Secure Access Service Edge (SASE) to składnik architektury zero trust, który chroni elementy sieci w tradycyjnych jej granicach i poza nimi. Wraz z digitalizacją firm, popularyzacją telepracy i coraz silniejszym powiązaniem aplikacji z usługami w chmurze, rośnie znaczenie bezpieczeństwa chmury, którego strzeże właśnie SASE.
Kiedyś sieci komputerowe składały się z sieci biurowej oraz centrum danych należącego do przedsiębiorstwa. Pracownik przychodził do biura i logował się do komputera, aby uzyskać dostęp do aplikacji uruchomionych w centrum danych. Wszystkie transakcje firmy realizowane były w obrębie sieci.
Funkcję zabezpieczenia takiej tradycyjnej sieci pełniła zapora. Gdy użytkownik znajdował się za zaporą, jego komputer cieszył się zaufaniem protokołu bezpieczeństwa i żadne działania tego użytkownika w sieci nie były już kontrolowane.
Digitalizacja radykalnie odmieniła sposób pracy. Wielu pracowników uzyskuje dostęp z biura lub zdalnie do aplikacji znajdujących się w Internecie poza firmowym centrum danych. Przykładowo pracownik może wprowadzać dane do Salesforce na laptopie leżącym na kuchennym stole. Aplikacja może znajdować się w Internecie lub pracownik może zdalnie uzyskiwać dostęp do aplikacji znajdującej się w firmowym centrum danych.
W dzisiejszym świecie granice sieci, których kiedyś broniliśmy, już nie istnieją, ponieważ punkty dostępu są wszechobecne, a Internet stał się naszym kanałem do przesyłu informacji. W takiej sytuacji pojawia się kwestia ochrony bram prowadzących z powrotem do środowiska organizacji, czyli "edges."
Starając się wzmocnić niewystarczające protokoły zabezpieczeń sieci obwodowej w tak rozproszonym środowisku, zespoły IT korzystają z usług wielu dostawców, zasad i konsol, ze słabym zazwyczaj skutkiem. SASE to nowe rozwiązanie, które redukuje poziom złożoności cyberbezpieczeństwa i zwiększa jego skuteczność w środowiskach o rozproszonym dostępie.
Model SASE
SASE to zbiór technologii łączących funkcje sieci (SD-WAN, VPN) i zabezpieczeń (SWG, CASB, FWaaS, ZTNA). Technologie to dostarczane są zazwyczaj w formie oddzielnych rozwiązań punktowych. SASE — czyli Zero Trust Edge — scala je w jedną, zintegrowaną usługę chmurową.
Model SASE umożliwia firmom ujednolicenie sieci i wzmocnienie zabezpieczeń rozproszonych użytkowników i urządzeń.
Chcąc rozwijać swoje sieci zorientowane na użytkowników oraz protokoły zabezpieczeń zarządzania siecią, organizacje wdrażają architekturę SASE w celu ustanowienia mechanizmów zero trust kontroli dostępu. Model zero trust oznacza, że nie obdarza się żadnego urządzenia zaufaniem i zawsze je prześwietla przy założeniu złych intencji, dopóki urządzenie nie wykaże swojej wiarygodności. Internet łączy wszystko jako otwarta platforma informacyjna i żadnego urządzenia, które jest do niego podłączone, nie można z góry uznać za wiarygodne.
SASE to niezbędny element architektury zero trust. SASE to w większości nie tyle nowa technologia, co połączenie nowych i istniejących technologii. SASE dostarcza mechanizmy kontroli zabezpieczeń do użytkownika, urządzenia lub lokalizacji operacji obliczeniowych w bramie edge. Starsze protokoły cyberbezpieczeństwa chroniły centrum danych przy użyciu zapory, natomiast w SASE uwierzytelnienie opiera się na cyfrowej tożsamości, kontekście w czasie rzeczywistym oraz zasadach firmy.
Trzy najważniejsze elementy SASE są następujące:
SWG kontroluje dostęp przez Internet i decyduje o tym, do czego użytkownik może uzyskać dostęp. Jeśli użytkownik próbuje coś odczytać lub pobrać z podejrzanej strony internetowej lub usiłuje uzyskać dostęp do zakazanego miejsca docelowego, jak strona hazardowa, brama blokuje ten dostęp.
Cyberataki stały się bardzo wyrafinowane. Gdy tylko nauczyliśmy się rozpoznawać starego typu phishingowe wiadomości e-mail z błędami ortograficznymi i dziwacznymi sformułowaniami, napastnicy stali się bardziej wyrafinowani. Nawet dobrze poinformowanym użytkownikom trudno jest stwierdzić, które wiadomości e-mail są autentyczne, a które pochodzą od hackerów.
