Zurück 
Es fühlt sich an, als hätten wir erst gestern zum ersten Mal von SASE gehört. Das Angebot, Netzwerk- und Sicherheitsdienste aus der Cloud zu nutzen, war attraktiv und fand Anklang am Markt. Es ist keine Überraschung, dass Internetdienstanbieter (ISPs) begannen zu untersuchen, wie sie eine Reihe von SASE-Diensten anbieten könnten. Schneller Vorlauf bis heute: Wir alle beobachten, wie Security Service Edge (SSE) als neue Produktkategorie von Unternehmen angenommen wird. Gartner hat vor Kurzem den allerersten Magic Quadrant für SSE angekündigt und die Produktmanagementteams von ISPs diskutieren, was SSE für ihr Geschäft bedeutet. Handelt es sich hierbei um eine weitere Wettbewerbsbedrohung durch Cloud-Anbieter? Oder ist es eine Gelegenheit, einen neuen Dienst auf den Markt zu bringen? Oder, oh Moment, was bedeutet das für den Managed SASE-Dienst, den ich gerade gestartet habe?
Wie Sie wahrscheinlich bereits wissen, ist SSE die eine Hälfte des SASE-Frameworks. Es ist das Gehirn, das eine Reihe spezifischer Sicherheitsdienste integriert, wie etwa Cloud Access Security Broker (CASB), Secure Web Gateway (SWG), Zero-Trust Network Access (ZTNA), Remote Browser Isolation (RBI) und eine Cloud-Firewall (CFW). Die andere Hälfte von SASE besteht aus WAN-Edge-Services – SD-WAN, Anwendungsoptimierung, Konnektivität und allen anderen Aspekten des Netzwerks. Einfach ausgedrückt: SSE + WAN Edge Services = SASE.
Warum Service Provider für ein SASE-Framework gut aufgestellt sind
Eine einfache Logik führt uns zu der Schlussfolgerung: Wenn ein Dienstanbieter verwaltetes SASE anbietet, sollte dieser auch über SSE-Funktionen verfügen. Aber der Teufel steckt wie immer im Detail. Gartner, der die Begriffe SASE und SSE geprägt hat, skizziert die folgenden Eigenschaften der zukunftssicheren SASE-Strategie auf Basis von SSE:
- Einheitliche Richtliniendurchsetzung, unabhängig vom Standort
- Konsolidierte Richtlinien-Kontrollebene
- Sichtbarkeit und Kontrolle sensibler Daten
Wenn Sie also bereits einen verwalteten SASE-Dienst anbieten, ist jetzt ein guter Zeitpunkt, Ihre Fähigkeiten anhand dieser Anforderungen zu vergleichen, um sicherzustellen, dass Ihr Dienst über das bloße Anbieten separater Produkte hinausgeht und den neuesten Anforderungen entspricht.
Aber was ist, wenn Sie kein SASE-Angebot haben, jedoch eine Marktnachfrage sehen? Ihr Vertrieb spricht über Kundenanfragen rund um SASE. Ihre Marketingabteilung gibt spannende Prognosen darüber ab, wie der SASE-Markt in den nächsten fünf Jahren wachsen wird. Und als Service-Design-Experte stehen Sie vor dem Whiteboard und fragen sich: Wie biete ich einen überzeugenden Service an? Wie nutze ich die Stärken meines Unternehmens – umfassende und ausgereifte Konnektivitätsdienste –, um an der Spitze zu bleiben?
Die gute Nachricht ist, dass Dienstanbieter sehr gut aufgestellt sind, um das SASE-Framework mit einem umfassenden Serviceangebot zum Leben zu erwecken. Anstatt einen Flickenteppich verschiedener Lösungen für Nischenanwendungsfälle anzubieten, können Sie die große Reichweite Ihres Netzwerks und Ihr Know-how in der Bedienung großer Märkte nutzen, um einen konsistenten Dienst einzuführen, der dem Geist von SASE folgt: JEDEN Benutzer mit JEDEM Cloud-Dienst zu verbinden und Datenschutz zu garantieren. Sie können alle Arten von Zugriffstechnologien abdecken und mit einem vertraglich durchgesetzten SLA dasselbe Maß an Transparenz und Richtlinienverwaltung bereitstellen. Um die SD-WAN-Terminologie zu verwenden: Durch die Kontrolle von „Underlay“ und „Overlay“ der Kundenkonnektivität können Sie ein besseres SLA anbieten und etwaige Probleme schneller lösen.
