Zum Hauptinhalt springen

Eine kurze Erklärung des Security Service Edge (SSE)

Veröffentlicht am:
.
12 Minuten Lesezeit
.
Für die Englische Version

IT-Leiter haben erkannt, dass es keinen Sinn mehr macht, den Benutzerverkehr in ein Unternehmensnetzwerk zurückzuführen, da immer mehr Benutzer aufgrund von Hybridarbeit, der verstärkten Nutzung von SaaS-Anwendungen wie Office 365, Salesforce usw. und der Migration privater Anwendungen in die öffentliche Cloud außerhalb des Unternehmensperimeters arbeiten. Infolgedessen streben viele IT-Führungskräfte an, herkömmliche Netzwerksicherheitsgeräte wie Firewalls, Web-Gateway-Geräte, VPN (Virtual Private Network)-Gateway-Geräte usw. zu ersetzen, um den Datenschutz zu verbessern, die Benutzererfahrung zu optimieren und die Unternehmensausgaben zu minimieren. Security Service Edge (SSE)-Plattformen sind der zeitgemäße Ersatz für herkömmliche Netzwerksicherheitssysteme.

Security Service Edge (SSE), das erstmals Anfang 2021 von Gartner eingeführt wurde, ist eine cloud-zentrierte, konvergente Lösung, die die digitale Transformation beschleunigt, indem sie den Unternehmenszugang zum Web, zu Cloud-Diensten, Software-as-a-Service und privaten Anwendungen sichert. Es wird als wesentlicher Bestandteil für den Aufbau von Cloud- und Netzwerksicherheit angesehen, die eine verbesserte Leistung und Wachstum ermöglichen kann. Durch Cloud-Dienste bieten sie sicheren Zugang zum Standort des Benutzers, ohne die Benutzer mit dem Unternehmensnetzwerk zu verbinden, Anwendungen oder IT-Infrastruktur dem Internet auszusetzen oder eine komplexe Netzwerksegmentierung zu erfordern. Stattdessen ermöglicht eine Security Service Edge (SSE) Plattform der IT, Endbenutzern sicheren Zugriff auf private Anwendungen von jedem Standort aus zu gewähren, sicher auf das Internet zuzugreifen und sofort auf arbeitsbezogene SaaS-Dienste zuzugreifen.

In diesem Artikel werden wir die folgenden Themen behandeln:

  • Was bedeutet Security Service Edge?

  • Was sind die Kernkomponenten von SSE?

  • Warum benötigen Sie Security Service Edge?

  • Welche Herausforderungen werden durch SSE gelöst?

  • Was sind die Vorteile von SSE?

  • Was sind die Anwendungsfälle von SSE?

  • Wie wählt man eine SSE-Lösung aus?

  • Wie implementiert man eine SSE-Lösung?

  • Was sind die besten Praktiken für die SSE-Bereitstellung?

  • Was sind die Unterschiede zwischen SSE und SASE?

Was bedeutet Security Service Edge?

Security Service Edge (SSE), die Sicherheitskomponente von SASE (Secure Access Service Edge), ist eine cloudbasierte Konvergenz von Netzwerksicherheitsdiensten. Gartner erwähnte SSE als ein aufkommendes Cybersicherheitskonzept in seinem Bericht zur Roadmap für die SASE-Konvergenz 2021. SSE ist eine Untergruppe von SASE, die sich darauf konzentriert, den sicheren Zugang zum Web und zu cloudbasierten Anwendungen zu erleichtern, mit wesentlichen Funktionen wie SWG, ZTNA, FWaaS und CASB. SSE wird hauptsächlich als cloudbasierter Dienst bereitgestellt und umfasst On-Premises- oder agentenbasierte Komponenten. Die folgenden sind cloudbasierte SSE-Komponenten und -Funktionen:

  • Bedrohungsverhütung

  • Zugangskontrolle

  • Sicherheitsüberwachung

  • Datensicherheit

  • Netzwerkbasierte Nutzungskontrolle und API-basierte Integration

Was sind die Kernkomponenten von SSE?

Die Sicherheitsdienste von Security Service Edge (SSE) sind wie folgt:

  • Sicheres Web-Gateway (SWG): SWG ist eine Cyberbarriere, die verhindert, dass illegaler Datenverkehr auf das Netzwerk eines Unternehmens zugreift, indem sie als Kontrollpunkt fungiert. Ein SWG ermöglicht es Benutzern, autorisierte, sichere Websites zu besuchen und schützt sie vor webbasierten Gefahren, indem es den Benutzer und die Website verbindet und dabei Schutzmaßnahmen wie URL-Filterung, Web-Sichtbarkeit, Inspektion schädlicher Inhalte und Web-Zugriffsbeschränkungen durchführt.

