← All posts

Was ist SASE/SSE? Sicheres Netzwerk aus der Cloud – verständlich erklärt

SASE verbindet Netzwerk und Sicherheit zu einem Cloud-Dienst nach Zero Trust. Die Bausteine, der Unterschied zu SSE und was das für Unternehmen heißt.

Was ist SASE/SSE – sicheres Netzwerk aus der Cloud: SD-WAN und SSE (SWG, CASB, ZTNA, FWaaS) konvergiert nach dem Zero-Trust-Prinzip (KAEMI)
Note: This article is currently available in German only. An English translation is on its way. Open the German original.

Die Art, wie Unternehmen arbeiten, hat sich in den letzten Jahren grundlegend verändert: Anwendungen liegen in der Cloud, Mitarbeitende arbeiten von überall, und Standorte, Rechenzentren und mobile Geräte müssen ständig sicher miteinander verbunden sein. Klassische Netzwerkmodelle, die den gesamten Datenverkehr durch ein zentrales Rechenzentrum leiten, kommen dabei an ihre Grenzen. Genau hier setzt SASE an: ein Ansatz, der Netzwerk und Sicherheit als einen einzigen, cloud-basierten Dienst zusammenführt.

Der Netzwerkspezialist Cloudflare erklärt das Konzept in seinem Lernartikel „What is SASE?" anschaulich. Wir fassen die Kernpunkte auf Deutsch zusammen und ordnen ein, was SASE/SSE für moderne, verteilte Unternehmen bedeutet.

Was ist SASE?

SASE steht für „Secure Access Service Edge" (ausgesprochen „sässi"). Der Begriff wurde 2019 vom Analystenhaus Gartner geprägt. Die Grundidee: Netzwerkfunktionen und Sicherheitsfunktionen, die bislang aus vielen einzelnen Produkten bestanden, werden zu einem einheitlichen Dienst zusammengeführt und aus der Cloud bereitgestellt, nah am Nutzer und unabhängig davon, wo dieser sich befindet.

Konkret beschrieb Gartner den Ansatz im Report „The Future of Network Security Is in the Cloud“ (August 2019), verfasst von den Analysten Neil MacDonald, Lawrence Orans und Joe Skorupa. Die Kernaussage: Netzwerk- und Sicherheitsfunktionen, die traditionell getrennt und als einzelne Appliances betrieben wurden, konvergieren zu einem einzigen, cloud-nativen Dienst. An die Stelle der Netzwerktopologie tritt als entscheidendes Kriterium die Identität von Nutzern, Geräten und Diensten, zusammen mit dem jeweiligen Kontext (Standort, Gerätezustand, Risikolage) und den geltenden Sicherheits- und Compliance-Vorgaben. Gartner rechnete früh mit einer schnellen Verbreitung und sah SASE auf dem Weg von einem Nischenbegriff zu einer prägenden Architektur für Netzwerk und Sicherheit.

Statt Datenverkehr aufwendig zu einem zentralen Standort und wieder zurück zu leiten, verlagert SASE Prüfung und Absicherung an den Rand des Netzwerks, den sogenannten „Edge". Über den Zugriff entscheidet dabei die Identität von Nutzer und Gerät, nicht mehr der Standort. Das passt zu einer Welt, in der das Büro nur noch einer von vielen Zugangspunkten ist.

Die Bausteine von SASE

SASE ist kein einzelnes Produkt, sondern die Bündelung mehrerer aufeinander abgestimmter Technologien in einer Plattform. Die wichtigsten Bausteine erklären wir im Folgenden im Einzelnen.

SD-WAN (Software-Defined WAN)

SD-WAN bildet die Netzwerkgrundlage von SASE. Statt Standorte über teure, starre MPLS-Standleitungen zu koppeln, steuert SD-WAN den Datenverkehr softwarebasiert über beliebige Leitungen (Breitband, Glasfaser oder Mobilfunk per LTE/5G) und wählt für jede Anwendung dynamisch den besten Pfad. Zeitkritischer Verkehr wie Sprache und Videokonferenzen wird priorisiert, während unkritische Daten günstigere Wege nehmen. Das senkt Leitungskosten, erhöht die Ausfallsicherheit und bindet neue Standorte in Stunden statt Wochen an.

