Steve Riley: Die Vorteile von SSE oder Security Service Edge und einer SASE-Reise sind ganz klar. Für mich ist es das erste Mal, dass es der perfekte Reset für die Sicherheit ist. Sie können die meisten ihrer Inspektionspunkte näher an den Benutzer und näher an die Daten verlegen. Sie können es aus dem Rechenzentrum in die Cloud verlagern, oder? Wo es überall angewendet werden kann, wo Daten überall hingehen, wo der Benutzer hingeht.
Produzent: Hallo und willkommen bei Security Visionaries, gepostet von Jason Clark CSO bei Netskope. Derzeit befinden wir uns mitten in einer der größten Entwicklungen in der Cybersicherheit, sowohl in den letzten 10 Jahren als auch im kommenden Jahrzehnt. Dieses Gefühl treibt die heutige ganz besondere Folge über die Veröffentlichung des allerersten Gartner Magic Quadrant für Security Service Edge an, der den Rahmen dafür festlegt, wie Sicherheit in der Cloud bereitgestellt werden muss und wie das Unternehmen am besten dafür gerüstet ist, einschließlich Netskope. In dieser Folge führen wir ein Gespräch mit Steve Riley, einem ehemaligen Gartner-Analysten und aktuellen Field CTO bei Netskope, der in vielen früheren Magic Quadrants eine wichtige Rolle gespielt hat. Steve setzt sich mit Jason zusammen, um den aktuellen Magic Quadrant für SSE zu besprechen, liefert Einzelheiten zum Warum, Was und Wie von SSE und unterstreicht, warum dies für die Zukunft der Sicherheit so wichtig ist. Das sind Sicherheitsvisionäre. Bevor wir uns mit Steves Interview befassen, hier ein kurzes Wort unseres Sponsors.
Anzeige: Der Security Visionaries-Podcast wird vom Team von Netskope betrieben. Netskope ist der SASE-Marktführer und bietet alles, was Sie brauchen, um ein schnelles, datenzentriertes und Cloud-intelligentes Benutzererlebnis im heutigen Geschäftstempo zu bieten. Erfahren Sie
[email protected] Produzent: Genießen Sie ohne weitere Umschweife die Sonderfolge von Security Visionaries mit Steve Riley, Field CTO bei Netskope und Ihrem Moderator. Jason Clark.
Jason Clark: Willkommen bei Sicherheitsvisionären. Ich bin Ihr Gastgeber, Jason Clark, CMO und Chief Strategy Officer und Chief Security Officer bei Netskope. Und heute ist ein ganz besonderer Gast bei mir. Steve Riley, Steve, wie geht es dir?
Steve Riley: Sehr gut, Jason. Danke. Wie ist es mit dir?
Jason Clark: Ich bin super fantastisch. Heute ist ein lustiger Tag, denn es gibt einige große Neuigkeiten, über die wir sprechen werden. Das wäre also nur ein kleiner Teil unseres Gesprächs, der den Zuhörern Spaß machen wird, aber fangen wir vielleicht damit an, dass Sie sich vorstellen und beschreiben, denn Sie sind vor allem als Gartner-Analyst bekannt, oder? Und der Schöpfer des ersten Magic Quadrant für CASB, was eine ziemlich große Sache war. Vielleicht können Sie dieses Leben und Ihre Tätigkeit als Gartner-Analyst und die Entstehung des Magic Quadrant beschreiben und darüber sprechen und nur einen Hintergrund über sich selbst geben.
Steve Riley: Als ich Gartner war, habe ich so ziemlich alles abgedeckt, was mit der Sicherheit öffentlicher Clouds zu tun hat. Daher bekam ich Fragen von Leuten dazu, wie man in IAS-Umgebungen, AWS, Azure, ein wenig GCP, SASE-Umgebungen, hauptsächlich Office 365-Umgebungen und ein paar anderen sicher ist. Und als dann die CASB MQ-Arbeit begann, begann ich natürlich auch viele Anfragen dazu zu stellen. Ein typischer Tag besteht für mich also aus fünf Stunden Gesprächen mit Kunden. Und dann würde ich den Rest meines Tages zwischen Dingen wie Schreiben, Recherchieren, Lesen und anderen Dingen aufteilen, um neue Ideen zu formulieren und eine Analyse der gesammelten Dinge durchzuführen. Und dann ist Peer-Review ein wichtiger Bestandteil davon. Keine Gartner-Studie wird veröffentlicht, ohne dass eine weitere Reihe von Augen darauf achtet, dass die Meinungen fundiert und konsistent sind.
Jason Clark: Was waren also Ihre Versorgungsgebiete?
Steve Riley: Also alles über die Sicherheit öffentlicher Clouds, viel über die Sicherheit von AWS und Azure. Ich habe nicht viele Leute bekommen, die nach der GCP-Sicherheit gefragt haben. Ich weiß nur nicht, ob Gartner-Kunden die Google Cloud sehr häufig nutzen. Ich hatte viele Sicherheitsanfragen zu Office 365. Tatsächlich ging es in der ersten Notiz, die ich schrieb, darum, wie man in Office 365 sicher ist. Und dann begannen natürlich die CASB- und ZTA-Untersuchungen, nachdem ich die ersten Dokumente zu diesen beiden Märkten verfasst hatte.
