Die Zero Trust-Architektur sowie SASE- und SSE-Technologien sind seit einigen Jahren heiße Themen. Nun bringt auch Microsoft seine eigene SSE-Lösung auf den Markt. Aber worum geht es dabei eigentlich?
SASE (Secure Access Service Edge)
SASE (Secure Access Service Edge) ist eine umfassende, cloudverwaltete Sicherheitsmodelllösung, die Benutzer, Systeme, Endpunkte und Remote-Netzwerke sicher mit den von der Organisation genutzten Anwendungen und Ressourcen verbindet, basierend auf der Zero Trust-Architektur. Die Endgeräte der Mitarbeiter und die Verbindungen zu den Diensten sind geschützt und auf die von ihnen benötigten Dienste beschränkt, unabhängig davon, wo sie arbeiten. SASE ermöglicht technisch die Zero Trust-Architektur, bei der kein Netzwerk als vertrauenswürdig gilt, nicht einmal das interne Netzwerk des Unternehmens, wie es in der traditionellen Netzwerkarchitektur üblich war.
In der traditionellen Netzwerkarchitektur von Organisationen ist es sehr typisch, dass die Zugriffsverwaltung mit einer VPN-Lösung implementiert wird, die Benutzern den Zugriff auf Dienste im internen Netzwerk der Organisation ermöglicht. Oft wird bei diesen Lösungen in Organisationen keine Segmentierung des internen Netzwerks vorgenommen. Über eine VPN-Verbindung wird der Zugriff auf das gesamte interne Netzwerk ermöglicht. Die IT-Sicherheit ist gefährdet, wenn Kriminelle in die VPN-Lösung eindringen konnten oder wenn ein infiziertes Endgerät unwissentlich darauf zugreift. Darüber hinaus entspricht die IT-Sicherheit einer VPN-Lösung meist nicht mehr den heutigen Anforderungen.
Mit SASE-Lösungen können auch Einsparungen erzielt werden. Softwarebasierte SD-WAN-Lösungen, die dazu gehören, können unter anderem MPLS-Netzwerkverbindungen ersetzen, die von Netzbetreibern angeboten werden. Die MPLS-Technologie wurde traditionell verwendet, um verschiedene Standorte von Organisationen hinsichtlich der Datenkommunikation zu verbinden. SD-WAN-Lösungen sind preislich typischerweise deutlich günstiger als MPLS-Lösungen und öffnen den Betreibermarkt auch besser für Ausschreibungen.
SASE auf einen Blick
Zugriffsverwaltung basierend auf Benutzer- und Gerätedaten: Benutzer haben rechtlich und netzwerktechnisch nur Zugriff auf die von ihnen benötigten Dienste, gemäß der Zero Trust-Architektur.
Cloudbasierte zentrale Verwaltung: Alle Netzwerkkomponenten der Organisation werden unter einem „Schirm“ geschützt.
Benutzer werden nach einem einheitlichen Modell geschützt, unabhängig vom Standort des Mitarbeiters.
SSE (Security Service Edge): SSE (Security Service Edge) ist einer der Bestandteile von SASE, mit dem gesicherte Verbindungen von Endgeräten zu internen Diensten der Organisation realisiert werden können, unabhängig davon, ob diese in Cloud-Diensten oder in der lokalen Infrastruktur liegen. Es ist jedoch nicht für die Verbindung gesicherter Netzwerke zwischen verschiedenen Standorten vorgesehen.
Microsoft SSE (Security Service Edge)
Der SSE-Dienst (Security Service Edge) von Microsoft heißt Global Secure Access. In diesem Dienst wird der Netzwerkverkehr von Workstations für separat definierte Dienste über den Secure Edge-Dienst von Microsoft geleitet, von wo aus der Verkehr wiederum mithilfe der bedingten Zugriffsverwaltung zu den definierten Diensten geleitet und autorisiert wird. Die Nutzung des Dienstes erfordert praktisch die Installation der Global Secure Access-Clientanwendung auf den Workstations. Der Dienst kann auch auf Netzwerkebene aktiviert werden, aber ohne die Clientanwendung ist es beispielsweise nicht möglich, die Zugriffsverwaltung für die Dienste des internen Netzwerks der Organisation zu autorisieren.
Der Dienst befindet sich derzeit noch im Public Preview-Status, und Preisinformationen sind noch nicht verfügbar. Der Dienst kann mit einer Entra ID Plan 1-Lizenz für den Pilotbetrieb genutzt werden, die beispielsweise im Microsoft365 Business Premium-Lizenzpaket enthalten ist. Die unterstützten Betriebssysteme für die Global Secure Access-Clientanwendung sind Windows 10/11 und Android-Betriebssysteme. Die Unterstützung für macOS- und iOS-Betriebssysteme befindet sich derzeit im Private Preview-Status und ist noch nicht öffentlich verfügbar.
Der Microsoft Global Secure Access-Dienst besteht aus den folgenden Teilbereichen:
- Einschränkung der Zugriffsverwaltung auf Microsoft365-Dienste basierend auf Benutzer-, Netzwerk- und Gerätedaten
- Sichere Zugriffsverwaltung für interne Netzwerkdienste, unabhängig davon, ob sie sich in der lokalen Infrastruktur der Organisation oder auf Cloud-Plattformen befinden, ohne Kommunikationsports in der Firewall vom externen Netzwerk zum internen Netzwerk zu öffnen.
- Filterfunktionen für den Internetverkehr
- Zugriffsblockaden basierend auf Inhalt oder Netzwerkadresse
Zusammenfassung
Global Secure Access bietet zusammen mit der bedingten Zugriffsverwaltung die Möglichkeit, die Zugriffsverwaltung für Microsoft365-Dienste, Dienste in internen Netzwerken sowie bei Bedarf für Inhalte und Internetverkehr granular gemäß der Zero Trust-Architektur zu begrenzen. Dies bietet einen erheblichen zusätzlichen Schutz, um Kriminellen den Zugriff auf die Dienste der Organisation zu verwehren, beispielsweise in Situationen, in denen Benutzerkonten kompromittiert wurden.
Es ist jedoch festzuhalten, dass der Global Secure Access-Dienst noch Mängel aufweist, wie es von einem Dienst im Public Preview-Status zu erwarten ist, aber der Dienst wirkt in dieser Phase bereits sehr vielversprechend. Eine umfassende SASE-Lösung ist er jedoch nicht, daher sollte man sich in diesem Fall beispielsweise auf die Cisco Meraki-Produktfamilie konzentrieren, die sich auch in unserem Dienstleistungsportfolio befindet.
Möchten Sie mehr erfahren und herausfinden, wie Sie für Ihre Organisation eine sicherere und funktionalere Arbeitsumgebung optimal umsetzen können? Kontaktieren Sie uns, um mehr zu besprechen!