Steve Riley: Die Vorteile von SSE oder Security Service Edge und einer SASE-Reise liegen auf der Hand. Für mich ist es das erste Mal, dass es der perfekte Neustart für die Sicherheit ist. Sie können die meisten ihrer Inspektionspunkte näher an den Benutzer und näher an die Daten heranrücken. Sie können es aus dem Rechenzentrum in die Cloud verschieben, richtig? Wo es überall angewendet werden kann, gehen Daten überall hin, Benutzer.
Produzent: Hallo und willkommen bei Security Visionaries, gepostet von Jason Clark, CSO bei Netskope. Wir befinden uns gerade mitten in einer der größten Entwicklungen im Bereich der Cybersicherheit, sowohl der letzten zehn Jahre als auch des kommenden Jahrzehnts. Dieses Gefühl prägt die heutige, ganz besondere Folge zur Veröffentlichung des allerersten Gartner Magic Quadrant für Security Service Edge, der den Rahmen dafür schafft, wie Sicherheit in der Cloud bereitgestellt werden muss und welche Unternehmen, darunter Netskope, am besten dafür gerüstet sind. In dieser Folge präsentieren wir Ihnen ein Gespräch mit Steve Riley, einem ehemaligen Gartner-Analysten und aktuellen Field CTO bei Netskope, der bei vielen früheren Magic Quadrants eine wichtige Rolle gespielt hat. Steve setzt sich mit Jason zusammen, um den aktuellen Magic Quadrant für SSE zu besprechen. Er liefert Einzelheiten zu den Warums, Was und Wie von SSE und unterstreicht, warum dies für die Zukunft der Sicherheit so wichtig ist. Das sind Sicherheitsvisionäre. Bevor wir in Steves Interview eintauchen, hier ein kurzes Wort von unserem Sponsor.
Anzeige: Der Security Visionaries-Podcast wird vom Team von Netskope betrieben. Netskope ist der führende SASE-Anbieter und bietet alles, was Sie für eine schnelle, datenzentrierte und Cloud-intelligente Benutzererfahrung im Tempo der heutigen Geschäftswelt benötigen. Erfahren Sie mehr
[email protected] Produzent: Genießen Sie ohne weitere Umschweife die Sonderfolge von Security Visionaries mit Steve Riley, Field CTO bei Netskope und Ihrem Gastgeber. Jason Clark.
Jason Clark: Willkommen bei den Sicherheitsvisionären. Ich bin Ihr Gastgeber, Jason Clark, CMO und Chief Strategy Officer und Chief Security Officer bei Netskope. Und heute habe ich einen ganz besonderen Gast bei mir. Steve Riley, Steve, wie geht es dir?
Steve Riley: Sehr gut, Jason. Danke. Und Sie selbst?
Jason Clark: Mir geht es super fantastisch. Heute ist ein lustiger Tag, denn es gibt gerade einige große Neuigkeiten, über die wir sprechen werden. Damit wäre ein kleiner Teil unseres Gesprächs gefüllt, der den Zuhörern gefallen wird. Beginnen wir vielleicht damit, dass Sie sich vorstellen und beschreiben, denn Sie sind vor allem als Gartner-Analyst bekannt, nicht wahr? Und der Schöpfer des ersten Magic Quadrant für CASB, was eine ziemlich große Sache war. Vielleicht können Sie Ihr Leben beschreiben und darüber sprechen, wie es war, Gartner-Analyst zu sein, wie der Magic Quadrant entstand und einfach ein paar Hintergrundinformationen zu Ihrer Person geben.
Steve Riley: Als ich bei Gartner war, habe ich so ziemlich alles abgedeckt, was mit der Sicherheit öffentlicher Clouds zu tun hat. Ich bekomme also Fragen von Leuten, wie man in IAS-Umgebungen, AWS, Azure, ein bisschen GCP, SASE-Umgebungen, hauptsächlich ein bisschen Office 365 und ein paar anderen sicher bleibt. Und als dann die Arbeit am CASB MQ begann, begann ich natürlich auch, viele Anfragen dazu zu stellen. Ein typischer Tag für mich besteht also aus fünf Stunden Gesprächen mit Kunden. Und den Rest des Tages würde ich mit Dingen wie Schreiben, Recherchieren, Lesen und anderen Dingen verbringen, um New Ideen zu formulieren und einige Analysen der Sachen durchzuführen, die ich gesammelt hatte. Und die Peer-Review ist ein wichtiger Bestandteil davon. Keine Gartner-Studie wird ohne eine weitere, also mehrere Augenpaare durchgeführt, die einen Blick darauf werfen, um sicherzustellen, dass die Meinungen fundiert sind und eine gewisse Konsistenz darin besteht.
Jason Clark: Also, was waren Ihre Abdeckungsgebiete?
Steve Riley: Also alles zum Thema Sicherheit in öffentlichen Clouds, jede Menge Zeug zur Sicherheit von AWS und Azure. Ich habe nicht viele Fragen zur GCP-Sicherheit erhalten. Ich weiß nur nicht, ob Gartner-Kunden die Google Cloud sehr häufig nutzen. Ich hatte viele Sicherheitsanfragen zu Office 365. Tatsächlich ging es in meiner ersten Notiz darum, wie man in Office 365 sicher ist. Und dann begannen natürlich die CASB- und ZTA-Untersuchungen an Fahrt zu gewinnen, nachdem ich die ersten Dokumente zu diesen beiden Märkten verfasst hatte.
Jason Clark: Ich glaube, der GCP-Aspekt ändert sich schnell. Ich sehe viele Diskussionen rund um GCP, und zwar in ziemlich großem Ausmaß, ich würde sagen, in den letzten 12 Monaten, schneller als ich es je erlebt habe. Ich würde also sagen, dass es langsam schwerfällt, aber wie haben Sie Langeweile vermieden? Sie haben mir einmal erzählt, dass Ihre Frau gesagt hat, sie könne Ihren Job machen, weil Sie immer und immer und immer wieder dasselbe sagen, richtig, und ich dachte, okay, wie gehen Sie dann mit Langeweile um?
