Security Service Edge (SSE), die von Gartner Anfang 2021 erstmals vorgestellt wurde, ist eine Cloud-zentrierte konvergierte Lösung eines einzigen Anbieters, die die digitale Transformation beschleunigt, indem sie den Unternehmenszugang zum Internet, zu Cloud-Diensten, Software-as-a-Service und privaten Anwendungen absichert. Sie gilt als wesentliche Komponente für den Aufbau einer Cloud- und Netzwerksicherheit, die in der Lage ist, die Leistung und das Wachstum zu verbessern.
Laut Gartner wird SSE in erster Linie als Cloud-basierter Service bereitgestellt und kann eine Mischung aus lokalen oder agentenbasierten Komponenten umfassen. Zu den Cloud-basierten SSE-Komponenten und -Funktionen gehören:
- Zugangskontrolle
- Schutz vor Bedrohungen
- Datensicherheit
- Überwachung der Sicherheit
- Kontrolle der akzeptablen Nutzung durch netzwerkbasierte und API-basierte Integration
Was ist der Unterschied zwischen SASE und SSE?
Secure Access Service Edge (SASE), von Gartner 2019 vorgestellt, ist die Konvergenz von Netzwerk- und Sicherheitstechnologien in einer einzigen Cloud-Plattform, die eine sichere und schnelle Cloud-Transformation ermöglicht. In dieser nächsten Evolutionsstufe von SASE stellt Gartner einen zweigleisigen Anbieteransatz vor, der eine hochkonvergente Wide Area Network (WAN) Edge Infrastructure-Plattform mit einer hochkonvergenten Sicherheitsplattform zusammenbringt - bekannt als Security Service Edge (SSE).
Security Service Edge (SSE) ist die Sicherheitskomponente von SASE, die alle Sicherheitsservices, einschließlich Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) und Zero Trust Network Access (ZTNA), vereint, um den Zugriff auf das Internet, Cloud-Dienste und private Anwendungen zu sichern. WAN Edge Infrastructure, die Netzwerkkomponente des SASE-Frameworks, konzentriert sich auf das Element der Netzwerkkonnektivität, indem sie die Netzwerkarchitekturen umgestaltet, um eine effizientere Direkt-zu-Cloud-Konnektivität zu ermöglichen.
Innerhalb des SASE-Frameworks werden sowohl Netzwerke als auch Sicherheit auf einheitliche Weise genutzt und als Cloud-Service bereitgestellt. SSE konvergiert mit der WAN Edge Infrastructure zu einer vollständigen SASE-Plattform. Die SSE-Sicherheitsdienste umfassen:
- Cloud Access Security Broker (CASB)
CASB fungiert als Vermittler zwischen Anwendern und Cloud-Service-Anbietern, wenn Unternehmen ihre sensiblen Daten in die Cloud verlagern. Es hilft dabei, die Lücken bei der Datentransparenz, Sicherheit und Compliance zu schließen, die Sicherheitsrichtlinien von der bestehenden Infrastruktur vor Ort zu erweitern und neue Richtlinien für Cloud-spezifische Inhalte zu erstellen. Die integrierte CASB in einem SSE-Modell entdeckt und kontrolliert automatisch Software-as-a-Service (SaaS)-Risiken und dient als API-basierter Sicherheitsprozess zum Scannen von SaaS-Anwendungen auf Daten, Malware und Richtlinienverstöße, während sie User and Entity Behavior Analytics (UEBA) und Funktionen der künstlichen Intelligenz (AI) zur Echtzeit-Bedrohungsabwehr nutzt.
- Secure Web Gateway (SWG)
SWG ist eine Cyberbarriere, die als Kontrollpunkt fungiert und verhindert, dass nicht autorisierter Datenverkehr in das Netzwerk eines Unternehmens gelangt. Eine SWG ermöglicht Benutzern den Zugriff auf zugelassene, sichere Websites und schützt Benutzer vor webbasierten Bedrohungen, indem sie Benutzer und Website miteinander verbindet und gleichzeitig Schutzfunktionen wie URL-Filterung, Web-Sichtbarkeit, Prüfung bösartiger Inhalte und Web-Zugriffskontrollen ausführt.
- Zero Trust Network Access (ZTNA)
ZTNA erzwingt granulare, adaptive und kontextbezogene Richtlinien für den sicheren Zero Trust-Zugriff auf private Anwendungen, die in Clouds und Unternehmensrechenzentren gehostet werden, von jedem beliebigen Standort und Gerät aus. ZTNA ist eine wichtige Voraussetzung für SASE und verwandelt den Sicherheitsbereich in einen dynamischen, richtlinienbasierten, von der Cloud bereitgestellten Randbereich, um die Zugangsanforderungen der digitalen Transformation zu unterstützen.