Jason Clark: Ich habe das Gefühl, dass sich der GCP-Aspekt schnell ändert. Ich sehe viele Diskussionen rund um GCP, und zwar in einem ziemlich großen Ausmaß, ich würde sagen, in den letzten 12 Monaten, schneller als je zuvor. Ich würde also sagen, dass es wahrscheinlich langsam heftig zuschlägt, aber wie haben Sie Langeweile vermieden? Sie haben mir einmal erzählt, dass Ihre Frau gesagt hat, sie könne Ihren Job machen, weil Sie einfach immer und immer und immer wieder das Gleiche sagen, richtig, Und ich dachte: „Okay, wie schafft man es denn, mit Langeweile umzugehen?“
Steve Riley: Nun, es ist wahr. Viele meiner Gespräche würden gleich klingen, wenn Sie nur meine Hälfte davon hören würden, und genau das würde sie hören, richtig. Meine Hälfte. Und es spielt keine Rolle, was die andere Person sagt. Ich sage einfach das Erste, mache eine Pause, ich sage das Nächste, mache eine Pause, sage das Nächste, also, ganz so ist es nicht. Was es interessant machte, war, der anderen Person zuzuhören, dem Klienten zuzuhören. Was wollte er lernen? Was wollten sie lösen? Welche heiklen Probleme hielten sie davon ab, voranzukommen? Es stimmt also, dass die meisten Menschen im Wesentlichen mit ähnlichen Problemen konfrontiert sind, aber es gab immer einen anderen Kontext oder etwas Einzigartiges daran, das es mir ermöglichte, fünf, manchmal sechs Stunden am Tag vor meinem Computer zu sitzen und das zu haben, was sich angehört hätte das gleiche Gespräch führen, aber immer etwas Neues daraus lernen. So vermeide ich Langeweile, wenn ich normalerweise etwas lerne.
Jason Clark: Mit wie viel Prozent der Kunden würden Sie sprechen? Wow [unverständlich 00:05:42]
Steve Riley: Nicht viel. Ich kann mich an einige Fälle erinnern, in denen mir klar wurde, dass ich mit einem Kunden sprach, der bereits viel über Cloud-Sicherheit nachgedacht hatte und versuchte, seine Arbeit zu optimieren. Die meisten meiner Gespräche fanden jedoch mit Leuten statt, die gerade erst mit der Cloud begonnen haben. Wie kann ich also meine Denkweise von der On-Premise-Appliance auf die Idee umstellen, Dinge zu abonnieren, bei denen die Sicherheitskontrollen von den Leuten stammen, die mir auch den Rest der Infrastruktur zur Verfügung stellen? Ich möchte also nicht sagen, dass kluge Leute Gartner nicht brauchen und dass nur dumme Leute Gartner nutzen. Das stimmt überhaupt nicht, aber aus der Sicht meines Einzugsgebiets waren die meisten meiner Interaktionen eher für Anfänger geeignet, da es sich ausschließlich um Cloud-Sicherheit handelte, was für viele Leute noch neu war Mittelstufe. Und damit war ich völlig einverstanden. Das hat mir überhaupt nichts ausgemacht.
Jason Clark: Ich war in London und habe dir auf der Bühne zugeschaut. Es gibt etwas, was Sie gesagt haben, das mir seitdem im Gedächtnis geblieben ist. Und der große Unterschied in der Sicherheit besteht darin, dass sich die Daten nicht mehr auf einer CPU befinden, die Ihnen gehört oder die Sie kontrollieren. Und ich dachte: Wow, das ist die einfachste Art, es mit einem Satz auszudrücken, das verändert alles. Und wenn Sie darüber nachdenken, und das ist der Grund für Ihre CASB zur Cloud-Sicherheit, nicht wahr? Als Sie diesen Wandel vorangetrieben haben, wie lange haben Sie vorhergesagt, dass der CASB MQ bestehen bleiben würde, bevor der Markt eine Konvergenz oder einen Wandel forderte?
Steve Riley: Nun, die erste Iteration des MQ fand Ende 2017 an Halloween auf dem Security Risk Management Summit 2018 statt. Ich habe eine Theaterpräsentation zum Magic Quadrant gemacht. Das sind also ungefähr 15 Minuten, in denen Sie darüber sprechen, was der Markt ist und warum die Anbieter gelandet sind, wo sie gelandet sind und wohin er Ihrer Meinung nach führen könnte. Jemand hat mir die Frage gestellt: Wie lange wird dieser Markt Ihrer Meinung nach bestehen bleiben? Und ich sagte, ich schätze, wir werden wahrscheinlich drei weitere Iterationen dieses MQ machen, bevor der Markt [more 00:07:52] uns etwas anderes schickt und wir einen weiteren MQ schreiben müssen. Und der Vorgesetzte meines Managers stand hinten mit verschränkten Armen und schüttelte den Kopf, nein, nein, nein. Denn MQs sind für Gartner umsatzgenerierende Dinge, aber es hat sich als richtig herausgestellt.
Jason Clark: Also, okay. Kommen wir also gleich zu den großen Neuigkeiten. Heute hat Gartner einen neuen MQ namens Security Service Edge angekündigt, der Teil des SASE-Frameworks oder der SASE-Reise ist, oder? Und es bricht zusammen und sagt: „Sehen Sie, es gibt kein sichereres App-Gateway-MQ, oder?“ Es gibt kein CASB mehr. Und es umfasst die ZTNA von allem, zusammen mit einer Reihe anderer Aspekte, und so ist dies jetzt eine Plattform, ein MQ. Meiner Meinung nach ist dies wahrscheinlich das Größte, was in den letzten 10 Jahren im Bereich Cybersicherheit passiert ist, und auf jeden Fall ist es für die nächsten 10 Jahre eine wirklich große, größte Transformation, die ich je gesehen habe. Und Sie waren maßgeblich daran beteiligt. Können Sie ein wenig über SSE sprechen, über Ihre Beteiligung an der Schaffung dieser Sache und den Befürworter dafür und auch darüber, warum es ein neues MQ gibt und warum die anderen verschwinden?