Steve Riley: Nun, es stimmt. Viele meiner Gespräche würden gleich klingen, wenn Sie nur meine Hälfte davon hören würden, und das ist es, was sie hören würde, richtig. Meine Hälfte. Und es spielt keine Rolle, was die andere Person sagt. Ich sage einfach das Erste, mache eine Pause, sage das Nächste, mache eine Pause, sage das Nächste und so, also, so ganz ist es nicht. Interessant war, der anderen Person zuzuhören, dem Kunden zuzuhören und zu fragen, was er lernen wollte. Was versuchten sie zu lösen? Welche heiklen Probleme hielten sie davon ab, voranzukommen? Es stimmt zwar, dass die meisten Menschen im Wesentlichen mit ähnlichen Problemen konfrontiert sind, aber es gab immer einen anderen Kontext oder etwas Einzigartiges, das es mir ermöglichte, fünf, manchmal sechs Stunden am Tag vor meinem Computer zu sitzen und Gespräche zu führen, die sich vielleicht wie die gleichen anhörten, aber immer etwas New daraus zu lernen. So vermeide ich Langeweile, denn ich lerne normalerweise etwas.
Jason Clark: Mit wie viel Prozent der Kunden würden Sie also sprechen? Wow [unverständlich 00:05:42]
Steve Riley: Nicht sehr viel. Ich kann mich an einige Fälle erinnern, in denen ich merkte, dass ich mit einem Kunden sprach, der bereits viel über Cloud-Sicherheit nachgedacht hatte und versuchte, seine Vorgehensweise zu optimieren. Die meisten meiner Gespräche führte ich jedoch mit Leuten, die gerade erst mit der Cloud begannen. Wie kann ich also meine Denkweise von der gerätebasierten On-Premises-Architektur auf die Idee umstellen, Dinge zu abonnieren, bei denen die Sicherheitskontrollen von den Leuten kommen, die mir auch den Rest der Infrastruktur bereitstellen? Ich möchte also nicht sagen, dass kluge Leute Gartner nicht brauchen und dass nur dumme Leute Gartner verwenden. Das ist zwar nicht ganz richtig, aber da mein Zuständigkeitsbereich sich ausschließlich mit Cloud-Sicherheit befasste, die für viele Leute noch New war, bewegten sich die meisten meiner Interaktionen eher auf Anfänger- bis Mittelstufenniveau. Und das war für mich völlig in Ordnung. Das hat mich überhaupt nicht gestört.
Jason Clark: Ich war in London und habe Sie auf der Bühne gesehen. Es gibt etwas, das Sie gesagt haben, das mir seitdem im Gedächtnis geblieben ist. Der große Unterschied in Bezug auf die Sicherheit besteht darin, dass sich die Daten nicht mehr auf einer CPU befinden, die Ihnen gehört oder die Sie kontrollieren. Und ich dachte: Wow, das ist die einfachste Art, es in einem Satz auszudrücken, das ändert alles. Und wenn Sie darüber nachdenken, dann ist das der Grund für CASB und Ihre Liebe zur Cloud-Sicherheit, nicht wahr? Da Sie diese Änderung vorangetrieben haben, wie lange haben Sie vorhergesagt, dass das CASB MQ bestehen bleiben würde, bevor der Markt Konvergenz oder eine Änderung verlangt?
Steve Riley: Nun, die erste Iteration des MQ fand Ende 2017 an Halloween auf dem Gipfeltreffen zum Sicherheitsrisikomanagement 2018 statt. Ich habe eine Theaterpräsentation zum Magic Quadrant gemacht. Das sind also nur etwa 15 Minuten, in denen Sie darüber sprechen, was der Markt ist, warum die Anbieter gelandet sind, wo sie gelandet sind und wohin er sich Ihrer Meinung nach entwickeln könnte. Jemand hat mir diese Frage gestellt: „Wie lange wird dieser Markt Ihrer Meinung nach bestehen?“ Und ich sagte, ich schätze, wir werden wahrscheinlich noch drei weitere Iterationen dieses MQ durchführen, bevor der Markt [mehr 00:07:52] uns etwas anderes schickt und wir ein weiteres MQ schreiben müssen. Und der Manager meines Managers stand mit verschränkten Armen hinten und schüttelte den Kopf: Nein, nein, nein. Weil MQs für Gartner umsatzgenerierende Dinge sind, hat sich das als richtig herausgestellt.
Jason Clark: Also, okay. Kommen wir also direkt zu den großen Neuigkeiten. Heute hat Gartner ein New MQ namens Security Service Edge angekündigt, das Teil eines SASE Frameworks oder -Projekts ist, richtig? Und es bricht zusammen und sagt: „Sehen Sie, es gibt kein sichereres App-Gateway MQ mehr, richtig?“ Es gibt kein CASB mehr. Und es berücksichtigt alles rund um ZTNA sowie eine Reihe anderer Aspekte, sodass es sich nun um eine Plattform, ein MQ handelt. Ich halte dies für die wahrscheinlich größte Veränderung, die in den letzten zehn Jahren und definitiv auch in den nächsten zehn Jahren im Bereich der Cybersicherheit passiert ist. Dies ist meiner Meinung nach die größte Transformation, die ich je erlebt habe. Und Sie waren maßgeblich daran beteiligt. Können Sie ein wenig über SSE sprechen, über Ihre Beteiligung an der Erstellung dieses Dings und über den Befürworter davon, und auch darüber, warum es ein New MQ gibt und warum die anderen verschwinden?