  • Cloud Access Security Broker (CASB): Da Unternehmen ihre sensiblen Vermögenswerte in die Cloud verlagern, fungiert CASB als Vermittler zwischen Benutzern und Cloud-Dienstanbietern, indem es die Lücken in der Datenansicht, Sicherheit und Compliance schließt, Sicherheitsrichtlinien von bestehender On-Premises-Infrastruktur erweitert und neue Richtlinien für cloud-spezifische Inhalte erstellt. Integrierte CASB in einem SSE-Modell entdeckt und kontrolliert automatisch Software-as-a-Service (SaaS) Risiken und dient als API-basierter Sicherheitsprozess zum Scannen von SaaS-Anwendungen auf Daten, Malware und Richtlinienverstöße, während es User and Entity Behavior Analytics (UEBA) und künstliche Intelligenz (KI) für die Echtzeit-Bedrohungserkennung nutzt.

  • Data Loss Prevention (DLP): DLP ermöglicht die richtlinienbasierte Kategorisierung von Informationsinhalten innerhalb eines Objekts, oft einer Datei, sei es im Speicher, bei der Nutzung oder im Netzwerkverkehr. Je nach den Regeln des Unternehmens werden DLP-Lösungen verwendet, um diese Richtlinien in Echtzeit anzuwenden, um angemessenen Schutz für sensible Datenkomponenten zu gewährleisten und den Zugang zu diesen Informationen sowie deren Flüsse, insbesondere außerhalb des Unternehmens, zu beschränken.

  • Zero Trust Network Access (ZTNA): Zero Trust Network Access (ZTNA) erzwingt granulare, adaptive und kontextbewusste Regeln, um sicheren Zero Trust-Zugriff von jedem entfernten Gerät auf private Anwendungen, die in Clouds und Unternehmensrechenzentren gehostet werden, zu ermöglichen. ZTNA ist ein entscheidender Enabler für Secure Access Service Edge (SASE), der den Sicherheitsperimeter in eine dynamische, richtliniengesteuerte, cloud-basierte Edge verwandelt, um die Zugangsbedürfnisse der digitalen Transformation zu erfüllen.

  • Firewall als Dienst (FWaaS): FWaaS ist ein cloudbasierter Firewall-Dienst, der Online-Daten und Anwendungen schützt. SSE nutzt FWaaS, um den Datenverkehr aus mehreren Quellen zu aggregieren, einschließlich lokaler Rechenzentren, Cloud-Infrastruktur, Niederlassungen und mobiler Benutzer. FWaaS bietet auch eine einheitliche Durchsetzung von Anwendungs- und Sicherheitsrichtlinien an allen Standorten und für alle Benutzer sowie vollständige Netzwerktransparenz und -verwaltung.

  • Remote Browser Isolation (RBI): RBI ist eine effektive Methode zur Verhinderung von Online-Bedrohungen, die das Surfen im Internet in einer Cloud-Umgebung isoliert. RBI schützt Verbraucher vor jeglicher Malware oder schädlichem Code, der auf einer Website verborgen sein könnte, und verhindert, dass schädlicher Code das Endgerät des Benutzers erreicht.

Warum benötigen Sie Security Service Edge?

Als Lösung für grundlegende Schwierigkeiten in der Cloud, sicheres Edge-Computing, Remote-Arbeit und digitale Transformation wächst Security Service Edge (SSE) schnell. Da Unternehmen Infrastruktur und Software als Dienstleistung (IaaS, SaaS) sowie Cloud-Anwendungen bereitstellen, wird ihre Daten weiter außerhalb der lokalen Rechenzentren verteilt. Darüber hinaus sind immer mehr Benutzer der Organisation mobil und remote, sie greifen von überall und über jede Verbindung auf Anwendungen und Daten zu. Traditionelle Netzwerksicherheitsmaßnahmen machen es schwierig, Cloud-Anwendungen und mobile Benutzer zu sichern. Die Hauptnachteile traditioneller Netzwerksicherheitslösungen sind wie folgt:

  • Die Verwaltung und Wartung der Hardware erhöhen die Kosten konventioneller Rechenzentrumsysteme.

  • Aufgrund fehlender Patches sind VPNs ausnutzbar.

  • Das Weiterleiten des Benutzerverkehrs zu einem Rechenzentrum zur Untersuchung über ein reguläres VPN verlangsamt alles.

  • Altsysteme, die im Rechenzentrum verankert sind, können Benutzerverbindungen zu Cloud-Anwendungen nicht verfolgen.

  • Um die Sache noch schlimmer zu machen, haben sich moderne Sicherheitsstacks in Rechenzentren zu einer Sammlung komplizierter, schwer zu integrierender Punktprodukte entwickelt. Diese Komplexität schafft Lücken zwischen separaten Sicherheitssystemen, was die Gefahr von Ransomware-Angriffen und anderen ausgeklügelten Bedrohungen erhöht.

Mit dem Wachstum der hybriden Belegschaft müssen entfernte und mobile Benutzer sowie die Daten und Anwendungen, auf die sie zugreifen, gesichert werden. Eine umfassende SSE-Lösung stattet Organisationen mit dem vollständigen Satz an Sicherheitstechnologien aus, der erforderlich ist, um Mitarbeitern, vertrauenswürdigen Partnern und Auftragnehmern sicheren Remote-Zugriff auf Anwendungen, Daten, Tools und andere Unternehmensressourcen zu ermöglichen, sowie das Benutzerverhalten zu überwachen und zu verfolgen, sobald sie auf das Netzwerk zugegriffen haben.