Steve Riley: Mein Co-Autor des CASB Magic Quadrant und Critical Capabilities. Denken Sie daran, diese sind immer am nützlichsten, wenn Sie sich das Paar ansehen. Wir sind mitten im Jahr 2020 und haben angefangen zu denken: Hey, schauen Sie sich die Anbieter im CASB MQ und dann im SWG MQ an, da gibt es eine Menge Es kam zu Überschneidungen, und wir sahen auch, dass es bei den Anbietern selbst zu Überschneidungen kam. Deshalb haben wir dem Rest der Analystengemeinschaft vorgeschlagen, dass die Forschung das widerspiegeln muss, was auf dem Markt vor sich geht. Und was noch wichtiger ist: Was die Leute kaufen wollten, was die Leute konsolidieren wollten, die Anbieterkonsolidierung ist real. Daher müssen unsere Untersuchungen natürlich widerspiegeln, was auf dem Markt passiert und wohin sich der Markt unserer Meinung nach entwickeln wird. Als wir diesen Vorschlag machten, waren zunächst nicht alle einverstanden. Es gab einige andere Leute, die sich mit dem, was sie taten, wohl fühlten. Sie dachten nicht, dass CASB eine so große Sache sein würde, dass die Sicherheit vor Ort immer noch enorm sein würde. Aber die Realität ist, wenn man sich die von Gartner veröffentlichten Prognosenotizen ansieht, dass der Dollarwert, der in den nächsten Jahren für Cloud-Sicherheit ausgegeben wird, zwar nicht so hoch sein wird wie für On-Premises-Sicherheit. Das Wachstum ist viel höher. Das bedeutet, dass On-Premise-Umgebungen inaktiv bleiben, während die Cloud-Sicherheit aufgebraucht ist, und einfach in die Höhe schnellen. Deshalb mussten wir diesen neuen Magic Quadrant erstellen, der die Konsolidierung darstellt. Und anfangs gab es einige Überlegungen, dass wir den CASB MQ einfach aus dem Verkehr ziehen und den SWG MQ dazu bringen werden, beides zu sein. Und Craig und mir gefiel das nicht. Wir wollten die richtige Botschaft senden, nämlich dass beide Märkte als eigenständige Unternehmen das Ende ihrer Lebensdauer erreicht haben. Und das erreichen Sie, indem Sie beide MQs außer Betrieb nehmen, ein neues MQ mit einem neuen Namen erstellen und angeben, wo sich der Verlauf befindet. Aber was wirklich interessant ist, was ich nicht erwartet hatte, diese Entscheidung wurde getroffen, nachdem ich Gartner im März letzten Jahres verlassen hatte, dass der SSE MQ auch ZTNA umfassen würde, ich denke, das ist absolut richtig. Daher wird es wahrscheinlich keine ZTNA-Marktführer mehr geben, aber es ist absolut sinnvoll, einen Mechanismus, eine Plattform zu haben, die Einblick in alle Ihre Daten und Kontrolle darüber bietet, unabhängig davon, in welcher Spur sie sich gerade befinden.
Jason Clark: Ich stelle mir das so vor, als würde ein Benutzer eine App aufrufen, und wir haben immer neue Technologien hinzugefügt, je nachdem, zu welcher Art von App der Benutzer geht, wo die App ist oder wo der Benutzer war. Und wir haben ständig versucht, dieses Problem zu lösen, angefangen bei der On-Premise-Sicherheit bis hin zur Überlastung, was zu Spannungen im Unternehmen, im Sicherheitsteam usw. führte. Aber ich denke, im einfachsten Sinne, sagen wir mal, viele Leute haben einen Cloud-Proxy zum Schutz des Cloud-Verkehrs, einen Web-Proxy zum Schutz des Web-Verkehrs und dann eine Zero-Trust-Slash-VPN-Lösung für private Apps, oder? Zugriff eines Remote-Benutzers auf eine App im Rechenzentrum. Das sind drei verschiedene Technologien. In Wirklichkeit versuchen Sie, das gleiche Problem zu lösen. Es geht darum, Bedrohungen zu stoppen, Daten zu schützen, den Zugriff zu verwalten, oder? Ich meine, das ist einfach irgendwie verrückt, wenn man darüber nachdenkt, warum wir das jemals getan haben? Es macht einfach Sinn, Steve, die Anbieterkonsolidierung und es ist das gleiche Problem. Sie sollten einen einzigen Inspektionspunkt für alle Anwendungen haben, aber welcher Moment hat die Überlegungen vorangetrieben? Denn offensichtlich gab es Leute, die sagten: „Nein, es geht nur um die Umstellung auf SWG, anstatt dass auch alles auf CASB umgestellt werden sollte, oder?“ Was war also bei Ihrem Cloud-Proxy und Web-Proxy der wichtigste Datenpunkt oder was ist passiert, das alle davon überzeugt hat, dass die Cloud tatsächlich ein bisschen wichtiger oder viel wichtiger ist und es ein neues MQ sein sollte?
