Ganzheitliche Sicherheitskonzept (SASE) realistisch und DSGVO-gerecht umsetzen

Also ganzheitlich etc. ist immer toll, aber ich störe mich auch an der US-Komponente (interessiert hier aber auch keinen). Europäische (oder Deutsche) Anbieter wären daher schön.

Ein ähnliches Problem habe ich auch: Daten gehen in die Cloud und werden damit weltweit verfügbar. Jetzt bekomme ich immer mehr "Input" wie ich das alles wieder zu sichern habe damit nicht jeder von überall daran kommt. In dem Zusammenhang finde ich fehlt auf deiner Liste zumindest noch Microsoft, die machen ja mit Intune und Azure den "gleichen Ansatz". Mich würde vor allem interessieren welchen Mehrwert ein "Cloud Anbieter" liefert der das am Ende selbst über Azure laufen läßt. Kann man dann nicht gleich Azure nutzen?

Hallo,


Weder Buzzword noch Paradigmenwechsel, sondern eine spezifische Bündelung von Diensten in der MSP-Landschaft.


Meines nicht, aber aber ich kenne genug Umgebungen, wo das getan wird, wo es mir mit Blick auf Datenschutz und Sicherheit vertretbar erscheint. Beides hat in der Praxis nicht immer die höchste Priorität. Je nachdem, wie ein Unternehmen aufgestellt ist, kann es auch die beste Wahl sein.

Generell eignen sich solche Angebote nur für sehr überschaubare Umgebungen.
Das Problem ist andernfalls folgendes: Es gibt hier keine entscheident neue "Technologie". Dennoch wird in Projekten oft genug von Technologie gesprochen, von Paradigmenwechsel, von Ganzheitlichkeit.
Das sind Anzeichen, dass eine Kategorie von Produkten und Diensten primär technikferne Entscheidungsträger anspricht und auf dem Markt von Unternehmen absorbiert wird, die Kompetenzdefizite in der IT aufweisen. Das mag Zufall sein, vielleicht legen es Anbieter aber auch darauf an.
Ich bekomme dasselbe Marketing-Material und denke mir oft: Interessant, behalte ich mal als Option im Hinterkopf, obwohl es nichts wirklich Neues ist und auch offenkundige Nachteile hat. Für manche große Unternehmen kann ich dann schon im Kalender anstreichen, dass in sechs Monaten die Ankündigung herausgegeben wird, künftig diese tolle neue "Technologie" einzusetzen.
Das Ergebnis in den betroffenen Landschaften ist Toolitis, ein Wildwuchs aus Login-Optionen, Agents, getunnelten und nicht getunnelten Zugängen; alles ist irgendwie nötig, weil nichts nichts wirklich alle Bedürfnisse in diesen umfangreichen Landschaften abdeckt; aufgrund mangelnder Ressourcen ist nichts durchkonfiguriert, keine Investition in die Produkte ist ausgeschöpft, die Nutzer sind genervt und die Administratoren nachlässig.

Du kannst solche Angebote prinziell selbst nachbauen als virtualisierte Netzwerk-Security in der Cloud. Wo die Anbindung des Unternehmensstandorts mit Kapazität für Forced-Tunneling für x Clients nicht möglich ist, ist das eine attraktive Option.
Genauso natürlich managed Services, sofern man die weiteren Implikationen in Kauf nimmt und der Anbieter transparent agiert, sich festlegt auf einen Cloud-Hosting-Partner, einen Verarbeitungsort, Supportzugriffe etc. Das ist aus meiner Sicht der Knackpunkt, zumal ein Kunde mit der genannten überschaubaren Infrastruktur hier keinerlei Leverage hat.

Grüße
Richard

"SASE" beschreibt hier doch nichts Neues, oder bin ich nicht auf dem Laufenden?

Aus allgemeinen Best-Practices ist bereits abzuleiten, dass:

• Entfernte Clients per VPN ins Unternehmensnetz integriert werden
• Möglichst die permanente VPN-Nutzung erzwungen wird
• Möglichst der gesamte Client-Traffic getunnelt wird
• Der Client damit im Anwendungsbereich aller im Unternehmensnetz erforderlichen Netzwerk-Sicherheitsmaßnahmen ist
• Diese Maßnahmen für Geräte/Nutzer/Gruppen ausdifferenziert und Zugriffe auf das erforderliche Minimum begrenzt werden

Ok, ich habe aus den Fragen bislang nur Client-VPN mitgenommen.

Ob und wie Du in die Cloud gehst, steht eher am Ende des Prozesses. Beispiel: Wenn Du AOVPN in Betracht ziehst, und das die bestehende Infrastruktur erheblich infrage stellt (reichen vorhandene Appliances, will man für Device Tunnel RAS-Server integrieren etc.), dann würde ich zumindest darüber nachdenken, ob man das nicht z.B. mit Azure terminiert, dort die Security-Appliance für den Traffic der Clients bereitstellt, und selektiv ins RZ/die Standorte routet.

SD-WAN übersetze ich mal mit anwendungsspezifischem Routing und einer Plattform, welche die resultierende Komplexität in den Griff bekommt. Wenn kein klarer Bedarf dafür besteht, würde ich es nicht anfassen.
Wenn ihr bislang auf reine Gateways gesetzt habt, dann erfordert ja Application-Awareness an den Standorten - ob nun unter der Flagge "SD-WAN" oder nicht - einen ganz erheblichen Aufwand, der durch z.B. mangelnde Performance externer Anwendungen (die nicht ganz zur Cloud-Skepsis passen) und Traffic-Kosten gerechtfertigt werden muss.

Genau. Bei euch wird dann wahrscheinlich das vorhandene RZ näher liegen. Wenn die IT hingegen lokal sehr verschlankt ist, ggf. schon Cloud genutzt wird, wechselnde RZ oder andere Cloud-Sites angebunden werden müssen, fand ich so einen Cloud-Hub in der Vergangenheit ganz nett. Da die "Azure-Firewall" nur rudiementär ist, würde man sich eine Firewall-Appliance aussuchen, die dort virtualisieren (Azure "NVA" - Network Virtual Appliance) und clustern. Sowohl Client- als auch S2S-VPN kann (und sollte man m.E.) dann auch auf der Appliance abhandeln. Nur hinsichtlich AOVPN-Device und SSTP-User-Tunnel bietet sich der Azure-Gateway an - was ja kein Hindernis ist, das unmittelbar durch die NVA zu routen.