ihre Pläne anwenden können.
Wie wird SASE also erreicht? Wie Gartner im Roadmap-Dokument darlegt, sind zumindest zwei Dinge klar, insbesondere kurzfristig:
- Wenn Zero Trust auf die SASE-Architektur angewendet wird, beginnt es mit der Sichtbarkeit – aller Benutzer, ihrer Identitäten und ihres gesamten Datenverkehrs, einschließlich Web, SaaS-Anwendungen, Shadow IT, öffentlichen Cloud-Diensten, benutzerdefinierten Anwendungen in der öffentlichen Cloud und Rechenzentren.
- Der auf diesen Datenverkehr angewendete Geschäftskontext basiert auf dem Wissen oder der Kenntnis des Benutzers, des Geräts, der App, der App-Instanz, der App-Risikobewertung, der Kategorie, des Inhalts und der Aktionen, um bedingte und kontextbezogene Zugriffsregeln und -richtlinien durchzusetzen.
Bei Netskope betrachten wir den Datenkontext als entscheidender erster Schritt bei der Auswahl der richtigen Technologie für eine echte SASE-Architektur. Zum Abschließen aller vier SASE-Transformationsphasen in den Bereichen Netzwerk, Sicherheit, Apps und Daten ist ein Datenkontext erforderlich. Kurz gesagt geht es um die Transformation des Netzwerks und die Verlagerung isolierter lokaler Abwehrsysteme in die Cloud. Das langfristige Ziel ist eine vollständig konsolidierte Single-Pass-SASE-Architektur mit Datenkontext für bedingte und kontextbezogene Zero-Trust-Richtlinienkontrollen zum Schutz von Benutzern, Apps und Daten. Im betriebsbereiten Zustand führt diese Architektur die Anforderungen von Netzwerk- und Sicherheitsteams in einer Lösung zusammen. Dies beobachten wir in der Branche bereits bei der Umstellung auf Direct-to-Net oder bei der Ausrichtung auf die Einbindung von Remote-Mitarbeitern im großen Maßstab.
Für Netzwerkteams bedeutet dies, den Zugriff und die Leistung für Benutzer im Kontext von Benutzer, Gerät, Standort und Anwendung sicherzustellen. Netskope Private Access bietet ZTNA (Zero Trust Network Access), das von Gartner als Ausgangspunkt bezeichnet wird, um Benutzern Zugriff auf private Anwendungen zu gewähren und den Zugriff auf Netzwerkebene durch den Ersatz älterer VPNs zu reduzieren. Netskope ergänzt ZTNA mit direktem Cloud-Zugriff auf das Web und Tausende von SaaS-Apps, Schatten-IT und öffentlichen Cloud-Diensten über Next Gen Secure Web Gateway (NG SWG) – alles mit einem einfachen Einzelclient oder Direkttunnel und einer einzigen Admin-Konsole.
Netskope kann Identitätsdienste für SSO und MFA auf nicht föderierte Apps ausweiten und außerdem eine verstärkte Authentifizierung basierend auf dem Datenkontext aufrufen. Darüber hinaus stellt Netskope Risikobewertungen für Cloud-Anwendungen für Zehntausende von Anwendungen bereit. So können Netzwerkteams den Zugriff basierend auf dem Geschäftskontext aktivieren und bestimmen, welchen Benutzern, Aktivitäten, Geräten und Standorten auf Grundlage der Datensensibilität der Zugriff auf welche Ressourcen gestattet werden soll.
Für Sicherheitsteams bedeutet dies, konsistente bedingte, kontextbezogene und granulare Richtlinien durchzusetzen, um die Bewegung sensibler Daten zwischen allen Benutzern (verwaltet, Remote, BYOD, Drittanbieterbenutzer) und allen Ressourcen (Web, SaaS-Apps einschließlich App-Instanzen, Schatten-IT, öffentliche Cloud-Dienste und benutzerdefinierte Apps in der öffentlichen Cloud) zu erkennen und zu kontrollieren. Auch hier ist der Kontext entscheidend: Datenkontext der App, App-Instanz/Risikobewertung/Kategorie, Datensensibilität und Aktivität. Durch den Datenkontext können Zero-Trust-Prinzipien vom Anwendungszugriff (Zugriff basierend auf App- und Benutzerrisiko) bis zur Anwendungsaktivität (Aktivitäten basierend auf App- und Datenkontext) angewendet werden, um das Risiko insgesamt zu reduzieren.
Auf der Plattform von Netskope werden darüber hinaus erweiterte Datensicherheitsdienste eingesetzt, um vertrauliche Daten in Echtzeit zu erkennen und erforderliche Richtlinienmaßnahmen durchzusetzen. Dazu gehören beispielsweise das Erkennen von Desktop-Bildschirmaufnahmen oder Whiteboard-Bildern, Ausweisen, Steuerformularen, Quellcode oder Lebensläufen sowie erweiterte DLP-Funktionen zum Auslösen von Richtlinien, um Benutzer darauf hinzuweisen, dass vertrauliche Daten offengelegt werden könnten, ihnen zu ermöglichen, ihre Aktivität fortzusetzen oder abzubrechen, oder ihre Aktivität zu rechtfertigen, damit die Geschäftsprozesse fortgesetzt werden können. (Alles wird mit einer Reihe fortschrittlicher KI/ML-Innovationen geliefert, die kürzlich vom US-Patent- und Markenamt patentiert wurden.) Dieser Ansatz, den wir „Zero Trust Data Protection“ nennen, schützt Daten über alle Web- und Cloud-Verkehrswege hinweg, beginnend mit dem Moment des Anwendungs-, Web- oder privaten Zugriffs. Zero Trust Data Protection ist für ein kontinuierliches Risikomanagement innerhalb einer SASE-Architektur von entscheidender Bedeutung. Die Anwendung von Zero Trust nur auf den Zugriff reicht nicht aus. Sie müssen Daten mit bedingten und kontextbezogenen Richtlinienkontrollen schützen, da Daten das wichtigste Kapital eines Unternehmens sind. Der Ansatz von Netskope, der auf der privaten NewEdge-Sicherheits-Cloud aufbaut, bedeutet auch, dass sorgfältig darauf geachtet wird, die richtigen Sicherheitsfunktionen mit einem hervorragenden Benutzererlebnis in Einklang zu bringen, um sicherzustellen, dass Apps wie vorgesehen funktionieren und die Benutzerproduktivität in keiner Weise beeinträchtigt wird.
Gartner hebt noch weitere wichtige Schritte der Roadmap hervor, von der konsequenten Durchsetzung von Richtlinien bis hin zum SaaS Security Posture Management. Diese werden alle von der Netskope-Plattform abgedeckt. Ich empfehle Ihnen, die gesamte Notiz zu lesen und daran zu denken: Da Vernetzung und Sicherheit, wie von Gartner beschrieben, zusammenwachsen, muss der Entwurf für SASE auf Geschäftsergebnisse ausgerichtet sein, um eine erfolgreiche Umsetzung zu gewährleisten. Dies ist nicht nur eine Technologiegeschichte und auch nicht nur eine Geschichte über die Konvergenz von Netzwerksicherheit. Ein wesentlicher Bestan