
Unterschiedliche Architekturen, Anforderungen und Strategien erfordern maßgeschneiderte SD-WAN- und SASE-Lösungen und -Services
Viele Security-Abteilungen halten nach wie vor am historisch gewachsenen, passiven Ansatz der „mittelalterlichen Burgmauer“ fest und leiten ihren Daten-Traffic via Backhauling zur Kontrolle in die Zentrale. Doch das kann zu gravierenden Problemen führen – zumal, wenn sie einen Teil ihrer Anwendungen aus der Cloud beziehen: Durch den Anstieg des Traffics bricht die Performance ein, die erforderlichen MPLS-Bandbreiten verursachen hohe Kosten und durch den offenen Perimeter gelangen raffinierte Advanced Threats unbemerkt ins Unternehmen. Zeitgemäße SASE-Ansätze versprechen Abhilfe.
Das Architekturkonzept SASE – die Abkürzung steht für: Secure Access Service Edge – wurde 2019 von Gartner-Analysten geprägt und beschreibt einen neuen Ansatz, der leistungsstarke Funktionalitäten zur WAN-Steuerung mit einem breiten Set von Network-Security-Features kombiniert. Anders als im klassischen Data Center wird der Großteil der Netzwerk- und Sicherheitsfunktionen dabei aus der Cloud heraus bereitgestellt. Die On-Premises-Standorte der Unternehmen müssen lediglich einige grundlegende Netzwerk- und Sicherheitsfunktionen koordinieren, etwa den Router, einen VPN-Service sowie die Next Gen Firewall. Experten sprechen daher gerne von einem „Heavy Cloud, Thin Branch“-Modell. Das ist effizient, flexibel und agil – und damit eine hervorragende Lösung für moderne, dezentrale Unternehmen und hybride Teams. Gerade mit Blick auf die Security bietet SASE den Unternehmen zudem ganz neue Optionen: Innovative Security-Lösungen – von Zero-Trust-Modellen über Cloud-basierte Content-Analysen bis hin zum Software-Defined Perimeter – ermöglichen es den Unternehmen, von zeitgemäßen KI- und ML-Modellen zu profitieren, Policies und Authentifizierungen standortunabhängig und kontextbasiert umzusetzen und so höchste Sicherheit zu garantieren.
Kurz: SASE steht für maximale Konvergenz von Netzwerk und Sicherheit als Service – mit dem Ziel, Netzwerk- und Sicherheitsfunktionen einfacher und performanter zu machen und das verantwortliche Team nachhaltig zu entlasten.
On-Prem oder Cloud-basiert?
Ungeachtet des Gartner-Dogmas, die Zukunft von Netzwerk und Sicherheit lägen ganz klar in der Cloud, entscheiden sich aber längst noch nicht alle Unternehmen für das innovative Modell. Im Gegenteil: Eine Umfrage der Open Networking Users Group (ONUG) unter hunderten Netzwerkexperten im Mai 2019 ergab, dass auf Basis von SD-WAN 2.0 mit integrierter Security immer noch zwei Drittel der Unternehmen einen On-Prem Security Stack bevorzugen. Für beide Herangehensweisen für die Unternehmenssicherheit gibt es also noch Raum.
Darüber hinaus zeigt sich immer wieder, dass architektonische Fragen nicht pauschal beantwortet werden können, sondern die hohe Zahl an Variablen meist individuelle Lösungen bedingt. Legacy-Architekturen lassen sich nicht über Nacht ändern und einige Branchen kämpfen nach wie vor mit einer Reihe individueller, regulatorischer Anforderungen. Es bedarf also maßgeschneiderter Lösungen, oder mit anderen Worten: Unternehmen müssen die Wahl haben.
Single vendor oder Best-of-Breed?
Auch bei der Herstellerauswahl verfolgen Unternehmen verschiedene Strategien. Die Erfahrung zeigt, dass Unternehmen mit On-Premises-Architekturen dazu neigen, Best-of-Breed-Komponenten unterschiedlicher Hersteller zu kombinieren. Demgegenüber bevorzugen Unternehmen mit einem hohen Cloud-Anteil oftmals Single-Vendor-Lösungen – und deren erheblichen Vorteile in der Bereitstellung und Wartung.
SASE als Managed Service
Über die Jahre hat sich die IT-Security als wichtiger, eigenständiger IT-Bereich etabliert, der für einen reibungslosen Geschäftsbetrieb unverzichtbar ist und Kontinuität garantiert. Gleichzeitig ist sie aber auch ein sehr komplexer Fachbereich und für tendenziell unterbesetzte IT-Teams immer auch eine Herausforderung – und das gilt insbesondere auch für SASE-Architekturen mit ihrem hohen Konsolidierungsgrad von Security und Netzwerk. Es ist nun einmal alles andere als einfach, den Überblick über Konfiguration, Betrieb und die Aktualisierung der wachsenden Zahl unterschiedlicher Network- und Sicherheitselemente zu behalten. Managed SD-WAN- und SASE-Services stellen daher für immer mehr Unternehmen eine echte Alternative dar – sowohl direkt vom Hersteller bezogen als auch von herstellerunabhängigen Systemhäusern. Bei der Wahl des Anbieters sollten Unternehmen jedoch darauf achten, sich ein möglichst hohes Maß an Flexibilität zu bewahren. Beispielsweise, indem sie ihr SD-WAN extern von einem erfahrenen Dienstleister betreiben lassen, das Security-Management aber eigenverantwortlich koordinieren. Alternativ können sich Unternehmen heute aber auch für eine konsolidierte, vollständig gemanagte Option aus Netzwerk- und Sicherheitsdiensten entscheiden – und das Managed SD-WAN zu einem Managed SASE erweitern. Durch das CPE des „Thin Branch“ bleibt ihnen ja auch in diesem Modell die Option erhalten, bei Bedarf mit On-Premises-Security nachzujustieren.
Fazit
Sicherheit ist der wichtigste Faktor für die Wahl eines SD-WAN-Anbieters. Dank konsolidierter Konzepte wie SASE können Unternehmen ihre Sicherheitsarchitektur mit allen wichtigen Funktionen ausstatten, die für den Schutz des digitalen Unternehmens nötig sind – und durch fremdverwaltete Services gleichzeitig die Komplexität der Lösungsverwaltung reduzieren.
Dennoch heißt das noch lange nicht, dass dies die eine allgemeingültige Lösung für alle Organisationen ist. Viel mehr hängt die Sicherheit von einer Vielzahl unterschiedlicher Faktoren ab – von der historisch gewachsenen Architektur eines Netzwerkes, von gesetzlichen oder eigenen Governance-Vorgaben, von unterschiedlichen Sicherheitsansprüchen und vielem mehr.
Für alle unterschiedlichen Architekturmodelle gibt es noch Raum – und auf die Wünsche und Bedürfnisse der Unternehmen gilt es einzugehen, anstatt ihnen andere Konzepte aufzuzwingen.
SD-WAN und SASE können durch maßgeschneiderte Lösungen auch flexibel mit unterschiedlichen Systemarchitekturen kombiniert werden und trotzdem für sichere und performante Netzwerke sorgen.
Systemintegratoren und Managed Services Provider sollten also stärker auf die Bedürfnisse ihrer Kunden eingehen, denn: Unternehmen müssen selbst die Wahl haben.

Schlagwörter: ControlwareManaged SD-WANSASESD-WAN