Zurück 
Dieser Blog ist Teil der fortlaufenden Reihe „I&O Perspectives“, die Einblicke von Branchenexperten zu den Auswirkungen aktueller Bedrohungen, der Vernetzung und anderer Trends in der Cybersicherheit bietet.
Im ersten Teil dieser Blogserie haben wir die Entstehung eines internetbasierten Modells beobachtet, bei dem Unternehmensnetzwerke keine Grenzen mehr kennen, das Zuhause das Büro ist und Anwendungen in der Cloud sind.
Dieser Paradigmenwechsel macht Konnektivität allgegenwärtig. Aber die Sicherheitsrisiken haben dramatisch zugenommen. Damit SASE skaliert und alle Benutzer geschützt werden kann, ist eine solide Plattform erforderlich. Bei Netskope haben wir NewEdge entwickelt, eine speziell entwickelte Plattform für hochverfügbares und schnelles SSE und SD-WAN. Werfen wir einen Blick auf die Technologien und Designs, die dies möglich gemacht haben:
Internet vs. MPLS-VPN
Vor den unflexiblen, aber SLA-fähigen MPLS-VPN-Netzen liegt der verschmähte Schlangenmensch-Gigant, das Internet.
Content- und Cloud-Anbieter haben sich sehr aktiv dafür eingesetzt, ein Internet aufzubauen, auf das sie sich verlassen können. Tatsächlich benötigen sie ein qualitativ hochwertiges und offenes Netzwerk, um den Datenverkehr auf die Bildschirme ihrer Kunden zu leiten. Sie investieren in Seekabel und betreiben Verkehrsinfrastrukturen, die einige Telekommunikationsunternehmen und Transitnetze ersetzen. Sie sponserten auch massiv Interconnection-Initiativen wie Internet-Exchange-Einrichtungen. Verbindungen sind unerlässlich, und sie sind ein heikles Thema. Auf der einen Seite investieren ISPs massiv in ihre Zugangsinfrastrukturen. Umgekehrt benötigen Inhaltsanbieter einen sauberen Zugang zu diesen Augäpfeln (den Verbrauchern). In der Mitte versuchen die Verkehrsanbieter, Geld zu verdienen, indem sie beide Enden verbinden. Das hat zur Folge, dass die Interessen manchmal gegensätzlich sind.
Es gab einige Streitigkeiten, bei denen einige das Gefühl hatten, dass sie für den Wert, den sie brachten, nicht ausreichend bezahlt wurden. Im Mai 2024 stellte Cogent beispielsweise einen Teil seiner Konnektivität mit Tata ein, da die beiden Verkehrsanbieter keine Einigung über eine ausgewogene Interconnection-Strategie erzielen konnten. Dies wirkte sich auf Netzwerke aus, die sich stark auf diese Anbieter verließen und keine vernünftigen alternativen Wege hatten.
Auf der technologischen Seite haben Optiken, Weiterleitungschips und Protokollverbesserungen es dem Internet ermöglicht, mit geringen Budgets Bandbreitenhöhen zu erreichen. Die Verallgemeinerung hardwaregestützter Telemetrie hat bei der Optimierung von Netzwerken mit hoher Bandbreite, wie z. B. Internet-Backbones, immens geholfen.
Im Jahr 2012 haben wir in einem früheren Projekt eine Software zur Optimierung des Internet-Routings entwickelt. Dank Milliarden von Leistungsmessungen haben wir die Bestätigung erhalten, dass das Internet Verbesserungen für mehr Verfügbarkeit und Leistung benötigt, vor allem in bestimmten geografischen Gebieten oder unter bestimmten Netzbedingungen. Wie Netskope haben die meisten Content-Provider und Cloud-Provider ihr eigenes BGP-Traffic-Engineering-Framework entwickelt, um die Verfügbarkeit und Leistung zu erhöhen.