Steve Riley: Mein Co-Autor beim CASB Magic Quadrant und den kritischen Fähigkeiten. Denken Sie daran, dass diese immer dann am nützlichsten sind, wenn Sie sich beide ansehen. Wir befinden uns Mitte 2020 und dachten uns: „Hey, wenn man sich die Anbieter im CASB MQ und dann im SWG MQ ansieht, gibt es viele Überschneidungen, und wir haben auch gesehen, dass sich die Anbieter selbst allmählich überschneiden.“ Deshalb haben wir dem Rest der Analystengemeinschaft vorgeschlagen, dass die Forschung die Marktentwicklung widerspiegeln muss. Und was noch wichtiger ist: Die Leute wollten das, was sie kaufen wollten, konsolidieren. Es gibt tatsächlich eine Konsolidierung der Anbieter. Daher müssen unsere Untersuchungen natürlich widerspiegeln, was auf dem Markt passiert und wohin sich der Markt unserer Meinung nach entwickeln wird. Als wir diesen Vorschlag machten, waren zunächst nicht alle einverstanden. Es gab einige andere Leute, die mit dem, was sie taten, zufrieden waren. Sie dachten nicht, dass CASB eine so große Sache werden würde, dass die Sicherheit vor Ort immer noch eine so große Rolle spielen würde. Doch die Realität sieht folgendermaßen aus: Wenn man sich die von Gartner veröffentlichten Prognosen ansieht, stimmt es zwar, dass in den nächsten Jahren der Dollarwert, der für Cloud-Sicherheit ausgegeben wird, immer noch nicht so hoch sein wird wie für die Sicherheit vor Ort. Das Wachstum ist deutlich höher. Die lokalen Systeme bleiben also ungenutzt, während die Cloud-Sicherheit aufgebraucht ist und in die Höhe schießt. Also mussten wir diesen New Magic Quadrant erstellen, der die Konsolidierung darstellte. Und zunächst gab es einige Überlegungen, dass wir das CASB MQ einfach außer Dienst stellen und das SWG MQ so weiterentwickeln würden, dass es beides ist. Und das gefiel Craig und mir nicht. Wir wollten die richtige Botschaft vermitteln, nämlich, dass beide Märkte als eigenständige Einheiten das Ende ihrer Lebensdauer erreicht haben. Und das tun Sie, indem Sie beide MQs außer Dienst stellen, ein New MQ mit einem New Namen erstellen und angeben, wo der Verlauf ist. Aber was wirklich interessant ist und was ich nicht erwartet hatte: Diese Entscheidung wurde getroffen, nachdem ich Gartner im März letzten Jahres verlassen hatte, dass das SSE MQ auch ZTNA umfassen würde. Ich denke, das ist absolut richtig. Es wird also wahrscheinlich keine weiteren ZTNA-Marktführer geben, aber es ist absolut sinnvoll, einen Mechanismus, eine Plattform zu haben, die Einblick in und Kontrolle über alle Ihre Daten bietet, egal in welcher Spur sie sich gerade befinden.
Jason Clark: Ich stelle es mir so vor: Ein Benutzer ruft eine App auf, und wir haben immer New Technologien hinzugefügt, je nachdem, welche Art von App der Benutzer aufruft oder wo die App ist oder wo sich der Benutzer befindet. Und wir haben ständig versucht, dieses Problem vor Ort zu lösen und die Sicherheit zu erweitern, was zu Reibungen im Unternehmen, im Sicherheitsteam usw. führte. Aber ich denke, ganz einfach ausgedrückt: Viele Leute haben einen Cloud-Proxy zum Schutz des Cloud-Verkehrs, einen Web-Proxy zum Schutz des Web-Verkehrs und dann eine Zero-Trust- bzw. VPN-Lösung für private Apps, richtig? Zugriff eines Remote-Benutzers, der auf eine App im Rechenzentrum zugreift. Das sind drei verschiedene Technologien. In Wirklichkeit versuchen Sie jedoch, dasselbe Problem zu lösen. Es geht darum, Bedrohungen abzuwehren, Daten zu schützen und den Zugriff zu verwalten, richtig? Ich meine, das ist einfach irgendwie verrückt, wenn man darüber nachdenkt, warum wir das überhaupt getan haben. Es macht einfach Sinn, Steve, die Konsolidierung der Anbieter und es ist das gleiche Problem. Sie sollten für alle Anwendungen in der App einen einzigen Prüfpunkt haben, aber welcher Moment hat Sie zum Nachdenken angeregt? Denn offensichtlich gab es Leute, die sagten: „Nein, es geht nur darum, alles zu SWG zu verschieben, anstatt dass auch alles zu CASB verschoben werden sollte, oder?“ Was war also der wichtigste Datenpunkt oder das wichtigste Ereignis bei Ihrem Cloud-Proxy und Web-Proxy, das alle davon überzeugt hat, dass die Cloud tatsächlich ein bisschen oder viel wichtiger ist und ein New MQ sein sollte?
