SASE vs. Zero Trust: Die wesentlichen Unterschiede

Warum SASE und Zero Trust wichtig sind

SASE und Zero Trust wurden aufgrund der Unzulänglichkeiten herkömmlicher Sicherheits- und Konnektivitätsmethoden entwickelt. Insbesondere waren diese älteren Strategien nicht darauf ausgelegt, sichere Verbindungen zwischen cloudbasierten Anwendungen und Remote-Usern bereitzustellen.

Das Problem liegt hauptsächlich in der Entwicklung und dem Umfang. Früher arbeiteten die Mitarbeiter von Unternehmen meist im Büro und griffen auf Anwendungen und Daten im Rechenzentrum des Unternehmens zu. Hier war es sinnvoll, dass Konnektivität und Sicherheit im Rechenzentrum bereitgestellt wurden und die wenigen Mitarbeiter, die auf Reisen waren oder an anderen Orten arbeiteten, ein VPN nutzten, das ihren Traffic zum Rechenzentrum leitete.

Heute jedoch, im Zeitalter der Cloud und der Remote-Arbeit, finden mehr Aktivitäten außerhalb des Büros statt als innerhalb. User, Daten, Geräte und Anwendungen können sich überall befinden. Der Versuch, herkömmliche Methoden zur Bereitstellung von Sicherheit und Konnektivität im Rechenzentrum einzusetzen, bedeutet, dass der Traffic aus der ganzen Welt zu zentralen Standorten zurückgeleitet werden muss. Das Festhalten an einer netzwerkzentrierten Architektur erhöht das Cyberrisiko und führt zu Latenzen, was die User Experience beeinträchtigt.

Mit der zunehmenden Bedeutung von Remote-Arbeit und der Cloud verändern SASE und Zero Trust die Art und Weise, wie Unternehmen Sicherheit und Konnektivität in dezentralen Umgebungen bereitstellen.

Was ist Zero Trust?

Zero Trust ist eine Architektur, die auf einer zentralen Prämisse basiert: „Niemals vertrauen, immer überprüfen.“ Sie schenkt standardmäßig keiner Entität (d. h. User, Workload oder verbundenem Gerät) Vertrauen, sondern leitet den Traffic über einen Proxy weiter und überprüft jede Entität kontinuierlich anhand des Kontexts und des Risikos, bevor sie Zugriff gewährt.

Anstatt Entitäten mit einem sicheren Netzwerk zu verbinden, um Zugriff auf IT-Ressourcen zu erhalten, verbindet die Zero-Trust-Architektur Entitäten direkt mit den Ressourcen, ohne den Netzwerkzugriff auf andere Personen oder Geräte auszuweiten. Mit anderen Worten: Sie erzwingt eine hochgradig granulare Mikrosegmentierung. Diese „Zero-Communication“ wird als Service an der Edge über eine globale, speziell dafür entwickelte Cloud bereitgestellt.

Mit einer Zero-Trust-Architektur können Unternehmen die Risiken netzwerkzentrierter Architekturen überwinden und:

• Die Angriffsfläche minimieren, indem öffentliche IP-Adressen und eingehende Verbindungen entfallen
• Kompromittierungen verhindern, indem der gesamte Traffic (auch TLS/SSL) überprüft und Richtlinien in Echtzeit durchgesetzt werden
• Die laterale Ausbreitung von Bedrohungen im Netzwerk durch direkte Anwendungskonnektivität verhindern
• Datenverluste in allen Kanälen, einschließlich Web, SaaS, Endgeräte und mehr, verhindern

SASE: Was ist Secure Access Service Edge? | Zscaler

Secure Access Service Edge (SASE) ist ein Netzwerk- und Sicherheitsparadigma, das SD-WAN-Funktionen (Software-Defined Wide Area Network) mit SSE (Security Service Edge) kombiniert und so eine konsolidierte Lösungsplattform schafft:

• SD-WAN zur Verbindung globaler Standorte und zur dynamischen Weiterleitung des Netzwerk-Traffics
• Secure Web Gateway (SWG) zum Filtern und Sichern des Web-Traffics
• Zero Trust Network Access (ZTNA) für den sicheren Zugriff auf private Unternehmensanwendungen
• Cloud Access Security Broker (CASB) zur Überwachung und Kontrolle der SaaS-Nutzung
• Data Loss Prevention (DLP) für den sicheren Zugriff auf vertrauliche Daten
• Firewall-as-a-Service (FWaaS) zur Überprüfung des sonstigen Traffics und zur Durchsetzung von Maßnahmen zur Bedrohungsabwehr

