Secure Access Service Edge (SASE) to składnik architektury zero trust, który chroni elementy sieci w tradycyjnych jej granicach i poza nimi. Wraz z digitalizacją firm, popularyzacją telepracy i coraz silniejszym powiązaniem aplikacji z usługami w chmurze, rośnie znaczenie bezpieczeństwa chmury, którego strzeże właśnie SASE.
Kiedyś sieci komputerowe składały się z sieci biurowej oraz centrum danych należącego do przedsiębiorstwa. Pracownik przychodził do biura i logował się do komputera, aby uzyskać dostęp do aplikacji uruchomionych w centrum danych. Wszystkie transakcje firmy realizowane były w obrębie sieci.
Funkcję zabezpieczenia takiej tradycyjnej sieci pełniła zapora. Gdy użytkownik znajdował się za zaporą, jego komputer cieszył się zaufaniem protokołu bezpieczeństwa i żadne działania tego użytkownika w sieci nie były już kontrolowane.
Digitalizacja radykalnie odmieniła sposób pracy. Wielu pracowników uzyskuje dostęp z biura lub zdalnie do aplikacji znajdujących się w Internecie poza firmowym centrum danych. Przykładowo pracownik może wprowadzać dane do Salesforce na laptopie leżącym na kuchennym stole. Aplikacja może znajdować się w Internecie lub pracownik może zdalnie uzyskiwać dostęp do aplikacji znajdującej się w firmowym centrum danych.
W dzisiejszym świecie granice sieci, których kiedyś broniliśmy, już nie istnieją, ponieważ punkty dostępu są wszechobecne, a Internet stał się naszym kanałem do przesyłu informacji. W takiej sytuacji pojawia się kwestia ochrony bram prowadzących z powrotem do środowiska organizacji, czyli "edges."
Starając się wzmocnić niewystarczające protokoły zabezpieczeń sieci obwodowej w tak rozproszonym środowisku, zespoły IT korzystają z usług wielu dostawców, zasad i konsol, ze słabym zazwyczaj skutkiem. SASE to nowe rozwiązanie, które redukuje poziom złożoności cyberbezpieczeństwa i zwiększa jego skuteczność w środowiskach o rozproszonym dostępie.
SASE to zbiór technologii łączących funkcje sieci (SD-WAN, VPN) i zabezpieczeń (SWG, CASB, FWaaS, ZTNA). Technologie to dostarczane są zazwyczaj w formie oddzielnych rozwiązań punktowych. SASE — czyli Zero Trust Edge — scala je w jedną, zintegrowaną usługę chmurową.
Komponenty modelu SASE
Sieć rozległa definiowana programowo (SD-WAN):
SD-WAN optymalizuje ruch sieciowy, dynamicznie wybierając najbardziej wydajną ścieżkę, zwiększając wydajność i niezawodność. Integruje się z SASE, aby zapewnić bezpieczną i wydajną łączność dla użytkowników zdalnych.
Wirtualna sieć prywatna (VPN):
Sieci VPN tworzą bezpieczne tunele umożliwiające zdalny dostęp, ale nie mają szczegółowej kontroli nad nowszymi technologiami. W ramach SASE sieci VPN są wzbogacone o dodatkowe środki bezpieczeństwa, aby zapewnić bardziej niezawodne zarządzanie zdalnym dostępem.
Secure Web Gateway (SWG):
SWG zabezpieczają ruch związany z Internetem poprzez filtrowanie szkodliwych treści i egzekwowanie zgodności. W ramach SASE zapewniają ochronę przed zagrożeniami online i zapewniają bezpieczne przeglądanie.
Cloud Access Security Broker (CASB):
CASB zarządzają i zabezpieczają dostęp do chmury, zapewniając widoczność i kontrolę nad przesyłaniem danych między użytkownikami a usługami chmurowymi. Są one kluczowe w SASE do ochrony aplikacji i danych chmurowych.
Zapora sieciowa jako usługa (FWaaS):
FWaaS oferuje oparte na chmurze funkcje zapory sieciowej, zapewniając scentralizowane zarządzanie i bezpieczeństwo. Zintegrowany z SASE, chroni przed zagrożeniami zewnętrznymi, jednocześnie obsługując rozproszone, chmurowe środowisko sieciowe.
