Secure Access Service Edge „Wo SASE draufsteht ist nicht immer SASE drin“

Redakteur: Dr. Stefan Riedl

Mitunter braucht es eine SASE-Lösung eng an der Gartner-Definition, wenn sich die Vorteile der Technologie ausspielen sollen, findet Cato-Manager Johan van den Boogaart. Beispielsweise wenn die große Firewall der chinesischen Regierung eine Rolle spielt.

Firmen zum Thema

Die „große Firewall von China“ wird euphemistisch von der chinesischen Regierung mitunter „Projekt Goldener Schild“ genannt.
Die „große Firewall von China“ wird euphemistisch von der chinesischen Regierung mitunter „Projekt Goldener Schild“ genannt.
(Bild: Li Ding - stock.adobe.com)

Das enorme Wachstum bei Homeoffices und Videokonferenzen hat zu folgender Problematik geführt: Viele Unternehmen, die sich Bandbreite für firmeninternen ­Datenverkehr via MPLS-Leitungen gesichert haben, also dem Multiprotocol Label Switching der Infrastrukturbetreiber wie BT oder Deutsche Telekom, sehen zu, wie sich der Traffic ins normale Internet verlagert. Der Grund: Microsoft 365 oder ­Online-Produktivsysteme sind auf SaaS-Basis ausgelegt uns nutzen das „normale Internet“. Das ist natürlich auch ein Sicherheitsproblem. Ein Lösungsansatz, diesen Internet Traffic zu organisieren, ist der, SD-WAN-Technologie in Kombination mit MPLS-Leitungen einzusetzen. „Doch SD-WAN stößt an seine Grenzen in Hinblick auf Stabilität. Insbesondere, wenn es um Datenübertragung nach Südamerika oder Asien geht und dort insbesondere in Hinblick auf China und der ‚Great Wall of China‘, also der Firewall der chinesischen ­Regierung“, sagt Johan van den Boogaart, Regional Sales Director, Cato Networks. Insgesamt mag die Kombination MPLS und SD-WAN in Deutschland oder Europa für viele Zwecke gut funktionieren, aber was speziell China angeht, treten mitunter arge Verzögerungen auf, so der Manager.

Diese rühren vom Doppeltraffic her, dem so genannten Backhauling, das zu Performance-Problemen führen kann. Mit SASE nach der Definition von Gartner würden sich die Probleme aber lösen lassen.

Was ist SASE?

Johan van den Boogaart, Regional Sales Director, Cato Networks
Johan van den Boogaart, Regional Sales Director, Cato Networks
(Bild: Cato Networks)

Den Begriff SASE – also Secure Access Service Edge – haben die Marktforscher von Gartner eingeführt und machen ihn, laut dem Verständnis von Boogaart, an fünf Kriterien fest: Demnach darf eine SASE-Lösung nicht zusammengestückelt sein – oder wie es Gartner nennt: konvergent sein. Sie muss cloudbasiert und global sein – also nicht beispielsweise auf Deutschland oder Europa begrenzt. Und sie muss alle Edges unterstützen, also Cloud-Instanzen wie von AWS, Azure oder Google Cloud, sowie Mobile User, Standortanbindungen und Rechenzentren. Wo SASE draufsteht sei aber nicht immer SASE drin. „Ich verstehe die Gartner-Definition so, dass eine SASE-Lösung eine konvergente Lösung aus einem Guss sein muss und nicht eine Lösung, bei dem über Chaining von verschiedenen Netzwerk- und Sicherheitslösungen über APIs viele Funktionalitäten zusammengepackt und dann eine Weboberfläche für MSPs darübergelegt wurde“, legt der Cato-Manager dar. Dieses Vorgehen würde nämlich zu Performance-Problemen führen und dazu, dass nicht immer alle Informationen zur Verfügung stehen. Außerdem könne es vorkommen, dass die komplexe Zusammenarbeit der Produkte (beispielsweise bei anstehender Updates) nicht immer rund laufe. „Technische Probleme im Zusammenspiel der Einzellösungen können teilweise schwer verortbar sein und womöglich wird dann auch noch um Verantwortlichkeiten gerungen“, meint Boogaart, der seit 1. Mai 2020 für Cato Networks arbeitet.

Ergänzendes zum Thema
Einordnung:
Alles eine Frage der Definition

Johan van den Boogaart, Regional Sales Director, Cato Networks, macht SASE, also die „Secure Access Service Edge“-Technologie an fünf Kriterien fest, die aus seiner Perspektive die Gartner-Definition ausmachen. Im Paper „Gartner Hype Cycle for Enterprise Networking“ aus dem Jahr 2020 äußern die Marktforscher bereits ­Bedenken in Hinblick auf die Markt­situation. Dort heißt ins Deutsche übersetzt: „In den letzten zwölf Monaten gab es mehr als ein Dutzend SASE-Ankündigungen von Anbietern, die versuchen, ihre Position auf diesem extrem wettbewerbsintensiven Markt abzustecken. Es wird viel Slideware und Marketecture geben, vor ­allem von etablierten Anbietern, die auf das Cloud-basierte ­Delivery-as-a-Service-Modell und die für verteilte PoPs erforderlichen Investitionen schlecht vorbereitet sind.“ Ist nicht alles ­davon ­SASE? Letztlich bleibt das eine Definitionsfrage.

PoPs, Sockets und ein Full-Mesh

Bei der SASE-Lösung seines Arbeitgebers werde mit rund 65 PoPs gearbeitet, also Points of Presence. Das seien nicht nur „irgendwelche Instanzen in einem AWS- oder Azure-­Rechenzentrum, sondern ein Rechenzentrum mit einem Stück Hardware – einer Appliance – von Cato Networks“. Jeder PoP ist mit den Leitungen von zwei bis vier Tier-1-­Providern verbunden, über die ein Full-Mesh zwischen den PoPs realisiert wird. Kunden erhalten für den Zugang zu diesen PoPs eigene SD-WAN-Sockets, über die gesicherte Verbindungen zu diesen aufgebaut werden. Diese Sockets kann man sich wie Router vorstellen, aber ohne Intelligenz. Sie stellen also einfach nur einen verschlüsselten Datenstrom her. Einheitliche Sicherheitsrichtlinien für die so angebundenen Außenstellen, Hyperscaler-Instanzen, Mobilen Usern oder Landesniederlassungen werden über die PoPs realisiert.

Shlomo Kramer und Gur Shatz

Gegründet wurde Cato im Jahr 2015 von Shlomo Kramer und Gur Shatz. Kramer war bereits an der Gründung von Checkpoint und Imperva beteiligt, also den Unternehmen, die die ersten Firewalls und die ersten Web Application Firewalls auf den Markt gebracht haben. Gur Shatz hat Kramer über Imperva kennengelernt, die ein Anti-DDoS Cloud-Netzwerk mit Points of Presents (Pops) entwickelt haben.

(ID:47634805)