Steve Riley: Ich würde sagen, es war schließlich die Erkenntnis, dass sich der Großteil des kritischen Datenverkehrs eines Unternehmens außerhalb des Rechenzentrums verlagert hat. Also von einem Rechenzentrum zu vielen Rechenzentren. Und wenn man bedenkt, dass es sich insbesondere bei SaaS um Hunderte oder Tausende von Datenzentren handeln kann, und die meisten SaaS-Anwendungen verfügen über kaum nennenswerte integrierte Sicherheitskontrollen. Perfekt. Das ist es, was CASB in den Anfängen so wichtig machte und auch heute noch so wichtig ist. Ich hasse es fast, das zu sagen, aber ich werde es trotzdem tun. Es ist tatsächlich vielleicht das erste Mal, dass wir jemals gesehen haben, dass auf Sicherheit aufgebaut wird. Wenn Ihr gesamter SaaS-Verkehr über den CASB fließt, erhalten Sie all diese großartige Inspektion, DLP und Bedrohungsneutralisierung, die Sie vielleicht nur mit Ihrem SWG gewohnt waren. Aber das Einzige, was Ihre SWG wusste, war die Kommunikation mit dem Internet. Wir können diese großartigen Dinge mit einem Produkt-CASB für jede einzelne SaaS-Anwendung tun, die jemand abonniert. Dann ist es nur natürlich, darüber nachzudenken, warum ich ein Produkt für das Internet, ein Produkt für SaaS und ein Produkt für interne Apps brauche, wenn sie alle das Gleiche tun. Ich möchte DLP für alle. Ich möchte, dass die Bedrohungen in all diesen Bereichen neutralisiert werden. Ich möchte die Möglichkeit haben, eine detaillierte Kontrolle über Aktivitäten bereitzustellen, möglicherweise basierend darauf, ob es sich um ein verwaltetes oder ein nicht verwaltetes Gerät handelt. Und können Sie sich vorstellen, wie kompliziert es werden würde, wenn Sie doppelte Geräterichtlinien und doppelte DLP-Richtlinien sowie doppelte Zugriffsrichtlinien in drei verschiedenen Kategorien mit drei verschiedenen Konsolen hätten und die Leute sich darüber streiten würden, wer an welcher Konsole sitzen darf? Dann wäre es fast unmöglich Aus diesem Grund antworteten viele Kunden: Ja, als Gartner vor ein paar Jahren eine Umfrage durchführte und fragte, wo Sie auf dem Weg zur Konsolidierung Ihrer Sicherheitsanbieter stehen, hatten über 70 % der Befragten entweder damit begonnen oder planten dies Starten Sie es. Auch wenn sie dachten, dass es kurzfristig etwas mehr kosten würde, weil sie auf lange Sicht erhebliche Kosteneinsparungen bei geringerem Verwaltungsaufwand und dergleichen erwarteten.
Jason Clark: Ja. Die Vorteile von SSE oder Security Service Edge und einer SaaS-Reise. Es ist doch ganz klar, oder? Als ob es das erste Mal wäre, ist es für mich der perfekte Reset für die Sicherheit. Sie können die meisten ihrer Inspektionspunkte näher an den Benutzer und näher an die Daten verlegen. Sie können es aus dem Rechenzentrum in die Cloud verlagern, oder? Wo es überall dort angewendet werden kann, wo Daten hingehen, wohin auch immer der Benutzer geht. Ich meine, es verändert das Spiel und die Art und Weise, wie sie das Geschäft für M und A ermöglichen oder aufhören können, Nein zu Dingen zu sagen, oder? Ich hasse das Wort, wenn Leute über Schatten-IT sprechen. Ich denke an Nein, das ist Geschäfts-IT. Es ist unsere Aufgabe, das zu verwalten und ihnen dabei zu helfen, es sicher zu erledigen. Richtig, Sie können das nicht im Rechenzentrum erledigen, weil das meiste davon mittlerweile SaaS ist, oder? Die meisten Unternehmen verfügen über tausend SaaS-Apps, und dann konsolidieren Sie, sodass Sie von der Kostenvorteilsfunktion profitieren, aber dann kann Ihr Team damit beginnen, die Dinge als eine Lösung in der Cloud zu verwalten, ohne alle möglichen Patches durchführen zu müssen, was praktisch jeder tat Den ganzen Dezember über mit den neuen Schwachstellen. Rechts? Sie beginnen also damit, die gesamte betriebliche Komplexität zu beseitigen. Es ist in jeder Hinsicht einfach nur gut: bessere Benutzererfahrung, zufriedenere Sicherheit in Netzwerkteams, zufriedenere Führungskräfte. Es geht nur um die Geschäftsergebnisse, summieren, summieren, summieren.
Steve Riley: Die Menschen denken seit Jahren über die Theorie der Politik nach. Sie sprechen über Dinge wie Richtlinienentscheidungspunkte und Richtliniendurchsetzungspunkte. Man könnte auf einige der alten Jericho-Formen von vor 20 Jahren zurückgreifen. Wenn Sie es immer noch irgendwo online finden und einige dieser Ideen durchlesen können, macht SSE es tatsächlich real: Sie zentralisieren die Richtlinienentscheidung und zentralisieren auch die Richtliniendefinition. Man könnte also sagen, dass der D-Teil überlastet wird, aber Sie verteilen die Richtliniendurchsetzung so nah wie möglich an den Ort, an dem auf die Daten zugegriffen wird. Es umgibt also die Daten, es umgibt die Mitarbeiter und es ist etwas, was die Menschen schon seit Jahren aus ihren Sicherheitsprodukten herausholen wollen. Aber mit SSE können wir es endlich schaffen, oder? Der Geschäftswert ergibt sich aus einer einzigen Plattform, die Redundanz eliminiert. Wir haben vor ein paar Sekunden über ein einziges Modell zur Durchsetzung von Richtlinien gesprochen, das die Berichterstattung und Compliance vereinfacht. Und das ist wirklich wichtig, denn alle Organisationen, die die Cloud nutzen, müssen nachweisen, dass sie die Cloud unter Kontrolle haben. Hier erfahren Sie, wie Sie es machen. SSE bietet Ihnen einen einzigen Pass für alle Verkehrsspuren und alle Verkehrsarten. Das hilft also, die Leistung aufrechtzuerhalten. Benutzer werden es im Grunde nicht bemerken, wenn die SSE implementiert ist, oder? Dennoch ein einziger Agent, der die tägliche Verwaltung vereinfacht, und eine einzige Konsole. Was hier jedoch wirklich wichtig ist, ist, dass einige Organisationen möglicherweise immer noch verschiedene Funktionen an verschiedene Teams delegieren möchten. Daher ist es gut, dass Sie das in der Konsole tun können.