Welche Herausforderungen werden durch SSE gelöst?

SSE adressiert die grundlegenden Sicherheitsbedenken im Zusammenhang mit der digitalen Geschäftsermöglichung, der Remote-Arbeit und dem Übergang zur Cloud. Mit der zunehmenden Nutzung von PaaS, SaaS und IaaS gibt es mehr Daten außerhalb des Rechenzentrums, mehr Benutzer arbeiten remote, und VPNs sind typischerweise langsam und angreifbar. Mit veralteten Netzwerk-Topologien ist es unmöglich, all dies zu schützen. SSE unterstützt Organisationen dabei, die folgenden wichtigen Anwendungsfälle zu bewältigen:

  • Um den Zugriff von Remote-Mitarbeitern auf private Apps zu sichern, werden VPNs ersetzt: Um den Zugriff von Remote-Mitarbeitern auf private Anwendungen zu schützen, werden VPNs ersetzt: Um sich gegen die schnelle Entwicklung von Remote-Mitarbeitern zu verteidigen, die private Anwendungen in äußerst sensiblen Situationen nutzen, müssen Unternehmen eine sicherere Lösung installieren. Um sich gegen die schnelle Entwicklung von Remote-Mitarbeitern zu verteidigen, die in äußerst sensiblen Situationen private Anwendungen nutzen, müssen Unternehmen eine sicherere Lösung installieren. Nach der Authentifizierung bieten VPNs von Natur aus unbegrenzten, vertrauensbasierten Zugang zum gesamten Unternehmensnetzwerk. ZTNA ist eine Funktion von SSE, die einen granularen Ressourcenzugriff ermöglicht und den jeweiligen Benutzern überall die angemessenen Zugriffsrechte gewährt.

  • Bereitstellung von Kontrolle und Einblick über SaaS-Anwendungen: Organisationen wollen Sichtbarkeit und Kontrolle über Daten, die in der Cloud zugegriffen und gespeichert werden, sowie Schutz vor cloud-basierten Risiken von einem zentralen, cloud-nativen Durchsetzungspunkt. Die CASB-Funktionalität von SSE bietet Multi-Mode-Unterstützung, indem sie granulare Kontrollen auferlegt, um den Zugriff auf genehmigte und nicht genehmigte Cloud-Dienste zu überwachen und zu steuern.

  • Die Verwaltung und Wartung von Sicherheitsmaßnahmen sind vereinfacht: Organisationen müssen Cloud- und On-Premises-Umgebungen mit einem Durcheinander von Sicherheitsmaßnahmen verwalten, die je nach Cloud-Anbieter und On-Premises-Technologie variieren. Security Service Edge konsolidiert Sicherheitsfunktionen in einer einzigen, integrierten und cloudbasierten Lösung, wodurch die Betriebseffizienz verbessert wird. Dies erleichtert es den Sicherheitsteams, Sicherheitssysteme zu installieren, zu konfigurieren, zu überwachen und zu verwalten, wodurch die Effizienz erhöht und die betriebliche Belastung verringert wird. Ein Cloud-Sicherheitsanbieter übernimmt routinemäßige Aufgaben wie das Erstellen von Backups und die Aufrechterhaltung hoher Verfügbarkeit und Redundanz. SSE reduziert Kosten und Komplexität, wodurch die Einführung und Umsetzung von Richtlinien in On-Premises-, Cloud- und Remote-Arbeitsumgebungen optimiert werden kann.

  • Schutz vertraulicher Informationen an jedem Ort: Organisationen verlangen die sichere Nutzung, Weitergabe und den Zugriff auf Informationen, die sich außerhalb des Sicherheitsperimeters befinden oder reisen. Die Data Loss Prevention (DLP)-Funktionalität von SSE bietet einen zentralisierten und einheitlichen Ansatz für Datensicherheit, bei dem Datenklassifizierungen einmal festgelegt und über die Cloud, das Web und Endpunkte hinweg durchgesetzt werden.

  • Um Webnutzer zu schützen, müssen ausgeklügelte Malware und Ransomware verhindert werden: Die Erkennung und Minderung von ausgeklügelter Malware und anderen Bedrohungen sind für Unternehmen notwendig. Zahlreiche aktuelle Angriffe nutzen Social-Engineering-Taktiken, um die Fähigkeiten von Cloud-Anbietern auszunutzen und das Benutzerverhalten mit authentischen Anmeldeinformationen zu imitieren. Die SWG (Secure Web Gateway)-Funktion von SSE hilft, indem sie eine Inline-Cyberbarriere bereitstellt, die für das Blockieren illegaler Online-Verkehr und das Überwachen des Webverkehrs verantwortlich ist.

Was sind die Vorteile von SSE?

Da der Bedarf an einer Remote-Belegschaft und Kundenbasis gewachsen ist, haben Unternehmen darum gekämpft, die Komplexität ihrer Sicherheitsstrategie zu reduzieren und gleichzeitig die Sicherheit und Benutzererfahrung zu verbessern. Security Service Edge (SSE)-Lösungen haben sich als vorteilhaft erwiesen, um die Komplexität des Endpunktschutzes zu reduzieren und die unternehmensweite Sicherheit von Cloud-Diensten zu verbessern.