Dank hoher Bandbreiten, Peering-Kollaborationen und intelligentem Routing sind die langen Debatten um Servicequalität, Traffic Engineering und SLAs verblasst.
Netskope hat Hunderte von Millionen in seine Plattform NewEdge und das zugrunde liegende Konnektivitäts-Framework investiert. Mit vollständiger Rechenleistung und allen Sicherheitsservices, die in 75+ Regionen und 100+ Zentren verfügbar sind, stellt NewEdge sicher, dass keine Kompromisse bei der Leistung eingegangen werden müssen. Netskope-Benutzer profitieren von der geografischen Nähe und der verbesserten Konnektivität auf der letzten Meile durch mehrere Transitpfade und dichtes Peering.
SDN – Software Defined Networks (oder nicht)
Mit MPLS-VPN konfiguriert das Telekommunikationsunternehmen explizit jeden Kundenkontext und steuert alle Konfigurationen im Backbone. Im Gegensatz dazu hat der Kunde in einem richtigen SDN-Framework die Kontrolle über die Konfiguration.
Es gab Versuche, Kunden Self-Service-Benutzeroberflächen und APIs zur Verfügung zu stellen, um ihre Konfigurationen zu betreiben und die Konfigurationen von Kernnetzwerken zu automatisieren. Neben einer strengen Kontrolle, der Nichteinmischung in andere Kunden und der Achtung eingeschränkter Designs bedeutet dies auch, Konfigurationsoptionen und ausgefallene Bereitstellungen einzuschränken, die nur Telekommunikationstechniker manuell durchführen können. Bei privaten Backbones bleibt SDN durch die zugrunde liegende Infrastruktur eingeschränkt.
Das Erstellen von Tunneln als Overlays im Internet, z. B. IPsec SD-WANs, ist eine Konfigurationsaufgabe, die nur vom Kunden kontrolliert wird und mehr Autonomie und Flexibilität bietet. Solange Sie über genügend Internetbandbreite verfügen, ist alles machbar. SD-WAN profitiert auch von Innovationen und Bemühungen in Bezug auf Orchestrierungsmodelle, Ergonomie und moderne grafische Oberflächen, die die Konfiguration leicht und einfach machen.
Nutzung der Mandantenfähigkeit
Zusammen mit dem SDN-Konzept geht die Notwendigkeit der Mandantenfähigkeit einher. MPLS-VPN brachte Routing Separation, eine standardisierte und interoperable Architektur, die mehrere Kunden in Kontexten isoliert. In ähnlicher Weise implementierten Anbieter und Open-Source-Mitwirkende die Routing-Trennung in Firewalls und Betriebssystemen. Die meisten SD-WAN-Geräte verfügen über ähnliche proprietäre Techniken und erweitern getrennte Segmente durch IPsec-Tunnel.
Neben der Trennung des Routings bietet die Mandantenfähigkeit eine vollständige Serviceinstanz für mehrere Kunden: Verwaltungsschnittstellen und APIs, die Anwendungen auf höheren Ebenen und die damit verbundene Sicherheit. Es ermöglicht die Abstraktion der Hardware und der Betriebssysteme für sofortige Bereitstellung, geografische Unabhängigkeit und Elastizität. Die Implementierung echter Mandantenfähigkeit erfordert die Beherrschung der Computerarchitektur und -orchestrierung, um ein effektives und sicheres System aufzubauen. In den letzten zehn Jahren haben Hunderte von Netskope-Plattformingenieuren ihre Energie in die Besonderheiten dieser Technologien für die Entwicklung des NewEdge-Frameworks investiert.
Der Aufstieg von Cloud-Sicherheitsdiensten
Während Sicherheitsdienste auf dedizierter Hardware an den entfernten Standorten der Kunden und in ihren Rechenzentren ausgeführt werden, können sie dank der Mandantenfähigkeit in der Cloud ausgeführt werden. Es bringt alle bekannten Vorteile mit sich, die gut konzipierte Cloud-Lösungen mit sich bringen:
- Kontinuierliche Verbesserungen
- Scalability
- Redundanz
- Leistung – Nähe
- Beobachtbarkeit
- Ruhe (24/7 Managed Service)
SASE für die Unternehmensanwender
Warum überholt SASE die Perimetersicherheit?
