Der plötzliche Wechsel ins Homeoffice hat dafür gesorgt, dass Mitarbeiter nicht mehr im herkömmlichen Netzwerkperimeter arbeiten. Genau genommen wird der Perimeter nun durch die Benutzer selbst festgelegt, die auf das Netzwerk, Anwendungen und Assets von verschiedenen Standorten aus zugreifen und dazu häufig ihre privaten Geräte nutzen.
Für den Umstieg zur Cloud müssen Unternehmen die bestehenden Sicherheitsstrategien und -lösungen überarbeiten und verbessern, denn nur dann können Unternehmen alle Benutzer, Geräte, Daten, Infrastruktur, Netzwerke und Assets schützen – unabhängig davon, wer von wo auf sie zugreift.
Für solche Umgebungen wurden zwei Ansätze entwickelt, die als unverzichtbare Komponenten einer robusten Cloud-Sicherheitsstrategie gelten: Zero Trust und Secure Access Service Edge (SASE). Doch obwohl diese beiden Begriffe in der Cybersicherheit mittlerweile zum Alltag gehören, gibt es immer noch Unklarheiten über die jeweiligen Funktionen und darüber, wie sie zueinander in Beziehung stehen.
In diesem Artikel werfen wir einen genaueren Blick auf Zero Trust und SASE und beantworten einige häufige Fragen von Unternehmen, die diese Technologien in ihr übergeordnetes Cybersicherheits-Framework integrieren wollen.
Was ist Zero-Trust-Sicherheit?
Zero Trust ist ein Sicherheits-Framework, in dem alle Benutzer – innerhalb oder außerhalb des Unternehmensnetzwerks – authentifiziert, autorisiert und fortwährend auf ihre Sicherheitskonfiguration und -lage hin validiert werden müssen, bevor ein Anwendungs- und Datenzugriff erlaubt oder bestätigt wird. Zero Trust geht davon aus, dass es keine traditionelle Netzwerkgrenze mehr gibt. Es gibt lokale Netzwerke, Netzwerke in der Cloud oder hybride Cloud-Netzwerke.
Bei der Implementierung des Zero-Trust-Frameworks kommen hochentwickelte Technologien wie risikobasierte Multi-Faktor-Authentifizierung, Identitätsschutz, Endgerätesicherheit der nächsten Generation sowie robuste Cloud-Workload-Technologie zum Einsatz, um die Benutzer- oder Systemidentität zu kontrollieren, den Zugriff zum jeweiligen Zeitpunkt abzuwägen und die Systemsicherheit aufrechtzuerhalten. Darüber hinaus müssen bei Zero Trust auch Überlegungen hinsichtlich der Verschlüsselung von Daten, der Sicherung von E-Mails sowie der Kontrolle der IT-Hygiene von Assets und Endgeräten angestellt werden, bevor eine Verbindung mit Anwendungen zugelassen wird.
Was ist SASE?
Secure Access Service Edge (SASE) ist ein Sicherheitsmodell, das sicheren Zugriff auf Anwendungen und Daten basierend auf digitalen Identitäten gewährt.
Die von Gartner geprägte SASE-Architektur vereint mehrere einzelne Sicherheitskomponenten in einer zentralen, integrierten cloudbasierten Lösung und besteht aus folgenden Elementen:
- Services für Netzwerkbetrieb und Netzwerksicherheit wie Zero-Trust-Netzwerkzugriff (ZTNA)
- Sicherheits-Broker für den Cloud-Zugriff (CASB)
- Firewall-as-a-Service (FWaaS)
- Sichere Web-Gateways (SWG)
- SD-WAN-Lösungen
- Datenverlustprävention (DLP)
Da eine SASE-Lösung mehrere individuelle Sicherheitstools und Komponenten umfasst, bietet sie unter anderem folgende umfangreiche und effektive Funktionalitäten:
- Verwaltung von Netzwerkdatenverkehr, Benutzern, Anwendungen, Geräten und Infrastrukturkomponenten
- Authentifizierung von Benutzern durch digitale Identitätsfunktionen
- Proaktive Erkennung und Behebung von Sicherheitsbedrohungen
Zero Trust und SASE im Vergleich: Wichtige Fragen
Sowohl Zero Trust als auch SASE sind sicherheitsbezogene Infrastruktursysteme, die Unternehmen beim Schutz ihrer Assets und der Abwehr von Cyberbedrohungen unterstützen. In einigen Fällen werden die Begriffe synonym verwendet oder es wird angenommen, dass die Implementierung einer Technologie automatisch die Bereitstellung der anderen zur Folge hat. Tatsächlich aber sind es zwei verschiedene, wenn auch verwandte Konzepte.
