Security Service Edge einführen: Was SSE-Anbieter leisten sollten

Foto: vs148 – shutterstock.com

Im Jahr 2019 schufen die Marktforscher von Gartner den Begriff Secure Access Service Edge (SASE) – ein Cloud-basierter Service, der Netzwerk- und Sicherheitsfunktionen kombiniert, um sicheren Remote-Zugriff auf internetbasierte Ressourcen zu ermöglichen. Allerdings schossen die Auguren mit ihrer Definition ein wenig übers Ziel hinaus: Viele Anbieter wurden auf dem falschen Fuß erwischt und hatten Mühe, überzeugende und vollständige SASE-Suiten auf die Beine zu stellen.

Eine Umfrage von Gartner unter CISOs zeigt, dass die Mehrheit der Befragten auf eine “Zwei-Anbieter-Strategie” in Sachen SASE setzt. Soll heißen, die Sicherheits- und Netzwerk-Teams treffen jeweils eine eigene Kaufentscheidung, statt sich für das SASE-Offering eines Anbieters zu entscheiden. Als Reaktion auf diese Entwicklung haben die Analysten den neuen Begriff Security Service Edge (SSE) geprägt – was im Wesentlichen SASE ohne SD-WAN gleichkommt. Nach der Definition von Gartner umfasst SSE mindestens folgende Komponenten:

• Secure Web Gateway (SWG),

• Cloud Access Security Broker (CASB) und

• Zero Trust Network Access (ZTNA).

Darüber hinaus kann Security Service Edge laut Gartner auch weitere Funktionen wie Firewall-as-a-Service (FWaaS), Browser-Isolierung, Sandboxing, Data Leak Prevention (DLP) und Web Application Firewall (WAF) beinhalten.

Bei IDC bezeichnet man SSE mit dem Begriff Network-Edge-Security-as-a-Service (NESaaS), sieht dafür jedoch ebenfalls SWG, CASB und ZTNA als “Grundzutaten”. Netzwerkfunktionen wie SD-WAN oder Digital Experience Monitoring (DEM) werden nach der Definition von IDC als optional betrachtet.

Die Security-Service-Edge-Anbieterlandschaft

Abgesehen von den leicht unterschiedlichen Definitionen haben sowohl IDC als auch Gartner eine breite Palette von Anbietern im Bereich Secure Service Edge identifiziert. Der Gartner Magic Quadrant für Security Service Edge stuft folgende Anbieter als führend ein:

• Netskope

• Zscaler und

• Palo Alto Networks.

Cisco, ein Unternehmen das bei vielen sehr wahrscheinlich auf der Liste potenzieller Anbieter steht, sehen die Auguren als Herausforderer im Bereich SSE, weil es an der Integration der entsprechenden Komponenten mangelt und der Konzern keine vollwertige Zero-Trust-Lösung anbietet.

IDC legt bei seiner Einschätzung (entsprechend der NESaaS-Definition) etwas andere Kriterien an, kommt aber zu einer ähnlichen Einschätzung wie Gartner, was die drei führenden SSE-Anbieter angeht: Die Analysten ergänzen die Gruppe noch um Cloudflare und Akamai. In Bezug auf Cisco kritisieren auch die Marktforscher von IDC, dass kein traditionelles ZTNA-Produkt im Angebot ist und sieht erheblichen Verbesserungsbedarf beim Netzwerkanbieter, wenn es darum geht, sein umfangreiches Portfolio zu konsolidieren.

Im Folgenden stellen wir Ihnen die laut IDC und Gartner führenden Anbieter im Bereich Security Service Edge kurz vor:

• Netskope: Laut IDC ist dieser Provider eine Option für Unternehmen, die Datenschutz und Cloud-Funktionen priosieren. Das begründen die Marktforscher mit der Expertise des Unternehmens in Sachen CASB und Inline-Proxy-Kontrollen. Unternehmen, die eine digitale Transformation anstreben, können laut IDC zudem von der Performance und Zuverlässigkeit des Netskope “NewEdge Private Cloud”-Netzwerks profitieren. Andererseits berichten Gartner-Kunden, dass Netskope in der Regel zu den teuersten Optionen gehört.