Jason Clark: Ja. Ich habe auf jeden Fall erlebt, dass Teams, nennen wir es das VPN-Team, sagten: „Nein, ich möchte meine eigene VPN-Lösung, bei der die anderen Teams meine Konsole nicht verwalten können, oder?“ Und es ist so, und so kommt es manchmal vor, dass Menschen ihre eigenen Ansichten, ihre eigene Kontrolle oder sogar ihr eigenes Produkt vorantreiben wollen, was für ihre Organisation nicht effizient und effektiv ist, aber sicherlich die Delegation von Rechten, oder? Und was sie verwalten, ist, und das ist der Grund, warum ich denke ... Wenn wir also über Konsolidierung sprechen, müssen diese Entscheidungen bei vielen von ihnen weiter oben in den Organisationen, zum CISO und zum CIO, verlagert werden, damit die Leute sie nicht treffen Es war voreingenommen, basierend auf den Bedürfnissen dieser bestimmten Organisation, aber im Großen und Ganzen, nicht wahr? Das Ganze als Ganzes. Wenn wir also über so etwas nachdenken, haben wir über SSE im Vergleich zu Rechnungs-SASE gesprochen. SASE war also sehr schnell ein ziemlich großes Thema. Was ist der Unterschied zwischen Security Service Edge oder SSE und Secure Access Service Edge?
Steve Riley: Servicevorteil? Nun ja, SASE, schon in den frühen Tagen gab es immer wieder Streit darüber, ob es sich um eine Architektur handelt? Handelt es sich um ein Produkt? Ist es eine Reise? Ich denke, die meisten Menschen haben sich mit der Vorstellung vertraut gemacht, dass SASE eine Architektur ist und eine Reise darstellt, aber es ist ein Versuch, die derzeitige Konsolidierung zwischen Netzwerk und Sicherheit zu veranschaulichen, ehemals getrennten Gruppen, die wahrscheinlich alles versucht haben, um die Interaktion mit ihnen zu vermeiden Die gegenseitige Zusammenarbeit, sowohl beruflich als auch sozial, funktionierte einfach nicht mehr und zukunftsorientierte Organisationen vermischten bereits die Funktionen. Und so war es sinnvoll, über eine Architektur nachzudenken, in der sie zusammengeführt werden. In den frühen Tagen von SASE gab es dieses schöne Diagramm, das aus zwei Teilen bestand. Es gab eine linke Seite und eine rechte Seite. Auf der linken Seite befanden sich alle Netzwerkfunktionen, aber diese sollten jetzt als Service bereitgestellt werden, anstatt 18 verschiedene Boxen zu kaufen, SD-WAN, WAN-Optimierung, DNS. Mehrere andere Dinge auf der linken Seite, die rechte Seite war Sicherheit als Dienstleistung. Und da waren CASB, SWG und ZTNA drin. Was jedoch passiert ist, ist, dass SASE möglicherweise zu groß geworden ist. Und tatsächlich hat Gartner seine Definition von SASE geändert. Lawrence Oranges Präsentation auf dem Sicherheits- und Risikomanagementgipfel Ende 2021 zeigte eine vereinfachte Version von SASE, wobei die linke Seite, erinnern Sie sich, die Netzwerkseite ein Element hatte: SD-WAN, den ganzen Rest hatte er entfernt. Daraus können wir schließen, dass die einzig sinnvolle Netzwerkfunktion, die als Service bereitgestellt werden kann, SD-WAN wäre, einige der anderen brauchen wir vielleicht einfach nicht mehr. Jason Clark: Im Grunde sagen Sie also, dass SASE SSE plus SD-WAN ist.
Steve Riley: Ja, da warst du mir voraus.
Jason Clark: Ja, also solange Sie über eine SSE-Lösung verfügen, können Sie diese mit jeder SD-WAN-Lösung kombinieren, integrieren und schon haben Sie Ihr vollständiges SASE.
Steve Riley: Ja. Das Schöne an SSE ist, dass es sich um die rechte Seite von SASE handelt und jetzt über einen eigenen MQ verfügt. Es stimmt also in gewisser Weise mit der linken Seite überein, dem Netzwerkmaterial, aber sie müssen nicht vom selben Anbieter sein, SSE ist unabhängig vom zugrunde liegenden Netzwerk. Es spielt keine Rolle. Wie bringen Sie die Bits zur SSE, möchten Sie Ihren gesamten Datenverkehr dorthin bringen? Absolut. Aber wie soll man dort hinkommen? SD-WAN, MPLS, Metro Ethernet, IP über Avian Carrier. Es spielt keine Rolle. SSE ist das einfach egal. Am nützlichsten ist also, dass der von Ihnen gewählte SSE-Anbieter über gute Möglichkeiten zur Integration mit einem SD-WAN-Partner verfügt, diese jedoch nicht vom selben Anbieter sein müssen. NEIN.
Jason Clark: Okay. Dass es wirklich gut ist. Ich denke, das wird für unsere Zuhörer sehr hilfreich sein, da es dort eine Menge Verwirrung gibt. Wenn wir also über SSE sprechen, kommen wir darauf zurück, denn es ist so eine große Sache, oder? Es ist eindeutig ein Zwei-Pferde-Rennen. Und ich denke, Sie betrachten im Wesentlichen die beiden Cloud-basierten Organisationen Zscaler und Netskope als Spitzenreiter, dann gibt es noch ein drittes Unternehmen, bei dem es sich um McAfee handelt, das dem Endergebnis nahe kommt, eine Art Legacy-Technologie, oder? Versuchen Sie, gleichzeitig auch Cloud zu betreiben, was sehr schwierig ist, und seien Sie doch Private Equity, oder? Es ist also sehr schwer, aber Sie haben diese drei, und ich kann mir vorstellen, dass die meisten neuen Leute, die diesen Weg gehen, wahrscheinlich etwas zwischen Netskope und Zscaler wählen würden. Was glauben Sie, was Gartner den Menschen raten wird? Gab es einen Anruf und eine Anfrage, in deren Rahmen Sie dies getan haben? Ich meine, wie viele Anfragen haben Sie in Ihrem Leben gestellt?
