Безопасность должна быть заложена в проекте на начальном этапе его реализации. Современные ИТ-директора не могут быть эффективными, если они не уделяют хотя бы 50% внимания безопасности. Их стратегия, подход, концептуализация, чертежи и видение должны включать в себя бизнес, технологии и безопасность.
Secure Access Service Edge, или SASE, фокусируется на двух аспектах – сети и безопасности, соединенных вместе для создания высокоэффективной и безопасной архитектуры для обслуживания бизнеса.
Порой, чтобы иметь высокопроизводительную сеть, безопасность может иметь более низкий приоритет, поскольку централизованные маршруты увеличивают задержки или наоборот. Такая модель построения сети и безопасности снова и снова давала сбои, но альтернатив, способных решить обе проблемы одновременно, не было.
SASE = Сеть + Безопасность + Идентификация
Но теперь появился SASE, который представляет собой сеть плюс безопасность плюс идентификация. Из-за такой комбинации может возникнуть вопрос о том, на кого возложена реализация проекта SASE. Это ИТ-директор, потому что у него есть сети и облако, или CISO, потому что у него есть безопасность и идентификация?
Главный специалист по технологиям и безопасности, или CTSO, может стать идеальной ролью для организации, проводящей цифровые преобразования. Такой подход имеет множество преимуществ: у него один руководитель, это пирамидальный подход для полной архитектуры с точки зрения технологии и безопасности, и он эффективен.
Зачем нужен SASE
SASE – это разрушитель унаследованной модели. Он повышает безопасность, улучшает производительность сети и делает функционирование бизнеса более эффективным
У нас есть облако
Облако и цифровое внедрение изменили местоположение данных, и большинство приложений теперь размещаются в облачной среде. Организации полностью мобильны. Совместная работа, обмен сообщениями и хранение данных децентрализованы в облаке.
У нас есть интернет-трафик
Поток трафика изменился – теперь очень мало трафика является внутренним, а большую часть потока составляет интернет-трафик. Это полностью меняет динамику того, как настроить сеть и сделать ее безопасной.
Настройка MPLS и VPN является дорогостоящей, требует много времени и, к тому же, создает множество уязвимостей в системе безопасности. Самое главное, что большая часть трафика должна идти в Интернет, а не на приложения, размещенные на контроллерах домена, и имеет смысл направлять трафик непосредственно в Интернет, не доходя до центра обработки данных для централизованного безопасного доступа – что влияет как на производительность, так и на безопасность во многих отношениях
У нас есть децентрализация
Количество пользователей вне офиса растет. Причем пользователи работают из дома, офиса или мобильно и работают на разных платформах или ОС, таких как Android, IOS или Windows. Большинство бизнес-приложений – таких как M365, Okta SSO, Splunk, AWS, GCP, SharePoint и Salesforce – не находятся в централизованных местах. А внедрение SaaS, PaaS и IaaS создает большую зависимость от интернета и демонстрирует, что сетевые сервисы сильно распределены.
SASE на пике
Для обеспечения высокой доступности, конфиденциальности и целостности данных важно разработать решение, такое как SASE, которое находится между распределенными пользователями и распределенными облачными сервисами.
Современный подход заключается в использовании прямого доступа в Интернет, или DIA, и децентрализации сети, а также в обеспечении безопасности из нескольких мест на границе облака. Чувствительный к производительности трафик идет напрямую и снижает зависимость от центрального маршрута благодаря децентрализации сети.
В выпущенном в августе 2020 года релизе Hype Cycle компании Gartner для развивающихся технологий отмечается, что SASE находится на пике завышенных ожиданий, и прогнозируется, что плато будет достигнуто через пять-десять лет.
Gartner Hype Cycle for Emerging Technologies 2020 (Source: Gartner)
Преимущества SASE
SASE имеет следующие преимущества:
• Снижает сложность и затраты;
• Позволяет создавать новые сценарии цифрового бизнеса;
• Повышает производительность и время ожидания;
• Прост в использовании и прозрачен для пользователей;
• Повышает безопасность;
• Снижает эксплуатационные накладные расходы;
• Обеспечивает доступ к сети с нулевым доверием;
• Повышает эффективность работы персонала сети и службы безопасности;
• Предлагает централизованную политику с локальным применением.
Объединяя сети, безопасность и идентификацию под единым началом, платформа SASE снижает сложность и повышает производительность.