• Palo Alto Networks: Der Sicherheitsanbieter verfügt dank seiner On-Premises-Sicherheits-Tools über einen weitläufigen Kundenstamm und hat auch ein überzeugendes SSE/NESaaS-Angebot zusammengestellt. Dieses ermöglicht den Kunden, beide Umgebungen über eine Konsole zu managen. Palo Alto hat zudem ein starkes ZTNA-Offering in petto und kann auch SD-WAN bereitstellen.

• Zscaler: Die Stärke von Zscaler liegt in seinem globalen Cloud-Netzwerk – und der Fähigkeit, den gesamten Datenverkehr über seine Plattform zu leiten, wo alle Arten von Sicherheitsprozessen anwendbar sind. Zum Kernangebot von Zscaler gehören ZTNA, CASB, SWG, Firewall-as-a-Service und DLP. Sandboxing, Browser-Isolierung, WAF, Deception- und User Experience Monitoring sind ebenfalls Teil des Portfolios.

• Akamai: Auch Security-Anbieter Akamai verfügt über die nötige, globale Cloud-Plattform, um Security Service Edge bereitzustellen und kombiniert das mit einer soliden Erfolgsbilanz. Dabei bietet Akamai SWG, CASB und ZTNA, hat aber nicht die umfangreichste Suite von Add-Ons zu bieten und erfordert in einigen Fällen die Integration mit Drittanbietern – statt einen vollständigen integrierten Ansatz zu bieten. Die Stärken des Angebots liegen nach Einschätzung von IDC in der Performance und ZTNA.

• Cloudflare: Mit einem Angebot, das ZTNA, CASB, SWG, DLP, Firewall-as-a-Service, Browser-Isolierung, WAF, DDoS-Abwehr und Bot-Management umfasst, versucht Cloudflare einen Fuß ins Enterprise-Business zu bekommen. Laut Gartner bietet Cloudflare die größte PoP (Point of Presence, Präsenzpunkt) -Anzahl und verhindert dank seiner geografischen Abdeckung, dass signifikante Latenzzeiten entstehen. Die Auguren geben jedoch zu bedenken, dass der Anbieter einige Funktionen vermissen lässt, etwa File Malware Sandboxing, DEM sowie integrierte Reportings und Datenanalysen.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

So finden Sie zum richtigen SSE-Provider

Bevor Unternehmen mit potenziellen SSE-Anbietern in Kontakt treten, sollten sie ihre Situation genau analysieren, empfiehlt Gartner-Analyst Charlie Winckless: “Es ist entscheidend, sich auf die Ergebnisse zu konzentrieren, die man in einem vernünftigen Zeitrahmen umsetzen und vorantreiben kann. Fragen Sie sich selbst: Was muss ich liefern? Wie sehen meine Prioritäten aus?”

Dabei warnt der Gartner-Mann davor, sich einfach für den Anbieter mit der längsten Liste von Funktionen zu entscheiden: “Es kann sein, dass das am Ende zu teuer wird und an den dringlichsten Anforderungen des Unternehmens vorbeigeht. Die wichtigste Frage, die Sie sich stellen sollten, ist, welcher Anbieter die für Sie wichtigsten Funktionen am überzeugendsten liefern kann.”

Weitere Überlegungen sind laut dem Experten wie gut der SSE-Service mit den bestehenden Aktualisierungszyklen übereinstimmt und sich in den IT-Stack des Unternehmens integrieren lässt. Darüber hinaus empfiehlt Winckless, auch die finanzielle Stabilität des jeweiligen Anbieters und seine Erfolgsbilanz in Sachen Innovation zu prüfen.

Die folgenden 10 Fragen sollten Sie potenziellen SSE-Anbietern stellen:

1. Wie sieht Ihre SASE-Strategie aus?

“SSE ist nur eine Seite der Medaille”, meint Mauricio Sanchez, Research Director für Networking, Security und SASE/SD-WAN bei der Dell’Oro Group. Er fügt hinzu: “Die andere Seite ist das Networking, was leider immer noch zu häufig vernachlässigt wird. Ein Security-Service-Edge-Anbieter sollte auch eine Strategie vorweisen können, um seine Kunden auf der gesamten SASE-Journey mitzunehmen.”