Steve Riley: Ich würde sagen, es war schließlich die Erkenntnis, dass der größte Teil des kritischen Datenverkehrs eines Unternehmens aus dem Rechenzentrum heraus verlagert wurde. Also von einem Rechenzentrum zu vielen Rechenzentren. Und wenn man darüber nachdenkt, kann es sich dabei, insbesondere bei SaaS, um Hunderte oder Tausende von Datenzentren handeln, und die meisten SaaS-Anwendungen verfügen kaum über nennenswerte integrierte Sicherheitskontrollen. Perfekt. Aus diesem Grund war CASB in der Anfangszeit so wichtig und ist es auch heute noch. Ich sage das fast nur ungern, aber ich tue es trotzdem. Tatsächlich ist es möglicherweise das erste Mal, dass wir jemals gesehen haben, dass integrierte Sicherheit funktioniert. Wenn Ihr gesamter SaaS-Verkehr über das CASB läuft, erhalten Sie all diese großartige Inspektion, DLP und Bedrohungsneutralisierung, die Sie vielleicht nur von Ihrem SWG gewohnt waren. Aber das Einzige, was Ihr SWG konnte, war die Kommunikation mit dem Internet. Wir können diese großartigen Dinge mit einem Produkt-CASB für jede einzelne SaaS-Anwendung tun, die jemand möglicherweise abonniert. Dann ist es nur natürlich, sich zu fragen: Warum brauche ich ein Produkt für das Internet, ein Produkt für SaaS und ein Produkt für interne Apps, wenn sie alle dasselbe tun? Ich möchte DLP für alle. Ich möchte, dass die Bedrohungen in allen diesen Bereichen neutralisiert werden. Ich möchte eine Möglichkeit zur detaillierten Kontrolle der Aktivitäten bieten, vielleicht basierend darauf, ob es sich um ein verwaltetes oder ein nicht verwaltetes Gerät handelt. Und können Sie sich vorstellen, wie kompliziert es werden würde, wenn Sie über doppelte Geräterichtlinien und doppelte DLP-Richtlinien und doppelte Zugriffsrichtlinien für drei verschiedene Kategorien mit drei verschiedenen Konsolen verfügen und die Leute sich darüber streiten, wer an welcher Konsole sitzen darf? Das wird zu einer fast unmöglichen Situation, weshalb viele Kunden antworteten: „Ja“, als Gartner vor ein paar Jahren eine Umfrage durchführte und fragte, wo Sie auf Ihrem Weg zur Konsolidierung Ihrer Sicherheitsanbieter stehen, sagten über 70 % der Befragten, dass sie entweder damit begonnen hätten oder planten, damit zu beginnen. Auch wenn sie dachten, dass es kurzfristig etwas mehr kosten würde, weil sie langfristig mit erheblichen Kosteneinsparungen durch einen geringeren Verwaltungsaufwand und dergleichen rechneten.
Jason Clark: Ja. Die Vorteile von SSE oder Security Service Edge und einer SaaS-Reise. Es ist ganz klar, oder? Als wäre es das erste Mal, ist es für mich der perfekte Neustart für die Sicherheit. Sie können die meisten ihrer Inspektionspunkte näher an den Benutzer und näher an die Daten heranrücken. Sie können es aus dem Rechenzentrum in die Cloud verschieben, richtig? Es kann überall dort angewendet werden, wo Daten überall hingehen, wo Benutzer hingehen. Ich meine, es verändert die Spielregeln und die Art und Weise, wie sie das Geschäft für Fusionen und Übernahmen voranbringen oder aufhören können, zu Dingen Nein zu sagen, nicht wahr? Ich hasse das Wort, wenn Leute von Schatten-IT sprechen. Ich denke: Nein, das ist Unternehmens-IT, es ist unsere Aufgabe, das zu verwalten und ihnen dabei zu helfen, es sicher zu tun. Richtig, Sie können es nicht im Rechenzentrum tun, weil es sich dabei größtenteils um SaaS handelt, oder? Die meisten Unternehmen verfügen über tausend SaaS -Apps und konsolidieren diese dann. So profitieren Sie einerseits von den Kostenvorteilen, andererseits kann Ihr Team beginnen, die Dinge als eine Lösung in der Cloud zu verwalten, ohne alle möglichen Patches installieren zu müssen, was im Dezember aufgrund der New Sicherheitslücken praktisch jeder getan hat. Rechts? Sie beginnen also, die gesamte betriebliche Komplexität zu beseitigen. Es ist einfach in jeder Hinsicht einfach nur gut: bessere Benutzererfahrung, bessere und zufriedenere Sicherheit in den Netzwerkteams, zufriedenere Führungskräfte. Es geht nur um die Geschäftsergebnisse, die sich summieren, summieren, summieren.
Steve Riley: Die Leute denken seit Jahren über die Theorie der Politik nach. Sie sprechen über Dinge wie politische Entscheidungspunkte und politische Durchsetzungspunkte. Sie könnten auf einige der alten Jericho-Formen von vor 20 Jahren zurückgreifen. Wenn Sie es noch irgendwo online finden und einige dieser Ideen durchlesen können, macht SSE es tatsächlich wahr: Sie zentralisieren politische Entscheidungen und Sie zentralisieren auch die politische Definition. Man könnte also sagen, dass der D-Teil überlastet wird, aber Sie verteilen die Richtliniendurchsetzung so nah wie möglich an den Ort, an dem auf die Daten zugegriffen wird. Es betrifft also die Daten und die Mitarbeiter und ist etwas, was die Leute schon seit Jahren von ihren Sicherheitsprodukten erwarten. Aber mit SSE können wir es endlich bekommen, oder? Der Geschäftswert ergibt sich aus einer einzigen Plattform, die Redundanz eliminiert. Wir haben vor einigen Sekunden über ein einheitliches Modell zur Richtliniendurchsetzung gesprochen, das die Berichterstattung und Einhaltung vereinfacht. Und das ist wirklich wichtig, denn alle Organisationen, die die Cloud nutzen, also alle Unternehmen, müssen nachweisen, dass sie die Cloud im Griff haben. So geht's: SSE gibt Ihnen einen einzigen Pass für alle Fahrspuren und alle Verkehrsarten. Das trägt also zur Aufrechterhaltung der Leistung bei. Die Benutzer werden es im Grunde nicht bemerken, wenn SSE implementiert ist, oder? Dennoch ein einziger Agent, der die tägliche Verwaltung vereinfacht, und eine einzige Konsole. Was hier jedoch wirklich wichtig ist, ist, dass manche Organisationen möglicherweise immer noch unterschiedliche Funktionen an unterschiedliche Teams delegieren möchten. Daher ist es gut, dass Sie dies in der Konsole tun können.