Eine umfassende SSE-Strategie bietet Organisationen eine breite Palette von Sicherheitslösungen, die vor Ort und aus der Ferne Vorteile für Mitarbeiter und Stakeholder bieten:

  • Zero-Trust-Zugriff: SSE-Systeme (zusammen mit SASE) sollten einen Zugriff mit minimalen Berechtigungen basierend auf einer Zero-Trust-Policy ermöglichen, einschließlich Benutzer-, Geräte-, Anwendungs- und Inhaltsauthentifizierung. Eine sicherere Remote-Erfahrung wird erreicht, indem Benutzer und Anwendungen über das Internet und nicht über Ihr Netzwerk verbunden werden. Bedrohungen können sich nicht seitlich bewegen, und Anwendungen sind nicht über das Internet zugänglich, sodass sie nicht identifiziert werden können. Dies verringert Ihre Angriffsfläche und Ihr Risiko.

  • Bessere Risikominderung: SSE bietet die Bereitstellung einheitlicher Cybersicherheitsdienste von einer Cloud-Plattform, die nicht netzgebunden ist und Benutzer-zu-App-Interaktionen überall verfolgen kann. Dies beseitigt die oft gesehenen Lücken zwischen Punktlösungen und verringert somit das Risiko. SSE verbessert auch die Sichtbarkeit für alle Benutzer und Daten unabhängig von Standort oder Zugriffsweg. Darüber hinaus erzwingt SSE automatisch Sicherheitsupdates in der gesamten Cloud, wodurch die Verzögerungszeit, die mit der menschlichen IT-Verwaltung verbunden ist, entfällt.

  • Benutzererfahrung: Eine erfolgreiche SSE-Architektur muss über eine globale Verteilung von Rechenzentren verstreut sein, anstatt in IaaS untergebracht zu werden, und muss speziell für die Inspektion in jedem Rechenzentrum entwickelt sein. Entschlüsselung und Inspektion, die näher an den Endbenutzern durchgeführt werden, einschließlich TLS/SSL-Inspektion, erhöhen die Geschwindigkeit und minimieren die Latenz. SSE bietet eine schnellere, sicherere und effizientere Konnektivität zum Web, zur Cloud und zu privaten Anwendungen, wenn auf Anwendungsressourcen von jedem Benutzer, auf jedem Gerät, überall zugegriffen wird. Kombiniert mit Peering über die gesamte Plattform bietet dies mobilen Nutzern das optimale Erlebnis, indem VPNs eliminiert und ein reibungsloser, schneller Zugriff auf Cloud-Anwendungen ermöglicht wird.

  • Konsolidierungs Vorteile: Eine cloud-basierte, einheitliche Plattform minimiert Kosten und Komplexität. SSE bietet zahlreiche wesentliche Dienste an, darunter CASB, SWG, ZTNA, Cloud-Firewall (FWaaS), Cloud-Datenverlustprävention (DLP), Cloud-Sandbox, Cloud-Sicherheitsmanagement (CSPM) und Remote-Browser-Isolation (RBI), die später aktiviert werden können, wenn sie zunächst nicht erforderlich sind. Alle Schutzmaßnahmen unter einer einzigen Richtlinie zu vereinen, garantiert, dass alle Kanäle, die Ihre Benutzer und Daten durchlaufen, das gleiche Sicherheitsniveau haben.

  • Best-in-Class SASE: Mit zwei separaten Funktionen, SD-WAN und SSE, können Organisationen die optimalen Netzwerk- und Sicherheitsfunktionen für ihre SASE-Architektur basierend auf ihren spezifischen Anforderungen auswählen. Darüber hinaus ermöglichen moderne SD-WAN-Lösungen Unternehmen, über SASE hinauszugehen und IoT-Geräte zu schützen, indem sie Funktionen der nächsten Firewall-Generation (NGFW) integrieren, die das Netzwerk dynamisch basierend auf Rolle und Identität partitionieren.

  • Kostenwirksamkeit und Skalierbarkeit: SSE ermöglicht es Unternehmen, Sicherheits- und Netzwerkoperationen zu integrieren, wodurch ihre Netzwerk-Infrastruktur optimiert wird. Die Vereinheitlichung der Sicherheitsgeräte an jedem Standort beseitigt die Notwendigkeit für einzelne Geräte, wodurch die Ausgaben für Hardware, Wartung und Verwaltung verringert werden. Darüber hinaus bietet SSE den Vorteil der Skalierbarkeit, wodurch Unternehmen sich problemlos an sich ändernde Geschäftsanforderungen anpassen können, ohne wesentliche Änderungen an ihrer Infrastruktur vornehmen zu müssen.

  • Vereinfachte Sicherheitsinfrastruktur: SSE zielt darauf ab, das Sicherheitsdesign und -management zu optimieren, indem mehrere Sicherheitsaktivitäten auf einer einheitlichen Plattform zusammengeführt werden, wodurch die Komplexität bei der Verwaltung mehrerer Punktlösungen verringert wird.