Steve Riley: Oh, 1000 pro Jahr, mal fünfeinhalb Jahre.
Jason Clark: Alles klar. Nach 5.000 Anfragen weiß ich jetzt, warum Ihre Frau sagt, Sie hätten immer und immer wieder das Gleiche gesagt. Was würde ein Gartner-Analyst wahrscheinlich sagen, wenn jemand anruft, oder? Und sagte: „Okay, schauen Sie, da ist diese neue SSE, Sie haben mir gesagt, warum ich das tun soll, aber wenn ich mir das ansehe, wie führen Sie mich an?“ Nehme ich beispielsweise zwei dieser Anbieter oder drei dieser Anbieter oder wie unterscheiden sie sich?
Steve Riley: Es gibt einige Dinge, über die Unternehmen nachdenken sollten, wenn sie auf SSE umsteigen möchten. Machen Sie es nicht zu einem isolierten Projekt, sondern nutzen Sie alles, was Sie möglicherweise bereits für die Transformation von Remote-Mitarbeitern und Zweigstellen tun, und integrieren Sie SSE darin Projektumfang. Wir haben gesehen, dass viele SSE-Bereitstellungen erfolgreich waren. Wenn man diese Einstellung einnimmt und wen man ansieht, möchte ich ein paar Dinge vorschlagen: Stellen Sie sicher, dass die Konsolidierung real ist. Auf diese Weise können Sie die Komplexität reduzieren und gleichzeitig sicher bleiben und vor gängigen Bedrohungen schützen, im Gegensatz zu altmodischen Bedrohungen aus der Zeit, als sich alles im Rechenzentrum befand. Stellen Sie sicher, dass alle Komponenten des SSE einer gemeinsamen Konfiguration und Richtlinienverwaltung folgen Berichtsmodell ist dies der Beweis, nach dem Sie suchen sollten, um zu wissen, dass es sich bei dem, was Sie bewerten, tatsächlich um eine integrierte Plattform handelt. Und es eliminiert auch das Risiko, dass unzusammenhängende Komponenten wie Lücken oder Inkonsistenzen auftreten könnten. Wenn Sie von Inkonsistenzen sprechen, stellen Sie sicher, dass es keine überlappenden Kontrollen gibt. Wenn Sie beispielsweise eine DLP-Konsole für alle Komponenten wünschen, anstatt separates DLP für SWG, für CASB-Proxy, für CASB-API und für ZTNA, ich garantiere Ihnen, dass ein solches unzusammenhängendes, getrenntes DLP zu Richtlinien führen wird, die dies nicht tun Übereinstimmung oder inkonsistentes Verhalten. Und es wird wirklich schwierig sein, herauszufinden, wie man das beheben kann. Bei einigen anderen Dingen suchen Sie nach einem einzelnen Agenten. Dadurch wird die Verwaltung Ihres gesamten Anwesens einfacher. Stellen Sie beim Betrachten der Konsole sicher, dass unterschiedliche Teile an unterschiedliche Teams delegiert werden können. Es kann sein, dass nicht jeder die gleiche Konsole sehen möchte. Sie könnten das also für die Leute vereinfachen. Stellen Sie nun sicher, dass die SSE-Bewertung unabhängig von jeder spezifischen Art von Netzwerkarchitektur oder -infrastruktur funktioniert. Es sollte da eigentlich keine Abhängigkeit zwischen den beiden geben. Und als letztes möchte ich darum bitten, dass Sie Leistung und Verfügbarkeit nicht außer Acht lassen. Wenn Sie Ihren gesamten Datenverkehr an einen SSE-Anbieter senden, benötigt dieser ein schnelles Netzwerk mit Präsenzpunkten überall dort, wo Ihre Mitarbeiter sind oder sie möglicherweise besuchen müssen. Hier gibt es zwei Dinge, auf die man achten sollte. Ein Anbieter, der es Ihnen ermöglicht, von überall aus eine Verbindung zu seinem Netzwerk herzustellen, ohne zusätzliches Geld für dieses Privileg zu zahlen, und zu einem Anbieter, der ein leistungsstarkes Serviceniveau bietet. Ich glaube nur ungern, dass mir die Frage plötzlich helfen wird, mich für eine SSE zu entscheiden. SSE ist brandneu, niemand wusste davon, bevor das MQ herauskam, oder? Es ist nicht so, dass Gartner normalerweise Ankündigungen zu diesen Dingen macht. Die Leute werden also nicht nach einem SSE fragen, sondern höchstwahrscheinlich immer noch sagen: „Hey, ich muss mein SaaS besser verwalten und schützen, oder ich muss Fernzugriff darauf bekommen.“ private Anwendungen, oder ich muss eine Webfilterung durchführen. Vielleicht sagen sie immer noch Webfilterung. [Übersprechen 00:28:14].
Jason Clark: Sie bringen also ein Problem mit sich.
Steve Riley: Sie werden Probleme ansprechen. Ja. Und was ich jetzt bei einer Anfrage tun würde, ist zu sagen, dass sich der Markt für diese einzelnen Dinge konsolidiert hat und wir ein neues MQ für eine SSE geschaffen haben. Haben Sie es gesehen? Nein. Okay. Also habe ich es aufgerufen und auf dem Bildschirm mit dem Kunden geteilt. Und ich würde ihnen grundsätzlich erklären, was der Markt ist und warum die verschiedenen Anbieter dort sind, wo sie sind. Manche Leute kommen zu einer Anfrage und wissen bereits, welche Anbieter sie suchen. Andere wissen möglicherweise überhaupt nichts und nutzen den MQ, um die Entscheidung irgendwie zu erleichtern.
Jason Clark: Wo sie im Allgemeinen zwei oder drei Anbieter für POC ausgewählt haben.
