Secure Access Service Edge

Barracudas einzigartiger Ansatz für Secure Access Service Edge (SASE)

Druckfreundlich, PDF & E-Mail

Anfang dieser Woche hat Barracuda eine Cloud-native Secure-Access-Service-Edge-Plattform (SASE) angekündigt, mit der Unternehmen den Zugriff auf Daten von jedem Gerät aus steuern können – jederzeit und überall.

Wir haben am Dienstag über diese und einige andere spannende Produktneuheiten berichtet, die wir auf Secured.21, unserer virtuellen Kundenkonferenz, vorgestellt haben. Zusammen mit Klaus Gheri, VP für Network Security bei Barracuda, haben wir einen genaueren Blick auf die SASE-Version, die neuen Funktionen und die Möglichkeiten, die sich Kunden damit bieten, geworfen.

Q&A mit Klaus Gheri, VP Network Security

Was macht den SASE-Ansatz von Barracuda so einzigartig?

Es sind meines Erachtens drei Dinge, mit denen wir uns wesentlich unterscheiden. Zunächst hat Barracuda die meisten der funktionalen Anforderungen für eine SASE-Implementierung in seinem Produktportfolio. Das zeichnet uns aus, denn es ist eher ungewöhnlich, dass ein einziger Anbieter so viele Komponenten vereint. Und es handelt sich dabei nicht um eine Reihe von Komponenten, die wir uns durch Akquisitionen angeeignet haben. Wir haben vielmehr strategisch darauf hingearbeitet.

Zweitens hatten wir die Technologie sehr früh im Programm und begannen vor über sieben Jahren damit, unsere Lösungen auf öffentliche Cloud-Umgebungen zu erweitern. Da wir über die notwendigen Elemente und das entsprechende Fachwissen verfügen, sind wir bestens für das SASE-Konstrukt aufgestellt. Außerdem liegen unsere Stärken sowohl bei Cloud-basierten als auch bei On-Premises-Implementierungen, die ein wichtiger Bestandteil von SASE sind. Als wir all diese Elemente zu einem SaaS-Service zusammenfügten, haben wir uns dafür entschieden, so Cloud-nativ wie möglich zu sein.

Der dritte Unterschied ist, dass sich die Gartner-Definition von SASE auf Standorte, Menschen und Dinge erstreckt. Während einige Anbieter Standorte und Menschen abdecken, konzentrieren wir uns zusätzlich auch auf industrielle Security und Konnektivität. Alle drei Aspekte zu vereinen, ist ungewöhnlich. Wie bereits gesagt sind Cloud-basierte industrielle Konnektivitätslösungen ein Thema, an dem wir schon seit einigen Jahren arbeiten, was ein weiterer Beweis dafür ist, dass Barracuda etwas Einzigartiges zu bieten hat.

Was bedeutet es, Cloud-nativ zu sein, und warum macht das einen Unterschied?

Cloud-nativ bedeutet, dass die Cloud-Hub-Komponenten von unseren SASE-Lösungen vollständig in die öffentliche Cloud integriert sind und somit nahe an Ihren Daten und Anwendungen liegen. Der Hub-Service nutzt unsere Security- und Konnektivitätstechnologien, wird aber vom Cloud-Anbieter betrieben und unterstützt. Darüber hinaus nutzt die Kommunikation zwischen den Hubs das Cloud-Backbone, was ein äußerst leistungsfähiges Netzwerk zur Folge hat.

Im Vergleich dazu bestünde ein nicht-nativer Ansatz darin, diese Knotenpunkte außerhalb der Cloud zu errichten und den Datenverkehr dann in die Cloud zu leiten. Im Ergebnis hätten Sie dann natürlich nicht mehr den Vorteil einer durchgängigen SD-WAN-Konnektivität und einer durchgängigen Verwaltung aller digitalen Ressourcen. Viele andere Anbieter verfolgen einen nicht-nativen Ansatz und betreiben eine Art globale Infrastruktur, in die man sich einklinken kann. Von dort aus geht es dann erst weiter in die öffentliche Cloud. Das Problem ist, dass es sich nicht um einen End-to-End-Ansatz handelt und somit die Konnektivität nicht durchgängig optimiert ist.

Aufgrund unserer engen Beziehung zu Microsoft haben wir beschlossen, unsere Komponenten strukturell direkt in die Cloud einzubetten. Es ist also der Cloud-Anbieter, der die Hubs betreibt und verwaltet. Dies bedeutet, dass Sie die volle Abdeckung von SLAs haben, da es sich nicht um etwas handelt, das lediglich über der öffentlichen Cloud schwebt.

Wie arbeiten unsere Lösungen zusammen, um Unternehmen bei der SASE-Konvergenz zu unterstützen?

Konvergenz ist das richtige Stichwort. SASE umfasst unendlich viele Dinge, und nicht alle davon sind für Organisationen gleichermaßen wichtig. Da SASE noch weiterentwickelt wird, möchte ich über praktische SASE sprechen, die jene funktionalen Elemente enthalten, die fast alle Kunden benötigen.

