Blog

Implementierung einer SASE-Lösung: Es braucht mehr als Marketing

Der Bedarf, auf viele Einsatzorte verteilte Belegschaften agil und kostengünstig zu unterstützen, ist nicht neu. Die Dringlichkeit, geeignete Lösungen zu finden, hat zuletzt jedoch nochmals zugenommen. Einerseits ist die Zahl der Mitarbeiter im Homeoffice steil angestiegen, und Homeoffice-Arbeitsmodelle haben an Akzeptanz gewonnen. Andererseits denken Unternehmen darüber nach, wie sie ihre Arbeitnehmer wieder sicher an ihre Unternehmensstandorte zurückbringen können. Dazu sollen die Belegschaften unter anderem aus großen, hochverdichteten Großraumbüros auf kleinere Einheiten verteilt werden.

Um effektiv arbeiten zu können, benötigen die Mitarbeiter verlässliche Netzwerkverbindungen und robuste Security-Maßnahmen zum Schutz von Geräten und Daten. Die wachsende Zahl von Mitarbeitern im Homeoffice macht es allerdings schwieriger, diese Anforderungen zu erfüllen. Die Mitarbeiter arbeiten außerhalb der traditionellen, organisatorisch abgesicherten Zugriffsmodelle vor Ort. Und dem IT-Personal fehlt der physische Zugang zu den Endgeräten für Fehlerbehebung und Verwaltung.

Viele Unternehmen sind parallel dazu weiterhin auf der Suche nach der besten Möglichkeit, schnell, zuverlässig und sicher Zugriff auf Cloud-gehostete Anwendungen bereitzustellen. Die Umstellung von zentralisierten Rechenzentren auf Cloud-gehostete Software as a Service (SaaS) schreitet zügig voran. Deshalb müssen sich auch die Verfahren ändern, mit denen Datenverkehr geroutet, inspiziert und geschützt wird.

Als Rahmen für die Auseinandersetzung mit der oben genannten Dynamik hat Gartner im Jahr 2019 ein neues Konzept mit der Bezeichnung Secure Access Service Edge (SASE) eingeführt. Dieses Konzept unterstützt die folgenden Kernprinzipien:

  • Cloud-gehostete Architekturen für die Bereitstellung von Services nach Bedarf und mit variabler Skalierung
  • Identitätsgesteuerte Richtlinien zur Anpassung von Netzwerkzugang und Security an individuelle Benutzeranforderungen
  • Lokale Inspektion und Durchsetzung zur Bereitstellung von Anwendungen und Services so nah wie möglich an den Benutzern für minimale Latenz

SASE ist dabei, sich zu etablieren. Und Anbieter wie Juniper schaffen die Grundlagen für diesen wichtigen architektonischen Wandel. Im Folgenden beschreiben wir, auf welchen Wegen sich dieser Wandel vollziehen lässt. Und nennen einige Gründe dafür, warum Juniper in einer einzigartigen Position ist, bei SASE eine führende Rolle zu spielen.

Cloud-first-Mentalität

Der Bedarf für skalierbare, robuste und agile Lösungen, die in der modernen Cloud gehostet werden und offene APIs für vereinfachte Programmierung unterstützen, wurde von Juniper deutlich früher als von vielen anderen erkannt. Verfahren und Technologien wie Zero-Touch Provisioning (ZTP) von CPE-Geräten wie Firewalls der Juniper SRX-Serie bis hin zur Fernkonfiguration und -überwachung von Security-, Netzwerk- und Anwendungsrichtlinien erleichtern den Betrieb von SASE-Lösungen an beliebigen Orten und rund um die Uhr. Besonders wichtig wird dies immer dann, wenn sich die Kunden von traditionellen SD-WAN-Umgebungen mit statischen Richtlinien ab- und neuen KI-gesteuerten Lösungen zuwenden, bei denen die Benutzererfahrung auf dem gesamten Pfad vom Client bis zur Cloud mit Echtzeit-Automatisierung und Echtzeit-Erkenntnissen optimiert wird. Die leistungsstarken Funktionen der LAN-, WAN- und Security-Komponenten von Juniper in Verbindung mit einer übergreifend einsetzbaren KI-Engine ermöglichen es den Unternehmen, die damit verbundenen Erwartungen zu erfüllen.