Steve Riley: Ich würde sagen, die Mischung war genau in der Mitte, in der Hälfte der Fälle waren es zwei, in der anderen Hälfte der Fälle waren es drei. Ich habe noch nie jemanden mit vier in die engere Wahl gezogen.
Jason Clark: Ja. Das macht Sinn.
Steve Riley: Ich möchte sagen, dass die Analysten von Gartner Meinungen bilden und diese zu Gartner-Positionen werden. Alles, was mit den Analystenrechten von Gartner zu tun hat, ist also eine unterstützte Meinung. Jetzt versuchen wir natürlich, es sachlich darzustellen. Wenn wir also die Stärken und Vorsichtsmaßnahmen aufschreiben und an einer Stelle einen Punkt setzen, basieren diese auf Fakten, die wir aus verschiedenen Quellen zusammentragen, nicht nur aus der Demo, sondern auch aus einer RFI, in der wir mehrere Fragen stellen und die wir uns ansehen können Antworten auf die Fragen, die Einfluss auf die MQ-Punktplatzierung haben. Wir würden uns auch die Erkenntnisse von Kollegen ansehen und vielleicht Gespräche mit einigen Anbietern und Kunden führen, obwohl COVID dies schwieriger machte. Deshalb haben wir damit in den letzten paar Jahren aufgehört. Es gibt eine Zeitspanne, in der Anbieter einen Faktencheck durchführen können, und die Frage ist: Haben wir etwas falsch interpretiert und eine Tatsache falsch verstanden? Es gibt zusätzliche Arbeit. Es gibt eine Funktion von Gartner, den sogenannten Ombudsmann. Und die Aufgabe des Ombudsmannes besteht darin, sicherzustellen, dass wir Analysten die Methodik befolgen und dass wir nicht zulassen, dass unsere Meinungen an die Stelle von Fakten treten.
Jason Clark: Das ist ein seltsamer Name für Ombudsmann.
Steve Riley: Ja. Aber auch Zeitungen haben sie. Ja. Und es ist in etwa die gleiche Funktion. Allerdings wäre die Eskalation schwierig, wenn ein Anbieter wirklich unzufrieden wäre und Druck machen wollte. Craig und ich müssten also mehr Beweise erbringen, um zu zeigen, warum wir eine Partitur gemacht haben, aber so wie wir es gemacht haben und wann immer wir das tun mussten, waren wir erfolgreich.
Jason Clark: Ja. Aber es hört sich nicht so an, als wäre das ein lustiger Prozess. Also haben wir darüber gesprochen, wohin SSE gehen wird, die Entwicklung davon, richtig. Wir haben also ganz deutlich gesehen, dass 65 bis 80 % des Verkehrs mittlerweile über den Straßenverkehr abgewickelt werden, oder? Es geht nicht darum, dass die Leute auf NewYorktimes.com gehen, um dort zu arbeiten, oder? Dass ZTNA sich auf Apps bezieht, und zwar dort, wo man im Grunde ein umgedrehtes CASB braucht, oder? Sie möchten die App genauso steuern, wie Sie es bei der SASE-App tun. Und damit alles einen Sinn ergibt, richtig. Das haben wir gesehen. Und ich denke auch, dass ein großes Element von SSE, da ich SSE wie ein Nervensystem betrachte, darin besteht, dass man seinen Geruch, seinen Geschmack hört, oder? Deine Berührung, all diese Sinne, alles Sehen vereint sich zu einem Gehirn. Und dieses Gehirn ist wirklich wie ein Gemeinwesen, es ist wirklich ein Datenschutz, deshalb existieren wir und das ist die große Sicherheitsstrategie, der Schutz von Daten. Es bringt also alles zusammen, aber wenn Sie darüber nachdenken: Wie sieht die Zukunft von SSE aus? Wie werden sie sich weiterentwickeln und Komponenten hinzufügen? Wie schnell werden die Leute Ihrer Meinung nach aufhören, einzelne SWGs und einzelne CASBs zu kaufen, und ganz auf SSE umsteigen, nicht wahr? Es handelt sich also um eine zweigleisige Frage. Wie schnell werden die Leute SSE wirklich als Produkt und nicht als Einzelperson kaufen, und wie sieht die Zukunft aus?
Steve Riley: Die Hauptkomponenten, CASB und SWG, sie sind ausgereift. Als ich dieses Profil besaß, bewegte ich den CASB-Punkt im Hype-Zyklus sehr schnell. ZTNA ist immer noch neu, aber ich denke, es ist unwahrscheinlich, dass es sich zu einem eigenständigen Markt entwickeln wird, da wir bei den CASB- und SWG-Anbietern so großes Interesse daran sehen, ZTNA hinzuzufügen, und es macht absolut Sinn für das, was Sie gerade gesagt haben, Jason, Sie verglich ZTNA mit einem umgedrehten CASB. Es ist wirklich interessant zu hören, dass Sie wissen, was ein CASB ist, denn das war einer der Mechanismen, die ich manchmal nutzte, um Kunden ZTNA zu beschreiben. Wenn Sie Ihren CASB in die Hand nehmen und ihn so umdrehen könnten, dass er auf Ihre internen Apps zeigt, anstatt auf eine SaaS-App, erhalten Sie im Grunde die gleiche Funktionalität und Glühbirne, die für andere funktionieren würde. Aber kein Markt ist statisch. Zumindest sind keine guten Märkte statisch. Ich könnte mir also vorstellen, dass die SSE-Entwicklung dadurch gekennzeichnet wäre, dass ein [Creedy 00:33:19] das Verb erwirbt, das Sie verwenden möchten. Alle erforderlichen Funktionen, um eine kontinuierliche, gut kontrollierte und sichere Cloud-Nutzung zu gewährleisten. Dinge wie Posture Management, Berechtigungsmanagement, was ich gerne als End-Party-Risiko bezeichne, weil die SaaS-Anwendung, die Sie möglicherweise verwenden, tatsächlich genau wie ein Produkt von force.com sein könnte. Sie abonnieren also diese Force.com-App und führen sie dann in einer Salesforce-Instanz aus. Nun, nicht im Fall von Salesforce, aber in einer anderen SaaS-App, die wahrscheinlich in einer privaten Cloud läuft, tut mir leid, einer öffentlichen Cloud. Sie können also darüber nachdenken, wie eine Risikokette aussieht? Und das Risiko Dritter, Vierter und Fünfter: Wie stellen Sie sicher, dass sich alle potenziellen Berührungspunkte befinden, an denen diese Daten unbeabsichtigt offengelegt werden könnten, egal wo Sie Ihre sensiblen Daten speichern, zu denen auch die sensiblen Daten Ihrer Kunden gehören könnten? Und ich denke, das ist eines der Dinge, in denen SSE wirklich gut sein wird, nämlich die Aufklärung all dieser Endparteirisiken, damit die Menschen fundierte Entscheidungen darüber treffen können, wo ihre Daten gespeichert werden sollen.