Zero Trust und SASE: Gemeinsamkeiten und Unterschiede

Zero Trust und SASE verfolgen gemeinsame Ziele wie die Verbesserung der Sicherheit, die Optimierung der User Experience und die Reduzierung der Komplexität. Sie unterscheiden sich darin, wie sie Konnektivität bereitstellen und Risiken mindern. Durch die Trennung von Sicherheit und Konnektivität vom Netzwerkzugriff überwindet Zero Trust die Herausforderungen, die mit netzwerkzentrierten, perimeterbasierten Architekturen verbunden sind, auf denen die meisten SASE-Lösungen noch immer basieren.

In dieser Tabelle sind einige der wichtigsten Unterschiede zwischen Zero Trust und SASE aufgeführt:

SASE vs. Zero Trust: Zwei kritische Fragen

Es wurde bereits erörtert, inwiefern sich SASE und Zero Trust überschneiden. Beide zielen darauf ab, Unternehmen dabei zu unterstützen, Aspekte der modernen Arbeitswelt, wie Remote-Arbeit und Cloud-Anwendungen, effektiver zu integrieren. Beide konsolidieren die Sicherheit und Konnektivität an der Edge. Der Hauptunterschied zwischen SASE und Zero Trust liegt jedoch in zwei Fragen:

1. Wer soll sich sicher verbinden können?
2. Womit sollen sichere Verbindungen hergestellt werden?

Wer soll sich sicher verbinden können?
SASE konzentriert sich hauptsächlich auf die Absicherung des Zugriffs für Mitarbeiter, da das Framework ursprünglich auf drei Hauptlösungen zur Absicherung von Usern aufgebaut war: SWG, CASB und ZTNA. Da diese den Kern von SASE bilden, sind die Entwicklungen des Frameworks weiterhin userzentriert geblieben.

Die Zero-Trust-Architektur hingegen zielt darauf ab, den Zugriff über das gesamte IT-Ökosystem eines Unternehmens hinweg zu schützen. Sie kann alle Entitäten von Mitarbeitern (User, Auftragnehmer und B2B-Partner), über Clouds (Workloads in verschiedenen öffentlichen Clouds) bis hin zu Zweigstellen (einschließlich der darin enthaltenen IoT/OT-Geräte) absichern, wenn diese auf ein Ziel zugreifen. Während Zero Trust also die Anforderungen von SASE erfüllen kann, dürfte es umgekehrt nicht unbedingt der Fall sein.

Womit sollen sichere Verbindungen hergestellt werden?
SASE verbindet in der Regel User mit dem Netzwerk, um Zugriff auf Anwendungen zu ermöglichen, die ebenfalls mit diesem Netzwerk verbunden sind. Diese Konnektivität kann zwar über SD-WAN bereitgestellt werden, dennoch handelt es sich um eine netzwerkzentrierte Architektur, die auf der Grundlage vertrauenswürdiger Standorte funktioniert, was im Widerspruch zu Zero Trust steht.

Darüber hinaus stützen sich die meisten SD-WAN-Lösungen von SASE-Anbietern auf Firewalls an jedem Standort, um die Sicherheit zu gewährleisten, was ebenfalls nicht mit Zero Trust vereinbar ist. Selbst ZTNA, dem Namen nach eine Zero Trust-Lösung, funktioniert häufig so, dass User mit einem routingfähigen Netzwerk verbunden werden, um den Zugriff auf private Anwendungen zu erweitern.

Die meisten SASE-Angebote haben trotz ihrer Positionierung als moderne Frameworks die Nachteile herkömmlicher netzwerkzentrierter Architekturen übernommen:

• Sie erweitern die Angriffsfläche, indem sie öffentliche IP-Adressen offenlegen, die für Cyberkriminelle leicht zu entdecken sind und eingehende Netzwerkverbindungen zulassen.
• Sie können Kompromittierungen nicht verhindern, da sie sich auf Firewalls (als virtuelle oder Hardware-Appliances) stützen, die aufgrund von begrenzter Skalierbarkeit Schwierigkeiten haben, verschlüsselten Traffic zu überprüfen und abzusichern.
• Sie begünstigen die laterale Ausbreitung von Bedrohungen, indem sie Usern weitreichenden Zugriff auf das Netzwerk gewähren, anstatt den Zugriff auf bestimmte Anwendungen zu beschränken.
• Sie erfordern komplexes Routing zwischen Standorten, da Netzwerke auf Mitarbeiter, Zweigstellen und Clouds ausgeweitet werden, was administrative und verwaltungstechnische Herausforderungen mit sich bringt.