Zero Trust Network Access (ZTNA):
ZTNA ogranicza dostęp do aplikacji w oparciu o tożsamość użytkownika i kontekst, zmniejszając ryzyko nieupoważnionego dostępu. W ramach SASE ZTNA zapewnia bezpieczne, adaptacyjne podejście do zdalnego dostępu.
Chcąc rozwijać swoje sieci zorientowane na użytkowników oraz protokoły zabezpieczeń zarządzania siecią, organizacje wdrażają architekturę SASE w celu ustanowienia mechanizmów zero trust dla kontroli dostępu. Model zero trust oznacza, że nie obdarza się żadnego urządzenia zaufaniem i zawsze je prześwietla przy założeniu złych intencji, dopóki urządzenie nie wykaże swojej wiarygodności. Internet łączy wszystko jako otwarta platforma informacyjna i żadnego urządzenia, które jest do niego podłączone, nie można z góry uznać za wiarygodne.
SASE to niezbędny element architektury zero trust. SASE to w większości nie tyle nowa technologia, co połączenie nowych i istniejących technologii. SASE dostarcza mechanizmy kontroli zabezpieczeń do użytkownika, urządzenia lub lokalizacji operacji obliczeniowych w bramie edge. Starsze protokoły cyberbezpieczeństwa chroniły centrum danych przy użyciu zapory, natomiast w SASE uwierzytelnienie opiera się na cyfrowej tożsamości, kontekście w czasie rzeczywistym oraz zasadach firmy.
Trzy najważniejsze elementy SASE są następujące:
Korzyści SASE dla przedsiębiorstw
Zmniejsza koszty:
SASE konsoliduje funkcje zabezpieczeń w usłudze chmurowej, zmniejszając wydatki na sprzęt i obniżając koszty zarządzania.
Zmniejsza złożoność:
Dzięki ujednoliceniu wielu rozwiązań bezpieczeństwa SASE upraszcza zarządzanie, zmniejszając złożoność związaną z obsługą różnych narzędzi i dostawców.
Wspiera zgodność zasad sieci i bezpieczeństwa:
SASE zapewnia spójne egzekwowanie zasad sieci i bezpieczeństwa we wszystkich środowiskach, zwiększając ogólne bezpieczeństwo.
Zmniejsza liczbę incydentów związanych z bezpieczeństwem:
Dzięki zintegrowanym mechanizmom kontroli bezpieczeństwa SASE usprawnia wykrywanie zagrożeń i reagowanie na nie, zmniejszając prawdopodobieństwo udanych ataków.
Bezproblemowa obsługa użytkowników w dowolnym miejscu:
SASE zapewnia bezpieczny i szybki dostęp do aplikacji z dowolnego miejsca, zwiększając produktywność i komfort pracy pracowników zdalnych i hybrydowych.
SWG kontroluje dostęp przez Internet i decyduje o tym, do czego użytkownik może uzyskać dostęp. Jeśli użytkownik próbuje coś odczytać lub pobrać z podejrzanej strony internetowej lub usiłuje uzyskać dostęp do zakazanego miejsca docelowego, jak strona hazardowa, brama blokuje ten dostęp.
Cyberataki stały się bardzo wyrafinowane. Gdy tylko nauczyliśmy się rozpoznawać starego typu phishingowe wiadomości e-mail z błędami ortograficznymi i dziwacznymi sformułowaniami, napastnicy stali się bardziej wyrafinowani. Nawet dobrze poinformowanym użytkownikom trudno jest stwierdzić, które wiadomości e-mail są autentyczne, a które pochodzą od hackerów.
Wewnętrzne szkolenie z cyberbezpieczeństwa jest bardzo ważnym elementem ochrony, ale nawet użytkownicy po szkoleniu popełniają błędy. SWG to kolejne narzędzie, za pomocą którego służby bezpieczeństwa mogą obserwować ruch przychodzący do sieci i wychodzący z niej. Jeśli istnieje zagrożenie, również za pomocą SWG można mu przeciwdziałać.
CASB przywraca widoczność aplikacji SaaS. Gdy użytkownik łączy się z Salesforce, Office 365 lub inną aplikacją, służby bezpieczeństwa mogą sprawdzić, jakie dane przesyłają użytkownicy, jakie pliki są wysyłane lub pobierane z serwera OneDrive lub SharePoint, kto to robi i o jakiej porze.