Jason Clark: Das ist wichtig, Steve, denn das ist meiner Meinung nach wahrscheinlich das größte Risiko, das die Leute einfach nicht im Griff haben. Es ist das Risiko der Endpartei, es ist das Risiko der dritten, vierten, fünften und sechsten Partei, aber sobald Sie wissen, wohin Ihre Benutzer Daten senden, zu welchen Geräten sie weitergeleitet werden und welche Risiken mit der Infrastruktur verbunden sind, in der sie ihre Daten abgelegt haben Wohin gehen diese Daten dann von dieser Infrastruktur zu einer anderen Infrastruktur, zu einer anderen App, und dann eliminieren die damit verbundenen Risiken alles, nicht wahr? Und das ist letztendlich wie die Sicherheit Nevadas, wo Ihre Sicherheitskontrollen dem Benutzer und den Daten folgen, die wir heute nicht haben. Das ist also riesig. Wenn wir die SSE dazu bringen können, was, wenn Sie heute darüber nachdenken, dann würden wir sozusagen diese einmaligen Risikobewertungen durchführen. Viele Leute, mit denen ich spreche, führen einmalige Risikobewertungen an 365 Tagen oder zweimal im Jahr durch, statt wie wäre es mit Echtzeit, Sie wissen jederzeit genau, wie hoch das Risiko jedes einzelnen Datenelements ist, das Sie habenave sitting anywhere, period. Right? And if one thing changes right? One the user or one network or one device or one app or one piece of data, anything changes, you know when that likelihood or impact just became unbearable, right? To the risk equation.
Steve Riley: Ich würde sogar sagen, dass gut entwickelte SSE-Produkte in einer gut verwalteten Umgebung einem Unternehmen mehr Transparenz und Kontrolle geben könnten als je zuvor, als sich alles im Rechenzentrum befand, weil es eigentlich ziemlich einfach war. Ich kann mich an einige meiner früheren Karrieren erinnern, als ich einen Server baute und ihn ans Land anschloss, niemand wird es erfahren, oder? Und ich könnte meiner Community davon erzählen. Und die IT-Abteilung könnte für diese Dinge quasi blind sein. Ich frage mich wirklich, wie viel Schatten-IT im Gegensatz zu SaaS tatsächlich unter der Schreibtisch-IT steckte.
Jason Clark: Oh ja, als ich als CISO für ein Fortune-100-Unternehmen mit 140.000 Mitarbeitern anfing, stellte ich fest, dass wir 1200-
Steve Riley: Los geht's.
Jason Clark: Internetverbindung unter dem Schreibtisch.
Steve Riley: Und jemand hat sein eigenes kleines WLAN mitgebracht, das er am besten kaufen konnte. Und ...
Jason Clark: Ich meine, es war- [Crosstalk 00:37:28].
Steve Riley: [Übersprechen 00:37:28] Wild, oder? Aber-
Jason Clark: Schau mal, Steve, das war großartig. Es war aufschlussreich, Ihre Erfahrungen mit den Höhen und Tiefen bei der Schaffung eines MQ als Analyst dieses neuen MQ von SSE zu teilen. Ich möchte noch einmal betonen, dass dies wahrscheinlich das Größte ist, was in der Cybersicherheit passieren wird nächsten 10 Jahre. Und im Vergleich dazu ist der Markt in den letzten 10 Jahren auf jeden Fall kleiner geworden. Ich erinnere mich etwa daran, als die Leute dachten, EDR und AV seien unterschiedliche Märkte, und jetzt ist es XDR und diese Konvergenz ist zehnmal größer, weil der gesamte Netzwerkumfang in die Cloud verlagert wird, oder? Es ist also ein großer Moment. Und vielen Dank, dass Sie an dem Tag, an dem dieser MQ veröffentlicht wird, hier waren und diese Diskussion geführt und allen unseren Zuhörern geholfen haben.
Steve Riley: Gern geschehen. Ich danke Ihnen für die Gelegenheit zu dieser Interaktion.
Anzeige: Der Podcast „Security Visionaries“ wird vom Team von Netskope betrieben, das nach der richtigen Cloud-Sicherheitsplattform sucht, um Ihre Reise zur digitalen Transformation zu ermöglichen. Die Netskope-Sicherheits-Cloud hilft Ihnen, Benutzer sicher und schnell von jedem Gerät mit jeder Anwendung direkt mit dem Internet zu verbinden, erfahren Sie
[email protected].
Produzent: Vielen Dank, dass Sie Security Visionaries zuhören. Bitte nehmen Sie sich einen Moment Zeit, um die Show zu schreiben und zu rezensieren und sie mit jemandem zu teilen, den Sie kennen und dem es gefallen könnte. Seien Sie gespannt auf Episoden, die alle zwei Wochen veröffentlicht werden. Und wir sehen uns im nächsten.
Warum Netskope? 
){kind=icon}