Kurz gesagt, die Verwendung herkömmlicher SD-WAN- und anderer netzwerkorientierter Tools als Teil einer SASE-Implementierung steht im Widerspruch zum Zero-Trust-Prinzip des Zugriffs auf jegliche Entitäten mit minimaler Rechtevergabe. Unternehmen, die eine SASE-Lösung implementieren möchten, die den Anforderungen von Zero Trust entspricht, benötigen eine andere Form von SD-WAN: Zero Trust SD-WAN.

Zero Trust SD-WAN und Zero Trust SASE

Zero Trust SD-WAN ist das entscheidende Bindeglied, das eine vollständige Abstimmung der SASE-Implementierung mit der Zero-Trust-Architektur ermöglicht. Es behebt die netzwerkorientierten Schwächen herkömmlicher SD-WAN- und SASE-Lösungen, indem es den Zugriff mit minimaler Rechtevergabe auf User, Geräte und Workloads über Zweigstellen, Rechenzentren und Clouds hinweg ausweitet. Darüber hinaus stellt es eine direkte Verbindung zu der angeforderten Ressource her und nicht zu dem Netzwerk, in dem sich die Ressource befindet.

Vorteile der Kombination aus SASE und Zero Trust

Durch die Integration von Zero Trust SD-WAN in ein vollständiges SASE-Framework entsteht echtes Zero Trust SASE, das folgende Vorteile bietet:

• Höhere Sicherheit: Durch kontinuierliche Überprüfung und die Beseitigung impliziten Vertrauens werden Cyberrisiken für Mitarbeiter, Zweigstellen und Clouds reduziert.
• Erstklassige Produktivität: Direkte Zero-Trust-Konnektivität zur Cloud bietet verteilten Usern schnellen, sicheren Zugriff und eine nahtlose User Experience.
• Kosteneinsparungen: Durch die Konsolidierung von Sicherheits- und Networking-Tools in einer Cloud-nativen Zero-Trust-Plattform werden Komplexität, Technologiekosten und Verwaltungsaufwand reduziert.

Zukunftsfähige Sicherheit für Ihr Unternehmen mit Zscaler Zero Trust SASE

Die KI-gestützte Lösung Zscaler SASE wurde von Grund auf im Hinblick auf Sicherheit, Performance und Skalierbarkeit entwickelt. Mit über 160 Rechenzentren weltweit, die täglich mehr als 500 Milliarden Transaktionen verarbeiten, und durch die Zusammenarbeit mit Hunderten von Partnern an den wichtigsten Internetknotenpunkten auf der ganzen Welt bietet Zscaler überall unübertroffene Zero Trust-Sicherheit.

• Cloud-first-Architektur: Konsolidieren und vereinfachen Sie Ihre IT, um die Cloud-Einführung zu beschleunigen, die User Experience zu verbessern und an allen Standorten einheitliche Bedingungen zu schaffen.
• Vollständige Inline-TLS/SSL-Überprüfung: Bieten Sie umfassenden Schutz vor Bedrohungen und Datenverlust für den gesamten Traffic mit einer KI-gestützten Proxy-Architektur.
• Optimierte Performance: Optimieren Sie das Traffic-Routing durch globale Peering-Vereinbarungen mit führenden Anwendungs- und Service-Anbietern, um eine erstklassige User Experience zu gewährleisten.
• Zero-Trust-Kommunikation: Stellen Sie eine sichere Verbindung zwischen Ihren Mitarbeitern, Zweigstellen und Clouds her — ohne implizites Vertrauen und ohne jemals Entitäten in Ihr Netzwerk zu lassen.
• Keine Angriffsfläche: Machen Sie IP-Adressen und Ihr Netzwerk für das Internet und unbefugte User unsichtbar. Bedrohungsakteure können nicht angreifen, was sie nicht sehen.