Ultimativer Leitfaden für SASE und die besten SASE-Tools
SECHSsteht für ' Secure Access Service Edge “. Dabei handelt es sich um eine Methode zum Herstellen sicherer Verbindungen zwischen Websites über das Internet. Es ist, als würde man den Raum zwischen Unternehmensnetzwerken in verwandeln ein einziges privates System Dadurch kann der Netzwerkmanager ein fragmentiertes Netzwerk als sicheres Ganzes behandeln.
Mehrere verwandte Technologien helfen beim Aufbau eines SASE-Systems. Das Verständnis der sich überschneidenden Konzepte für die WAN-Sicherheit hilft, die Bedeutung von SASE und seinen Zweck besser zu definieren.
Wenn Sie nur wegen der Tools hier sind, finden Sie hier unsere Liste der vier besten SASE-Tools:
- Perimeter 81 WAHL DER REDAKTIONEine flexible Plattform mit anpassbaren Servicekombinationen, mit denen Sie Ihre SASE-Strategie zusammenstellen können.
- Cloudflare One Ein Paket bereits vorhandener Cloudflare-Produkte, die sichere virtualisierte Netzwerke und Dienste erstellen.
- Zscaler SASE Eine umfassende Plattform von Diensten, die durch die Zentralisierung von Anwendungen oder Daten funktionieren.
- Offene Systeme SASE Ein attraktiver Konkurrenzanbieter mit der Option für den Einsatz vor Ort.
Am Ende des Beitrags stellen wir auch vollständige Rezensionen zur Verfügung.
SD-WAN und SASE
Ein SASE ist eine Weiterentwicklung des SD-WAN Konzept. SD-WAN steht für „ softwaredefiniertes Weitverkehrsnetzwerk “. Bei dieser Technologie überlagert die Netzwerkverwaltungssoftware private Netzwerkverbindungen, die nicht fest sind, sondern über intermittierende Verbindungen über das Internet bereitgestellt werden, mit einer IP-Adressstruktur.
Geht man mit dem SD-WAN-Konzept noch einen Schritt weiter, ist es möglich, auf das interne Netzwerk ganz zu verzichten. Diese Idee wäre vor allem für Unternehmen von Interesse, die einen Betrieb betreiben virtuelle Büros . Bei der Virtual-Office-Strategie sitzt niemand im Firmenbüro. Stattdessen arbeiten sie von zu Hause aus oder sind permanent im Außendienst.
Die Unternehmenstelefonnummer kann auf einer Cloud-basierten Vermittlungsstelle gehostet werden und die interne Durchwahl den tatsächlichen Telefonen, möglicherweise Mobilgeräten, zuordnen, die jedem Mitarbeiter gehören. Ebenso ist das Unternehmensnetzwerk eine Reihe von Ad-hoc-Verbindungen nach Bedarf im Internet gefälscht werden.
So wie die Cloud-Telefonzentrale der Außenwelt den Eindruck vermittelt, dass sie es mit einer Gruppe von Menschen zu tun haben, die an einem Ort untergebracht sind, vermittelt das SD-WAN diesen Mitarbeitern das Gefühl, dass sie es mit einer Gruppe von Menschen zu tun haben, die an einem Ort untergebracht sind an ein Firmennetzwerk angeschlossen und können so problemlos miteinander kommunizieren, als wären sie alle im selben Gebäude.
In der Zwischenzeit bietet die SD-WAN-Software einen Überblick über eine Netzwerkstruktur , was stattdessen nur eine Reihe von Hinweisen auf Personen ist. Betrachten Sie beispielsweise Endpunkte in einem Netzwerk. Bedenken Sie, dass ein Gerät mit einer IP-Adresse eher ein Tablet als ein Desktop sein könnte. Wenn sich der Vertriebsmitarbeiter, der dieses Gerät verwendet, im Land bewegt, scheint sein Standort innerhalb des Netzwerks an der gleichen Stelle zu bleiben.
Die Vermittlung der SD-WAN-Software bedeutet, dass der Netzwerkmanager nicht wissen muss, wo sich jeder Knoten befindet; Das System kann von hier aus verwaltet werden eine imaginäre Struktur anstatt sich mit der eigentlichen physischen zugrunde liegenden Infrastruktur zu befassen.
Bei einem SASE-System ist die SD-WAN-Software vorhanden in der Cloud gehostet und als SaaS-Plattform angeboten; Der Netzwerkadministrator muss sich nicht am selben Ort befinden, um auf das System-Dashboard zuzugreifen, das über einen Webbrowser verfügbar ist.