- Data Loss Prevention (DLP)
DLP ermöglicht die richtlinienbasierte Klassifizierung von Informationsinhalten, die in einem Objekt - in der Regel einer Datei - enthalten sind, während sie gespeichert, verwendet oder über ein Netzwerk bewegt werden. DLP-Tools werden verwendet, um diese Richtlinien in Echtzeit anzuwenden, um den notwendigen Schutz auf sensible Datenelemente auszudehnen und den Zugriff auf und den Fluss von diesen Informationen zu beschränken, insbesondere außerhalb des Unternehmens, wie es die Richtlinien des Unternehmens erfordern.
- Remote Browser Isolation (RBI)
RBI ist eine leistungsstarke Form des Schutzes vor Bedrohungen aus dem Internet, die das Surfen im Internet in einer isolierten Cloud-Umgebung ermöglicht. RBI schützt Benutzer vor Malware oder bösartigem Code, der auf einer Website versteckt sein könnte, und verhindert, dass bösartiger Code auf das Gerät des Endbenutzers gelangt.
- Firewall als Dienstleistung (FWaaS)
FWaaS ist eine Cloud-basierte Firewall-Lösung, die Daten und Anwendungen im Internet schützt. SSE nutzt FWaaS, um den Datenverkehr aus einer Vielzahl von Quellen zu bündeln, darunter Rechenzentren vor Ort, Cloud-Infrastruktur, Zweigstellen und mobile Benutzer. FWaaS sorgt außerdem für eine konsistente Durchsetzung von Anwendungs- und Sicherheitsrichtlinien über alle Standorte und Benutzer hinweg und bietet gleichzeitig eine vollständige Transparenz und Kontrolle des Netzwerks.
Wie kann ich SASE einsetzen und verwalten?
Es gibt zwei Wege, die ein Unternehmen einschlagen kann, um eine effektive SASE-Lösung zu entwickeln:
- Ansatz eines einzigen Anbieters. Prüfen Sie das Angebot eines einzigen Anbieters, der eine WAN-Edge-Infrastruktur und eine SSE-Lösung kombiniert, und beauftragen Sie ihn. Obwohl dieser Ansatz die SASE-Anforderungen für ein Unternehmen erfüllen kann, indem er die Abläufe vereinfacht, kann er den Verzicht auf erweiterte Sicherheitsfunktionen bedeuten, die nur ein SSE-Anbieter bieten kann. Langfristig kann sich das Fehlen fortschrittlicher Sicherheitsfunktionen als kostspieliger erweisen, wenn zusätzliche Lösungen von Sicherheitsanbietern erworben werden müssen, um die Lücken zu schließen.
- Ansatz mit zwei Anbietern. Prüfen Sie eine Lösung mit zwei Anbietern, die eine erstklassige WAN-Edge-Infrastrukturlösung und eine SSE-Sicherheitslösung bietet, die CASB-, SWG-, ZTNA-, RBI- und FWaaS-Komponenten in einem integrierten Angebot vereint. Dieser Zwei-Anbieter-Ansatz vereinfacht und rationalisiert die Systembereitstellung, Verwaltung und Wartung langfristig.
Was sind die Vorteile von SSE?
Da die Anforderungen von Außendienstmitarbeitern und Kunden immer größer werden, stehen Unternehmen vor der Herausforderung, die Komplexität ihrer Sicherheitsstrategie zu verringern und gleichzeitig die Sicherheit und die Benutzerfreundlichkeit zu verbessern. Security Service Edge (SSE) konsolidierte Technologien haben sich als effektiv erwiesen, um die Komplexität des Endpunktschutzes zu verringern und gleichzeitig die Sicherheit von Cloud-Diensten im gesamten Unternehmen zu erhöhen.
Eine vollständige SSE-Strategie bietet Unternehmen ein umfassendes Paket an Sicherheitstechnologien, die Mitarbeitern und Interessengruppen Vorteile bieten - vor Ort und aus der Ferne:
- Direkter, sicherer Internetzugang zu Anwendungen, Tools, Daten und Ressourcen von jedem Ort der Welt aus, bei gleichzeitiger Reduzierung des Datenverkehrs für unbefugte Zugriffe, Daten, Risiken und Bedrohungen, wobei der Datenverkehr nicht mehr über das Rechenzentrum zurück geleitet werden muss.
