Home » Fachbeiträge » Security Management » Wie Workload Security mit SASE funktioniert

Fallstricke und Herausforderungen: Wie Workload Security mit SASE funktioniert

Bedrohungen erkennen, Prozesse schützen: Für die Absicherung und Verwaltung von Zugriffen auf Workloads, Anwendungen und Daten ist Secure Access Service Edge (SASE) eine der stärksten Optionen.

5 Min. Lesezeit
Mann tippt mit Finger auf Cloud-Symbol
Foto: ©AdobeStock/Ar_TH

In der IT steht Workload für die „Arbeitslast“, die eine IT-Komponente aufbringen muss, gemessen in Zeitaufwand und Rechenressourcen – das fängt bei einer einfachen Datenbank an und hört bei komplexen wissenschaftlichen Berechnungen, etwa in der Krebsforschung im Rechenzentrum, auf. Fast alle Services, Apps oder Berechnungen der Unternehmensmitarbeiter in der Cloud (oder auch lokal im Netzwerk) können als „Workloads“ bezeichnet werden. Diese Workloads sind somit stark vernetzt,  völlig ortsunabhängig und quer verteilt über zahlreiche Programme und Onlinedienste, die ein Unternehmen nutzt – was zu einer deutlich höheren Angriffsfläche führt.

Kurzum: Workloads müssen angemessen gesichert werden. Eine Option, Unternehmen bei dieser Herausforderung zu unterstützten, ist Secure Access Service Edge (SASE). Mit diesem Cybersicherheitsansatz, der Netzwerk- und Sicherheitsfunktionen in eine cloudbasierte Architektur integriert, lässt sich die Sicherheit und die Verbindung von Cloudlösungen kontrollieren und verbessern.

Workload-Security, darum geht es

Aktuelle Berechnungen gehen davon aus, dass die weltweiten Kosten im Zusammenhang mit Cyberkriminalität in den nächsten vier Jahren sprunghaft ansteigen: von 9,22 Billionen Dollar 2024 auf 13,82 Billionen Dollar 2028. Hier setzt Workload-Security an, denn IT-Workloads sind wie eingangs erwähnt, alle Arbeiten, die auf einer IT-Instanz, etwa in der Cloud platziert sind – kleine Rechenoperationen, komplexe Datenanalysen oder intensive geschäftskritische Anwendungen.

Das Niveau und die Art der Arbeitslasten beeinflussen die Leistung eines Systems. Wird die Workload zu groß, kann sie ohne wirksames Management zu Unterbrechungen oder Verlangsamungen der Systeme führen.

Diese Workloads sollte man im Auge haben:

  • Speicher-Workloads sind Dienste, die viel Datenspeicher benötigen, beispielsweise Contentmanagement-Systeme und Datenbanken.
  • Rechen-Workloads sind Anwendungen, die Rechenleistung und Speicher benötigen, um Funktionen auszuführen. Das können VMs, Container und serverlose Funktionen sein.
  • Netzwerk-Workloads wie Video-Streaming und Online-Spiele erfordern eine hohe Netzwerkbandbreite und geringe Latenzzeiten.
  • Big-Data-Workloads benötigen die Verarbeitung und Analyse großer Datenmengen, darunter maschinelles Lernen (ML) und künstliche Intelligenz.
  • Web-Workloads sind Anwendungen oder Dienste, auf die über das Internet zugegriffen wird. Hierzu gehören E-Commerce-Seiten, Social-Media-Plattformen und webbasierte Anwendungen.
  • High-Performance-Rechenlasten beziehen sich auf Dienste, die eine hohe Verarbeitungsleistung benötigen, Beispiele sind Wetter- und Finanzmodellierung.
  • Das Internet der Dinge (IoT) erfordert die Verarbeitung und Analyse von Daten aus Sensoren und anderen Geräten, wie etwa in Smarthomes, industrieller Automatisierung und vernetzten Fahrzeugen.

Ziel der Workload-Security ist es, die Sicherheit und die Verfügbarkeit in all diesen Bereichen zu gewährleisten und alle Operationen vor Cyberbedrohungen zu schützen.

Was ist Secure Access Service Edge (SASE)?

SASE vereint Netzwerksicherheit und -konnektivität in einem einheitlichen cloudbasierten Service und bietet einen ganzheitlichen Sicherheitsansatz, der die Dynamik moderner IT-Umgebungen adressiert. Das Secure-Access-Service-Edge-Modell wurde als Konzept und Architektur von Gartner eingeführt, um Sicherheits- und Netzwerkfunktionen zu vereinen und als integrierten Service bereitzustellen. Ziel von SASE ist es, eine umfassende cloudnative Plattform für die Sicherheit und Konnektivität bereitzustellen, die sich den Anforderungen moderner IT-Umgebungen anpasst. Die
Komplexität herkömmlicher Sicherheits- und Netzwerkinfrastrukturen soll reduziert, die Leistungsfähigkeit verbessert und die Sicherheit für moderne, verteilte Arbeitsumgebungen gestärkt werden.

