Wenn es um Netzwerksicherheit geht, sind alle auf den SASE-Zug (Secure Access Service Edge) aufgesprungen. Und das aus sehr gutem Grund: Das Architekturmodell von SASE ist optimal geeignet, um die konsolidierten Netzwerk- und Sicherheitsanforderungen von XaaS zu unterstützen.
Die Erfüllung der Anforderungen an eine Cloud-first-Architektur ist eines der wichtigsten WAN-Designmuster und ein wichtiger Treiber für die Einführung von SD-WAN. Cloud-Architekturen spielen nicht mit den traditionellen WAN-Design-Regeln, die den gesamten Datenverkehr zurück zum Hauptquartier oder zum privaten DC leiten. Die SD-WAN-Lösungen der ersten Generation boten mehr Flexibilität, indem sie einen lokalen Internet-Breakout ermöglichten, aber das ist wirklich nur eine sehr grundlegende und stumpfe Fähigkeit, die keine echte Optimierung bietet. Es gibt den Ball einfach an eine einfache öffentliche Internetverbindung weiter, ohne Garantien für eine andere Verbesserung als eine Kostenoptimierung, allerdings mit dem Nachteil einer unvorhersehbaren Leistung.
Sobald ein Netzwerkarchitekt die Möglichkeit eines lokalen Ausbruchs in das öffentliche Internet an einem beliebigen Standort ermöglicht, muss die Sicherheitsvorkehrung erweitert werden, um angesichts der erweiterten Angriffsfläche neue Bedrohungen abzuwehren. Es gibt jedoch verschiedene architektonische Ansätze, um dieses Problem zu lösen:
- Starke Filiale: Bietet modernste Sicherheit in der Niederlassung selbst mit einer Next Generation Firewall (NGFW). Die „starke Verzweigung“ bietet fortschrittliche Netzwerk- und Sicherheitsfunktionen, die idealerweise in einer einzigen Appliance am Rande des Netzwerks integriert sind, wodurch der traditionelle „Geräte-Wildwuchs“ reduziert wird. Die optimale Implementierung für große Zweigstellen erfordert ein konsolidiertes Zweigstellen-CPE, das die Virtualisierungstechnologie nutzt, um sowohl erweiterte Netzwerk- als auch NGFW-Funktionen als VNFs (virtuelle Netzwerkfunktionen) bereitzustellen.
- Heavy Cloud: Dieses Modell trägt der Tatsache Rechnung, dass sich der Anwendungsverkehr vieler Unternehmen in die Cloud verlagert hat. Warum also nicht den gesamten Datenverkehr aus der Zweigstelle an einen Cloud-Sicherheitsdienst weiterleiten? Dazu ist lediglich eine sehr einfache Weiterleitungsrichtlinie in der Zweigstelle erforderlich, und der Cloud-Sicherheitsdienst übernimmt diese Aufgabe.
Eine ONUG-Umfrage aus dem Jahr 2019 ergab, dass mehr als 65 % der Netzwerkarchitekten immer noch ein Sicherheitsmodell mit einer starken Zweigstellenorientierung bevorzugen, obwohl die Tatsache, dass fast 30 % ein Cloud-zentriertes Sicherheitsmodell bevorzugen, deutlich zeigt, dass ein Wandel stattfindet.
Eine binäre Betrachtungsweise der aufkommenden Herausforderung der Sicherheitsarchitektur, bei der die Technologiereligion an erster Stelle steht, übersieht jedoch die Tatsache, dass zwar viele Unternehmensarchitekten eine Cloud-first-Architektur anstreben, aber nur sehr wenige zu einer reinen Cloud-Architektur migriert haben. Und viele Unternehmen werden immer bei einem hybriden Cloud-Modell bleiben, das öffentliche XaaS mit privaten Cloud-Elementen kombiniert. Dies erfordert auch einen hybriden Ansatz für ihre Netzwerksicherheitsarchitektur: ein gemischter Ansatz, der einige fortschrittliche Sicherheitselemente für Zweigstellen mit mehreren in die Cloud eingebetteten Sicherheitselementen kombiniert.
Das SASE-Architekturmodell kommt zu dem Schluss, dass dies im Optimalfall eine „Light Branch“-Sicherheitsposition in Kombination mit Sicherheitsdiensten in der „Heavy Cloud“ erfordert. SASE erfordert fortschrittliche Netzwerkfunktionen wie erweiterte Anwendungserkennung und -optimierung sowie eine ganze Reihe anderer Fähigkeiten.
