Security Access Service Edge — w skrócie SASE, zapewnia opartą na chmurze ochronę osób i rzeczy w sieci firmowej. Pandemia koronacyjna powinna znacząco wzmocnić to podejście.
Zarządzanie SASE: Różne funkcje powinny być dostępne za pośrednictwem centralnego pulpitu. (Źródło: Zdjęcie: Forcepoint) Jeśli chodzi o „Sassy”, wiele osób w najlepszym razie odgadnie nazwę zwierzaka lub gwiazdy hip-hopu. Daleko od tego, bo tak wymawia się skrót SASE. Oznacza krawędź usługi Security Access Service. Za tym stoi oparta na chmurze architektura bezpieczeństwa dla sieci i systemów IT, z których użytkownicy uzyskują dostęp do aplikacji i danych. SASE zostało zaprezentowane latem 2019 roku przez ekspertów z firmy doradczej Gartner.
Punktem wyjścia jest teza, że drastycznie zmienia się rola korporacyjnego data center. Potwierdza to Steffen Brieger, dyrektor ds. zarządzania dostawcami w dystrybutorze Nuvias Germany. „Wraz z pojawieniem się chmury, mobilności i przetwarzania brzegowego prywatne centrum danych nie jest już epicentrum sieci korporacyjnej. Pandemia korony przyspieszyła ten rozwój ”- mówi Brieger. Powodem jest to, że obecnie pracownicy w biurze domowym lub w podróży coraz częściej korzystają z platform do współpracy, takich jak Microsoft Teams i oprogramowania do wideokonferencji, takiego jak Zoom. „Przyczynia się to do przeniesienia usług i aplikacji firmy do chmury publicznej, a także przyspiesza transformację cyfrową” – kontynuuje Brieger.
Ale rozwój ten wymaga przemyślenia na nowo, dodaje Michael von der Horst, dyrektor zarządzający ds. cyberbezpieczeństwa w Cisco: „W odniesieniu do bezpieczeństwa sieci biura domowe, aplikacje typu oprogramowanie jako usługa i Internet rzeczy stanowią poważne wyzwania dla firm. SASE wchodzi w grę: „W pełni zintegrowane, natywne rozwiązanie bezpieczeństwa dla chmury może zabezpieczyć nie tylko centrum danych, ale także brzegi połączeń sieciowych w centrach danych, oddziałach i środowiskach chmurowych”.
Steffen Brieger dyrektor ds. zarządzania dostawcami w Nuvias Deutschland GmbH www.nuvias.com/de-de Zdjęcie: Nuvias „Od czasu pojawienia się chmury, mobilności i przetwarzania brzegowego prywatne centrum danych nie jest już epicentrum sieci firmowej. Pandemia korony przyspieszyła ten rozwój ”.
Gartner zdefiniował w swoim dokumencie koncepcyjnym około 20 komponentów, które mogą składać się na platformę SASE. W swej istocie podejście to składa się z architektury sieciowej (framework), która łączy technologie sieci rozległych (WAN) z funkcjami bezpieczeństwa sieci natywnymi dla chmury. Komponenty bezpieczeństwa obejmują na przykład bezpieczne bramy internetowe, kontrolę dostępu o zerowym zaufaniu (ZTNA), zapory nowej generacji (NGFW) i brokerów bezpieczeństwa dostępu do chmury (CASB).
W zależności od dostawcy można dodać dodatkowe funkcje, takie jak rozwiązania do wykrywania/zapobiegania włamaniom oraz oprogramowanie zabezpieczające, które zapobiega przechwyceniu danych o znaczeniu krytycznym dla firmy (zapobieganie utracie danych). Podejście to jest również elastyczne w przypadku sieci rozległych: „Dla Akamai sieci dostarczania treści są predefiniowanym elementem SASE. Dlatego badacze rynku dają dostawcom usług CDN dobre możliwości na tym rynku ”- mówi na przykład Gerhard Giese, analityk branżowy w Akamai Germany. Dlatego oprócz klasycznych firm zajmujących się bezpieczeństwem IT i dostawców definiowanych programowo sieci WAN (SD-WAN), specjaliści CDN, tacy jak Akamai i Cloudflare, są teraz aktywni również w sektorze SASE. Zapewniają punkty obecności (PoP), za pośrednictwem których użytkownicy mogą uzyskać dostęp do platformy SASE. Jeśli to możliwe, taki punkt dostępowy powinien znajdować się w pobliżu lokalizacji użytkownika, aby czasy opóźnień (latencji) były jak najkrótsze, gdy użytkownik uzyskuje dostęp do funkcji bezpieczeństwa.