Was sind die Anwendungsfälle von SSE?

Die häufigsten Anwendungsfälle von SSE werden im Folgenden erläutert:

  • Bedrohungen identifizieren und bekämpfen: Die Einführung von SSE und, in geringerem Maße, SASE wird durch die Notwendigkeit vorangetrieben, Risiken zu erkennen und erfolgreiche Angriffe über das Internet und Cloud-Dienste zu verhindern. Da Endbenutzer von überall auf Anwendungen und Daten zugreifen können, müssen Unternehmen eine robuste Strategie gegen Malware, Phishing und andere Risiken haben. Ihre SSE-Plattform muss ausgeklügelte Bedrohungsschutzfunktionen wie eine Cloud-Firewall, eine Cloud-Sandbox, Malware-Erkennung und RBI umfassen. CASBs ermöglichen die Datenanalyse innerhalb von SaaS-Anwendungen und erkennen und quarantänisieren vorhandene Malware, bevor sie Schaden anrichten kann. Wichtig sind auch adaptive Zugriffskontrollmethoden, die die Geräteposition des Endbenutzers identifizieren und den Zugriff automatisch ändern können.

  • Sicherer Zugriff auf Cloud-Dienste und Webnutzung: Historisch durch ein SWG erreicht, ist die Kontrolle des Benutzerzugriffs auf das Internet und Cloud-Apps ein Hauptanwendungsfall für SSE. Die Kontrolle der SSE-Richtlinie mindert das Risiko, wenn Endbenutzer Materialien im Netzwerk und außerhalb des Netzwerks konsumieren. Compliance mit den Unternehmensvorschriften für Internet und Zugangskontrolle ist ein Haupttreiber für diesen Anwendungsfall. Eine weitere wesentliche Fähigkeit ist das Cloud Security Posture Management (CSPM), das Ihre Organisation vor unsicheren Fehlkonfigurationen schützt, die zu Sicherheitsverletzungen führen können.

  • Identifizieren und schützen Sie sensible Daten: SSE integriert wichtige Datensicherheitstechnologien, um Ihnen zu helfen, sensible Daten über alle Datenkanäle hinweg mit größerer Sichtbarkeit zu lokalisieren und zu regulieren. Cloud DLP bietet die einfache Entdeckung, Klassifizierung und den Schutz sensibler Daten, um Branchenstandards und andere Compliance-Vorgaben zu erfüllen. SSE vereinfacht die Datensicherheit weiter, da DLP-Regeln einmal erstellt und über CASBs auf Inline-Verkehr und ruhende Daten in Cloud-Anwendungen angewendet werden. Die effizientesten SSE-Systeme umfassen eine leistungsstarke TLS/SSL-Inspektion, um verschlüsselten Datenverkehr zu bewältigen. Für diesen Anwendungsfall ist die Erkennung von Shadow IT unerlässlich, da sie es Unternehmen ermöglicht, genehmigte oder gefährliche Apps auf allen Endpunkten einzuschränken.

  • Fernmitarbeiter verbinden und schützen: Der moderne Remote-Arbeiter benötigt VPN-freien Zugang zu Cloud-Diensten und privaten Apps. Die Sicherheitsimplikationen, einen Benutzer in ein flaches Netzwerk zu setzen, werden beseitigt, indem der Zugriff auf Apps, Daten und Inhalte gewährt wird, ohne den Zugriff auf das Netzwerk zu ermöglichen. Es ist unerlässlich, sicheren Zugang zu Anwendungen zu gewähren, ohne Firewall-ACLs öffnen oder Anwendungen dem Internet aussetzen zu müssen. SSE-Systeme sollten eine native Inside-Out-App-Verbindung ermöglichen, während sie Anwendungen in Bezug auf das Internet "schwarz" halten. Eine ZTNA-Strategie sollte Skalierbarkeit über ein weltweites Netzwerk von Zugangspunkten bieten und allen Benutzern unabhängig von den Verbindungsanforderungen die schnellste Erfahrung ermöglichen.

Wie wählt man eine SSE-Lösung aus?

Betrachten Sie eine SSE-Plattform, die schnelle, skalierbare Sicherheit und ein reibungsloses Benutzererlebnis auf Basis von Zero Trust bietet. Sie sollten ein SSE-System bereitstellen, das über die folgenden Fähigkeiten verfügt:

  • Zero-Trust-Architektur von Grund auf implementiert: Der Zugang sollte durch die Identität des Benutzers geregelt werden, und Benutzer sollten niemals in Ihr Netzwerk aufgenommen werden. Berücksichtigen Sie cloud-native Anbieter, die Zero-Trust-Zugriff für alle Benutzer, Geräte, IoT, Cloud-Anwendungen und Workloads anbieten. Ein Anbieter mit einem großen globalen Netzwerk von Rechenzentren bietet eine positive Benutzererfahrung ohne die Notwendigkeit eines VPN. Da Skalierbarkeit für die Produktivität von Remote-Nutzern unerlässlich ist, muss der ZTNA-Ansatz Ihres Anbieters für SSE eine Erfolgsbilanz bei großen weltweiten Implementierungen aufweisen.