Secure Web Gateway (SWG)

Ein Secure Web Gateway prüft den ausgehenden Web-Verkehr, bevor er das offene Internet erreicht. Es blockiert bekannte Schad- und Phishing-Seiten, filtert Malware aus Downloads, setzt Nutzungsrichtlinien durch (etwa erlaubte Website-Kategorien) und kann verschlüsselten Verkehr für die Sicherheitsprüfung aufbrechen. So sind Nutzer unabhängig vom Standort vor webbasierten Bedrohungen geschützt, im Büro wie im Homeoffice.

Remote Browser Isolation (RBI)

Remote Browser Isolation verlagert das Surfen vom Endgerät in eine isolierte Umgebung in der Cloud. Der Nutzer sieht nur einen sicheren, interaktiven Bildstrom der Website. Aktiver Code, Skripte und mögliche Schadsoftware laufen ausschließlich in der abgeschotteten Remote-Sitzung und erreichen das Gerät nie. Besonders bei riskanten oder unbekannten Websites, bei Links aus E-Mails und beim Umgang mit sensiblen Daten verhindert RBI so, dass webbasierte Bedrohungen überhaupt auf den Endpunkt gelangen.

Cloud Access Security Broker (CASB)

Der Cloud Access Security Broker schafft Sichtbarkeit und Kontrolle über die Nutzung von Cloud-Diensten wie Microsoft 365, Google Workspace oder Salesforce. Er deckt auf, welche Anwendungen tatsächlich im Einsatz sind (auch nicht freigegebene „Schatten-IT“) und regelt, wer welche Daten hoch- oder herunterladen darf. So bleibt die Nutzung von SaaS transparent und steuerbar, statt unkontrolliert zu wachsen.

Zero Trust Network Access (ZTNA)

Zero Trust Network Access ersetzt das klassische VPN durch identitätsbasierten Zugriff nach dem Prinzip „niemals vertrauen, immer prüfen“. Statt einem Nutzer nach dem Login pauschal das ganze Netz zu öffnen, wird jeder Zugriff einzeln bewertet: pro Nutzer, pro Anwendung, unter Berücksichtigung von Gerätezustand und Kontext. Anwendungen bleiben nach außen unsichtbar und werden erst nach erfolgreicher Prüfung erreichbar, was die laterale Ausbreitung im Ernstfall stark begrenzt.

Firewall-as-a-Service (FWaaS)

Firewall-as-a-Service verlagert vollständige Firewall-Funktionen in die Cloud, von Paketfilterung über Intrusion Prevention bis zur Anwendungskontrolle auf Layer 7. Weil die Firewall zentral als Dienst läuft, entfällt dedizierte Hardware an jedem Standort, und Regeln gelten einheitlich für alle Nutzer und Orte. Pflege, Updates und Skalierung übernimmt der Dienst, ohne Eingriffe vor Ort.

Data Loss Prevention (DLP)

Data Loss Prevention verhindert den ungewollten Abfluss sensibler Daten. Regeln erkennen zum Beispiel Kreditkarten- oder Personaldaten und vertrauliche Dokumente und unterbinden, dass diese über Web-Uploads, unautorisierte Cloud-Dienste oder andere Kanäle das Unternehmen verlassen. In einer SASE/SSE-Plattform wirkt DLP nach einheitlichen Vorgaben kanalübergreifend, also über Web, Cloud-Apps und Datentransfers hinweg.

Erst das Zusammenspiel dieser Komponenten macht SASE aus: Netzwerk und Sicherheit werden gemeinsam über eine Plattform gesteuert statt getrennt verwaltet.

Wie SASE funktioniert

Herzstück von SASE ist ein weltweit verteiltes Netz von Präsenzpunkten, sogenannten Points of Presence (PoPs). Wenn ein Nutzer auf eine Anwendung zugreift, wird sein Datenverkehr am nächstgelegenen PoP geprüft, abgesichert und weitergeleitet. Die aufwendige Umleitung über ein zentrales Rechenzentrum entfällt.

Zwei Effekte ergeben sich daraus: Erstens sinkt die Latenz, weil der Weg kürzer wird. Anwendungen fühlen sich dadurch schneller an. Zweitens greift die Sicherheitsprüfung überall gleich, egal ob jemand im Büro, im Homeoffice oder unterwegs arbeitet. Die Sicherheit reist mit dem Nutzer mit, statt am Standort zu hängen.

