Was ist Security Service Edge?

Security Service Edge oder SSE wie 2021 im „Hype Cycle“ für Sicherheit in der Cloud von Gartner definiert, ist die Sicherheitskomponente von SASE, die den Zugriff auf das Internet, SaaS-Anwendungen und private Anwendungen schützt. Dazu gehören fortschrittliche Sicherheitsfunktionen wie Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) und Firewall-as-a-Service (FWaaS).

Das ist Security Service Edge (SSE)

Das Entstehen hybrider Arbeitsumgebungen führt dazu, dass sich Benutzer von überall und jedem Gerät aus verbinden und dabei direkt in der Cloud auf Geschäftsanwendungen und sensible Daten zugreifen. Während sich traditionelle Sicherheitsparameter nach und nach auflösen, müssen auch Sicherheitsfunktionen in die Cloud verlagert werden. SSE ermöglicht es Organisationen, durchgängige Sicherheit aus der Cloud heraus anzuwenden und den Zugriff auf Anwendungen sicherzustellen, die auf verschiedene Clouds, Rechenzentren und Software-as-a-Service-Anwendungen verteilt sind. Eine SSE-Lösung schafft – wenn sie mit einem fortschrittlichen SD-WAN kombiniert wird – eine Secure Access Service Edge-(SASE-)Architektur, die die Erfahrungsqualität für Endbenutzer bei in der Cloud gehosteten Anwendungen signifikant verbessert.

Wie funktioniert SSE?

Eine SSE-Lösung sichert den Remotezugriff auf Web- und Cloud-Dienste sowie private Anwendungen.

Traditionell hosteten Unternehmen ihre Anwendungen zentral in Rechenzentren, wodurch zahlreiche Sicherheitsprüfungen wie Firewall und IDS/IPS ermöglicht wurden. Durch die Verlagerung von Anwendungen in die Cloud und Initiativen für Remotearbeit wird es für Unternehmen zunehmend schwieriger, ihre Anwendungen vor externen Bedrohungen zu schützen, da sie in verteilten Umgebungen außerhalb der herkömmlichen Sicherheitsbereiche arbeiten. Veraltete Netzwerkinfrastrukturen hindern IT-Abteilungen daran, alle Verbindungen zwischen Benutzern und SaaS-Anwendungen zu überwachen. Außerdem beeinträchtigt es die Leistung von Anwendungen und die Benutzererfahrung erheblich, wenn der Datenverkehr, der für die Cloud bestimmt ist, zur Sicherheitsprüfung über das Rechenzentrum geleitet wird.

Security Service Edge-Lösungen sind cloudbasierte Dienste, die es Organisationen ermöglichen, fortschrittliche Sicherheitsprüfungen näher an Endpunkten einschließlich den Benutzern und Geräten durchzuführen. So wird ein dynamischer Sicherheitsbereich geschaffen, der Schutz vor Bedrohungen, Datensicherheit, Sicherheitsüberwachung und Zugriffskontrolle bereitstellt, unabhängig davon, von wo aus Benutzer eine Verbindung aufbauen.

Bestandteile von SSE

Security Service Edge (SSE) beinhaltet vier wesentliche Sicherheitsbestandteile:

  • ZTNA
    ZTNA geht, bis das Gegenteil bewiesen ist, vorgabemäßig davon aus, dass kein Benutzer vertrauenswürdig genug ist, auf irgendetwas zuzugreifen. Anders als ein VPN, das verbundenen Benutzern umfassenden Zugriff auf das Unternehmensnetzwerk gewährt, begrenzt ZTNA den Benutzerzugriff über Trust Broker auf einzelne Anwendungen oder Mikrosegmente, für die der Benutzer eine Berechtigung hat.
  • CASB
    CASB identifiziert und erkennt sensible Daten in Cloud-Anwendungen, einschließlich Cloud-to-Cloud-Zugriff, und setzt Sicherheitsrichtlinien wie Authentisierung und einmaliges Anmelden (SSO) durch. Benutzer werden vom Anmelden und Verwenden von Cloud-Anwendungen abgehalten, die von den IT- und Sicherheitsrichtlinien des Unternehmens nicht autorisiert sind. So können Organisationen einer Schatten-IT vorbeugen, die häufig zu Problemen in Sachen Sicherheit und Konformität führt.
  • SWG
    SWG schützt Organisationen mithilfe von verschiedenen Abwehrtechniken vor Bedrohungen aus dem Internet. Es befindet sich zwischen einem Benutzer und einer Website, sodass sich Benutzer mit der SWG-Lösung verbinden, welche diverse Sicherheitsprüfungen durchführt, bevor sie den Datenverkehr auf die Website leitet, einschließlich URL-Filterung, Erkennung schädlicher Codes und Zugriffskontrolle auf das Internet.
  • FWaaS
    FWaaS ist eine cloudbasierte Firewall, die Datenverkehr aus verschiedenen Quellen analysiert. FWaaS konsolidiert den Datenverkehr von mehreren Standorten, die von einer Organisation betrieben werden, einschließlich des Hauptfirmensitzes, abgelegener Niederlassungen und mobiler Benutzer. FWaaS unterstützt häufig wichtige Zugriffskontrollen wie IDS/IPS, erweiterte Bedrohungsprävention, URL-Filter und DNS-Sicherheit.
  • Weitere Sicherheitsdienste, die zusätzlich zu den oben genannten wichtigsten Funktionen zum Einsatz kommen, können auch angeboten werden, wie die Verhinderung von Datenverlust (DLP), die Isolation von Remote-Browsern (RBI) und Sandboxing.

Was ist der Unterschied zwischen SSE und SASE?