Der wichtigste Baustein ist die SD-WAN-Konnektivität zwischen der Cloud und den Standorten, die für einen zuverlässigen und leistungsfähigen Zugriff auf Ihre Daten von überall her notwendig sind. Wir bieten dafür eine Lösung, die Sie durch Zero-Touch-Deployment per Streckengeschäft einsetzen können. Sobald sie aktiviert ist, tut sie automatisch das Richtige und erfordert keine weiteren Experteneingriffe. So ist die Einführung dieser Lösung für die Kunden, insbesondere für kleine Teams, wirklich einfach.

Derselbe Technologiestack kann auch für eine vollständige Sicherheitsprüfung sowohl auf der lokalen Ebene als auch auf der Ebene des Cloud-Hubs eingesetzt werden. Sie wählen aus, ob und wo Sie dies nutzen möchten. Dafür ist kein Aufpreis notwendig und zusätzliche Funktionen wie z. B. Firewall-as-a-Service (FWaaS) oder Secure-Web-Gateway-as-a-Service (SWGaaS) stehen zur Verfügung.

Schließlich bietet SASE noch die Möglichkeit des Fernzugriffs. Ein gesicherter Zugriff über SSO (Single Sign-On) und MFA (Multi-Faktor-Authentifizierung) auf hybride Cloud- und lokale Netzwerke mit Sicherheitsüberprüfung ist das neue Element, das Unternehmen bei der Bewältigung flexibler Arbeitsanforderungen unterstützt. Über SSO mit Azure Active Directory können Sie bedingte Zugriffsregeln nutzen, die eine andere Kontrollebene bieten, um vertrauenswürdigen Zugriff (Trusted Access) zu ermöglichen.

Was sind die wesentlichen neuen Funktionen in dieser Version? Wie helfen sie dem Kunden?

Die Möglichkeit, den Sicherheitsprüfungs-Stack der CloudGen Firewall auf der Hub-Service-Ebene vollständig zu nutzen, ist eines der wichtigsten Elemente dieser Version. Damit können Kunden den Cloud-Netzwerkverkehr und den Internet-Breakout-Verkehr von Standorten und Cloud-Netzwerken untersuchen und mikrosegmentieren. So wird ein Hub-Service zu einem FWaaS- oder SWGaaS-Konstrukt.

Die neue Version enthält außerdem eine adaptive Fehlerkorrektur (Forward Error Correction, FEC), um Paketverluste im laufenden Betrieb auszugleichen, was die Leistung und Qualität der Kommunikation erheblich steigert. Bereits ein einziger ISP verbessert die Kommunikationsqualität. TLS 1.3 ist ein weiteres wichtiges Element, das wir hinzugefügt haben. Es handelt sich dabei um eine leistungsfähigere TLS-Version, die sich zunehmender Beliebtheit erfreut und nun mit Man-in-the-Middle-Angriffen kompatibel ist und Kunden letztlich noch mehr Sicherheit bietet.

Wir haben auch die Möglichkeit hinzugefügt, dass sich externe Mitarbeiter entweder mit dem Cloud-Hub oder dem nächstgelegenen Standortgerät verbinden können, um die Latenzzeit zu minimieren. Außerdem können Kunden jetzt unsere Secure-Connector-Geräte mit integrierten LTE-Modems mit demselben CloudGen Firewall-Gateway oder Hub-Service verbinden, der ein SD-WAN-Netz abdeckt. Dies optimiert OT/IoT-Bereitstellungen, da skalierbare Konnektivität und sofort einsatzbereite Security ermöglicht werden. Der Secure Connector von Barracuda kann jetzt direkt mit CloudGen Firewall oder Cloud Hub vernetzt werden.

 Wie passt XDR in dieses Bild?

Erweiterte Erkennung und Reaktion (Extended Detection and Response, XDR) ist ein Schlüsselelement einer modernen Sicherheitsarchitektur. Wir können solche Funktionen heute durch mehrere Open-XDR-Ökosystempartnerschaften anbieten, wie z. B. durch unsere Integration mit Stellar Cyber. Die Erkennung ist der Anfang einer XDR, d. h. Sie müssen Daten erfassen und analysieren, um ungewöhnliche Aktivitäten erkennen und darauf reagieren zu können.

Bei unserer SASE-Implementierung liefern die Log-Analysen, die wir über diese Integrationen senden, Audit-Trail-Informationen. Azure Sentinel kann beispielsweise für eine erweiterte Erkennung genutzt werden. In Zukunft werden wir auch eine tiefgehendere Integration mit SKOUT anstreben, einem von uns kürzlich übernommenen Anbieter von Managed XDR.

Gibt es ein Thema, das wir noch nicht angesprochen haben?

Ich möchte auch auf die Integration von Barracuda CloudGen Access, unseres ZTNA-Produkts (Zero Trust Network Access), mit unserem Cloud Secure Web Gateway Produkt, Barracuda Content Shield, aufmerksam machen. Es handelt sich dabei um eine Konnektivitätslösung für den Endgeräteschutz, die sich gut in unsere vorhandenen Lösungen einfügt. Im Zuge der Weiterentwicklung von SASE werden wir die Lösungen weiter verbessern und weiterentwickeln.

Webinar: 2021 Strategic Roadmap for SASE Convergence

Nach oben scrollen
Twittern
Teilen
Teilen