In der Cloud können Workloads hochdynamisch und elastisch sein. Erweiterungen, Verlagerungen und Veränderungen sind jederzeit schnell möglich. Gleichzeitig kann es jedoch schwierig sein, Workload-Instanziierungen mit SASE-Richtlinien zu verknüpfen und bei der Verlagerung von Workloads Richtlinien zu verfolgen, um optimale Netzwerkleistung und kontinuierliche Security-Compliance zu gewährleisten. Juniper begegnet diesen Herausforderungen mit virtualisierten und containerisierten SRX-Versionen (vSRX und cSRX), die je nach Bedarf leicht bereitgestellt und mit dynamischen Netzwerkzugriffs- und Security-Richtlinien konfiguriert werden können, jeweils angepasst an veränderte Workload-Anforderungen.

Implementing SASE solution

Einzigartiger Fokus auf Benutzererfahrung

Beim Thema Netzwerkzugang in SASE-Umgebungen wird die Benutzererfahrung durch drei Parameter bestimmt:

  • Verfügbarkeit: Ist die WAN-Verbindung aktiv oder inaktiv?
  • Qualität: Beeinträchtigen Paketverlust, Engpässe oder andere Netzwerk- und Anwendungsparameter die Durchleitung von Datenverkehr?
  • Kapazität: Steht ausreichend Bandbreite zur Verfügung (über einzelne oder mehrere Verbindungen), um die Datenverkehrsanforderungen zu erfüllen?

Bei herkömmlichen SD-WAN-Lösungen wird zwar versucht, die oben genannten Aspekte mit Blick auf die Netzwerk- und Anwendungsbedingungen zu optimieren. Es fehlt jedoch das entscheidende Element: Einblick in die tatsächliche Benutzererfahrung. Denn „aktiv“ ist nicht gleichzusetzen mit „brauchbar“. Mit anderen Worten: Nur weil eine WAN-Verbindung den Datenverkehr erfolgreich weiterleitet, haben die Benutzer auf dieser Verbindung noch nicht automatisch ein gutes Zoom-Erlebnis. Wie erfährt ein IT-Administrator, ob eine Änderung beim WAN (zum Beispiel ein Wechsel von einer aktiven Verbindung zu einer anderen) die Erfahrungen der Benutzer verbessert oder verschlechtert hat? Bei der Verwaltung von Netzwerken waren solche Fragen schon immer „blinde Flecken“. Es fehlte eine Rückkopplungsschleife, mit deren Hilfe IT-Administratoren anpassbare WAN Service Level Experiences (SLEs) konfigurieren und überwachen sowie automatisiert Maßnahmen auslösen können, um die beste Benutzererfahrung zu gewährleisten.

Juniper nutzt auf einzigartige Weise KI-gesteuerte Automatisierung, Einblicke und Maßnahmen im LAN, WLAN und WAN, um die End-to-End-Benutzererfahrung zu optimieren. Dazu gehören individuell angepasste Service Level Expectations (SLEs), übergreifende Ereigniskorrelationen im LAN und WAN zur schnellen Fehlerisolierung und -behebung, KI-gesteuerte Unterstützung mit proaktiven Benachrichtigungen und ein interaktiver Virtual Network Assistant (VNA) namens Marvis, der Aktivitäten empfiehlt und/oder das Netzwerk eigenständig optimiert.