What is SASE? (Source: Cisco License blog)
Как работает SASE
Основными компонентами SASE являются «облачные» компоненты безопасности с защитой DNS, Secure Web Gateway или SWG, Cloud Firewall, Cloud Access Security Broker или CASB. Они сочетаются с такими технологиями, как SD-WAN и программно-определяемый периметр или архитектура SDP/zero trust или ZTA через DIA.
Идеальной архитектурой на основе SASE является конвергенция сети и служб безопасности, включая SWG, CASB, защиту DNS, брандмауэр как услугу, SD-WAN и ZTA или ZTNA.
В мире ZTA существует обратный прокси-сервер и SSO-шлюз, использующий протокол SAML, который взаимодействует с обратным прокси-сервером. Пользователь подключается через обратный прокси, который отправляет его на шлюз SSO, который аутентифицирует пользователя и на основе привилегий идентификации направляет пользователя для получения доступа к локальной или облачной сети. В случае облака, после аутентификации на шлюзе пользователю разрешается напрямую перейти в облако. Правильный уровень доступа может быть разработан на границе облака с помощью политик.
Для локальных приложений создаются прокси-туннели для доступа к отдельным приложениям. Сценарий доступа к другим приложениям через SSH контролируется политиками и поэтому аутентифицируется методом нулевого доверия на каждом этапе.
VPN-доступ не требуется, поэтому, независимо от того, где расположено приложение – в локальной сети или в облаке, его работа остается одинаковой и прозрачной для пользователя. Ни одно из приложений не будет принимать соединения кроме как с помощью прокси-сервера, а отдельные действия для приложений могут быть настроены.
SASE = Сеть как услуга + Сетевая безопасность как услуга
NaaS и NSaaS объединяются для создания SASE и обеспечивают платформу для бизнеса, позволяющую эффективно начать путь цифровой трансформации и легко внедрять облачные и мультиоблачные технологии со встроенной системой безопасности по проекту.
Сеть как услуга
Компонентами сети как услуги являются:
• Стоимость;
• Качество обслуживания;
• Гео-ограничение;
• Выбор контура;
• Маршрутизация;
• Кэширование;
• Сеть доставки контента или CDN;
• Формирование трафика;
• Дедупликация;
• Ускорение SaaS.
Эти компоненты гарантируют, что пользователи подключаются к службам быстрее и надежнее, а не зависят от устаревших VPN или корпоративных сетей.
Сетевая безопасность как услуга
Компоненты сетевой безопасности как услуги обеспечивают безопасность за пределами периметра. Технологии, включенные в SASE:
• Брокер безопасности доступа к облаку или CASB;
• Предотвращение потери данных или DLP;
• Платформа доступа к веб-приложениям как услуга или WAA PaaS;
• Защита от облачных угроз;
• Брандмауэр как услуга или FWaaS;
• Доступ к сети с нулевым доверием или ZTNA;
• Безопасность DNS и Wi-Fi;
• Аналитика поведения пользователей и сущностей или UEBA;
• Безопасный веб-шлюз или SWG;
• Доставка облачных приложений;
• Обнаружение конфиденциальных данных;
• Сетевое шифрование/расшифровка;
• Обфускация/конфиденциальность;
• Удаленная изоляция браузера.
CyberEdBoard — это ведущее сообщество ISMG, предназначенное только для членов ISMG и объединяющее руководителей высшего звена и ведущих специалистов в области безопасности, рисков, конфиденциальности и ИТ. CyberEdBoard предоставляет руководителям мощную, управляемую коллегами экосистему совместной работы, частные встречи и библиотеку ресурсов для решения сложных проблем, разделяемых тысячами CISO и старшими руководителями по безопасности, расположенными в 65 различных странах мира.
Присоединяйтесь к сообществу — CyberEdBoard.io.
Арчи Джексон — профессионал в области технологий и безопасности с более чем двадцатилетним глубоким опытом работы в области технологий и архитектуры безопасности, проектирования и оркестровки. Он является старшим директором, главой отдела ИТ и безопасности в Incedo Inc. и входит в число 10 лучших специалистов по безопасности в Индии по версии CISO Platform. Джексон начал инициативу по распространению знаний о кибербезопасности в колледжах и университетах и за последние четыре года выступил перед более чем 12 000 студентов.
Источник: https://bit.ly/3Jj6eGE
