Loader

Чому цифрова трансформація неповна без SASE

Безпека має бути закладена у проєкті на початковому етапі його реалізації. Сучасні ІТ-директори не можуть бути ефективними, якщо вони не приділяють хоча б 50% уваги безпеці. Їх стратегія, підхід, концептуалізація, креслення та бачення повинні включати бізнес, технології та безпеку.

Secure Access Service Edge, або SASE, фокусується на двох аспектах – мережі та безпеці, об’єднаних разом для створення високоефективної та безпечної архітектури для обслуговування бізнесу.

Деколи, щоб мати високопродуктивну мережу, безпека може мати нижчий пріоритет, оскільки централізовані маршрути збільшують затримки чи навпаки. Така модель побудови мережі та безпеки знову і знову давала збої, але альтернатив, здатних вирішити обидві проблеми одночасно, не було.

SASE = Мережа + Безпека + Ідентифікація

Але тепер з’явився SASE, який є мережею плюс безпека плюс ідентифікація. Через таку комбінацію може виникнути питання про те, на кого покладено реалізацію проекту SASE. Це ІТ-директор, тому що у нього є мережі та хмара, або CISO, тому що у нього є безпека та ідентифікація?

Головний спеціаліст з технологій та безпеки, або CTSO, може стати ідеальною роллю для організації, що проводить цифрові перетворення. Такий підхід має безліч переваг: у нього один керівник, це пірамідальний підхід для повної архітектури з погляду технології та безпеки, і він ефективний.

Навіщо потрібний SASE
SASE – це руйнівник успадкованої моделі. Він підвищує безпеку, покращує продуктивність мережі та робить функціонування бізнесу більш ефективним.

У нас є хмара
Хмара та цифрове впровадження змінили розташування даних, і більшість програм тепер розміщуються у хмарному середовищі. Організації повністю мобільні. Спільна робота, обмін повідомленнями та зберігання даних децентралізовані у хмарі.

У нас є інтернет-трафік
Потік трафіку змінився – тепер дуже мало трафіку є внутрішнім, а більша частина потоку становить інтернет-трафік. Це повністю змінює динаміку того, як налаштувати мережу та зробити її безпечною.

Налаштування MPLS та VPN є дорогим, потребує багато часу і, до того ж, створює безліч вразливостей у системі безпеки. Найголовніше, що більша частина трафіку повинна йти в Інтернет, а не на програми, розміщені на контролерах домену, і має сенс направляти трафік безпосередньо в Інтернет, не доходячи до центру обробки даних для централізованого безпечного доступу – що впливає як на продуктивність, так і на безпеку у багатьох відношеннях

У нас є децентралізація
Кількість користувачів поза офісом зростає. Причому користувачі працюють з дому, офісу чи мобільно та працюють на різних платформах чи ОС, таких як Android, IOS чи Windows. Більшість бізнес-програм – таких як M365, Okta SSO, Splunk, AWS, GCP, SharePoint та Salesforce – не знаходяться в централізованих місцях. А впровадження SaaS, PaaS та IaaS створює більшу залежність від інтернету і демонструє, що мережеві сервіси сильно розподілені.

SASE на піку
Для забезпечення високої доступності, конфіденційності та цілісності даних важливо розробити рішення, таке як SASE, яке знаходиться між розподіленими користувачами та розподіленими хмарними сервісами.

Сучасний підхід полягає у використанні прямого доступу до Інтернету, або DIA, та децентралізації мережі, а також у забезпеченні безпеки з кількох місць на кордоні хмари. Чутливий до продуктивності трафік йде безпосередньо та знижує залежність від центрального маршруту завдяки децентралізації мережі.

У випущеному в серпні 2020 року релізі Hype Cycle компанії Gartner для технологій, що розвиваються, зазначається, що SASE знаходиться на піку завищених очікувань, і прогнозується, що плато буде досягнуто через п’ять-десять років.

Gartner Hype Cycle for Emerging Technologies 2020 (Source: Gartner)

Переваги SASE
SASE має такі переваги:
· Знижує складність та витрати;
· Дозволяє створювати нові сценарії цифрового бізнесу;
· Підвищує продуктивність та час очікування;
· Простий у використанні та прозорий для користувачів;
· Підвищує безпеку;
· Знижує експлуатаційні накладні витрати;
· Забезпечує доступ до мережі з нульовою довірою;
· Підвищує ефективність роботи персоналу мережі та служби безпеки;
· Пропонує централізовану політику із локальним застосуванням.

Поєднуючи мережі, безпеку та ідентифікацію під єдиним початком, платформа SASE знижує складність та підвищує продуктивність.