Wie der Name schon nahelegt, ist ein wesentliches Element der SASE-Benutzererfahrung die Security. Durch die Integration von Netzwerk- und Security-Elementen in eine einzige Plattform können Kunden von Juniper nahtlos und kostengünstig erweiterte Security Services nutzen: darunter Application Security für mehr Transparenz und Kontrolle, Advanced Threat Prevention, Intrusion Detection and Prevention und Data Loss Prevention. Dafür ist weder zusätzliche Hardware noch zusätzliche Software nötig. Juniper Advanced Threat Prevention (ATP) ist zum Beispiel ein Cloud-basierter Service für vollständigen verbesserten Malwareschutz. SASE-Kunden können neue Zero-Day-Malware und zielgerichtete Angriffe identifizieren und abwehren, Risiken durch die Aktualisierung vorhandener Sicherheitsmaßnahmen zur Abwehr identifizierter und unbekannter Bedrohungen mindern, den Zeit- und Kostenaufwand für die Abwehr von Bedrohungen reduzieren und insgesamt die Gefährdung durch moderne Bedrohungen verringern.

Juniper Connected Security

Durch die Konvergenz von Security- und Netzwerkfunktionen in einer einheitlichen Lösung bietet Juniper seinen Kunden die Möglichkeit, an jedem Punkt einer SASE-Verbindung zu analysieren, zu automatisieren und zu schützen. Im Rahmen dieses Konzepts, das als Juniper Connected Security bezeichnet wird, lassen sich „bedrohungsbewusste“ Netzwerke schaffen und Richtlinien an jedem Verbindungspunkt im Netzwerk erkennen und durchsetzen – vom Client bis zur Cloud. Gleichzeitig bieten Analytik und Bedrohungsintelligenz die nötigen Einblicke und Funktionen, um auf Bedrohungen zu reagieren oder riskantes Verhalten von Benutzern oder Geräten zu unterbinden. Über die Orchestrierung von Firewalls können IT-Teams automatisch Abhilfemaßnahmen in Gang setzen. Für Abhilfe kann unter anderem mit Firewall-Richtlinien, Switch-Ports, AP-registrierten MACs oder Endpoint-Agenten (über Steuerbefehle oder einen Infected-Host-Feed) gesorgt werden.

In Kombination mit ATP kann Juniper Regeländerungen für beliebige Kombinationen unterstützter Geräte mit automatischen Reaktionen auf Echtzeit-Bedrohungen orchestrieren, jeweils an den Verbindungspunkten der Benutzer, unabhängig davon, wo diese sich gerade im Netzwerk befinden. Diese Funktionen werden als SecIntel (Security Intelligence) bezeichnet. Sie sind eine entscheidende Komponente der Connected Security-Strategie von Juniper. Mit SecIntel werden kuratierte, konsolidierte und verwertbare Informationen für Firewalls der Juniper SRX-Serie, Router der MX-Serie, Switches der EX- und QFX-Serien und Mist-APs sowie Netzwerkgeräte von Drittanbietern bereitgestellt. Auf dieser Basis werden Benutzer dort geschützt, wo es darauf ankommt, und die Auswirkungen auf andere Orte werden minimiert.

“When the bones are good, the rest doesn’t matter.” 

Was SASE betrifft, lässt sich diese Liedzeile der Sängerin Maren Morris auf Juniper übertragen: die Grundstruktur funktioniert. Juniper integriert alle nötigen Komponenten für stimmige SASE-Lösungen: mit robusten Cloud-Angeboten, einer bewussten Konzentration auf die Benutzererfahrung und geeigneten Werkzeugen für die End-to-End-Datenverkehrsinspektion und Richtliniendurchsetzung in Echtzeit. Bei der weiteren Entwicklung von SASE ist davon auszugehen, dass Juniper auf Basis der vorhandenen Komponenten neue Funktionen, Partnerschaften und Anwendungsfälle vorstellen wird, die sich von Wettbewerbern abheben und ihren Kunden echten Mehrwert bieten.

Samantha Madrid - 11 August 2020

Lassen Sie uns gemeinsam loslegen

Sie wollen mehr über dieses Thema erfahren oder haben konkrete Fragen? Rufen Sie uns an oder hinterlassen Sie eine Nachricht. 

Infradata ist ein preisgekrönter Juniper Networks Partner und Reseller. Unsere erfahrenen Techniker bieten erstklassigen Support und betreuen Projekte jeder Größenordnung.

Diese Seite teilen: