SASE - Secure Access Service Edge

Secure Access Service Edge (SASE) - ausgesprochen “sassy” - ist Gartners Antwort auf die fundamentale Architektur-Frage der Cloud-Ära: Wie sichert man Netzwerkzugang wenn Nutzer überall sind und Anwendungen in der Cloud laufen? Die traditionelle Antwort (VPN → Firmennetz → Internet) ist zu langsam, zu teuer und zu unflexibel.

Das Problem das SASE löst

Traditionelle Netzwerkarchitektur (Hub-and-Spoke)

Remote User → VPN → Zentrales Rechenzentrum → Internet → Cloud App

Probleme:

• Latenz: Traffic von Frankfurt → RZ München → Azure Frankfurt (Umweg!)
• Bottleneck: Alle Remote-User durch einen VPN-Tunnel
• Komplexität: Firewall, VPN, Proxy, CASB, SWG als separate Systeme
• Kosten: Mehrfach-Management, multiple Lizenzen
• COVID-Beweis: VPN-Kapazität reichte nicht für 100% Remote Work

SASE-Architektur (Cloud-Edge-Modell)

Remote User → Nächster SASE Point of Presence (PoP) → Cloud App direkt

Vorteile:

• Latenz: User verbindet sich zu nächstem SASE-PoP (z.B. Frankfurt)
• Cloud-Apps direkt über PoP (kein Umweg über RZ)
• Alle Sicherheitsfunktionen in einem Service vereint
• Konsistente Policy überall: Büro, Home Office, Unterwegs

SASE-Komponenten

1. SD-WAN (Software-Defined Wide Area Network)

• Intelligente WAN-Verbindungen: MPLS, Internet, LTE kombinieren
• Traffic-Optimierung: welche Verbindung für welchen Traffic?
• Zero-Touch-Provisioning für Branch-Standorte

2. ZTNA (Zero Trust Network Access)

• Ersetzt VPN für Anwendungszugang
• Kein “alles erlaubt im Netzwerk” mehr
• Least-Privilege: User sieht nur Anwendungen die er benötigt
• Kontinuierliche Authentifizierung (nicht nur beim Login)

3. CASB (Cloud Access Security Broker)

• Sichtbarkeit und Kontrolle über Cloud-Apps
• DLP für Cloud-Daten
• Shadow IT Discovery

4. SWG (Secure Web Gateway)

• Web-Filterung und -Sicherheit
• Malware-Inspection (SSL-Inspection für verschlüsselten Traffic)
• URL-Kategorisierung (Social Media, Gaming: blockieren)
• Ersetzt On-Premises Web-Proxy

5. FWaaS (Firewall as a Service)

• Next-Generation Firewall als Cloud-Service
• L3-L7 Inspektion
• Konsistente Firewall-Policy für alle Standorte und User

Optional aber häufig

• DNS Security: DNS-basierter Malware-Schutz
• Remote Browser Isolation (RBI): Browser läuft in Cloud
• DEM (Digital Experience Monitoring): User-Experience messen

SASE vs. SSE (Security Service Edge)

• SSE = SASE ohne SD-WAN (nur Security-Funktionen)
• SSE: für Unternehmen die SD-WAN separat managen
• Trend: SSE oft als Einstieg in SASE

Führende SASE-Anbieter

Netskope

• Stärkste CASB und DLP-Funktionen
• Inline CASB + API-CASB kombiniert
• Gut für: data-sensitive Branchen, DSGVO-Compliance
• SSE-Fokus, SD-WAN-Integration über Partner

Zscaler

• Marktführer SSE (Gartner Magic Quadrant: Leader)
• Zscaler Internet Access (ZIA): SWG + FWaaS
• Zscaler Private Access (ZPA): ZTNA
• Größte Proxy-Infrastruktur (150+ PoPs global)
• Schwäche: kein eigenes SD-WAN

Palo Alto Networks Prisma Access

• Vollständige SASE-Plattform (inkl. SD-WAN via Prisma SD-WAN)
• Stärke: tiefste Sicherheitsinspektion (NGFW-Qualität in der Cloud)
• Gut für: Unternehmen mit bestehenden Palo Alto Produkten

Cloudflare One

• Zero Trust-Plattform mit starkem ZTNA und SWG
• Schnellste Performance (globales Anycast-Netzwerk)
• Günstigstes Preis-Leistungs-Verhältnis
• Schwäche: weniger reife CASB-Funktionen als Netskope

Cato Networks

• Einziger “echter” SASE-Anbieter (SD-WAN + Security nativ kombiniert)
• Einfachste Administration
• Gut für: Mittelstand der alles in einem Service will

Microsoft (Azure)

• Azure Virtual WAN + Microsoft Entra Private Access (ZTNA) + Defender for Cloud Apps
• Kein vollständiges SASE, aber gute Integration für M365-Kunden

SASE Migration Empfehlung

Phase	Maßnahme	Mehrwert
Phase 1	ZTNA für Remote Access (VPN-Ablösung)	Sofortiger Mehrwert
Phase 2	SWG + CASB (Proxy und Cloud-Security)	Zentrale Policy
Phase 3	FWaaS für Branch-Standorte (MPLS-Ablösung)	Kostenreduktion
Phase 4	SD-WAN-Integration	Vollständiges SASE