  • Für eine schnelle Benutzer- und Cloud-Anwendungserfahrung entwickelt: Schneller und sicherer Zugriff erfordert eine cloud-native Architektur, die über eine globale Präsenz von Rechenzentren verteilt ist. SSE-Systeme, die für die Inspektion in jedem Rechenzentrum und nicht nur in IaaS-Clouds konzipiert sind, garantieren, dass die Echtzeit-Inhaltsinspektion und Sicherheit die Benutzer unabhängig von ihrem Standort nicht verlangsamen. Sie sollten nach SSE-Anbietern mit robustem Service-Provider-Peering suchen, um sicherzustellen, dass die Cloud-Anwendungserfahrung optimal bleibt.

  • Für eine schnelle Benutzer- und Cloud-Anwendungserfahrung gebaut: Schneller und sicherer Zugriff erfordert eine cloud-native Architektur, die über eine globale Präsenz von Rechenzentren verteilt ist. SSE-Systeme, die für die Inspektion in jedem Rechenzentrum und nicht nur in IaaS-Clouds konzipiert sind, garantieren, dass die Echtzeit-Inhaltsinspektion und Sicherheit die Benutzer unabhängig von ihrem Standort nicht verlangsamen. Sie sollten nach SSE-Anbietern mit robustem Service-Provider-Peering suchen, um sicherzustellen, dass das Cloud-Anwendungserlebnis optimal bleibt.

  • Steigende Innovation bei der SSE-Erweiterung: Die Einfachheit, neue cloudbasierte Sicherheitsfunktionen und -dienste bereitzustellen, garantiert die Langlebigkeit einer erfolgreichen SSE-Plattform. Die Überwachung der digitalen Erfahrung beispielsweise wird zu SSE als ein Werkzeug für die IT, um schnell Probleme bei der Benutzer-zu-Cloud-Anwendungs-Konnektivität zu entdecken. Laut dem SASE-Design ist die Konsolidierung von Netzwerkdiensten in Verbindung mit einer SSE-Plattform unerlässlich. Dies bietet robuste Verbindungsunterstützung für SD-WAN-Dienste, Multi-Cloud-Konnektivität und lokale Konnektivität für Niederlassungen. Konzentrieren Sie sich auf SASE-Anbieter, die SSE Innovation vorantreiben, um sicherzustellen, dass Sie, während sich Ihr Cloud-Ökosystem weiterentwickelt, ohne zusätzliche Komplexität erweitern können.

  • Skalierbare Inline-Proxy-Inspektionskapazität: Im Gegensatz zu herkömmlichen Passthrough-Firewalls beendet die Proxy-Inspektion beide Verbindungen, sowohl vom Gerät als auch von der Cloud-Anwendung, und überprüft den gesamten Datenverkehr, bevor er ihn passieren lässt. Konzentrieren Sie sich auf SSE-Systeme, die in der Lage sind, weltweit Inhalte zu liefern und TLS/SSL-Inspektionen durchzuführen. Da die Inline-Inspektion oft bei mission-kritischen Kommunikationen durchgeführt wird, können Störungen schwerwiegende Folgen haben. Stellen Sie sicher, dass der SSE-Anbieter, den Sie wählen, über starke Service-Level-Agreements (SLAs) verfügt und Erfahrung in der Bewertung von Inline-Verkehr für große multinationale Unternehmen hat.

  • Einzelanbieter für SSE: Durch die Verwendung eines einzigen Anbieters können Sie Probleme wie umfangreiche Richtlinienverwaltung, verschiedene Benutzeroberflächen und mögliche architektonische Konflikte umgehen. Priorisieren Sie vollständig cloud-basierte SSE-Systeme gegenüber hardwarebasierten. Nicht alle SSE-Dienste sind vollständig cloud-basiert; einige bestehen nur aus virtuellen Appliances oder physischer Hardware. Die Überprüfung, dass jede Dienstleistung cloud-basiert ist, hilft Ihnen, die Ausrüstungskosten zu senken, automatisch durch die Cloud zu wachsen und eine bessere Benutzererfahrung durch zusätzliche Punkte der Präsenz zu bieten.

  • Digital Experience Monitoring (DEM): Die Benutzererfahrung darf nicht durch Sicherheit beeinträchtigt werden. DEM-Lösungen ermöglichen es Netzwerkoperationen, Hop-by-Hop-Daten für Benutzer zu überwachen, die sich mit SaaS- und privaten Anwendungen verbinden. Dies ermöglicht es ihnen, mehr Einblick in die Benutzererfahrung zu geben und die durchschnittliche Zeit zur Lösung von Supportproblemen zu verkürzen, indem sie die genaue Ursache von Benutzerunterbrechungen identifizieren.

Wie implementiert man eine SSE-Lösung?

