Was ist SASE/SSE? Sicheres Netzwerk aus der Cloud – verständlich erklärt
SASE verbindet Netzwerk und Sicherheit zu einem Cloud-Dienst nach Zero Trust. Die Bausteine, der Unterschied zu SSE – und was das für Unternehmen heißt.
Die Art, wie Unternehmen arbeiten, hat sich in den letzten Jahren grundlegend verändert: Anwendungen liegen in der Cloud, Mitarbeitende arbeiten von überall, und Standorte, Rechenzentren und mobile Geräte müssen ständig sicher miteinander verbunden sein. Klassische Netzwerkmodelle, die den gesamten Datenverkehr durch ein zentrales Rechenzentrum leiten, kommen dabei an ihre Grenzen. Genau hier setzt SASE an – ein Ansatz, der Netzwerk und Sicherheit als einen einzigen, cloud-basierten Dienst zusammenführt.
Der Netzwerkspezialist Cloudflare erklärt das Konzept in seinem Lernartikel „What is SASE?" anschaulich. Wir fassen die Kernpunkte auf Deutsch zusammen und ordnen ein, was SASE/SSE für moderne, verteilte Unternehmen bedeutet.
Was ist SASE?
SASE steht für „Secure Access Service Edge" (ausgesprochen „sässi"). Der Begriff wurde 2019 vom Analystenhaus Gartner geprägt. Die Grundidee: Netzwerkfunktionen und Sicherheitsfunktionen, die bislang aus vielen einzelnen Produkten bestanden, werden zu einem einheitlichen Dienst zusammengeführt und aus der Cloud bereitgestellt – nah am Nutzer, unabhängig davon, wo dieser sich befindet.
Statt Datenverkehr aufwendig zu einem zentralen Standort und wieder zurück zu leiten, verlagert SASE Prüfung und Absicherung an den Rand des Netzwerks – an den „Edge". Zugriff wird nicht mehr am Standort festgemacht, sondern an der Identität von Nutzer und Gerät. Das passt zu einer Welt, in der das Büro nur noch einer von vielen Zugangspunkten ist.
Die Bausteine von SASE
SASE ist kein einzelnes Produkt, sondern die Bündelung mehrerer Technologien in einer Plattform. Die wichtigsten Bausteine sind:
- SD-WAN (Software-Defined WAN): intelligente, softwaregesteuerte Verbindung von Standorten – flexibler und günstiger als klassische Standleitungen.
- Secure Web Gateway (SWG): schützt vor unsicheren Websites, Schadsoftware und riskanten Downloads, indem der Web-Verkehr gefiltert wird.
- Cloud Access Security Broker (CASB): kontrolliert und sichert die Nutzung von Cloud-Diensten und schützt die dort liegenden Daten.
- Zero Trust Network Access (ZTNA): gewährt Zugriff auf Anwendungen streng nach dem Prinzip „niemals vertrauen, immer prüfen" – pro Nutzer, pro Anwendung.
- Firewall-as-a-Service (FWaaS): stellt Firewall-Funktionen als Cloud-Dienst bereit, ohne Hardware an jedem Standort.
Erst das Zusammenspiel dieser Komponenten macht SASE aus: Netzwerk und Sicherheit werden nicht mehr getrennt betrachtet, sondern gemeinsam über eine Plattform gesteuert.
Wie SASE funktioniert
Herzstück von SASE ist ein weltweit verteiltes Netz von Präsenzpunkten – sogenannten Points of Presence (PoPs). Wenn ein Nutzer auf eine Anwendung zugreift, wird sein Datenverkehr am nächstgelegenen PoP geprüft, abgesichert und weitergeleitet. Die aufwendige Umleitung über ein zentrales Rechenzentrum entfällt.
Zwei Effekte ergeben sich daraus: Erstens sinkt die Latenz, weil der Weg kürzer wird – Anwendungen fühlen sich schneller an. Zweitens greift die Sicherheitsprüfung überall gleich, egal ob jemand im Büro, im Homeoffice oder unterwegs arbeitet. Sicherheit hängt nicht mehr am Standort, sondern reist mit dem Nutzer mit.