Dla Steffena Briegera z Nuvias zarządzanie tożsamością i funkcje monitorujące przepływ danych i sprawdzające je pod kątem złośliwego oprogramowania lub wzorców ataków są integralną częścią SASE. Dotyczy to również połączeń szyfrowanych. Ważne jest również tak zwane egzekwowanie polityki. Zapewnia, że urządzenia końcowe i użytkownicy przestrzegają określonych zasad. Przykład: Użytkownikowi nie wolno uzyskiwać dostępu do aplikacji firmowych przez niezabezpieczoną bezprzewodową sieć LAN lub z urządzenia końcowego z przestarzałą ochroną przed złośliwym oprogramowaniem. Jeśli mimo to spróbuje, połączenie zostanie automatycznie przerwane, a system zostanie umieszczony w kwarantannie.
Alternatywy dla SASE Według Gartnera, firmy niekoniecznie muszą polegać na modelu SASE. Według firmy konsultingowej zdecydowanie istnieją alternatywy. Jednak wiele z nich ma słabości. Urządzenia sprzętowe w oddziałach: Łączą systemy na obrzeżach sieci z firmowym centrum danych i zasobami w chmurze. Na pokładzie znajdują się również funkcje bezpieczeństwa. Wady: koszty sprzętu, również ze względu na zmianę wersji, a także ograniczona elastyczność takiej infrastruktury. Infrastruktura programowa w oddziałach: Podstawą są urządzenia programowe w oddziałach ze zwirtualizowanymi funkcjami bezpieczeństwa i sieci. Alternatywnie taki system może korzystać z usług w chmurze. W ten sposób, według Gartnera, można świadczyć usługi SASE. Wadą jest to, że użytkownik musi pogodzić się z różnymi dostawcami i konsolami zarządzania. Samodzielne wdrożenie SASE: Zamiast kupować rozwiązanie SASE od dostawcy, użytkownicy mogą sami zbudować taką infrastrukturę. Odbywa się to za pomocą łańcucha usług: komponenty bezpieczeństwa IT od różnych dostawców są ze sobą łączone. Dotyczy to rozwiązań dostarczanych za pośrednictwem chmury oraz za pomocą wirtualizacji funkcji sieciowych (Network Function Virtualization). Zaleta: brak zobowiązania do jednego dostawcy. Wada: złożona infrastruktura, której wdrożenie i obsługa wymaga większego wysiłku. Łączenie usług ze wsparciem dostawcy: Operator, usługodawca lub dostawca bezpieczeństwa IT przejmuje łączenie zwirtualizowanych usług bezpieczeństwa. Odciąża to wewnętrzny dział IT. Problem polega na tym, że mogą być używane różne frameworki i konsole zarządzania. SD-WAN i bezpieczeństwo sieci „jako usługa” od dwóch dostawców: oddziela usługi bezpieczeństwa i połączeń z organizacyjnego punktu widzenia. Zmniejsza to również zależność od jednego dostawcy, ale niesie ze sobą wyższy poziom złożoności.
Według Gartnera firmy niekoniecznie muszą polegać na modelu SASE. Według firmy konsultingowej zdecydowanie istnieją alternatywy. Jednak wiele z nich ma słabości.
Urządzenia sprzętowe w oddziałach: Łączą systemy na obrzeżach sieci z firmowym centrum danych i zasobami w chmurze. Na pokładzie znajdują się również funkcje bezpieczeństwa. Wady: koszty sprzętu, również ze względu na zmianę wersji, a także ograniczona elastyczność takiej infrastruktury.
Infrastruktura programowa w oddziałach: Podstawą są urządzenia programowe w oddziałach ze zwirtualizowanymi funkcjami bezpieczeństwa i sieci. Alternatywnie taki system może korzystać z usług w chmurze. W ten sposób, według Gartnera, można świadczyć usługi SASE. Wadą jest to, że użytkownik musi pogodzić się z różnymi dostawcami i konsolami zarządzania.
Samodzielne wdrożenie SASE: Zamiast kupować rozwiązanie SASE od dostawcy, użytkownicy mogą sami zbudować taką infrastrukturę. Odbywa się to za pomocą łańcucha usług: komponenty bezpieczeństwa IT od różnych dostawców są ze sobą łączone. Dotyczy to rozwiązań dostarczanych za pośrednictwem chmury oraz za pomocą wirtualizacji funkcji sieciowych (Network Function Virtualization). Zaleta: brak zobowiązania do jednego dostawcy. Wada: złożona infrastruktura, której wdrożenie i obsługa wymaga większego wysiłku.
Łączenie usług ze wsparciem dostawcy: Operator, usługodawca lub dostawca bezpieczeństwa IT przejmuje łączenie zwirtualizowanych usług bezpieczeństwa. Odciąża to wewnętrzny dział IT. Problem polega na tym, że mogą być używane różne frameworki i konsole zarządzania.
SD-WAN i bezpieczeństwo sieci „jako usługa” od dwóch dostawców: oddziela usługi bezpieczeństwa i połączeń z organizacyjnego punktu widzenia. Zmniejsza to również zależność od jednego dostawcy, ale niesie ze sobą wyższy poziom złożoności.