Unternehmen haben zwei Optionen für die Gestaltung und Implementierung einer erfolgreichen SSE:

  • Multi-Vendor-Methode: Unternehmen bewerten verschiedene Anbieter für jedes wesentliche Sicherheitstechnologie-Set und setzen dann interne oder externe Ressourcen ein, um diese Fähigkeiten in eine einheitliche SSE-Lösung zu integrieren. Während diese Methode Unternehmen ihre bevorzugten Fähigkeiten oder Funktionen für alle Bedürfnisse bietet, setzt sie sie sowohl zum Zeitpunkt der Implementierung als auch langfristig erheblichen Integrationskosten aus. Zusätzlich zur Verwaltung vieler Lieferantenbeziehungen und ihrer jeweiligen SLAs erfordert diese Strategie eine umfangreiche Verwaltung und Überwachung, um sicherzustellen, dass alle Produkte und Dienstleistungen weiterhin als einheitliche Plattform funktionieren.

  • Einzelanbieter-Methode: Unternehmen können Anbieter bewerten, die vollständige Sicherheitssysteme mit allen erforderlichen SSE-Funktionen, FWaaS, CASB, SWG und ZTNA bereits integriert anbieten. Diese Methode beseitigt sofort die Verwaltungs- und Integrationskomplikationen, die mit der Multi-Vendor-Methode verbunden sind. Es vereinfacht die Systemwartung und Fehlersuche während des gesamten Lebenszyklus des Systems.

Was sind die besten Praktiken für die SSE-Bereitstellung?

Best Practices für die Implementierung von Security Service Edge (SSE) werden im Folgenden erläutert:

  • Planen Sie eine schrittweise SSE-Migration: SSE erfordert die Implementierung von SWG-, CASB- und ZTNA-Technologien, die jeweils umfangreiche Planungs- und Migrationsaufwände erfordern. Planen Sie, Benutzer, Geräte, Daten und Anwendungen schrittweise zu SSE zu migrieren, wie es bei jeder bedeutenden technologischen Veränderung ratsam ist. Entwickeln und führen Sie ein bescheidenes Pilotprojekt durch, um die Hauptschwierigkeiten zu identifizieren und zu lösen. Dann erweitern Sie den Pilotversuch schrittweise, um mehr Personen, Geräte, Daten und Anwendungen zu integrieren. Typischerweise muss ein Unternehmen die Migration der On-Premises- und Cloud-basierten Dienste und Apps seiner Nutzer abschließen, bevor es die vollen Vorteile der SSE-Sicherheit nutzen kann. Einer der Hauptvorteile von SSE ist, dass Dienste und Anwendungen nicht mehr von jedem Standort aus zugänglich sind. Stattdessen greifen die Benutzer über SWGs darauf zu, die als Vermittler fungieren und Sicherheitsvorschriften und Bedrohungsmaßnahmen implementieren und überwachen. CASBs und ZTNA bieten zusätzliche Sicherheitsvorteile, einschließlich Authentifizierung, Zugriffskontrolle und Verhaltensanalyse. Bis jedoch alle Benutzer zu SSE gewechselt sind, bleiben die von ihnen genutzten Dienste und Apps anfälliger für Kompromittierungen. Daher ist es unerlässlich, die Migrationszeit so kurz wie möglich zu halten, wenn überhaupt machbar, um schneller mehr Sicherheit zu erreichen.

  • Bestimmen Sie die SSE-Kontrollergänzungen: Je nach Einbeziehung von CASB-, SWG- und ZTNA-Technologien hat ein SSE eine oder mehrere Sicherheitskontrolllücken. Glücklicherweise ist es oft einfach, zusätzliche Netzwerksicherheitsdienste zu erwerben, um diese Lücken zu schließen. Alle SASE-Sicherheitsverfahren, die nicht bereits in SSE enthalten sind, wie z.B. Firewall as a Service oder Datenverlustprävention, sind offensichtliche Kandidaten für eine Überlegung. Wenn die SSE einer Organisation mehrere zusätzliche Kontrollen erfordert, kann es ratsam sein, zu überdenken, ob eine vollständige SASE-Implementierung vorzuziehen ist. Es gibt eindeutig Vorteile, eine einzige SASE-Plattform zu erwerben, anstatt viele SSE- und SASE-Komponenten zu kombinieren. Allerdings ist es oft besser, einzelne Kontrollen zu SSE hinzuzufügen, wenn SASE unpraktisch oder zu kostspielig ist.

  • Zuerst beobachten und dann Vorschriften durchsetzen: SSE-Komponenten, insbesondere ZTNA, sind oft viel restriktiver als die herkömmlichen Sicherheitslösungen, die sie ersetzen. SSEs überwachen regelmäßig beispielsweise das Benutzerverhalten, den Gesundheitszustand des Geräts und andere Nutzungsfaktoren. Dies ist immens vorteilhaft für die Sicherheitslage der Organisation, obwohl es zunächst einige unangenehme Überraschungen und betriebliche Unannehmlichkeiten mit sich bringt. Führen Sie das SSE nach Möglichkeit im Überwachungsmodus ohne Durchsetzung aus, insbesondere während der ersten Pilotprojekte, um festzustellen, was die Technologie gestoppt hätte und warum. Dies deckt oft aktuelle Verstöße gegen die Sicherheitsrichtlinien auf und identifiziert in einigen Fällen, wo eine SSE-Richtlinie vorübergehend angepasst werden muss, um das Verhalten in der realen Welt zu berücksichtigen.