2. Welche Integrationspunkte bieten Sie zu größeren Drittanbieter-Ökosystemen?

SSE ist ein kleiner Teil einer größeren Technologielandschaft. Deswegen sollt ein SSE-Anbieter nach Überzeugung von Analyst Sanchez in der Lage sein, Integrationen mit Client-Sicherheit (EPP/EDR), Identity- und Access Management (IAM), Security Management (SIEM/SOAR/XDR) sowie Hyperscalern zu realisieren.

3. Wie sieht Ihre Erfolgsbilanz in Bezug auf Skalierbarkeit, Zuverlässigkeit und Performance aus?

Ein SSE-Anbieter ist für den reibungslosen Betrieb des Netzwerks verantwortlich, während verschlüsselter Datenverkehr in großem Umfang verarbeitet wird, um Bedrohungen zu erkennen. Sanchez kommentiert: “Das ist ein rechenintensiver Prozess. Ich habe schon Horrorgeschichten von SSE-Clouds gehört, die zu wenig Leistung bringen und mehr Kopfzerbrechen verursachen als auflösen.”

4. Passt Ihr Delivery Network zu unseren Geschäftsanforderungen?

Multinationale Konzerne müssen sicherstellen, dass ihr Security-Service-Edge-Anbieter über PoPs verfügt, die mit ihren Standorten übereinstimmen. David Holmes, Senior Analyst bei Forrester, empfiehlt deshalb: “Fragen Sie unbedingt nach, wo sich die PoPs befinden, wie die Roadmap aussieht, um weitere einzurichten, wie Lücken überbrückt werden können und wie die Strategie im Fall eines Ausfalls aussieht.”

5. Wie viele Agenten sind auf den Endgeräten der Benutzer zu installieren und wie hoch sind die Kosten pro Gerät?

Holmes empfiehlt potenziellen Käufern darüber hinaus, bei den Providern zu erfragen, ob sich VPN, ZTNA, SWG etcetera über einen einzigen Agenten händeln lassen. Er fügt hinzu: “In der heutigen BYOD-Welt, in der sich Endbenutzer mit mehreren Geräten mit dem Netzwerk verbinden, spielt es zudem eine Rolle, welche Betriebssysteme und mobilen Geräte abgedeckt werden und ob zusätzliche Gebühren pro Gerät anfallen.”

6. Wo liegen Ihre Stärken und Schwächen?

“Bitten Sie den Anbieter um eine ehrliche Einschätzung, welche Technologie aus seinem SSE-Sortiment die stärkste ist – und stellen Sie sicher, dass diese mit Ihren Anforderungen übereinstimmt”, fährt Holmes fort. Wenn Antwort und Hauptanliegen nicht übereinstimmen, sollten Sie Ihre Anbietersuche laut dem Forrester-Analysten fortsetzen.

7. Wie können Sie uns in Sachen ZTNA unterstützen?

Potenzielle SSE-Anwender sollten den Anbieter ihrer Wahl außerdem fragen, welche Ports und Protokolle er abdeckt und wie er mit VoIP/SIP- und UDP-Protokollen umgeht, apelliert Holmes: “Nicht alle Anbieter sind beispielsweise in der Lage, mit mehreren Identity-Providern parallel zu integrieren. Für größere Unternehmen, die ihren Partnern Zero Trust Access zu Applikationen bieten möchten, ist das eine wichtige Management-Funktion.”

8. Wie sieht das Management Setup Ihrer Lösung aus?

Laut Gartner-Analyst Winckless sollten Unternehmen SSE auf eine Art und Weise implementieren, die für Administratoren nahtlos zu konfigurieren und zu überwachen ist: “Die entscheidende Frage ist dabei: Gibt es eine Konsole – oder mehrere?”

9. Wie einfach ist es, Sicherheitsrichtlinien anzuwenden?

“Unternehmen müssen die Möglichkeit haben, dieselben Sicherheitsregeln über mehrere Kanäle hinweg anzuwenden”, konstatiert Winckless.

10. Wie steht es um die Customer Experience?

Der Gartner-Mann ist davon überzeugt, dass Unternehmen darüber hinaus auch eine nahtlose Benutzererfahrung ihrer Security-Service-Edge-Lösung sicherstellen sollten: “Das Letzte, was Sie wollen, sind Geschäftsunterbrechungen.”

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.