Da sich das Unternehmen im Expansionsstadium befindet, kann es die Bürostandorte regelmäßig wechseln und sogar temporäre Standorte hinzufügen und betreiben Pop-up Verkaufsstellen. Darüber hinaus kann der Netzwerkadministrator Berater mit kurzfristigen Verträgen in das Team integrieren, ohne eines der Netzwerke neu zuzuordnen. Kurz gesagt, es spielt keine Rolle, wo sich jemand in Wirklichkeit befindet oder welche physische Hardware ihn mit dem Netzwerk verbindet.
CASB und SASE
CASB steht für „ Cloud-Zugriffssicherheitsbroker .“ Die Abkürzung wird ausgesprochen „ cass-sein “. Es erzwingt Sicherheitsrichtlinien zwischen den Nutzern von Cloud-Diensten und den Cloud-Ressourcen. Um zu funktionieren, muss der CASB einen Blick auf den gesamten virtuellen Netzwerkverkehr werfen. Daher wird der gesamte Datenverkehr über den CASB-Server geleitet. Während der Durchreise kann das CASB Sicherheitsverfahren implementieren und Informationen extrahieren Sicherheitsberichterstattung .
Da SASE SD-WAN-Technologie mit Sicherheitsprozessen kombiniert, benötigt es einen CASB-Knoten, um seinen Zweck zu erfüllen. Daher ist CASB die Engine, die SASE auf einem SD-WAN implementiert.
Der CASB ist ein Authentifizierungsserver. Es ist wie das Active Directory für Ihr imaginäres Netzwerk, das das SD-WAN geschaffen hat. Während des Authentifizierungsprozesses kann das CASB-System auch protokollieren, welcher Benutzer wie lange auf welche Ressource zugegriffen hat. Dies ist eine wichtige Audit-Trail-Information für Einhaltung von Datenschutzstandards .
SWG, FWaaS und SASE
SWG steht für „ sicheres Web-Gateway “. Dies ist im Grunde genommen eine Firewall . Die SWG prüft sowohl den ausgehenden als auch den eingehenden Verkehr. Die Standard-Firewall-Funktion verhindert den Zugriff böswilliger Akteure und filtert Schadsoftware heraus. Der Reverse-Firewall prüft alle ausgehenden Übertragungen und verhindert so Datendiebstahl.
Die SWG kann vor Ort auf einer Netzwerk-Appliance oder als implementiert werden ein Edge-Service auf einem Remote-Server. Die SWG trägt die Bezeichnung „ Firewall als Dienst ” (FWaaS) im Edge-Service-Szenario.
Da die SASE neben der Netzwerkvirtualisierung auch Netzwerksicherheit implementiert, muss sie FWaaS-Funktionen ausführen. Dieser Dienst kann als SWG implementiert werden auf jeder Seite oder als FWaaS, das als funktioniert ein Stellvertreter . Wenn es sich bei der Firewall für jede Ihrer Sites um eine Proxy-basierte Vorfilterung irgendwo in der Cloud handelt, ist es kein allzu großer intellektueller Sprung, zu erkennen, dass die Firewall-Funktion für alle Sites von hier aus ausgeführt werden kann der gleiche Dienst und über ein einziges Dashboard gesteuert werden.
VPN und SASE
Wenn sich die Firewall des Netzwerks nicht vor Ort befindet, sondern von einem SaaS-Server an einem anderen Ort bereitgestellt wird, besteht eine Sicherheitslücke zwischen dieser Firewall und der physischen Netzwerkgrenze. Ein VPN sichert die Lücke.
Das VPN ist ein „ virtuelles privates Netzwerk “. Das bedeutet, dass Softwareprozesse das gleiche Maß an erstellen Privatsphäre für Internetübertragungen als Pakete, die über das Internet übertragen werden ein privates Netzwerk Erfahrung. Niemand von außen kann nicht nur in den Datenverkehr eindringen, er kann auch nicht die Paket-Header lesen, um die tatsächliche Quelle und das tatsächliche Ziel des Pakets zu identifizieren. Durch die Verschlüsselung des Paketkörpers wird ein Paket erstellt Sicherheit , Verschlüsselung, die den Header eines Pakets erstellt Privatsphäre .
