Die Entwicklung zu SASE: Cloudbasiertes Netzwerkmodell mit Security Services


    Herkömmliche WAN-Topologie

    In herkömmlichen Netzwerken stellt das unternehmenseigene Rechenzentrum den Knotenpunkt für den gesamten Datenverkehr dar. Die Internet- bzw. Cloud-Konnektivität erfolgt über die eigene demilitarisierte Zone (DMZ) – eine Pufferzone, welche das externe Netz (Internet) mit strengen Kommunikationsregeln und Firewalls vom internen Netz trennt. Sämtliche Zweigstellen sind über WAN-Verbindungen (MPLS oder VPN) mit dem Rechenzentrum der Hauptstelle verbunden und greifen darüber auf Internet- und Cloud-Services zu. Das hat mehrere Nachteile: Der gesamte Netzwerkverkehr muss über das Rechenzentrum laufen (Backhaul), was mit einem ineffizienten Routing und Engpässen im Datenverkehr verbunden ist. Die Lösung wäre mehr Bandbreite – was Kosten und Aufwand nach sich zieht.

    SD-WAN und Direct Internet Access (DIA)

    Im Zeitalter von Cloud und verteiltem Arbeiten setzen Unternehmen vermehrt auf SD-WAN-Architekturen: Der Internetzugang erfolgt nicht mehr zwingend über das Rechenzentrum am Hauptsitz des Unternehmens, sondern direkt vom Router des jeweiligen Standorts (Direct Internet Access, kurz DIA). Dadurch werden Latenzzeiten deutlich reduziert und die Benutzerfreundlichkeit wird verbessert. Über das softwarebasierte Netzwerk-Overlay lassen sich Netzwerkeigenschaften für sämtliche Firmenstandorte zentral steuern und konfigurieren und man hat jederzeit den Überblick über den Zustand des Unternehmensnetzwerks. In diesem Modell wird die Sicherheit noch lokal implementiert – meist in der Zentrale oder Teile davon in den Geräten der Aussenstandorte. Zudem wird der Datenverkehr bei Remote-Zugriffen nach wie vor über das Rechenzentrum geleitet.

    Cloudfähige Netzwerk-Topologie (SASE)

    Die wachsende Netzwerkkomplexität (z.B. Microsegmentierung) und der zunehmende Datenverkehr wie auch die steigenden Sicherheitsrisiken durch immer komplexere Bedrohungen erfordern ein Netzwerkmodell mit cloudbasierten Security Services. Zusätzlich zum SD-WAN ermöglichen Security-Funktionen aus der Cloud eine sichere und kontrollierte Nutzung von Software as a Service (SaaS). Die traditionelle lokale Security ist mit den Anforderungen von cloudzentrierten IT-Architekturen zunehmend überfordert. Ausserdem ermöglicht SASE einen Zero-Trust-Ansatz: Sämtliche Netzwerk- und Cloud-Zugriffe sind gesichert – unabhängig davon, ob sich der User innerhalb oder ausserhalb des Firmennetzwerks befindet.