Was sind die Unterschiede zwischen SSE und SASE?

distinctions between SSE and SASE

Secure Access Service Edge (SASE) und Security Service Edge (SSE) werden oft miteinander verwechselt. Obwohl sie ähnlich klingen mögen, sind sie unterschiedlich. SASE spiegelt den größeren Rahmen wider, den eine Reihe von IT-Führungskräften annehmen möchten. SSE ist eine Komponente des SASE-Rahmenwerks. Eine der Unterschiede zwischen SSE und SASE ist, dass SSE die Sicherheit über die Netzwerkverbindung und Infrastruktur priorisiert. Während SSE bestimmte Funktionen des Netzwerkzugriffs enthält, ist es hauptsächlich für Endbenutzer konzipiert. Im Gegensatz dazu konzentriert sich SASE hauptsächlich darauf, die Verbindung und Verteilung zu verstreuten Standorten über die Cloud sicherzustellen.

Gartners Einführung von Secure Access Service Edge (SASE) im Jahr 2019 ist die Konvergenz von Netzwerk- und Sicherheitstechnologien in eine einzige cloudbasierte Plattform, die einen sicheren und schnellen Übergang zur Cloud ermöglicht. In dieser nächsten Generation von SASE präsentiert Gartner eine zweigleisige Anbieterstrategie, die eine hochkonvergente Wide Area Network (WAN) Edge Infrastructure-Plattform mit einer hochkonvergenten Sicherheitsplattform kombiniert, die als Security Service Edge bezeichnet wird. (SSE).

Security Service Edge (SSE) ist die Sicherheitskomponente von SASE, die alle Sicherheitsdienste kombiniert, einschließlich Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) und Zero Trust Network Access (ZTNA), und sicheren Zugriff auf Web-, Cloud- und private Anwendungen ermöglicht. Die Netzwerkkomponente des SASE-Frameworks, die WAN Edge Infrastructure, konzentriert sich auf den Netzwerkverbindungsbereich, indem sie Netzwerk-Infrastrukturen verändert, um eine effektivere direkte Cloud-Kommunikation zu ermöglichen. Die WAN Edge Infrastructure ist verantwortlich für Netzwerkdienste wie softwaredefiniertes Weitverkehrsnetzwerk (SD-WAN), WAN-Optimierung, Quality of Service (QoS) und andere Techniken zur Verbesserung des Cloud-Anwendungs-Routings. Innerhalb der SASE-Architektur werden Netzwerk- und Sicherheitsdienste einheitlich als Cloud-Service konsumiert und bereitgestellt. SSE und WAN Edge Infrastructure kombinieren sich, um eine umfassende SASE-Plattform bereitzustellen.

Abkehr vom Hub-and-Spoke-Stil der Netzwerkverbindung, ist SASE eine geeignetere Vermittlungsalternative für Unternehmen, die eine vollständige cloudbasierte Konnektivität und eine Sicherheitsrichtlinienanwendung benötigen, die sowohl Endbenutzer als auch ganze Standorte abdeckt. SSE bietet alle gleichen Sicherheitsoptionen für entfernte Benutzer, mit Ausnahme von softwaredefiniertem WAN (SD-WAN) und SDN-Netzwerkverkehrsmanagement-Tools, die größtenteils redundant wären.

SSE bietet eine Reihe von Maßnahmen, die eine entfernte Belegschaft vor schädlichen Aktionen schützen können, indem ein Zero-Trust-Ansatz verwendet wird, der Zugriffskontrolle und Überwachung, Sicherheit von Browser- und Cloud-Diensten sowie Datenschutz regelt.

Um einen modernen Arbeitsplatz mit Sicherheit zu gewährleisten, müssen Unternehmen zunächst eine SSE-Plattform einrichten. Sobald SSE implementiert ist, hat die Organisation die Möglichkeit, weiterhin in die Netzwerkoptimierung zu investieren oder einen eher "Internet-only"-Ansatz zu verfolgen. Dies wird ihnen ermöglichen, fundiertere Urteile über die Bedeutung von Technologien wie SD-WAN für ihre Geschäftsziele zu fällen. Andererseits, wenn die zusätzlichen Sicherheitsfunktionen von SSE mit den verbesserten Verbindungseigenschaften von SASE kombiniert werden, haben Organisationen eine vollständig umfassende Lösung, die vor Angriffen schützt und gleichzeitig die Netzwerkleistung verbessert. Eine umfassende SASE-Lösung macht es einfacher denn je, die Größe einer zunehmend verstreuten Belegschaft zu vergrößern oder zu verkleinern. Zahlreiche Anbieter bieten sowohl SASE als auch SSE an, wobei SSE über ein Lizenzmodell zugänglich ist, das es Organisationen ermöglicht, bei Bedarf auf SASE umzusteigen.

Letztes Update am von Zenarmor