Jason Clark: Ja. Ich war definitiv dabei, wo ich Teams – nennen wir sie das VPN-Team – sagen sah: „Nein, ich möchte meine eigene VPN-Lösung, bei der die anderen Teams meine Konsole nicht verwalten können, richtig?“ Und es ist so, und so kommt es manchmal vor, dass Leute ihre eigenen Ansichten, ihre eigene Kontrolle oder sogar ihr eigenes Produkt durchsetzen wollen, was für ihre Organisation nicht effizient und effektiv ist, aber sicherlich die Delegation von Rechten, nicht wahr? Und was sie verwalten, ist, und deshalb denke ich ... Viele dieser Entscheidungen, wenn wir über Konsolidierung sprechen, müssen also auf höhere Ebenen der Organisationen verlagert werden, zum CISO und zum CIO, damit die Leute sie nicht voreingenommen aufgrund der Bedürfnisse dieser einen bestimmten Organisation treffen, sondern insgesamt, richtig? Das Ganze als Ganzes. Wenn wir also über etwas nachdenken, wie wir über SSE im Vergleich zu Rechnungs-SASE gesprochen haben. SASE war also ein ziemlich großes Thema, und zwar sehr schnell. Was ist der Unterschied zwischen Security Service Edge oder SSE und Secure Access Service Edge?
Steve Riley: Service Edge? Nun, bei SASE gab es schon in den Anfangstagen immer wieder Diskussionen darüber, ob es sich um eine Architektur handelt. Ist es ein Produkt? Ist es eine Reise? Ich denke, die meisten Menschen haben sich mit der Vorstellung angefreundet, dass SASE eine Architektur ist und einen Prozess darstellt. Es handelt sich jedoch um einen Versuch, die derzeit stattfindende Konsolidierung zwischen Netzwerken und Sicherheit zu veranschaulichen. Früher getrennte Gruppen, die wahrscheinlich alles versucht haben, um die Interaktion miteinander zu vermeiden, sowohl beruflich als auch sozial, funktionierten einfach nicht mehr, und zukunftsorientierte Organisationen waren bereits dabei, die Funktionen miteinander zu vermischen. Daher war es sinnvoll, über eine Architektur nachzudenken, in der diese beiden Aspekte zusammengeführt werden. In den Anfangstagen von SASE gab es dieses schöne Diagramm, das aus zwei Teilen bestand. Es gab eine linke und eine rechte Seite. Auf der linken Seite befanden sich alle Netzwerkfunktionen, die jetzt jedoch als Service bereitgestellt werden sollten, anstatt 18 verschiedene Boxen, SD-WAN, WAN-Optimierung und DNS kaufen zu müssen. Auf der linken Seite gab es noch einige andere Dinge, auf der rechten Seite stand Sicherheit als Dienstleistung. Und es waren CASB, SWG und ZTNA dabei. Was jedoch passiert ist, ist, dass SASE möglicherweise zu groß geworden ist. Und tatsächlich hat Gartner seine Definition von SASE geändert. Lawrence Oranges Präsentation auf dem Gipfeltreffen zu Sicherheit und Risikomanagement Ende 2021 zeigte eine vereinfachte Version von SASE, bei der die linke Seite – erinnern Sie sich, die Netzwerkseite – ein Element namens SD-WAN enthielt und alles andere entfernt hatte. Wir können daraus schließen, dass die einzige sinnvolle Netzwerkfunktion, die als Dienst bereitgestellt werden könnte, SD-WAN wäre. Einige der anderen Funktionen benötigen wir vielleicht einfach nicht mehr. Jason Clark: Sie sagen also im Grunde, dass SASE SSE plus SD-WAN ist.
Steve Riley: Ja, da bist du mir voraus.
Jason Clark: Ja, solange Sie also eine SSE-Lösung haben, können Sie diese mit jeder SD-WAN-Lösung kombinieren, integrieren und schon haben Sie Ihr vollständiges SASE.
Steve Riley: Ja. Das Schöne an SSE ist, dass es die rechte Seite von SASE ist und jetzt über ein eigenes MQ verfügt. Es ist also in etwa mit der linken Seite, den Netzwerksachen, vergleichbar, aber sie müssen nicht vom selben Anbieter stammen, SSE ist unabhängig vom zugrunde liegenden Netzwerk. Es spielt keine Rolle. Wie bekommen Sie die Bits zum SSE, Sie möchten doch Ihren gesamten Verkehr dorthin leiten? Absolut. Aber wie bekommen Sie es dorthin? SD-WAN, MPLS, Metro-Ethernet, IP über Avian Carrier. Es ist nicht wirklich wichtig. SSE ist das einfach egal. Der größte Nutzen liegt darin, dass der von Ihnen gewählte SSE-Anbieter gute Möglichkeiten zur Integration mit einem SD-WAN-Partner bietet, die beiden müssen jedoch nicht vom selben Anbieter sein. Nein.
Jason Clark: Okay. Dass es wirklich gut ist. Ich denke, das wird für unsere Zuhörer sehr hilfreich sein, da hier viel Verwirrung herrscht. Wenn wir also über SSE sprechen, kommen wir darauf zurück, denn das ist eine so große Sache, nicht wahr? Es ist eindeutig ein Rennen zwischen zwei Pferden. Und ich denke, Sie betrachten im Wesentlichen die beiden Cloud-basierten Organisationen Zscaler und Netskope als Marktführer, und dann haben Sie noch eine dritte, nämlich McAfee, die mit ihrer Legacy-Technologie nah am Endergebnis dran ist, richtig? Versuchen Sie gleichzeitig, auch die Cloud zu nutzen, was sehr schwierig ist, und es handelt sich dabei um Private Equity, richtig? Es ist also sehr schwierig, aber Sie haben diese drei, und ich kann mir vorstellen, dass die meisten New , die diesen Weg einschlagen, wahrscheinlich etwas zwischen Netskope und Zscaler wählen würden. Was wird Gartner den Leuten Ihrer Meinung nach raten? Gibt es eine Berufung und ein Anliegen, dem Sie nachgegangen sind? Ich meine, wie viele Anfragen haben Sie in Ihrem Leben gestellt?