- Erstens bietet SASE die Services, die eine IT-Abteilung eines Kunden nicht mit dedizierten Best-of-Breed-Geräten, Software und jeglicher Komplexität entwickeln könnte. In der Tat erfordern Data Loss Prevention (DLP), Bedrohungs- und Malware-Schutz Cloud-Modelle mit zentraler API-Aktivierung und High-Performance-Computing, die in einem dezentralen, Firewall-basierten Modell kaum skalierbar sind.
- Zweitens sind sie überall mit höherer Leistung verfügbar, als wenn wir uns durch ein Kundenrechenzentrum kämpfen würden.
Wenn wir hier aufhören würden, könnten wir uns eine Welt vorstellen, in der lokale Netzwerke zu einer einfachen und einfachen Ware geworden sind. Sie isolieren und segmentieren die Geräte auf allen Ebenen voneinander, und ihre gesamte Kommunikation läuft über die SASE-Plattform. Für (menschliche) Nutzer ist das zu 100% richtig.
Die IT-Infrastruktur verfügt jedoch auch über andere Arten von Maschinen, für die eine private und Internetverbindung ein Muss ist. Wie funktioniert das dann?
Integration von IoT, Legacy-Geräten und nicht verwalteten Netzwerken mit SASE
In SASE verbinden sich Benutzer mit einem in ihr Betriebssystem integrierten Client mit der Cloud-Sicherheitsplattform. Innerhalb des Unternehmensperimeters können einige Geräte nicht denselben Smart Client integrieren. Sie betreiben manchmal auch Verbindungen untereinander innerhalb des geografischen Standorts oder zum Rechenzentrum. In diesen Fällen wird die private Konnektivität über IPsec-Meshes über das Internet in einem SD-WAN-Modell bereitgestellt, das durch das SSE-Sicherheitsframework ergänzt wird mit:
- Lokale Server
- Industrielle, medizinische und alle sensiblen IoTs
- Ältere Anwendungsfälle, z. B. Drucker
- Nicht verwaltete Geräte und WLAN-Gäste
Ein Blick in die Zukunft
Mit dem Internet als stabilem und leistungsstarkem Transportnetzwerk, der unbestrittenen Einführung von SaaS-Anwendungen und der Reife mandantenfähiger Security Clouds können Unternehmen jetzt Benutzer nahtlos und sicher verbinden, was eine Abkehr von traditionellen Unternehmensnetzwerken darstellt. Während einige Anwendungsfälle immer noch eine Perimeterkontrolle erfordern und Perimeter-Firewalls für das Campus-Routing weiterhin erforderlich sind, bietet SASE – einschließlich SD-WAN-Geräte – die flexibelste Lösung für Unternehmensanwender sowie für feste und nicht verwaltete Geräte.
Die Dynamik hinter SASE nimmt weiter zu und markiert einen entscheidenden Wandel in der Art und Weise, wie IT-Abteilungen ihre Netzwerke verbinden und sichern.
Bleiben Sie dran für meinen nächsten Blogbeitrag, in dem wir über Internetarchitektur, Verfügbarkeit und Leistung sprechen.
Besuchen Sie uns auf SASE Week 2024 , um die neuesten Entwicklungen in Bezug auf SASE und Zero Trust zu erkunden und zu erfahren, wie Sie die Sicherheits- und Netzwerktransformationsstrategie Ihres Unternehmens verbessern können. Verpassen Sie nicht den "SASE for Networkers Roundtable: Achieving Network Security Without Performance Compromise-offs" am 25. September, bei dem Kunden über ihre digitale Transformation in Richtung SASE berichten
Den Blog lesen