SASE gegenüber dem klassischen Netzwerkmodell
Klassische Unternehmensnetze folgen oft einem Nabe-Speiche-Modell: Der gesamte Verkehr aller Standorte wird über teure Standleitungen zu einem zentralen Rechenzentrum geführt, dort geprüft und wieder zurückgeschickt. Solange die meisten Anwendungen im eigenen Rechenzentrum lagen, funktionierte das. In einer Cloud-Welt bedeutet dieser Umweg jedoch unnötige Latenz, hohe Kosten und einen Engpass, der mit jedem neuen Standort und jedem Cloud-Dienst wächst.
SASE dreht dieses Prinzip um: Sicherheit und Steuerung wandern in die Cloud und an den Rand des Netzwerks. Der Umweg entfällt, die Architektur skaliert mit dem Bedarf – und neue Standorte oder Nutzer lassen sich anbinden, ohne an jedem Ort eigene Hardware aufzubauen.
SASE und SSE – wo ist der Unterschied?
Häufig taucht neben SASE der Begriff SSE auf – „Security Service Edge". SSE beschreibt den reinen Sicherheitsteil von SASE, also im Wesentlichen Secure Web Gateway, CASB und Zero Trust Network Access. Was fehlt, ist die Netzwerkkomponente, insbesondere SD-WAN. Gartner führte SSE 2021 als eigenständigen Begriff ein.
Vereinfacht gilt: SSE ist die Sicherheit aus der Cloud, SASE ist Sicherheit plus Netzwerk aus der Cloud. Viele Unternehmen beginnen mit dem Sicherheitsteil (SSE) und ergänzen die Netzwerkseite nach und nach – deshalb werden beide Begriffe oft gemeinsam als „SASE/SSE" genannt.
Die Vorteile von SASE/SSE
Der Wechsel zu einer SASE/SSE-Architektur bringt eine Reihe konkreter Vorteile mit sich:
- Weniger Komplexität: Eine Plattform statt vieler Einzelprodukte verschiedener Hersteller – einheitlich zu verwalten.
- Geringere Kosten: Weniger Hardware an den Standorten und der Verzicht auf teure Standleitungen entlasten das Budget.
- Bessere Performance: Prüfung am nächstgelegenen Edge-Standort statt Umweg über ein zentrales Rechenzentrum reduziert die Latenz.
- Konsequentes Zero Trust: Zugriff wird pro Nutzer und Anwendung geprüft – kein pauschales Vertrauen in das interne Netz.
- Kleinere Angriffsfläche: Anwendungen sind nicht mehr offen im Netz sichtbar, sondern nur nach erfolgreicher Prüfung erreichbar.
- Einfache Skalierung: Neue Standorte, Nutzer und Cloud-Dienste lassen sich schnell und ohne Vor-Ort-Hardware anbinden.
SASE/SSE mit KAEMI
So überzeugend das Konzept ist – der Nutzen entsteht erst in der richtigen Umsetzung und im laufenden Betrieb. Genau hier kommen wir ins Spiel. Als Managed Service Provider und Cloudflare-Partner planen, implementieren und betreiben wir SASE/SSE-Architekturen für mittelständische Unternehmen – technologieoffen und aus einer Hand.
Das bedeutet: Wir bewerten, welche Bausteine und Technologien zu den jeweiligen Anforderungen passen, integrieren sie sauber in die bestehende Umgebung und übernehmen anschließend Monitoring, Härtung und Weiterentwicklung – mit klar vereinbarten Reaktionszeiten und einem festen Ansprechpartner. So wird aus einem Architekturkonzept ein verlässlicher, sicherer Betrieb.
Mehr dazu, wie wir SASE/SSE als Managed Service umsetzen, finden Sie auf unserer Seite zu Secure Access Service Edge .
Einen kompakten Überblick über alle Cloudflare-Produkte für Zero Trust & SASE/SSE finden Sie auf unserer Cloudflare-Seite .
Grundlage dieses Beitrags ist der Lernartikel von Cloudflare: „What is SASE?" .