Steve Riley: Oh, 1000 pro Jahr, mal fünfeinhalb Jahre.
Jason Clark: In Ordnung. Also 5.000 Anfragen, jetzt weiß ich, warum Ihre Frau sagt, dass Sie immer wieder dasselbe gesagt haben. Was würde ein Gartner-Analyst wahrscheinlich sagen, wenn jemand anruft, oder? Und er sagte: „Also gut, sehen Sie, da ist dieses New SSE. Sie haben mir erklärt, warum ich es tun soll, aber wie führen Sie mich, wenn ich mir das ansehe?“ Nehme ich beispielsweise zwei dieser Anbieter oder drei dieser Anbieter oder worin unterscheiden sie sich?
Steve Riley: Es gibt einige Dinge, die Unternehmen bedenken sollten, wenn sie auf SSE umsteigen möchten. Machen Sie kein isoliertes Projekt daraus, sondern nutzen Sie alles, was Sie möglicherweise bereits für die Transformation von Remote-Mitarbeitern und Zweigstellen tun, und integrieren Sie SSE in diesen Projektumfang. Wir haben viele erfolgreiche SSE-Bereitstellungen erlebt. Wenn Sie diese Einstellung haben und sich für eine Auswahl entscheiden, möchte ich Ihnen einige Dinge empfehlen: Stellen Sie sicher, dass die Konsolidierung tatsächlich stattfindet. Auf diese Weise können Sie die Komplexität reduzieren und gleichzeitig die Sicherheit und den Schutz vor gängigen modernen Bedrohungen gewährleisten – im Gegensatz zu den altmodischen Bedrohungen aus der Zeit, als sich alles im Rechenzentrum befand. Stellen Sie sicher, dass alle Komponenten der SSE einem gemeinsamen Konfigurations-, Richtlinienverwaltungs- und Berichtsmodell folgen. Dies ist der Beweis, nach dem Sie suchen sollten, um zu wissen, dass es sich bei dem, was Sie bewerten, wirklich um eine integrierte Plattform handelt. Und es eliminiert auch das Risiko, dass unzusammenhängende Komponenten Lücken oder Inkonsistenzen aufweisen. Apropos Inkonsistenzen: Stellen Sie sicher, dass es keine überlappenden Kontrollen gibt. Wenn Sie beispielsweise eine DLP-Konsole für alle Komponenten statt separatem DLP für SWG, CASB-Proxy, CASB-API und ZTNA wünschen, garantiere ich Ihnen, dass ein derart unzusammenhängendes, getrenntes DLP zu nicht übereinstimmenden Richtlinien oder inkonsistentem Verhalten führen wird. Und es wird wirklich kopfzerbrechend sein, herauszufinden, wie man das beheben kann. Suchen Sie unter anderem nach einem einzelnen Agenten. Dies vereinfacht die Verwaltung Ihres gesamten Nachlasses. Und wenn Sie auf die Konsole schauen, stellen Sie sicher, dass verschiedene Teile an verschiedene Teams delegiert werden können. Es kann sein, dass nicht jeder die gleiche Konsole sehen möchte. Sie könnten das für die Leute also vereinfachen. Stellen Sie nun sicher, dass die SSE-Auswertung unabhängig von jeder spezifischen Art von Netzwerkarchitektur oder -infrastruktur funktioniert. Es sollte dort wirklich keine Abhängigkeit zwischen den beiden geben. Und als Letztes möchte ich Sie bitten, Leistung und Verfügbarkeit nicht zu vernachlässigen. Wenn Sie Ihren gesamten Datenverkehr an einen SSE-Anbieter senden, benötigt dieser ein schnelles Netzwerk mit Präsenzpunkten überall dort, wo sich Ihre Mitarbeiter befinden oder hingehen müssen. Hier sind zwei Dinge zu beachten. Ein Anbieter, der Ihnen von überall aus die Verbindung zu seinem Netzwerk ermöglicht, ohne dass Sie dafür extra bezahlen müssen, und ein Anbieter, der ein leistungsstarkes Service-Level bietet. Ich möchte nicht glauben, dass die Frage plötzlich lauten wird: „Helfen Sie mir bei der Auswahl eines SSE.“ SSE ist New, niemand wusste davon, bevor MQ herauskam, oder? Es ist nicht so, dass Gartner normalerweise Ankündigungen zu diesen Dingen macht. Die Leute werden also nicht wissen, dass sie nach einem SSE fragen sollen. Sie werden höchstwahrscheinlich immer noch sagen: „Hey, ich muss meine SaaS besser verwalten und schützen, oder ich brauche Fernzugriff auf private Anwendungen, oder ich muss eine Webfilterung durchführen.“ Vielleicht sagen sie immer noch „Webfilterung“. [Übersprechen 00:28:14].
Jason Clark: Sie bringen also ein Problem mit sich.
Steve Riley: Sie werden das Problem ansprechen. Ja. Und was ich jetzt bei einer Anfrage tun würde, wäre zu sagen, der Markt für diese einzelnen Dinge hat sich konsolidiert und wir haben ein New MQ für ein SSE geschaffen, haben Sie es gesehen? Nein. Okay. Also würde ich es aufrufen und auf dem Bildschirm mit dem Kunden teilen. Und ich würde ihnen grundsätzlich erklären, wie der Markt aussieht und warum die verschiedenen Anbieter dort sind, wo sie sind. Manche Leute kommen zu einer Anfrage und wissen bereits, welche Anbieter sie möchten. Andere wissen vielleicht gar nichts und nutzen den MQ, um sich die Entscheidung zu erleichtern.
Jason Clark: Wo sie im Allgemeinen zwei oder drei Anbieter für den POC ausgewählt haben.
