Secure Access Service Edge (SASE) 08.12.2021, 06:11 Uhr

Wachablösung beim Netzwerkdesign

SASE ist Architektur auf Basis von Identität und Nutzerkontext. Sie folgt dem Weg der SD-WANs und soll das zentralistische Netzwerkdesign ablösen. SASE könnte zudem dem IoT mehr Sicherheit verschaffen.
(Quelle: Shutterstock/Quardia)
Die digitale Transformation erfordert sowohl die Transformation des Wide Area Networks (WANs) als auch der Netz- und IT-Sicherheit. Gerade die jüngere Vergangenheit mit starker Nutzung der Heimbüros zeigte die Grenzen bestehender Netzarchitekturen deutlich auf. Denn Heimnetze sind im Gegensatz zu Büronetzen nicht für die permanente und symmetrische Übertragung grosser Datenvolumina ausgelegt. Hinzu kommen Sicherheitsaspekte, wenn über verzweigte Mobil- und Festnetzinfrastrukturen auf Server oder Cloud-Services zugegriffen wird. Hier bieten sich Angriffsflächen für böswillige Attacken auf Datenserver und dort befindliche Datensätze.
Um sichere Datenverbindungen im Internet zu ermög­lichen, wurden Virtual Private Networks (VPNs) erdacht. Hier wird eine Punkt-zu-Punkt-Verbindung zwischen Benutzer (etwa im Home Office oder unterwegs im Mobilnetz) und einem Gateway als Eingangstür zum Firmennetz aufgebaut. Die Datenkommunikation über einen solchen IP-Tunnel erfolgt mit voller Ende-zu-Ende-Verschlüsselung, sozusagen eine von aussen unsichtbare, abgeschlossene Röhre im öffentlichen IP-Netz. Leider vermindert ein VPN in der Regel die Übertragungsgeschwindigkeit. Denn die Kommunikation läuft nun nicht mehr direkt auf dem Server mit der
genutzten Applikation (Outlook, Teams, SAP etc.), sondern immer über den VPN-Zugang. Von dort läuft der Datenstrom dann weiter zum Applikationsserver.

VPNs und Clouds

Eigene Praxistests mit oder ohne VPN-Absicherung haben ergeben, dass sich die Übertragungsgeschwindigkeit mit VPN mindestens halbiert. Da eine deutliche Mehrheit der Schweizer Nutzerinnen und Nutzer über optimierte Kupfernetze kommuniziert, wirkt sich dies insbesondere bei Videokonferenzen störend aus. Denn hier ist eine schnelle und dazu symmetrische Datenübertragung mit höchstens 250 ms Latenz vonnöten, damit die Down- und Uploads nicht stocken und die Sprach-, Daten- und Videokommunikation stören. Bei gewöhnlichen Videocalls oder Abrufen von E-Mails bleibt das VPN daher oft unbenutzt, da der Benutzer zuvor ohnehin via Mobile ID und einem Secured Access authentifiziert wurde.
Beim Zugriff auf firmeninterne Dateien ohne VPN wird es für den Benutzer lästig, da er sich dann bei jedem weiteren Server neu authentifizieren muss. Noch kritischer sind solche Zugriffe über mobile Netze, weil die Netz­verbindung unterwegs nicht immer stabil und im Ausland bisweilen auch unsicher ist.
Diese Randbedingungen verdeutlichen aber auch das Problem zentralistischer Infrastrukturen in Firmennetzen. Denn wenn man den Zugang von jedem beliebigen Punkt in Mobil- wie Festnetzen zulassen würde, wäre dies ohne VPNs und weitere Sicherheitshürden wie Firewalls und lokalen Virenschutz fatal. Zudem boomen etwa seit 2015 eine völlig unüberschaubare Vielzahl von Diensten aus der Cloud. Statt eigene Hard- und Software anzuschaffen und zu unterhalten, nutzt man weiter zunehmend ausgewählte Services aus der Cloud aus Rechenzentren, die irgendwo auf der Welt stehen. Die Vernetzung erfolgt entweder über nationale Anbieter oder über Netze des Cloud-Anbieters wie bei Google, Microsoft (Azure) oder Amazon (AWS).
Der Autor
Rüdiger Sellin
ist Diplom-Ingenieur (FH) und arbeitet seit 1992 als Fachjournalist (SFJ/MAZ) mit den Schwerpunkten ICT und Elektrotechnik.


Das könnte Sie auch interessieren