So können Dienstanbieter SSE-Funktionen in SASE integrieren
Um die Markteinführungszeit zu verkürzen, können Sie Ihre aktuellen WAN-Edge-Services-Funktionen als SSE positionieren. Ihr aktuelles SD-WAN-Angebot verfügt wahrscheinlich über einige Sicherheitsfunktionen wie eine (Next Generation) Firewall oder UTM. Aber seien Sie unbesorgt – diese Funktionen allein würden nicht als SSE gelten.
SSE geht weit über die Funktionen einer Punkt-Firewall hinaus und bietet mehr Sicherheitskontrollen für ein breiteres Spektrum an Anwendungsfällen. Die Kombination aus CASB und SWG ermöglicht die Erstellung einer einheitlichen Richtlinie zur Kontrolle des Cloud- und Webverkehrs für jede Anwendung und jeden Benutzer. Remote Browser Isolation und Zero-Trust-Netzwerkzugriff werden Teil dieser Richtlinie und nutzen den von CASB/SWG gesammelten Datenkontext. Alle diese Dienste sind im Rahmen des Datenschutzkonzepts eng in SSE integriert.
Wie führen Sie also einen SSE-Dienst ein? Welche Kundensegmente möchten Sie ansprechen? Werden Sie für unterschiedliche Kundentypen unterschiedliche Lösungen einsetzen? Welcher Technologie-Stack soll verwendet werden? Kann SSE unter Verwendung von NFV-Prinzipien als Servicekette von Netzwerk- und Sicherheits-VNFs oder CNFs implementiert werden? Soll es in einer öffentlichen Cloud, einer privaten Cloud oder in einem Hybridmodell ausgeführt werden und auf etwas wie AWS Outpost, Azure Stack oder Google Anthos basieren? Oder lohnt es sich vielleicht, einen Blick auf vorhandene SSE-Lösungen zu werfen und deren Integration in Ihre Produktlinie in Betracht zu ziehen?
Um Ihnen bei der Beantwortung dieser Fragen zu helfen, sehen wir uns die Erwartungen der Endbenutzer an SSE an, die Ihren Entscheidungsprozess beeinflussen werden:
- Einzelne Konsole, einzelner Richtliniensatz, einzelner Datensee für Protokolle. Die Idee von SSE entstand aus einer Marktkonsolidierung von SWG-, CASB- und ZTNA-Komponenten. Das Letzte, was Ihre Benutzer möchten, ist die Verwaltung mehrerer Produkte über mehrere Konsolen und APIs. Darüber hinaus möchten Sie als Dienstanbieter wahrscheinlich nicht, dass in Ihrem Betrieb dieselben Richtlinien zwischen mehreren Tools repliziert werden, da dies die internen Betriebskosten in die Höhe treibt.
- Leicht verständliche Sichtbarkeit der Cloud-Aktivitäten. Ihre Kunden werden intuitive Dashboards zu schätzen wissen, die ihnen dabei helfen, Risikobereiche zu verstehen und ihnen zeigen, worauf sie ihre Aufmerksamkeit richten sollten. Welche Anwendungen kommen zum Einsatz? Geben Mitarbeiter Unternehmensdaten über persönliche SaaS-Instanzen (wie Gmail oder Office365) frei? Wo sind meine sensiblen Daten? Gibt es bei meinen Benutzern Anzeichen für riskantes Verhalten? Die Fähigkeit, diese Fragen zu beantworten, zeigt, wie Sie sehr komplexe Funktionen auf benutzerfreundliche Weise bereitstellen können.