What is SASE? (Source: Cisco License blog)

Як працює SASE
Основними компонентами SASE є “хмарні” компоненти безпеки із захистом DNS, Secure Web Gateway або SWG, Cloud Firewall, Cloud Access Security Broker або CASB. Вони поєднуються з такими технологіями, як SD-WAN та програмно-визначуваний периметр або архітектура SDP/zero trust або ZTA через DIA.

Ідеальною архітектурою на основі SASE є конвергенція мережі та служб безпеки, включаючи SWG, CASB, захист DNS, брандмауер як послугу, SD-WAN та ZTA або ZTNA.

У світі ZTA існує зворотний проксі-сервер та SSO-шлюз, що використовує протокол SAML, який взаємодіє зі зворотним проксі-сервером. Користувач підключається через зворотний проксі, який відправляє його на шлюз SSO, який аутентифікує користувача та на основі привілеїв ідентифікації направляє користувача для отримання доступу до локальної або хмарної мережі. У випадку хмари, після автентифікації на шлюзі користувачеві дозволяється перейти безпосередньо в хмару. Правильний рівень доступу може бути розроблений на межі хмари за допомогою політик.

Для локальних програм створюються проксі-тунелі для доступу до окремих програм. Сценарій доступу до інших програм через SSH контролюється політиками і тому аутентифікується методом нульової довіри на кожному етапі.

VPN-доступ не потрібен, тому, незалежно від того, де розташована програма – у локальній мережі або у хмарі, його робота залишається однаковою та прозорою для користувача. Жодна з програм не прийматиме з’єднання крім як за допомогою проксі-сервера, а окремі дії для програм можуть бути налаштовані.

SASE = Мережа як послуга + Мережева безпека як послуг

NaaS та NSaaS об’єднуються для створення SASE та забезпечують платформу для бізнесу, що дозволяє ефективно розпочати шлях цифрової трансформації та легко впроваджувати хмарні та мультихмарні технології із вбудованою системою безпеки за проектом.

Мережа як послуга
Компонентами мережі як послуги є:
· Вартість;
· Якість обслуговування;
· Гео-обмеження;
· Вибір контуру;
· Маршрутизація;
· Кешування;
· Мережа доставки контенту чи CDN;
· Формування трафіку;
· Дедуплікація;
· Прискорення SaaS.

Ці компоненти гарантують, що користувачі підключаються до служб швидше та надійніше, а не залежать від застарілих VPN чи корпоративних мереж.

Мережева безпека як послуга
Компоненти мережевої безпеки, як послуги, забезпечують безпеку за межами периметра. Технології, включені до SASE:
· Брокер безпеки доступу до хмари або CASB;
· Запобігання втраті даних або DLP;
· Платформа доступу до веб-додатків як послуга або WAA PaaS;
· Захист від хмарних загроз;
· Брандмауер як послуга або FWaaS;
· Доступ до мережі з нульовою довірою або ZTNA;
· Безпека DNS та Wi-Fi;
· Аналітика поведінки користувачів та сутностей або UEBA;
· Безпечний веб-шлюз або SWG;
· Доставка хмарних програм;
· Виявлення конфіденційних даних;
· Мережеве шифрування/розшифрування;
· Обфускація/конфіденційність;
· Віддалена ізоляція браузера.
CyberEdBoard – це провідна спільнота ISMG, призначена тільки для членів ISMG і об’єднує керівників вищої ланки та провідних фахівців у галузі безпеки, ризиків, конфіденційності та ІТ.

CyberEdBoard надає керівникам потужну, керовану колегами екосистему спільної роботи, приватні зустрічі та бібліотеку ресурсів для вирішення складних проблем, що поділяються тисячами CISO та старшими безпековими керівниками, розташованими в 65 різних країнах світу.
Приєднуйтесь до громади – CyberEdBoard.io.

Арчі Джексон — професіонал у галузі технологій та безпеки з більш ніж двадцятирічним глибоким досвідом роботи в галузі технологій та архітектури безпеки, проектування та оркестрування. Він є старшим директором, головою відділу ІТ та безпеки в Incedo Inc. та входить до числа 10 найкращих фахівців з безпеки в Індії за версією CISO Platform. Джексон розпочав ініціативу з поширення знань про кібербезпеку в коледжах та університетах і за останні чотири роки виступив перед більш ніж 12 000 студентами.

З питань проведення індивідуальної демонстрації, пілотного тестування рішення Algosec і організації партнерських тренінгів звертайтеся, будь ласка: info.ua@oberig-it.com, +38 093 801 04 41.

Джерело: https://bit.ly/3Jj6eGE