SASE gegenüber dem klassischen Netzwerkmodell

Klassische Unternehmensnetze folgen oft einem Nabe-Speiche-Modell: Der gesamte Verkehr aller Standorte wird über teure Standleitungen zu einem zentralen Rechenzentrum geführt, dort geprüft und wieder zurückgeschickt. Solange die meisten Anwendungen im eigenen Rechenzentrum lagen, funktionierte das. In einer Cloud-Welt bedeutet dieser Umweg jedoch unnötige Latenz, hohe Kosten und einen Engpass, der mit jedem neuen Standort und jedem Cloud-Dienst wächst.

SASE dreht dieses Prinzip um: Sicherheit und Steuerung wandern in die Cloud und an den Rand des Netzwerks. Der Umweg entfällt, die Architektur skaliert mit dem Bedarf. Neue Standorte oder Nutzer lassen sich anbinden, ohne an jedem Ort eigene Hardware aufzubauen.

SASE und SSE – wo ist der Unterschied?

Häufig taucht neben SASE der Begriff SSE auf: „Security Service Edge". SSE beschreibt den reinen Sicherheitsteil von SASE, also im Wesentlichen Secure Web Gateway, CASB und Zero Trust Network Access. Was fehlt, ist die Netzwerkkomponente, insbesondere SD-WAN. Gartner führte SSE 2021 als eigenständigen Begriff ein.

Vereinfacht gilt: SSE ist die Sicherheit aus der Cloud, SASE ist Sicherheit plus Netzwerk aus der Cloud. Viele Unternehmen beginnen mit dem Sicherheitsteil (SSE) und ergänzen die Netzwerkseite nach und nach. Deshalb werden beide Begriffe oft gemeinsam als „SASE/SSE" genannt.

Die Vorteile von SASE/SSE

Der Wechsel zu einer SASE/SSE-Architektur bringt eine Reihe konkreter Vorteile mit sich:

  • Weniger Komplexität: Eine Plattform statt vieler Einzelprodukte verschiedener Hersteller, einheitlich zu verwalten.
  • Geringere Kosten: Weniger Hardware an den Standorten und der Verzicht auf teure Standleitungen entlasten das Budget.
  • Bessere Performance: Prüfung am nächstgelegenen Edge-Standort statt Umweg über ein zentrales Rechenzentrum reduziert die Latenz.
  • Konsequentes Zero Trust: Zugriff wird pro Nutzer und Anwendung geprüft, ohne pauschales Vertrauen in das interne Netz.
  • Kleinere Angriffsfläche: Dienste sind von außen nicht mehr auffindbar; Zugriff gibt es erst nach bestandener Prüfung.
  • Einfache Skalierung: Neue Standorte, Nutzer und Cloud-Dienste lassen sich schnell und ohne Vor-Ort-Hardware anbinden.

SASE/SSE mit KAEMI

So überzeugend das Konzept ist: Der Nutzen entsteht erst in der richtigen Umsetzung und im laufenden Betrieb. Hier kommen wir ins Spiel. Als Managed Service Provider und Cloudflare-Partner planen, implementieren und betreiben wir SASE/SSE-Architekturen für mittelständische Unternehmen, anforderungsorientiert und aus einer Hand.

Das bedeutet: Wir bewerten, welche Bausteine und Technologien zu den jeweiligen Anforderungen passen, integrieren sie sauber in die bestehende Umgebung und übernehmen anschließend Monitoring, Härtung und Weiterentwicklung, mit klar vereinbarten Reaktionszeiten und einem festen Ansprechpartner. So wird aus einem Architekturkonzept ein verlässlicher, sicherer Betrieb.

Mehr dazu, wie wir SASE/SSE als Managed Service umsetzen, finden Sie auf unserer Seite zu Secure Access Service Edge .

Einen kompakten Überblick über alle Cloudflare-Produkte für Zero Trust & SASE/SSE finden Sie auf unserer Cloudflare-Seite .

Grundlage dieses Beitrags ist der Lernartikel von Cloudflare: „What is SASE?" .

Questions about this topic?

Let's talk about your network and security goals, no strings attached.

Get in touch