2019 prägte Gartner den Begriff SASE (Secure Access Service Edge), um SD-WAN-Funktionen mit durch die Cloud bereitgestellten Sicherheitsdiensten zu kombinieren. Obwohl Netzwerk und Sicherheit eng miteinander verbunden sind, sind sie doch zwei unterschiedliche und sehr komplexe Fachgebiete. Die Sicherheit entwickelt sich rasend schnell, um den Schutz vor sich wandelnden Cybersicherheitsrisiken gewährleisten zu können, während es bei Wide-Area-Netzwerken darum geht, schnelle, robuste und flexible Verbindungen bereitzustellen. Außerdem werden Sicherheit und Netzwerke üblicherweise von unterschiedlichen Teams verwaltet.

Anfang 2022 veröffentlichte Gartner den SSE Magic Quadrant als neue Kategorie für die cloudbasierte Sicherheitskomponente von SASE. SSE definiert die Zusammensetzung der Sicherheitsdienste, die dazu beitragen, die Sicherheitsvision von SASE zu erreichen, während SD-WAN die WAN-Edge-Anforderungen an die Netzwerkfunktionalität von SASE definiert.

Kurz gefasst, SASE = SD-WAN + SSE

SASE = SD-WAN + SSE

Warum sollte ich mich für SSE entscheiden?

  • SSE bietet sicheren Remotezugriff
    Nachdem Hybridarbeit die neue Norm ist, müssen Unternehmen ihre Remote-Mitarbeiter absichern, sodass diese sich von aus überall verbinden können. SSE bietet Zero-Trust-Funktionen, die vorgabemäßig davon ausgehen, dass kein Benutzer vertrauenswürdig ist. Abhängig von ihrer Identifikation können Benutzer auf bestimmte Teile des Netzwerks zugreifen und Cloud-Anwendungen sehen, die nur für ihre Rolle in der Organisation von Bedeutung sind. So wird vermieden, dass sie auf sensible Unternehmensdaten zugreifen und sie missbrauchen.
  • SSE schützt Cloud-First-Organisationen vor Bedrohungen von außen
    Mit der Beschleunigung der Digitalisierung ist auch die Cyberkriminalität rasant gestiegen. Da die meisten Anwendungen in die Cloud verlagert wurden, müssen Organisationen nun effektive Möglichkeiten finden, ihre digitalen Ressourcen zu schützen. SSE bietet Firewall-Funktionen und schützt Organisationen vor Bedrohungen aus dem Internet, indem es verschiedene Techniken nutzt wie URL-Filterung und die Erkennung schädlicher Codes. Dank seiner CASB-Funktionen schützt es sensible Daten, die in der Cloud gehostet werden, durch die Durchsetzung von Sicherheitsrichtlinien. Andere Sicherheitsfunktionen wie die Isolation von Remote-Browsern (RBI) isolieren Internetbenutzer vom Internet, indem sie Webseiten ohne schädlichen Code nachbilden.
  • SSE hilft, ein erstklassiges SASE mit einem fortschrittlichen SD WAN zu schaffen
    Durch die enge Integration mit verschiedenen SSE-Anbietern ermöglicht es eine fortschrittliche SD WAN-Lösung Organisationen, eine erstklassige SASE-Architektur zu entwickeln, ohne dabei Abstriche bei Leistung und Sicherheit machen zu müssen. So haben Organisationen beim Aussuchen der besten SSE-Lösung die freie Wahl. Um eine Integration mit SSE-Lösungen zu erreichen, kann ein fortschrittliches SD-WAN die Konfiguration sicherer Tunnel zwischen Niederlassungen und SSE-Points-of-Presence automatisieren, die Anwendungen im ersten Paket identifizieren, dem Datenverkehr bestimmter Anwendungen Richtlinien zuweisen und den Datenverkehr abhängig von den durch die Organisation festgelegten Sicherheitsrichtlinien automatisch zu einem SSE-Dienst umleiten.

Was sind die Vorteile von SSE?

  • Verbesserte Sicherheit
    SSE bringt Sicherheit näher an den Benutzer heran und ermöglicht einen flexibleren Ansatz bei der Konnektivität außerhalb der Unternehmensmauern. In der Cloud gehostet, lässt sich SSE mühelos aktualisieren, um gegen aktuelle Sicherheitsrisiken gerüstet zu sein, und Änderungen der Richtlinien können unmittelbar und automatisch per Pushnachricht an Remote-Benutzer weitergegeben werden. So entsteht ein durchgängiger Sicherheitsansatz.
  • Vereinfachter Betrieb
    SSE vereint mehrere Sicherheitsdienste auf einer einzigen Plattform, beseitigt Überschneidungen und nutzt die Vorteile einer einzigen Plattform durch die Deduplizierung und Harmonisierung der Sicherheitsrichtlinien. Die Lösung bietet höhere Transparenz bei Sicherheitsvorfällen von einem zentralen Standort aus und hilft dabei, den Betrieb zu vereinfachen und die Kosten zu reduzieren.
  • SASE erster Klasse
    Mit zwei unterschiedlichen Funktionen, SD-WAN und SSE, können Unternehmen die besten Netzwerk- und Sicherheitsfunktionen wählen, die ihren Bedürfnissen entsprechen, um eine erstklassige SASE-Architektur zu schaffen. Zudem ermöglichen fortschrittliche SD-WAN-Lösungen es Organisationen, über SASE hinauszugehen und IoT-Geräte durch die Integration von Firewall-Funktionen der nächsten Generation zu schützen, die das Netzwerk anhand von Rolle und Identität dynamisch segmentieren.

Sind Sie startbereit?