Steve Riley: Ich würde sagen, die Mischung war genau in der Mitte, die Hälfte der Zeit waren es zwei und die andere Hälfte drei. Ich habe noch nie jemanden gesehen, der eine Auswahlliste mit vier erstellt hat.
Jason Clark: Ja. Das macht Sinn.
Steve Riley: Ich möchte sagen, dass die Analysten von Gartner Meinungen bilden und diese zu Gartner-Positionen werden. Daher handelt es sich bei allen Rechten der Gartner-Analysten um eine begründete Meinung. Jetzt versuchen wir natürlich, es auf Fakten zu stützen. Wenn wir also die Stärken und Schwächen aufschreiben und einen Punkt an eine Stelle setzen, basieren diese auf Fakten, die wir aus verschiedenen Quellen zusammentragen, nicht nur aus der Demo, sondern auch aus einer RFI, in der wir mehrere Fragen stellen und uns die Antworten auf diese Fragen ansehen können, die für die Platzierung des MQ-Punkts von Bedeutung sind. Wir würden uns auch die Erkenntnisse von Kollegen anschauen und vielleicht Gespräche mit einigen Anbietern und Kunden führen, obwohl COVID dies erschwert hat. Also haben wir damit in den letzten Jahren aufgehört. Es gibt einen Zeitraum, in dem Anbieter eine Faktenprüfung durchführen können. Dabei geht es darum, ob wir etwas falsch interpretiert und eine Tatsache falsch wiedergegeben haben. Es gibt zusätzliche Arbeit. Es gibt bei Gartner eine Funktion namens Ombudsmann. Und die Aufgabe des Ombudsmanns besteht darin, sicherzustellen, dass wir Analysten die Methodik befolgen und dass wir nicht zulassen, dass unsere Meinungen Fakten ersetzen.
Jason Clark: Das ist ein komischer Name für Ombudsmann.
Steve Riley: Ja. Aber auch Zeitungen haben sie. Ja. Und es ist im Grunde die gleiche Funktion. Aber trotzdem wäre eine Eskalation schwierig, wenn ein Anbieter wirklich unzufrieden wäre und Druck machen wollte. Craig und ich mussten also mehr Beweise dafür schaffen, warum wir eine Bewertung vorgenommen hatten, aber so wie wir es gemacht haben und wann immer wir es tun mussten, waren wir erfolgreich.
Jason Clark: Ja. Aber es hört sich nicht so an, als wäre das ein lustiger Prozess. Wir haben also darüber gesprochen, wohin SSE gehen wird, über die Entwicklung davon, richtig. Wir haben also deutlich gesehen, dass mittlerweile 65 bis 80 % des Verkehrs geräumt werden, richtig? Es sind doch nicht die Leute, die auf NewYorktimes.com gehen, um zu arbeiten, oder? Dieses ZTNA wird sich auf Apps erstrecken und zwar genau dort, wo Sie im Wesentlichen ein umgedrehtes CASB benötigen, richtig? Sie möchten die App genauso steuern wie die SASE-App. Und das ergibt alles einen Sinn, richtig. Wir haben das gesehen. Und ich denke auch, dass ein großes Element der SSE – ich betrachte die SSE als ein Nervensystem – darin besteht, dass Sie Ihren Geruchs- und Geschmackssinn wahrnehmen, nicht wahr? Ihr Tastsinn, all diese Sinne, Ihr Sehvermögen – all das vereint sich in einem Gehirn. Und dieses Gehirn ist wirklich wie ein Gemeinwesen, es dient dem Datenschutz, deshalb existieren wir und das ist die große Sicherheitsstrategie: Daten zu schützen. Und so bringt es alles zusammen, aber wenn Sie darüber nachdenken, wie sieht die Zukunft von SSE aus? Wie werden sie sich weiterentwickeln und Komponenten hinzufügen? Wie schnell werden die Leute Ihrer Meinung nach aufhören, einzelne SWGs und einzelne CASBs zu kaufen und ganz auf SSE umsteigen, Steve? Es handelt sich also um eine zweigleisige Frage. Wie schnell werden die Leute SSE wirklich als Produkt und nicht als Einzelperson kaufen, und wie sieht die Zukunft aus?
Steve Riley: Die Hauptkomponenten, CASB und SWG, sind ausgereift. Ich habe den CASB-Punkt im Hype-Zyklus sehr schnell bewegt, als ich dieses Profil besaß. ZTNA ist noch New , aber ich denke, es wird sich wahrscheinlich nicht als eigenständiger Markt entwickeln, da wir jetzt so großes Interesse bei den CASB und SWG-Anbietern sehen, ZTNA hinzuzufügen. Und was Sie gerade gesagt haben, Jason, ist absolut nachvollziehbar: Sie haben ZTNA mit einem umgedrehten CASB verglichen. Es ist wirklich interessant, das von Ihnen zu hören, denn das war einer der Mechanismen, die ich manchmal verwende, um Kunden ZTNA zu beschreiben. Sie wissen bereits, was ein CASB ist. Wenn Sie Ihr CASB nehmen und umdrehen könnten, sodass es auf Ihre internen Apps statt auf eine SaaS-App zeigt, erhalten Sie im Grunde die gleiche Funktionalität und Glühbirne, die für die Leute funktionieren würde. Aber kein Markt ist statisch. Zumindest sind keine guten Märkte statisch. Ich könnte mir also vorstellen, dass die SSE-Evolution dadurch gekennzeichnet wäre, dass man [Creedy 00:33:19] zusammenstellt und sich jedes beliebige Verb aneignet. Alle erforderlichen Funktionen, um eine kontinuierliche und gut geregelte, sichere Cloud-Nutzung zu gewährleisten. Also Dinge wie Posture Management, Entitlement Management, was ich gerne als Endparteirisiko bezeichne, weil die SaaS-Anwendung, die Sie möglicherweise verwenden, tatsächlich genau wie ein Force.com-Produkt sein könnte. Sie abonnieren also diese Force.com-App und führen sie dann in einer Salesforce-Instanz aus. Nun, nicht im Fall von Salesforce, aber in einigen anderen SaaS-Apps, die wahrscheinlich in einer privaten Cloud ausgeführt werden, Entschuldigung, einer öffentlichen Cloud. Sie können also darüber nachdenken, wie eine Risikokette aussieht. Und wie stellen Sie im Hinblick auf das Risiko von Drittanbietern, Vierten und Fünften sicher, dass unabhängig vom Speicherort Ihrer sensiblen Daten (einschließlich der sensiblen Daten Ihrer Kunden) alle potenziellen Berührungspunkte vorhanden sind, an denen diese Daten unbeabsichtigt offengelegt werden könnten? Und ich denke, das ist eines der Dinge, in denen SSE wirklich gut werden wird: die Aufklärung aller Endparteirisiken, damit die Leute gut informierte Entscheidungen darüber treffen können, wo sie ihre Daten speichern.