Die SASE erstellt ein Knotenpunkt , welches ist ein Edge-Service . Dies ist wie ein stark ausgelasteter Netzwerk-Switch, der alle Subnetze des Netzwerks miteinander verbindet. Beispielsweise könnte ein virtuelles Kabel, das aus dem Schalter herausführt, dorthin führen ein einzelnes Gerät Das könnte irgendwo auf dem Schreibtisch eines Telearbeiters zu Hause liegen. Ein weiteres virtuelles Kabel führte zu ein mobiles Gerät gestern in New York und ist heute in Tulsa. Ein weiteres virtuelles Kabel führt zu ein komplettes Büronetzwerk bedient hundert Desktops und Drucker.
Wenn der Netzwerkadministrator sich das ansieht Karte der Netzwerktopologie Jedes Kabel führt zu einem Gerät mit einer IP-Adresse und alle Verbindungen sind sowohl sicher als auch privat.
Konvergierende Virtualisierung und Sicherheit
Nachdem Sie sich alle diese Elemente von Edge-Diensten angesehen haben: Netzwerkvirtualisierung, Verwaltung von Zugriffsrechten, Systemsicherheit, Verhinderung von Datenverlust, Verbindungsschutz, Überwachung der Netzwerkleistung, Sicherheitsüberwachung und Einhaltung von Standards, können Sie erkennen, dass alle diese Funktionen möglich sind zentralisiert . Das ist die SASE.
Ein FWaaS muss dafür sorgen, dass der gesamte Datenverkehr einer Site über ihn geleitet wird. Wie bereits erläutert, können die Firewalls für alle Standorte zu einer zusammengelegt werden, wodurch erstellt wird ein zentraler Punkt für den gesamten Unternehmensverkehr, sowohl für den Verkehr, der intern zirkuliert, als auch für den Verkehr, der mit externen Standorten kommuniziert.
Da der gesamte Datenverkehr die zusammengeführte Edge-Service-Firewall passiert, CASB-Funktionen können alle genau an diesem Ort durchgeführt werden. Überwachungssoftware kann außerdem gleichzeitig Metriken aufzeichnen und VPNs schützen alle Verbindungen zu allen Standorten.
SASE implementieren
Wie SASE ist ein Edge-Service können Sie davon ausgehen, dass Sie das gesamte Netzwerkvirtualisierungs- und Systemsicherheitspaket von einem einzigen Anbieter erhalten. Daher ziehen es große Unternehmen möglicherweise vor, ihre SASE einzurichten, indem sie Speicherplatz auf einem Cloud-Server mieten und alle erforderlichen Softwareelemente darauf installieren. Üblicher ist jedoch der Abschluss eines Abonnements für ein bestehendes SaaS-Plattform das ein SASE-Paket bereitstellt.
Unsere Methodik zur Auswahl einer SASE-Plattform
Wir haben den Markt für SASE-Systeme untersucht und die Optionen anhand der folgenden Kriterien analysiert:
- Ein sicheres Paket mit solider Verschlüsselung für Verbindungen
- Kontosicherheit, um zu verhindern, dass in den zentralen Hub und den Datenspeicher eingebrochen wird
- Inklusive Cloud-Speicherplatz für Aktivitätsprotokolle
- Ein Dienst, der den Datensicherheitsstandards entspricht
- Ein schnelles und benutzerfreundliches Netzwerkverwaltungssystem
- Ein kostenloser Testzeitraum oder ein Demosystem
- Ein umfassendes Paket ohne Einrichtungsgebühren oder Sperrfrist
Anhand dieser Kriterien suchten wir nach einer Reihe skalierbarer SASE-Systeme, die für Unternehmen jeder Größe geeignet sind und schnell wachsenden Startups Flexibilität bieten.
Die besten SASE-Tools
1. Perimeter 81 WAHL DES HERAUSGEBERS
Der Umfang 81 SASE Die Plattform bietet alle Elemente einer SASE, wie Firewall as a Service, Edge-Services für Anwendungszugriff oder Netzwerkzugriff, Benutzerzentriert Netzwerkarchitektur und VPNs, sodass Sie ein SASE erstellen können, indem Sie Abonnements für alle Dienste abschließen oder einfach die Teile auswählen, die zu Ihnen passen.
Das ist das Nonplusultra Flexibilität Denn Sie sind nicht auf eine vorgegebene Architektur beschränkt – Sie können eine beliebige Architektur auswählen und kombinieren, um Ihr System zu erstellen. Platzieren Sie Gateway-Clients beispielsweise am Rand Ihres Heimnetzwerks oder an jedem Endpunkt in ein virtuelles Büro um eine vollständige Virtualisierung mit eingebetteter Sicherheit für ein verteiltes Team zu implementieren.
