Warum SASE VPN-Netzwerke ablöst

Das Architekturkonzept aus der Cloud macht Unternehmen gleich in mehrfacher Hinsicht krisenfest, sagt Peter Arbitter von der Deutschen Telekom.

Virtual Private Networks (VPN) waren lange Zeit das Standardwerkzeug für sichere Fernverbindungen. Doch traditionelle Unternehmensnetzwerke, die auf physischen Standorten und einem zentralen Rechenzentrum basieren, werden dem modernen Arbeitsalltag vielerorts nicht mehr gerecht. Zum einen hat sich seit der Corona-Pandemie Remote Work etabliert. Zum anderen hat sich die Anzahl an Unternehmen, die Cloud-Dienste nutzen in den vergangenen zehn Jahren verdreifacht.

Sowohl für die zunehmende Remote Work als auch für den schnellen Zugriff auf Cloud-Applikationen brauchen Unternehmen vor allem Bandbreite im gesamten Netz. VPN-Tunnel sind hierfür zu langsam und unflexibel – und sind trotz Verschlüsselung anfällig für DDoS- und Malware-Attacken.

Netzwerk- und Sicherheitsfunktionen vereinen

Mit Secure Access Service Edge (SASE) gibt es eine neue Technologie, die die unternehmerische Netzwerkarchitektur komplett neu ordnet: Sie vereint Netzwerk- und Sicherheitsfunktionen in einer einzigen, cloudbasierten Lösung. Das Ziel: Netzwerkkonnektivität und Sicherheit in einem Arbeitsumfeld zu liefern, in dem Nutzer und Ressourcen überall verteilt sind. SASE kombiniert dabei Elemente wie SD-WAN, Firewall-as-a-Service und Zero Trust Security in einer integrierten Plattform.

Zwar haben viele Unternehmen bereits einzelne Komponenten von SASE wie etwa SD-WAN oder Zero Trust im Einsatz, aber erst der umfängliche SASE-Ansatz ermöglicht folgende Vorteile:

Skalierbarkeit und Flexibilität
SASE ermöglicht es Unternehmen, ihre Netzwerke nach Bedarf zu skalieren, ohne aufwändige Hardware-Upgrades durchführen zu müssen. Dies ist besonders wertvoll in Zeiten des schnellen Wachstums oder bei plötzlichen Lastspitzen.

Bessere Performance
Durch die Nutzung von Edge-Computing und der Nähe zu Cloud-Diensten kann SASE eine verbesserte Netzwerk-Performance bieten. Dies ist besonders wichtig für Anwendungen, die niedrige Latenzzeiten erfordern.

Verbesserte Sicherheit
SASE integriert Sicherheitsfunktionen wie Intrusion Detection, Data Loss Prevention und Zugriffskontrollen. Das Zero-Trust-Modell, das SASE oft unterstützt, stellt sicher, dass nur authentifizierte Nutzer auf die Ressourcen zugreifen können, unabhängig von ihrem Standort.

Einfache Verwaltung
Das zentrale Management und Konfiguration über die Cloud vereinfachen die Verwaltung von Netzwerken erheblich, insbesondere bei verteilten Standorten.

SASE bietet also eine vielversprechende Alternative zu traditionellen VPN-Netzwerken und revolutioniert die Art und Weise, Netzwerk und Sicherheit zu organisieren. Drei Gründe, warum Unternehmen auf die neue Art der Netzwerkarchitektur setzen sollten:

1. Reduzierte Komplexität

Durchschnittlich nutzen Unternehmen 43 verschiedene IT-Sicherheits-Applikationen, um sich gegen die zunehmende Bedrohung durch Cyberangriffe zu schützen. Das zeigt der Endpoint Security Visibility Reportvon Tanium. So entsteht ein unübersichtlicher Flickenteppich an Tools mit einer Vielzahl an teuren, redundanten Funktionen und gefährlichen Lücken. SASE hingegen integriert Sicherheitsmechanismen auf Netzwerkebene, was die Notwendigkeit von separaten Sicherheitslösungen reduziert. Dies erleichtert die Verwaltung und senkt die Komplexität.