CASB to oprogramowanie lokalne lub w chmurze. Pośredniczy między użytkownikami a usługami chmury za pomocą zasad zabezpieczeń dostępu do chmury i śledzi działania w sieci.
Punktem wyjścia do raportowania CSAB jest konfigurowanie opcji dla poszczególnych grup użytkowników w organizacji. Dana grupa może być autoryzowana do wysyłania, ale nie do pobierania z serwera. Jedna grupa może być uprawniona do edytowania dokumentów, a inna tylko do ich oglądania. Zasady wyznacza organizacja.
Organizacja decyduje również o tym, jakie działania należy podjąć w przypadku złamania zakazu. Zależnie od ustawień działania mogą być automatycznie blokowane lub służby bezpieczeństwa mogą pozwalać na nie, aby zgłosić zdarzenie do przeglądarki zdarzeń.
Bramy ZTNA to nowy element SASE. ZTNA to architektura zabezpieczeń, która zezwala na ruch tylko między uwierzytelnionymi użytkownikami, urządzeniami i aplikacjami. Żaden ruch nie jest zaufany i każde urządzenie jest podejrzewane o złe zamiary, dopóki nie zostanie wykazane, że jest inaczej. ZTNA zastępuje VPN jako metoda zdalnego uwierzytelniania użytkowników.
VPN to technologia, za pomocą której użytkownicy tradycyjnie łączą się z siecią firmową. Technologia VPN ma pewne wady: jest kosztowna i bywa niestabilna. Ponadto zrywanie zdalnych połączeń utrudnia pracownikom wykonywanie ich zadań i pogarsza wydajność pracy, co powoduje wzrost kosztów dla firmy.
Największą wadą VPN jest to, że oferuje zdalny dostęp z niewielką ilością mechanizmów kontroli. Użytkownik uzyskujący dostęp do sieci firmowej za pośrednictwem VPN z sieci domowej po uwierzytelnieniu zyskuje pełny dostęp do interfejsu i zaplecza sieci. Użytkownik wykonuje swoją pracę w interfejsie aplikacji. Jeśli malware dostanie się do jego komputera z Internetu, może trafić do zaplecza tej aplikacji i ukraść wszystkie dane.
ZTNA pozbawia malware możliwości poruszania się wewnątrz sieci, ponieważ indywidualnie uwierzytelnia każdego użytkownika, urządzenie i aplikacji jako zaufany element sieci.
Luki w zabezpieczeniach VPN:
Osiąganie zero trust
Pierwszym krokiem do zero trust dla organizacji jest decyzja o przyjęciu tej architektury. Z czasem zespoły IT i służby bezpieczeństwa mogą stopniowo wdrażać technologie z innych grup produktów, aby zwiększyć dojrzałość.
Punktem wyjścia jest dostrzeżenie problemów w środowisku, które wpływają na codzienną pracę organizacji. Jeśli na przykład dostęp z Internetu wydostał się spod kontroli — każdy może uzyskać dostęp do wszystkiego, a użytkownicy nieświadomie pobierają malware — pierwszą technologią zero trust może być SWG.
Następnym krokiem powinno być ustalenie, z jakich aplikacji SaaS korzystają użytkownicy i kto ma dostęp do czego. Wskazane jest zapewnienie służbom takiej widoczności, aby mogły one przyznawać dostęp do autoryzowanych działań i pilnować przestrzegania zasad firmy.
Głównym zadaniem zero trust jest ochrona danych
Nawet po wdrożeniu parametrów zabezpieczeń SASE sieć nadal nie jest zero trust, ale jesteśmy już na najlepszej drodze. Zero trust to inicjatywa poprawy zabezpieczeń sieci rozłożona w czasie, która w miarę postępów w realizacji będzie stopniowo przynosiła coraz lepsze skutki.
Ochrona fizycznego zasobu, jak laptop lub serwer, lub cyfrowego zasobu, jak konto użytkownika lub aplikacja, nie jest głównym celem cyberbezpieczeństwa. Służy ono ochronie danych używanych w procesach biznesowych, jak nazwy użytkownika, hasła, zastrzeżone dane firmy, materiały poufne i informacje o płatnościach.
Powiązane badania
Powiązane artykuły