Hauptmerkmale:
- Zugriff auf Zero-Trust-Anwendungen
- Zero-Trust-Netzwerke
- Flexible VPN-Implementierungen, wie z. B. Split-Tunneling
- Integrieren Sie benutzereigene Geräte
- Einhaltung von Standards
Alle Vorgänge für diese SASE-Plattform basieren auf der Cloud, Sie müssen sie jedoch installieren ein VPN-Client auf jedem Internet-Gateway, das heißt auf jedem Endpunkt. Dieser Agent fungiert auch als SD-WAN Adressierungsinterpreter zur vollständigen Integration aller Ihrer Standorte in ein Netzwerk. Die Preise werden mit einer Mischung aus Pro-Benutzer- und Gateway-Gebühren berechnet. Es kann pro Monat oder Jahr bezahlt werden, wodurch der Service zugänglich gemacht wird kleine Geschäfte , Start-ups und große Organisationen. Sie können eine Demo anfordern, um Perimeter 81 SASE zu testen.
Vorteile:
- Entscheiden Sie sich dafür, Netzwerke mit einem SD-WAN-Ansatz zu schützen oder eine sichere Anwendungsbereitstellung von einem zentralen Cloud-Server zu implementieren
- Segmentieren Sie Benutzer unabhängig von ihrem Standort in Gruppen
- Ändern Sie das Layout Ihres Netzwerks mit Subnetzen und DMZs, ohne Rücksicht auf den tatsächlichen Standort der Endpunkte
- Nutzen Sie die Funktion, um einen zentralen, sicheren und genau überwachten primären Datenspeicher zu erstellen
- Integrieren Sie benutzereigene Geräte, die eine private Nutzung parallel zu Unternehmensaktivitäten ermöglichen, ohne die Netzwerksicherheit zu beeinträchtigen
- Sicherer VPN-Dienst der nächsten Generation
Nachteile:
- Erfordert eine gründliche Planung, um Ihre Servicebereitstellung mit Garantie zu vereinfachen, da die Plattform sehr flexibel ist
DIE WAHL DES HERAUSGEBERS
Umfang 81 ist unsere erste Wahl für ein SASE-Tool, weil es so flexibel ist. Sie erhalten keine Einheitslösung, sondern haben die Möglichkeit zu entscheiden, wie weit Sie mit Ihrer Netzwerkvirtualisierung gehen möchten, und entscheiden, ob Sie die Bereitstellung von Daten, Anwendungen oder dem gesamten Netzwerk neu zuordnen möchten. Darüber hinaus ist die skalierbare Preisgestaltung pro Benutzer für kleine Unternehmen sehr attraktiv.
Eine Demo anfordern : https://www.perimeter81.com/demo
Betriebssystem : Cloudbasiert
zwei. Cloudflare One
Cloudflare One ist ein SASE-Produkt eines bekannten Sicherheitsanbieters, der kürzlich sein Edge-Services-Menü erweitert hat. Die Cloudflare One-Plattform fügt alle vom Unternehmen angebotenen Edge-Services sauber zu einem zusammen aus dem Regal Paket. Wie alle beitragende Technologien sind einzeln erhältlich, Sie müssen nicht den gesamten Weg gehen, wenn Sie nur Teile des Konzepts interessieren.
Die Elemente auf dieser Plattform sind KETTE , das Netzwerkoptimierung durch benutzerzentrierte Vernetzung bietet; Magie Transit , eine SD-WAN-Lösung und Cloudflare-Netzwerkverbindung (CNI), eine Rechenzentrumsstruktur, nutzt die Argo Dienst für das Routing.
Das Cloudflare One-Paket bietet Ihnen eine Zero-Trust-Netzwerkzugriff (ZTNA)-System und DPI für die Verkehrsdurchführung FWaaS Und Verhinderung von Datenverlust . Du kannst den ... benutzen Cloudflare-CDN um den Zugriff auf Daten zu schützen oder alle Ihre Anwendungen von einem Cloud-Server bereitzustellen, den Zugriff dort zu kontrollieren und so den Datenzugriff durch die zugehörige Software zu filtern. Integrieren Sie das Netzwerk in den Dienst mit a sicheres Web-Gateway (SWG) und profitieren Sie vom Standard Cloudflare DDoS-Schutz .