2. Volle Leistung in verteilten Umgebungen

Angesichts der zunehmenden Anzahl von Remote-Mitarbeitern und dezentralen Standorten ermöglicht SASE eine nahtlose Verbindung, ohne die Performance zu beeinträchtigen. Dabei ist SASE mehr als nur SD-WAN und Cloud-Security. Wer das Konzept voll ausschöpfen will, muss auch bereit sein, sein physisches Netzwerk zu modernisieren. Denn jede WAN-Optimierung hat klar definierte Grenzen: Nämlich dort, wo die Qualität der Leitungen aufhört. Besonders wirksam ist eine SASE-Architektur dann, wenn Infrastruktur, virtuelles Overlay und Security bestmöglich ineinandergreifen.

Unter der Vielzahl von SASE-Lösungen die passenden Puzzleteile herauszusuchen, fällt allerdings schwer. Tendenziell kann es insbesondere für kleinere Unternehmen vorteilhaft sein, eine Single-Vendor-Lösung zu beziehen. Generell lohnt es sich, auf die Erfahrung eines Managed-Service-Dienstleisters zu vertrauen, der gezielt die richtigen Lösungen und Lösungskombinationen für den Kunden auswählt und betreibt.

3. Entlastete Fachkräfte

Der Fachkräftemangel in IT-Berufen befindet sich in Deutschland auf einem Rekordhoch. Bundesweit gab es 2022 gemäß einer Studie des Instituts der deutschen Wirtschaft im Schnitt knapp 68.000 offene Stellen. In der Realität bedeutet das, dass IT-Teams kaum Kapazitäten haben, um ein unübersichtliches Netzwerk mit den besagten durchschnittlichen 43 Security-Lösungen eines Unternehmens verantwortungsvoll betreuen zu können. Stattdessen besteht ein zusätzliches Risiko durch fehlerhaftes Handling. Das SASE-Konzept vereinfacht die Strukturen und entlastet die IT-Fachkräfte merklich. Vor allem, wenn ein Dienstleister den Betrieb des Netzes komplett übernimmt.

Teams umschulen und Compliance beachten

Klar ist aber auch: Die Umstellung von VPN auf SASE erfordert eine sorgfältige Planung und Implementierung. Unternehmen stehen dabei vor einigen Herausforderungen: So müssen IT-Teams geschult werden, um mit den neuen Technologien umzugehen. Zudem kann die Integration von bestehenden Systemen und Anwendungen in eine SASE-Plattform komplex sein und muss den spezifischen Anforderungen und Compliance-Richtlinien entsprechen, um kein Sicherheitsrisiko hervorzurufen.

Die Ablösung von VPN-Netzwerken durch SASE markiert unbestritten einen Wendepunkt in der Netzwerk- und Sicherheitstechnologie. Während VPNs weiterhin ihre Daseinsberechtigung haben, bietet SASE eine modernere, flexiblere und sicherere Alternative, die den Anforderungen einer zunehmend digitalisierten und verteilten Geschäftswelt gerecht wird. Die Telekom geht dabei mit branchenweiten Neuerungen voran, bietet Unternehmen ein Internet-Netzwerk mit zugesichertem Service Level ähnlich einer MPLS-Umgebung. Zudem ist die Telekom der einzige Anbieter für universal Customer Premises Euqipment (uCPE), die Unternehmen nach Bedarf abrechnen kann. Somit kann der Magenta-Konzern seinen Kunden eine cloudverwaltete SASE-Lösung auf Basis des Clouddienstes ZScaler liefern und zudem internetbasierte Site-to-Site- und Site-to-Cloud-Verbindungen mit Standorten in China herstellen. Unternehmen sollten dennoch die Vor- und Nachteile von VPN- und SASE-Strukturen sorgfältig abwägen – und eine schrittweise Migration zu SASE in Erwägung ziehen, um die Vorteile dieser neuen Technologie voll auszuschöpfen.

 

Peter Arbitter

ist Senior Vice President Portfolio- & Product-Management bei der Deutschen Telekom.