IT Infrastruktur aus Deutschland - noris network
STRATEGIE12. Dezember 2025

Eine architektonische Entscheidung: SASE macht das Velocity Paradox in der Finanz-IT obsolet

Steve Riley, Netskope, erklärt die architektonische Entscheidung und warum SASE das Velocity Paradox in der Finanz-IT für obsolet erklärt<q>Netskope 
Steve Riley, Netskope Netskope 

Die Digitalisierung im Banking, Financial Services and Insurance (BFSI)-Sektor erzeugt ein kritisches Dilemma: das „Velocity Paradox“. Die schnelle Einführung innovativer Technologien wie KI-gestützte Kreditvergaben oder Echtzeit-Zahlungssysteme korreliert mit einer Erweiterung der Angriffsfläche. Die Geschwindigkeit der Geschäftsentwicklung stellt die traditionellen IT-Sicherheitsmodelle vor Herausforderungen, da perimeterbasierte Ansätze der dezentralisierten Cloud-Ära oft unzureichend begegnen können. Um die Innovationsfähigkeit zu erhalten, ist eine Evolution der Sicherheitsstrategie erforderlich. Eine architektonische Lösung für diese Herausforderung kann die Secure Access Service Edge (SASE)-Plattform sein. Sie integriert Zero-Trust-Prinzipien mit konvergierter Infrastruktur.

von Steve Riley, Netskope 

Tempo und Vertrauen: Die neue Architektur-Agenda

Zur Erreichung einer Balance zwischen Agilität, Compliance und Resilienz können IT- und Sicherheitsverantwortliche in regulierten Unternehmen eine SASE-Plattform in Betracht ziehen. Diese sollte auf spezifischen technischen Säulen basieren. Hier ist eine präzise architektonische Due Diligence unerlässlich.

1. Eliminierung des Trade-offs zwischen Sicherheit und Performance

Die Herausforderung besteht darin, die vollständige Sicherheitsinspektion mit hoher Performance zu vereinen. Angesichts der Empfindlichkeit von Protokollen wie SCTinst (10+10 s) hängt die Leistung bei latenzkritischen Anwendungen – wie Echtzeit-Finanztransaktionen – oft von einzelnen Millisekunden ab.

Steve Riley, Netskope
Steve Riley, Netskope <q>Netskope Steve Riley ist Vice Pre­si­dent und Field CTO bei Nets­ko­pe (Website) und ver­fügt über 25 Jah­re Bran­chen­er­fah­rung mit Fo­kus auf Cloud- und Cy­ber­si­cher­heit. Sei­ne Ar­beit um­fasst die Ge­stal­tung lang­fris­ti­ger Tech­no­lo­gie­stra­te­gi­en so­wie die Be­ra­tung von Füh­rungs­kräf­ten und Kun­den. Zu­vor war Herr Ri­ley fünf Jah­re lang füh­ren­der Ana­lyst bei Gart­ner und in lei­ten­den Po­si­tio­nen bei Ri­ver­bed Tech­no­lo­gy (stell­ver­tre­ten­der CTO), Ama­zon Web Ser­vices (AWS) und Mi­cro­soft tä­tig. Ste­ve Ri­ley ist Fach­re­fe­rent, Au­tor und Forscher.
Full Compute and Complete Security Stack (SSE): Jedes SASE-Rechenzentrum muss über volle Rechenkapazität und einen vollständigen Security Service Edge (SSE)-Stack verfügen. Dies erfordert eine überprüfbare, konsistente funktionale Äquivalenz über alle Points of Presence (PoPs) hinweg, um die Allgegenwärtigkeit aller Sicherheitsfunktionen (Firewall, CASB, DLP) zu gewährleisten, ohne dass eine Abhängigkeit von zentralen Knotenpunkten oder regionale Funktionseinschränkungen bestehen.
Single-Pass Processing: Eine Architektur, die Sicherheitsrichtlinien über parallelisierte Dienste ausführt, gewährleistet eine vollständige Überprüfung des verschlüsselten Datenverkehrs – einschließlich komplexer Datenverkehrstypen (APIs, JSON, Model Context Protocol – MCP) – bei minimalen, vorhersehbaren Auswirkungen auf die Latenz. Diese architektonische Entscheidung wirkt sich direkt auf Leistungskennzahlen wie das p99-Latenzperzentil aus.