Hauptmerkmale:
- Ein Komplettpaket oder ein Leistungsmenü
- Schützen Sie das Netzwerk, die Anwendungen oder die Daten
- Ein etablierter Marktführer für Edge-Services
Cloudflare ist sehr gut darin, kostenlose Versionen oder kostenlose Testversionen seiner Dienste anzubieten, aber wie Cloudflare One ist ein neuer Dienst und so flexibel, dass für dieses Paket nicht einmal ein automatisiertes Demokonto bereitgestellt wird. Stattdessen müssen Sie es tun eine Beratung anfordern um die Reise Ihres Käufers zu beginnen.
Vorteile:
- Flexible Services, die Ihnen die Wahl der Virtualisierungsmethode ermöglichen
- Eine etablierte und vertrauenswürdige Marke
- Integriert etablierte Cloudflare-Dienste wie CDN oder DDoS-Schutz
Nachteile:
- Kein kostenloses Test- oder Demokonto
3. Zscaler SASE
ZScaler bietet eine Reihe von Dienstleistungen an, die Sie bei der Umsetzung unterstützen SECHS auf veschiedenen Wegen. Entscheiden Sie sich beispielsweise dafür, alle Ihre Daten zu hosten Anwendungen auf dem Zscaler-Server und lassen Sie ihn Zugriffskontrollen implementieren oder installieren Sie ein Gateway-Programm in Ihrem Netzwerk und lassen Sie Zscaler den Datenverkehr über das Internet bündeln, indem Sie ein bereitstellen IP-Overlay . Sie können sich auch dafür entscheiden Datenspeicherung zentralisieren und den Zugriff darauf schützen oder alle oben genannten Kombinationen implementieren.
Schützen Sie einzelne Endpunkte, einschließlich mobile Geräte, indem Sie sie in Ihr Heimnetzwerk integrieren oder alles und jeden virtualisieren. Das Zsacaler-System implementiert Bedrohungserkennung, Zugriffskontrollen usw Aktivitätsprotokollierung für die Compliance-Prüfung, die jede von Ihnen implementierte Sicherheitsstrategie umfasst.
Hauptmerkmale:
- Virtualisieren Sie das gesamte Netzwerk oder integrieren Sie Remote-Mitarbeiter
- Zentralisieren Sie die Kontrolle über Anwendungen oder Daten
- Bietet 150 Rechenzentrumsstandorte
Zscaler veröffentlicht keine Preisliste. Sie können es jedoch tun Eine Demo anfordern um sich einen Überblick über seine Leistungen zu verschaffen.
Vorteile:
- Bietet eine Auswahl an Sicherheitsschwerpunkten und Zugriffsmodellen
- Alle cloudbasierten Dienste
- Integrieren Sie ein gesamtes Netzwerk mit der Bereitstellung eines Agenten als Gateway
Nachteile:
- Keine kostenlose Testversion
Vier. Offene Systeme SASE
Offene Systeme bietet Ihnen eine Hybridlösung, die die zugrunde liegende Plattform Ihrer Ressourcen verbirgt, sodass Sie Cloud-Dienste und Server vor Ort in einem einheitlichen System für Ihre Benutzer kombinieren können. Das SASE-Lösung vereint SD-WAN, Netzwerküberwachung und Liefersicherheit zu einer SASE.
Im Gegensatz zu den anderen Tools in dieser Liste bietet Open System eine Bereitstellung vor Ort Option für dieses SASE, sodass Sie es selbst ausführen können, anstatt eine SaaS-Plattform zu verwenden. Es ist jedoch auch die SaaS-Route verfügbar.
Hauptmerkmale:
- Beinhaltet SWG, SD-WAN, NGFW, CASB und IPS
- Integriert Prüfung und Überwachung
- Bietet Bedrohungserkennung und Datenschutz
Open Systems-Angebote drei Planebenen Das bedeutet, dass Sie nicht für alle Serviceelemente bezahlen müssen, wenn Sie sich für eine Virtualisierungsstrategie entscheiden, die nur bestimmte Services benötigt. Der Dienst ist skalierbar und eignet sich für kleine Geschäfte und Start-ups sowie große multinationale Unternehmen. Das Unternehmen veröffentlicht keine Preisliste und bietet keine Demo an. Stattdessen müssen Sie Fordern Sie ein Angebot an einen Einstiegspunkt in den Kaufprozess zu finden.
Vorteile:
- Flexible Optionen durch drei Servicepläne für unterschiedliche Virtualisierungsstrategien
- Ein kompetenter Service einer vertrauenswürdigen Marke
- Bereitstellungsmöglichkeit vor Ort
Nachteile:
- ZTNA und CASB sind Zusatzdienste
- Keine kostenlose Testversion oder Demo