Aber hier ist das Problem: Selbst Gartner, die Denkfabrik, die uns das SASE-Konzept beschert hat, räumt ein, dass sich SASE erst in 3-5 Jahren wirklich durchsetzen wird. Wir hören den unvermeidlichen Lärm von vielen Anbietern, die behaupten, sie hätten jetzt SASE, so wie AT&T Wireless seit über einem Jahr behauptet, 5G anzubieten. Ich bin seit über 20 Jahren ein treuer AT&T-Mobilfunkkunde, aber diese Behauptung ist genauso unzutreffend wie die der SD-WAN-Anbieter, die jetzt SASE-Unterstützung behaupten.
Wenn wir uns die Realität ansehen, dann ist es eine einfache Tatsache, dass die Sicherheitsbedürfnisse von Unternehmen heute die Macht der Wahl erfordern. Die Möglichkeit, eine Lösung auf die bestehenden Anforderungen zuzuschneiden – hier und jetzt – und gleichzeitig die Fähigkeit zu bewahren, zu gegebener Zeit nahtlos auf eine SASE-Zielarchitektur zu migrieren, wenn der geplante Technologiestapel wirklich als konvergierte und einfach zu verwaltende Lösung entsteht, die Unternehmen mit der Leichtigkeit von X-as-a-Service-Lösungen einführen können – ein Ansatz, der das Computing und die Anwendungsbereitstellung revolutioniert hat, sich aber immer noch der Netzwerkwelt entzieht.
Unternehmen brauchen die Möglichkeit der Auswahl, weil sie ganz bestimmte architektonische und/oder gesetzliche Anforderungen haben. Die Sicherheitsstrategie von Aryaka dreht sich seit jeher darum, die Macht der Wahl zu bieten:
- Filiallastige oder Cloud-lastige Architekturmodelle oder eine anpassbare Kombination davon.
- Best-of-Breed-Technologiepartnerschaften mit führenden Unternehmen der Sicherheitsbranche.
- Wir bieten ein optionales (sehr beliebtes) verwaltetes Modell an, das eine einfache Bereitstellung und die beste Rendite für Technologieinvestitionen bietet, da alle fortschrittlichen Funktionen von Aryaka-Domänenexperten konfiguriert und gewartet werden, wodurch komplexe Netzwerk- und Sicherheitslösungen so einfach wie XaaS-Dienste genutzt werden können.
Und nun zum besten Teil: Heute geben wir unsere Technologiepartnerschaft mit Check Point bekannt. Mit der Check Point CloudGuard-Familie verfügen wir nun über branchenführende Lösungen für alle oben vorgestellten Sicherheitsansätze:
- CloudGuard Edge unterstützt einen branch-first Sicherheitsansatz, der als virtuelle Netzwerkfunktion (VNF) auf Aryakas ANAP CPE läuft und die fortschrittlichen Netzwerkfunktionen von Aryaka mit den führenden NGFW-Funktionen von CloudGuard Edge kombiniert.
- CloudGuard Connect bietet ein Cloud-zentriertes Sicherheitsbereitstellungsmodell. Der ANAP CPE von Aryaka leitet den Datenverkehr über einfache Weiterleitungsrichtlinien an die Check Point CloudGuard Connect Security Cloud weiter.
Auf diese Weise können Unternehmen die erstklassigen Cloud-first-Netzwerkfunktionen von Aryaka mit der Sicherheitsarchitektur kombinieren, die ihren Anforderungen am besten entspricht. Wie in unserer Pressemitteilung zu lesen ist, wird dieser Ansatz von Kunden aus der Praxis sofort befürwortet.
Besser noch, dieser Ansatz bietet sich an, um eine nahtlose Migration von den immer noch vorherrschenden branchenlastigen Sicherheitsmodellen zu leichtgewichtigen/schwergewichtigen Cloud-Modellen in der Zukunft zu ermöglichen, wenn Unternehmen mit der Einführung von SASE-Sicherheitsarchitekturmustern beginnen.
Wir freuen uns sehr auf die Zusammenarbeit mit Check Point und darauf, Unternehmen den einfach zu nutzenden, maßgeschneiderten Ansatz für Netzwerk- und Sicherheitsfunktionen zu bieten, den sie benötigen, wenn sie ihre WAN-Infrastrukturen unweigerlich auf Cloud-First umstellen.
Über den Autor
Paul ist Direktor im Produktmarketing-Team von Aryaka. Paul hat über 20 Jahre Erfahrung in den Bereichen Produktmarketing, Produktmanagement, Vertriebstechnik, Geschäftsentwicklung und Softwareentwicklung bei Cisco, LiveAction, Bivio Networks und StrataCom. Paul liebt das Tauchen, Motorräder, offene Softwareprojekte und Ölmalerei.
Gokul ist Direktor im Produktmanagement-Team von Aryaka. Er verfügt über mehr als 12 Jahre Erfahrung im Produktmanagement und in der Softwareentwicklung in den Bereichen Sicherheit, Netzwerke, SD-WAN und Netzwerkvirtualisierung.