Jason Clark: Das ist eine große Sache, Steve, denn das ist meiner Meinung nach wahrscheinlich das größte Risiko da draußen, das die Leute einfach nicht im Griff haben. Es handelt sich um das Risiko des Endanbieters, des Dritten, Vierten, Fünften und Sechsten. Aber wenn Sie erst einmal wissen, wohin Ihre Benutzer Daten senden, auf welche Geräte sie weitergeleitet werden und welche Risiken im Zusammenhang mit der Infrastruktur bestehen, in der sie ihre Daten gespeichert haben, und dann wissen, wohin diese Daten von dieser Infrastruktur zu einer anderen Infrastruktur, zu einer anderen App und dann auch noch zu den damit verbundenen Risiken gelangen, ist das alles eliminiert, richtig? Und das ist letztendlich wie das Sicherheitsnevada, wo Ihre Sicherheitskontrollen den Benutzer und die Daten verfolgen, was wir heute nicht haben. Das ist also riesig. Wenn wir die SSE dazu bringen können, das zu erreichen, was, wenn Sie heute darüber nachdenken, bedeutet, dass wir diese einmaligen Risikobewertungen durchführen. Viele Leute, mit denen ich spreche, führen einmalige Risikobewertungen von 365 Tagen oder zweimal im Jahr durch. Im Gegensatz dazu wissen Sie in Echtzeit jederzeit genau, welches Risiko für jedes einzelne Datenelement besteht, das Sie have sitting anywhere, period. Right? And if one thing changes right? One the user or one network or one device or one app or one piece of data, anything changes, you know when that likelihood or impact just became unbearable, right? To the risk equation.
Steve Riley: Ich würde sogar sagen, dass gut entwickelte SSE-Produkte in einer gut verwalteten Umgebung einem Unternehmen mehr Transparenz und Kontrolle geben könnten als je zuvor, als sich alles im Rechenzentrum befand, weil es eigentlich ziemlich einfach war. Ich kann mich an einige meiner früheren Karrieren erinnern, als ich einen Server baute und ihn ans Land anschloss, niemand wird es erfahren, oder? Und ich könnte meiner Community davon erzählen. Und die IT-Abteilung könnte für diese Dinge quasi blind sein. Ich frage mich wirklich, wie viel Schatten-IT im Gegensatz zu SaaS tatsächlich unter der Schreibtisch-IT steckte.
Jason Clark: Oh ja, als ich als CISO für ein Fortune-100-Unternehmen mit 140.000 Mitarbeitern anfing, stellte ich fest, dass wir 1200-
Steve Riley: Los geht's.
Jason Clark: Internetverbindung unter dem Schreibtisch.
Steve Riley: Und jemand hat sein eigenes kleines WLAN mitgebracht, das er am besten kaufen konnte. Und ...
Jason Clark: Ich meine, es war- [Crosstalk 00:37:28].
Steve Riley: [Übersprechen 00:37:28] Wild, oder? Aber-
Jason Clark: Schau mal, Steve, das war großartig. Es war aufschlussreich, Ihre Erfahrungen mit den Höhen und Tiefen bei der Schaffung eines MQ als Analyst dieses neuen MQ von SSE zu teilen. Ich möchte noch einmal betonen, dass dies wahrscheinlich das Größte ist, was in der Cybersicherheit passieren wird nächsten 10 Jahre. Und im Vergleich dazu ist der Markt in den letzten 10 Jahren auf jeden Fall kleiner geworden. Ich erinnere mich etwa daran, als die Leute dachten, EDR und AV seien unterschiedliche Märkte, und jetzt ist es XDR und diese Konvergenz ist zehnmal größer, weil der gesamte Netzwerkumfang in die Cloud verlagert wird, oder? Es ist also ein großer Moment. Und vielen Dank, dass Sie an dem Tag, an dem dieser MQ veröffentlicht wird, hier waren und diese Diskussion geführt und allen unseren Zuhörern geholfen haben.
Steve Riley: Gern geschehen. Ich danke Ihnen für die Gelegenheit zu dieser Interaktion.
Anzeige: Der Podcast „Security Visionaries“ wird vom Team von Netskope betrieben, das nach der richtigen Cloud-Sicherheitsplattform sucht, um Ihre Reise zur digitalen Transformation zu ermöglichen. Die Netskope-Sicherheits-Cloud hilft Ihnen, Benutzer sicher und schnell von jedem Gerät mit jeder Anwendung direkt mit dem Internet zu verbinden, erfahren Sie
[email protected].
Produzent: Vielen Dank, dass Sie Security Visionaries zuhören. Bitte nehmen Sie sich einen Moment Zeit, um die Show zu schreiben und zu rezensieren und sie mit jemandem zu teilen, den Sie kennen und dem es gefallen könnte. Seien Sie gespannt auf Episoden, die alle zwei Wochen veröffentlicht werden. Und wir sehen uns im nächsten.
){kind=icon}
