Anwendungen laufen heute teils im eigenen Rechenzentrum, teils in Cloud-Umgebungen, während Mitarbeitende von überall darauf zugreifen. Die klassische Sicherheitsarchitektur mit zentraler Firewall am Hauptstandort passt zu dieser Realität immer schlechter: Der Datenverkehr wird über zentrale Knoten umgeleitet, die er fachlich gar nicht mehr braucht. Das kostet Performance und erzeugt blinde Flecken. SASE/SSE beantwortet diese Entwicklung mit einem Architekturmodell, das Netzwerk- und Sicherheitsfunktionen zusammenführt und als verteilten Cloud-Dienst bereitstellt. Geprüft und gefiltert wird dort, wo Nutzer und Anwendungen tatsächlich sind, statt an einem einzigen zentralen Ort.
Was ist SASE/SSE?
Der Begriff Secure Access Service Edge (SASE) wurde 2019 vom Marktforschungsunternehmen Gartner geprägt. Er beschreibt die Konvergenz von Weitverkehrsnetz und IT-Sicherheit: Funktionen, die früher als einzelne Appliances im Rechenzentrum standen, wandern in eine verteilte Cloud-Plattform mit Zugangspunkten nahe an Nutzern und Standorten. Zwei Jahre später ergänzte Gartner den Begriff Security Service Edge (SSE) für die reine Sicherheitsschicht dieses Modells, also für den Teil ohne die Netzwerkfunktionen. Weil beide Begriffe zusammengehören, hat sich in der Praxis die Schreibweise SASE/SSE etabliert. Der Grundgedanke bleibt gleich: Die Sicherheit folgt dem Nutzer, statt den Datenverkehr zum zentralen Standort zurückzuholen. Dahinter steht eine einfache Beobachtung: Wenn Anwendungen und Nutzer verteilt sind, muss auch die Kontrolle verteilt stattfinden.
So funktioniert es
Eine SASE/SSE-Plattform bündelt mehrere Dienste, die über gemeinsame Richtlinien gesteuert werden:
- ZTNA: Zero Trust Network Access prüft Identität, Gerätezustand und Kontext und verbindet Nutzer gezielt mit einzelnen Anwendungen statt mit ganzen Netzen.
- Secure Web Gateway: Der Web-Verkehr aller Nutzer wird in der Cloud gefiltert, inklusive Schutz vor Schadsoftware und Kontrolle riskanter Ziele.
- CASB: Ein Cloud Access Security Broker macht die Nutzung von SaaS-Diensten sichtbar und setzt Regeln für Datenzugriffe und Freigaben durch.
- FWaaS: Firewall as a Service verlagert Firewall-Regeln in die Plattform, sodass Standorte ohne eigene Sicherheits-Appliances auskommen.
- SD-WAN: Auf der Netzwerkseite steuert Software-defined WAN die Anbindung der Standorte und wählt pro Anwendung den passenden Übertragungsweg.
- Zentrale Richtlinien: Eine Verwaltungskonsole definiert Regeln einmal und wendet sie auf alle Nutzer und Standorte an, unabhängig vom Aufenthaltsort.
Technisch verbindet sich jeder Nutzer und jeder Standort mit dem nächstgelegenen Zugangspunkt der Plattform. Dort greifen die Richtlinien, danach fließt der Verkehr direkt zum Ziel. Die Entscheidung, wer worauf zugreifen darf, wandert damit vom Standortperimeter an den Rand des Netzes, nahe an den Nutzer.
Warum es wichtig ist
- Sicherheitsregeln gelten einheitlich am Standort wie im Homeoffice.
- Der Datenverkehr nimmt den direkten Weg zur Anwendung, Umwege über das Rechenzentrum entfallen.
- Der Betrieb einzelner Sicherheits-Appliances an jedem Standort entfällt, ebenso deren Update-Rückstände.
- Zugriffe folgen dem Zero-Trust-Prinzip und lösen pauschale Netzwerkfreigaben ab.
- Neue Standorte und Nutzergruppen lassen sich über die Plattform zügig anbinden.
- Sichtbarkeit über Nutzer und Datenflüsse entsteht an einer zentralen Stelle.
Typische Szenarien
- Ein mittelständisches Unternehmen ersetzt den Fernzugriff per VPN durch ZTNA und reduziert damit die aus dem Internet erreichbare Angriffsfläche.
- Ein Betrieb mit zwölf Niederlassungen verbindet die Standorte über SD-WAN und filtert den gesamten Web-Verkehr zentral in der Cloud.
- Nach einer Cloud-Migration soll die Nutzung von SaaS-Diensten kontrolliert werden, inklusive der Erkennung nicht freigegebener Dienste per CASB.
- Ein Unternehmen mit vielen Fremdzugriffen gibt Dienstleistern gezielt einzelne Anwendungen frei, ohne ihnen einen Netzwerkzugang einzurichten.
- Ein international tätiges Unternehmen steuert Sicherheitsrichtlinien für alle Regionen aus einer Konsole und vereinfacht damit Audits.
SASE/SSE oder nur SSE: Wo liegt der Unterschied?
Die beiden Abkürzungen werden häufig synonym verwendet, bezeichnen aber unterschiedliche Zuschnitte. Das vollständige Rahmenwerk umfasst Sicherheits- und Netzwerkfunktionen, schließt also SD-WAN ausdrücklich ein. SSE beschränkt sich auf die Sicherheitsdienste, im Kern ZTNA, Secure Web Gateway, CASB und FWaaS. SSE ist damit die Security-Teilmenge des Gesamtmodells. Praktisch relevant wird die Unterscheidung bei der Einführung: Viele Unternehmen starten mit den SSE-Diensten, weil sich diese unabhängig vom bestehenden Netz einführen lassen, und modernisieren die Standortvernetzung in einem zweiten Schritt. Wer bereits ein SD-WAN betreibt, kombiniert es mit einer SSE-Plattform und erreicht so das vollständige Modell.
Wie KAEMI unterstützt
KAEMI begleitet Sie von der Analyse der bestehenden Zugriffswege bis zum laufenden Betrieb der Plattform. Als Managed Service Provider für sichere Unternehmensnetzwerke verbindet KAEMI die Sicherheitsdienste mit der Vernetzung Ihrer Standorte, damit Richtlinien und Support aus einer Hand kommen. Dazu gehören der Betrieb und die Anpassung der Richtlinien ebenso wie das laufende Monitoring der Plattform. Den Leistungsumfang finden Sie unter SASE/SSE: Sicherer Zugriff . Ist die Standortvernetzung Teil des Projekts, ergänzt SD-WAN die Plattform um die Netzwerkseite. Für eine erste Einschätzung Ihrer Ausgangslage sprechen Sie uns an .