SASE bietet:

  • Einheitliche Sicherheitsarchitektur: SASE integriert Sicherheitsfunktionen wie Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Firewall as a Service (FWaaS), Secure Web Access Service (SWA) und Zero Trust Network Access (ZTNA) in eine einzige zusammenhängende Architektur. Das gewährleistet konsistente Sicherheitsrichtlinien für alle Workloads.
  • Zero Trust: SASE basiert auf dem Zero-Trust-Modell. Durch kontinuierliche Authentifizierung, Autorisierung und Zugriffskontrollen stellt SASE sicher, dass nur autorisierte Benutzer und Geräte auf Workloads und vertrauliche Daten zugreifen können.
  • Edge-to-Cloud-Schutz: SASE bietet Sicherheit und Konnektivität vom einzelnen mobilen Endgerät bis zur Cloud und unterstützt Remote-Arbeitsmodelle sowie den Zugriff von Mobilgeräten und Zweigstellen auf Unternehmensressourcen.
  • Cloudnative Sicherheit: SASE nutzt cloudnative Technologien und Architekturen für die Bereitstellung von Sicherheitsdiensten aus der Cloud, sodass sich Sicherheitsfunktionen ynamisch entsprechend den Anforderungen der Arbeitslasten skalieren lassen. Durch die Verlagerung von Sicherheitsfunktionen in die Cloud macht SASE herkömmliche, hardwarebasierte
    Sicherheitsappliances überflüssig. Das reduziert die Komplexität und erhöht die Flexibilität.
  • Integriertes Reporting: SASE punktet mit einem einheitlichen Management- und Reporting-Framework, mit dem es Sicherheits- und Netzwerkdienste zentral verwaltet, Richtlinien durchsetzt und Compliance-Audits durchführen kann.
  • Dynamische Durchsetzung von Richtlinien: Es lassen sich granulare Sicherheitsrichtlinien definieren, die auf kontextbezogenen Aspekten wie Benutzeridentität, Gerätezustand oder
    Standort basieren. Diese Richtlinien können dynamisch und in Echtzeit für alle Workloads und Zugriffspunkte durchgesetzt werden.
  • Skalierbarkeit und Flexibilität: SASE bietet skalierbare und flexible Sicherheitslösungen, die sich an wechselnde Workloads und Geschäftsanforderungen anpassen können. Soweit die Vorteile. Aber es gibt auch Fallstricke, die man bei der SASE-Implementierung beachten sollte.

SASE-Fallstricke und Herausforderungen

Es ist wichtig, den Bedarf und die Anforderungen zu Beginn des Projekts klar zu formulieren, sodass es keine Ungereimtheiten gibt. Außerdem muss die Unterscheidung, ob nur der Zugriff ins lokale Netzwerk oder auch die Absicherung von Zugriffen zu Cloud oder Internet abgesichert werden soll, berücksichtigt werden. Last but not least sollte bereits im Vorfeld festgelegt werden, welcher Traffic von der SASE-Lösung unterstützt und somit auch geschützt wird. So lassen sich beispielsweise offene Flanken bei MS-Cloud-Traffic abdecken und Sicherheitslücken schließen.

Eine weitere Herausforderung: Workload-Security wird im Zusammenspiel mit SASE oft vor dem Hintergrund von On-Premises-Infrastruktur betrachtet. Manchmal kommen Legacy-Technologien zum Einsatz, die mit modernen Lösungsansätzen oder Architekturen nur schwer vereinbar sind. Hierauf sollten die Verantwortlichen in den Unternehmen unbedingt achten. Sie müssen die verschiedenen Signale und Informationen im Rahmen des SASE detailliert bewerten, denn nur dann ist ein angemessen sicherer Betrieb gewährleistet.

Die SASE-Umsetzung kann auch daran scheitern, dass die mit der Realisierung betraute Personengruppe falsch gewählt wurde – etwa lediglich die Netzwerkabteilung, obwohl mehrere Bereiche eingebunden werden müssen. Eine weitere Schwierigkeit ist, wenn die Umsetzung isoliert angegangen wird, obwohl SASE im Rahmen einer Zero-Trust-Architektur zu betrachten ist. Hierzu gehört immer auch Identity- und Client-Management, da bei SASE auch andere Informationen außer reine Zugangsberechtigungen betrachtet werden.

Beispielsweise muss Compliance zu Vorgaben für den Patchstand eines Geräts gegeben sein oder geklärt werden, welche Anmeldemethode, etwa starke Authentifizierung, verwendet wird. Es werden also zusätzliche Gerätesignale kontrolliert. Hinzukommen plattformspezifische Überprüfungen, zum Beispiel der erzeugte Traffic, die genutzten Anwendungen und mehr.

Porträt Olaf Pursche

Olaf Pursche ist Head of Communications bei der SITS Group AG.
olaf.pursche@sit-group.ch

Weitere Informationen zu Secure Access Service Edge (SASE) und Cloud- und Netzwerkschutz finden Sie hier: https://sits.com/de/security-it-solutions/secure-access-service-edge/

 

Andere interessante Fachbeiträge

Digitales Schild

So schützen sich Unternehmen vor den Stolperfallen der Schadenregulierung

Cyberangriffe können für Unternehmen existenzbedrohend sein. Viele Firmen schützen sich daher mit einer Cyberversicherung. Doch oft decken die Policen nicht alle Schäden ab oder en...

Abstrakte Collage zu KI und Gesetzen

KI und IT-Governance: Was Unternehmen wissen müssen

Künstliche Intelligenz (KI) ist bereits heute ein unverzichtbares Werkzeug für Unternehmen, die ihre Wettbewerbsfähigkeit stärken und neue technologische Möglichkeiten ausschöpfen ...

Cybercrime

Auf der Jagd nach Sicherheitslücken in TLS-Bibliotheken

TLS ist der wichtigste kryptografische Standard für digitale Kommunikation im Internet. Durch Implementierungsfehler entstehen jedoch immer wieder Sicherheitslücken, die für komple...