- Schnellere, sichere und effizientere Konnektivität zu Web-, Cloud- und privaten Anwendungen beim Zugriff auf Anwendungsressourcen von jedem Benutzer, jedem Gerät und überall
- Überwachung und Verfolgung des Verhaltens von Benutzern, die auf das Netzwerk zugreifen
- Bedrohungsabwehr innerhalb der Cloud und von jedem beliebigen Webziel aus, die sowohl Cloud-native Angriffe als auch fortgeschrittene Malware erkennt
- Datenschutz über das Internet, innerhalb der Cloud und beim Wechsel von der Cloud in die Cloud
- Ermöglichung eines sicheren Zero Trust-Zugriffs auf Daten und Anwendungen auf der Grundlage von Benutzeridentität, Kontext und am wenigsten privilegiertem Zugriff
Was sind die wichtigsten Herausforderungen, denen SSE begegnet?
SSE befasst sich mit den grundlegenden Sicherheitsherausforderungen von Remote-Arbeit, digitalem Business Enablement und Cloud-Transformation. Mit der zunehmenden Verbreitung von SaaS, PaaS und IaaS befinden sich immer mehr Daten außerhalb des Rechenzentrums, die Benutzer arbeiten zunehmend an entfernten Standorten, und die VPNs sind langsam und oft leicht auszunutzen. All dies ist mit herkömmlichen Netzwerkarchitekturen nur schwer zu sichern.
SSE hilft Unternehmen bei wichtigen Anwendungsfällen:
- Vereinfachung von Verwaltung und Management von Sicherheitskontrollen.
Unternehmen müssen Cloud- und On-Premises-Umgebungen mit einem Flickenteppich unterschiedlicher und uneinheitlicher Sicherheitskontrollen verwalten, die je nach Cloud-Anbieter und On-Premise-Infrastruktur variieren. SSE trägt dazu bei, Kosten und Komplexität zu reduzieren, und ermöglicht eine vereinfachte Übernahme und Bereitstellung von Richtlinien in lokalen, Cloud- und Remote-Arbeitsumgebungen.
- Ersetzen von VPNs zum Schutz von Mitarbeitern, die von unterwegs auf private Anwendungen zugreifen.
Unternehmen müssen eine sicherere Lösung implementieren, um sich vor der rasanten Zunahme von Remote-Mitarbeitern zu schützen, die in stark gefährdeten Umgebungen auf private Anwendungen zugreifen. VPNs stellen ein inhärentes Sicherheitsrisiko dar, da sie implizit einen uneingeschränkten, vertrauensbasierten Zugriff auf das gesamte Unternehmensnetzwerk gewähren, sobald sie authentifiziert sind. Die ZTNA-Fähigkeit von SSE ermöglicht einen granularen Ressourcenzugriff, der jedem Benutzer an jedem Ort die entsprechenden Zugriffsrechte einräumt.
- Vorbeugung von fortgeschrittener Malware und Ransomware zum Schutz von Internetnutzern.
Unternehmen müssen fortschrittliche Malware und andere Bedrohungen erkennen und abwehren. Viele moderne Angriffe nutzen Techniken wie Social Engineering, um die Funktionen von Cloud-Anbietern auszunutzen und das Benutzerverhalten mit legitimen Anmeldedaten zu imitieren. Die SWG-Fähigkeit von SSE hilft dabei, indem sie eine Inline-Cyberbarriere bereitstellt, die für die Überwachung des Web-Datenverkehrs und die Verhinderung von nicht autorisiertem Datenverkehr verantwortlich ist.
- Transparenz und Kontrolle über SaaS-Anwendungen.
Unternehmen benötigen Transparenz und Kontrolle über Daten, auf die in der Cloud zugegriffen wird und die dort gespeichert sind. Gleichzeitig müssen sie diese Daten schützen und Bedrohungen in der Cloud von einem einzigen, Cloud-nativen Durchsetzungspunkt aus stoppen. Die CASB-Fähigkeit von SSE bietet Multi-Mode-Unterstützung, indem sie granulare Richtlinien zur Überwachung und Regulierung des Zugriffs auf genehmigte und nicht genehmigte Cloud-Dienste durchsetzt.
- Schutz sensibler Daten an jedem Ort.
Unternehmen benötigen den Schutz von Daten, die sich außerhalb des Sicherheitsbereichs des Perimeters befinden oder sich vollständig dorthin bewegen, damit sie auf sichere Weise verwendet, weitergegeben und abgerufen werden können. Die DLP-Fähigkeit von SSE bietet einen zentralisierten und einheitlichen Ansatz für den Datenschutz, bei dem Datenklassifizierungen einmalig festgelegt und in Richtlinien für das Web, die Cloud und die Endpunkte angewendet werden.