- Keine Leistungseinbußen, wenn alle Sicherheitskontrollen aktiviert sind. Durch die Nutzung der Sicherheitsdienste eines Cloud-Anbieters erwarten Ihre Kunden eine gleichbleibende Leistung, egal wo sie sich befinden. Um dies zu gewährleisten, muss ein Dienstanbieter berücksichtigen, von welchen Points of Presence (PoP) aus Sicherheitsdienste bereitgestellt werden und wie sich der PoP-Standort auf den adressierbaren Markt auswirkt. Gleichzeitig sollte die Leistung innerhalb jedes PoP nicht von der Art der aktivierten Sicherheitskontrollen abhängen. „Single-Pass“-Architekturen sollten gegenüber „Service Chains“ bevorzugt werden, bei denen der Benutzerverkehr einen Stapel mehrerer Sicherheitsfunktionen nacheinander durchläuft.
- Kosten. Verschiedenen Prognosen (1,2,3) zufolge wird der SASE-Markt in den nächsten fünf Jahren ein Volumen von 5 bis 8 Milliarden US-Dollar erreichen und voraussichtlich viele Akteure anziehen. Um wettbewerbsfähig zu bleiben, ist es für einen Dienstanbieter von größter Bedeutung, den richtigen Preis für den Dienst zu finden und die internen Kosten unter Kontrolle zu halten. Die vielleicht wichtigste Entscheidung besteht hier darin, ob Sie die Infrastruktur für die Bereitstellung von SSE-Diensten ausbauen oder mit einem bestehenden Cloud-Sicherheitsanbieter zusammenarbeiten. Obwohl der Ausbau Ihrer eigenen SSE-Kapazitäten auf lange Sicht durchaus sinnvoll ist (insbesondere, wenn Sie bereits in die NFV-Infrastruktur investiert haben), sollten Sie die folgenden „bekannten Unbekannten“ bedenken, die Ihre Kosten in die Höhe treiben könnten:
- Die Lizenzkosten für VNF und CNF (Netzwerkfunktionen) werden üblicherweise unterschätzt. Häufige Fälle sind Single-Tenant-Netzwerkfunktionen und Backup-Serviceketten, die für jeden Kunden bereitgestellt werden. Dazu ist die Bereitstellung von mehr Netzwerkfunktionen erforderlich, als Sie zunächst vielleicht gedacht haben.
- Auch die mit der Entwicklung einer NFV-Orchestrierung (VNFM und NFVO) verbundenen Kosten werden unterschätzt. Die Wartung mehrerer Netzwerkfunktionen von verschiedenen Anbietern erfordert unterschiedliche Protokolle und Frameworks und führt normalerweise zu einem Mix aus APIs, Protokollierung, SNMP, Streaming-Telemetrie usw. Noch komplizierter wird es, wenn Sie automatische Skalierungs- und Selbstheilungsverfahren implementieren möchten.
Und dann gibt es noch „unbekannte Unbekannte“, wie etwa mögliche Skalierbarkeitsbeschränkungen und instabile Leistung, die Ihre Kosten immer weiter in die Höhe treiben. In diesem Fall hilft Ihnen das Anbieten von SASE unter Verwendung Ihrer vorhandenen Netzwerkkapazitäten und die Partnerschaft mit einem SSE-Anbieter dabei, Fixkosten zu haben und ein besser vorhersehbares Geschäftsmodell aufzubauen.
Scheint komplex zu sein, oder? Nun, das ist nur die Spitze des Eisbergs. Wir bei Netskope sind jedoch fest davon überzeugt, dass SSE als Teil von SASE keine Bedrohung, sondern vielmehr eine Chance für Internetdienstanbieter darstellt. Wenn sich Unternehmen auf den Weg zur Transformation ihrer Netzwerke und Sicherheit begeben, suchen sie nach einem bekannten und erfahrenen Anbieter, der ihnen dabei unter die Arme greifen kann. Und Internetdienstanbieter sind sehr gut aufgestellt, um einen hochwertigen SASE-Dienst anzubieten.
Wenn SASE für SSE + WAN Edge Services steht, dann sind die Dienstanbieter das Pluszeichen, der richtige Klebstoff, um die beiden Hälften zu integrieren und einen abgerundeten Dienst anzubieten. Netskope verfügt über Erfahrung darin, ISPs dabei zu unterstützen, modernste Sicherheitsfunktionen anzubieten und ist bereit zu helfen. Wenn Sie mehr erfahren möchten, wenden Sie sich bitte an [email protected] und wir teilen unsere Erfahrungen mit Ihnen.
Den Blog lesen