Wewnętrzne szkolenie z cyberbezpieczeństwa jest bardzo ważnym elementem ochrony, ale nawet użytkownicy po szkoleniu popełniają błędy. SWG to kolejne narzędzie, za pomocą którego służby bezpieczeństwa mogą obserwować ruch przychodzący do sieci i wychodzący z niej. Jeśli istnieje zagrożenie, również za pomocą SWG można mu przeciwdziałać.
CASB przywraca widoczność aplikacji SaaS. Gdy użytkownik łączy się z Salesforce, Office 365 lub inną aplikacją, służby bezpieczeństwa mogą sprawdzić, jakie dane przesyłają użytkownicy, jakie pliki są wysyłane lub pobierane z serwera OneDrive lub SharePoint, kto to robi i o jakiej porze.
CASB to oprogramowanie lokalne lub w chmurze. Pośredniczy między użytkownikami a usługami chmury za pomocą zasad zabezpieczeń dostępu do chmury i śledzi działania w sieci.
Punktem wyjścia do raportowania CSAB jest konfigurowanie opcji dla poszczególnych grup użytkowników w organizacji. Dana grupa może być autoryzowana do wysyłania, ale nie do pobierania z serwera. Jedna grupa może być uprawniona do edytowania dokumentów, a inna tylko do ich oglądania. Zasady wyznacza organizacja.
Organizacja decyduje również o tym, jakie działania należy podjąć w przypadku złamania zakazu. Zależnie od ustawień działania mogą być automatycznie blokowane lub służby bezpieczeństwa mogą pozwalać na nie, aby zgłosić zdarzenie do przeglądarki zdarzeń.
Bramy ZTNA to nowy element SASE. ZTNA to architektura zabezpieczeń, która zezwala na ruch tylko między uwierzytelnionymi użytkownikami, urządzeniami i aplikacjami. Żaden ruch nie jest zaufany i każde urządzenie jest podejrzewane o złe zamiary, dopóki nie zostanie wykazane, że jest inaczej. ZTNA zastępuje VPN jako metoda zdalnego uwierzytelniania użytkowników.
VPN to technologia, za pomocą której użytkownicy tradycyjnie łączą się z siecią firmową. Technologia VPN ma pewne wady: jest kosztowna i bywa niestabilna. Ponadto zrywanie zdalnych połączeń utrudnia pracownikom wykonywanie ich zadań i pogarsza wydajność pracy, co powoduje wzrost kosztów dla firmy.
Największą wadą VPN jest to, że oferuje zdalny dostęp z niewielką ilością mechanizmów kontroli. Użytkownik uzyskujący dostęp do sieci firmowej za pośrednictwem VPN z sieci domowej po uwierzytelnieniu zyskuje pełny dostęp do interfejsu i zaplecza sieci. Użytkownik wykonuje swoją pracę w interfejsie aplikacji. Jeśli malware dostanie się do jego komputera z Internetu, może trafić do zaplecza tej aplikacji i ukraść wszystkie dane.
ZTNA pozbawia malware możliwości poruszania się wewnątrz sieci, ponieważ indywidualnie uwierzytelnia każdego użytkownika, urządzenie i aplikacji jako zaufany element sieci.
Luki w zabezpieczeniach VPN:
Pierwszym krokiem do zero trust dla organizacji jest decyzja o przyjęciu tej architektury. Z czasem zespoły IT i służby bezpieczeństwa mogą stopniowo wdrażać technologie z innych grup produktów, aby zwiększyć dojrzałość.
Punktem wyjścia jest dostrzeżenie problemów w środowisku, które wpływają na codzienną pracę organizacji. Jeśli na przykład dostęp z Internetu wydostał się spod kontroli — każdy może uzyskać dostęp do wszystkiego, a użytkownicy nieświadomie pobierają malware — pierwszą technologią zero trust może być SWG.
Następnym krokiem powinno być ustalenie, z jakich aplikacji SaaS korzystają użytkownicy i kto ma dostęp do czego. Wskazane jest zapewnienie służbom takiej widoczności, aby mogły one przyznawać dostęp do autoryzowanych działań i pilnować przestrzegania zasad firmy.
Nawet po wdrożeniu parametrów zabezpieczeń SASE sieć nadal nie jest zero trust, ale jesteśmy już na najlepszej drodze. Zero trust to inicjatywa poprawy zabezpieczeń sieci rozłożona w czasie, która w miarę postępów w realizacji będzie stopniowo przynosiła coraz lepsze skutki.
Ochrona fizycznego zasobu, jak laptop lub serwer, lub cyfrowego zasobu, jak konto użytkownika lub aplikacja, nie jest głównym celem cyberbezpieczeństwa. Służy ono ochronie danych używanych w procesach biznesowych, jak nazwy użytkownika, hasła, zastrzeżone dane firmy, materiały poufne i informacje o płatnościach.
Powiązane badania
Powiązane artykuły