Nachfolgend gehen wir auf einige der häufigsten Fragen von IT-Teams zu den Funktionalitäten von SASE und Zero Trust ein und erläutern, in welcher Beziehung sie zueinander stehen:
Was ist der Unterschied zwischen SASE und Zero Trust?
Der auffälligste Unterschied zwischen SASE und Zero Trust besteht im jeweiligen Umfang der Lösungen. Bei Zero Trust liegt der Schwerpunkt vor allem darauf, authentifizierten Benutzern Zugriffsverwaltung und Zugriffskontrolle bereitzustellen. Im Vergleich dazu ist SASE weiter gefasst, da es eine Reihe an Netzwerk- und Sicherheitsservices – darunter Zero Trust Network Access – in einer zentralen Lösung vereint.
Ein weiterer wesentlicher Unterschied liegt im Bereich der Identitäten. Bei einem Zero-Trust-Modell gibt es keine vertrauenswürdigen Benutzer. Stattdessen muss jedes Gerät und jeder Benutzer bei jeder Zugriffsanfrage authentifiziert werden. SASE dagegen ist identitätsorientiert, d. h. dass nur die digitale Identität des Anfragestellers darüber entscheidet, ob Zugriff gewährt wird oder nicht.
Wird durch die Implementierung von SASE auch automatisch Zero Trust umgesetzt?
Nicht unbedingt. SASE basiert zwar auf Zero-Trust-Prinzipien und Zero-Trust-Zugriff ist ein Kernbestandteil von SASE. Allerdings wird durch die Implementierung von SASE in einem Unternehmen nicht sofort Zero Trust umgesetzt. Das liegt daran, dass die Zero-Trust-Strategie neben ZTNA aus einigen weiteren Komponenten besteht.
Was ist besser – SASE oder Zero Trust?
Unternehmen müssen sich bei SASE und Zero Trust nicht ausschließlich für das eine oder das andere entscheiden. Es ist eher so, dass beide ergänzende Komponenten einer umfassenden Cybersicherheitsstrategie sind.
SASE bietet ganzheitliche Funktionen und ist in puncto Integration, Bereitstellung und täglicher Verwaltung zudem sehr viel komplexer, zeitaufwändiger und ressourcenintensiver. Im Vergleich dazu sind die Funktionen einer Zero-Trust-Lösung auf einen engeren Bereich zugeschnitten, doch das Modell lässt sich in der Regel auch einfacher implementieren und verwalten.
Deshalb setzen die meisten Unternehmen auf Zero Trust als kurzfristiges Ziel und arbeiten längerfristig an der Umsetzung von SASE.
Wie läuft die Zusammenarbeit von Zero Trust und SASE in einem Unternehmen ab?
Unternehmen, die Ihr SASE- und Zero-Trust-Modell in einer zentralen integrierten Lösung konsolidieren, können von mehreren wichtigen Vorteilen profitieren:
1. Umfassende Sicherheit: Werden die SASE- und Zero-Trust-Modelle richtig bereitgestellt und integriert, bieten sie Unternehmen bessere Einblicke in die IT-Umgebung, schließen Lücken und verbinden isolierte Bereiche in der Sicherheitsarchitektur.
2. Geringere Komplexität: Die Kombination eines SASE- und Zero-Trust-Modells ermöglicht Unternehmen, ihre Sicherheitstools zu zentralisieren und einige Bereiche der IT-Umgebung zu optimieren. Dies wiederum führt meist zu einer geringeren Netzwerkkomplexität, da Integrationen zwischen Geräten, Services und Benutzern vermieden werden.
3. Verbesserte Skalierbarkeit: Im Gegensatz zu herkömmlichen VPN-Maßnahmen, die nur mit zusätzlichen Investitionen in Hardware und Software erweitert werden können, lässt sich der SASE- und Zero-Trust-Ansatz je nach Bedarf leicht hoch- oder runterskalieren. Dies verbessert die Leistungsfähigkeit und Agilität des Unternehmens und senkt Kosten.
4. Ressourcenoptimierung: Wie bei vielen modernen Sicherheitslösungen werden auch durch die erfolgreiche Implementierung von SASE- und Zero-Trust-Prinzipien täglich anfallende Aufgaben im Sicherheitsprogramm automatisiert, sodass sich die Mitarbeiter auf wichtigere Aufgaben konzentrieren können.