2. Architektonische Resilienz und Verfügbarkeit

Die Anforderungen moderner Multi-Cloud-Umgebungen (“Many-Centers-of-Data”) und dezentraler Arbeitsmodelle (“Many-Offices-of-One”) stellen hohe Anforderungen an die Netzwerkinfrastruktur. Deshalb sollte eine SASE-Lösung auf folgenden Netzwerk-Designprinzipien basieren:
Privates Cloud-Backbone: Der Einsatz eines dedizierten Private-Cloud-Backbones ermöglicht die notwendige Kontrolle über die Middle Mile und schützt den Datenverkehr vor den Unwägbarkeiten des öffentlichen Internets. Dies ist entscheidend, um Backhaul-Engpässe zu beseitigen und Latenzziele im Submillisekundenbereich zu erreichen.
Optimiertes Peering: Eine Strategie des maximalen Peerings, bei der speziell die Leistung gegenüber dem kostengünstigsten Routing bei der Auswahl der Transitverbindung priorisiert wird, verbindet zahlreiche Cloud-Anbieter und Internetseiten direkt miteinander. Dies ist entscheidend für die Reduzierung der Latenz und die Erhöhung der End-to-End-Zuverlässigkeit.
Horizontale Kapazitätsplanung: Kapazitätserweiterungen sollten über das Hinzufügen von Servern hinausgehen und die Bereitstellung neuer Racks in zusätzlichen Rechenzentren umfassen. Dies kann Redundanz auf regionaler und nationaler Ebene gewährleisten.

3. Security-by-Design und Continuous Adaptive Trust

Eine SASE-Architektur muss die grundlegende Richtlinien-Engine für Zero Trust bereitstellen. Sie dient als zentraler Punkt für die Durchsetzung sämtlicher Policies, der eine umfassende Reihe von Signalen zusammenführt (z. B. Benutzeridentität, Geräte-Score, Inhaltsklassifizierung, Verhaltensanalysen). Diese Signal-Intelligenz ist für die Implementierung einer Continuous Adaptive Trust-Strategie relevant, die als Basis für eine funktionale und skalierbare Zero-Trust-Architektur dienen kann.

4. Predictive AI zur Reduzierung der operationalen Komplexität

Das steigende Alarmvolumen in den Security Operations Center (SOCs) treibt die Kosten in die Höhe. Um die operative Belastung der IT-Sicherheitsteams zu reduzieren, sollte eine SASE-Plattform KI integrieren. Damit wird die Sicherheitsfunktion über das traditionelle Modell “Schützen, Erkennen, Reagieren und Wiederherstellen” hinaus um “Vorhersagen” (Predict) erweitert. Predictive AI analysiert Datenmengen und Verhaltensmuster, um potenzielle Insider-Bedrohungen proaktiv zu bewerten.

Des Weiteren kann eine SASE-Plattform die Sicherheit von generativer und agentischer KI im Unternehmen gewährleisten, indem sie adaptiven, risikobasierten Zugriff und einen kontrollierten Datenaustausch nach definierten Regeln durchsetzt, die auch für menschliche Benutzer gelten.”

Fazit und Auftrag zur architektonischen Sorgfaltspflicht

Die Einführung von SASE stellt eine Reorganisation der Infrastruktur und der Sicherheitsfunktion dar, die sich an den Anforderungen eines digital-zentrierten Geschäftsmodells orientiert. Um sicherzustellen, dass eine Investition die erforderliche Resilienz und Compliance liefert, ist eine strenge technische Prüfung der Anbieterarchitektur notwendig.

Kritische Fragen an den SASE-Anbieter

Performance vs. Inspection: Wie wird die architektonische Garantie einer vollständigen Überprüfung aller verschlüsselten Datenübertragungen (APIs, JSON, MCP) mit minimaler Latenz aufrechterhalten? Der Anbieter muss validierte Metriken für die On-Ramp-Leistung der Single-Pass-Architektur bereitstellen.
Netzwerk-Resilienz: Welche spezifischen Funktionen leiten den Datenverkehr bei Internetausfällen oder Überlastungen um? Basiert die Lösung auf einem vom Anbieter kontrollierten privaten Netzwerk-Backbone oder nutzt sie einen öffentlichen Hyperscaler-Transit, bei dem die Kontrolle abgegeben wird? Eine Transparenz muss gewährleistet sein – sowohl hinsichtlich der Peering-Strategie als auch der Redundanzmaßnahmen.
Full Compute-Verpflichtung: Garantiert jedes Rechenzentrum in der SASE-Lösung vollständige funktionale Äquivalenz – also das Hosting des kompletten Security-Stacks (SSE) und die Rechenkapazität zur lokalen Verarbeitung des Datenverkehrs? Wo genau befinden sich die Server und wie minimiert diese Ausrichtung in Verbindung mit der globalen Nutzerpräsenz die Latenz? Steve Riley, Netskope

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/237570

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert