SASE (Secure Access Service Edge, «пограничный сервис безопасного доступа») — это компонент архитектуры с нулевым доверием, который защищает сетевые элементы внутри и вне традиционного периметра сети. В связи с цифровой трансформацией бизнеса, увеличением количества удаленных рабочих мест и использованием облачных сервисов все более важным становится обеспечение безопасности в облаке, для чего и применяется SASE.
Когда-то компьютерные сети состояли из сети офиса и центра обработки данных конкретной организации. Сотрудники приходили в офис, входили со своего компьютера в систему, получая доступ к приложениям, запущенным в центре обработки данных. Все транзакции компании происходили в пределах периметра сети.
Традиционный подход к защите сети заключался в создании вокруг нее непроницаемого барьера. Если пользователь находился внутри этой зоны, протокол безопасности по умолчанию доверял его компьютеру, не проверяя дальнейшие действия пользователя в сети.
В эпоху цифровизации условия работы сотрудников радикально изменились. Многие сотрудники получают доступ к приложениям, размещенным в интернете, вне защиты корпоративного дата-центра, не только из офиса, но и удаленно. Например, сотрудник может получить доступ к Salesforce с ноутбука, стоящего на кухонном столе. Приложение может находиться в интернете, или же сотрудник может получить удаленный доступ к приложению, размещенному в дата-центре компании.
В современном мире больше не существует сетевого периметра, который защищали раньше, — точки доступа есть везде, а интернет стал нашим средством передачи информации. В такой распределенной среде необходимо защитить вход извне в корпоративную среду, ее «границы».
Чтобы подкрепить чем-то защиту периметра, которой явно недостаточно, ИТ-специалисты вынуждены для обеспечения безопасности данных обращаться к решениям разных вендоров, применять массу политик и консолей, но без особого успеха. SASE — новое решение, которое снижает сложность обеспечения кибербезопасности и повышает эффективность в средах с рассредоточенным доступом.
Модель SASE
SASE — это комбинация технологий защиты (SWG, CASB, FWaaS, ZTNA) и сетевых технологий (SD-WAN, VPN). Традиционно такие технологии предоставляли разрозненные точечные решения. SASE объединяет все эти функции в едином интегрированном облачном сервисе.
Модель SASE позволяет организациям унифицировать свои сети и усилить безопасность рассредоточенных пользователей и устройств.
Организации, заинтересованные в усилении ориентированной на пользователя безопасности и совершенствовании управления сетью, используют архитектуру SASE для обеспечения сетевого доступа с нулевым доверием. Модель Zero Trust построена на том, что по умолчанию нельзя доверять никому, пока на основе проверок не доказано, что машине (приложению, пользователю и т. д.) доверять можно. Интернет соединяет все. Ни одно устройство не является изначально надежным, поскольку мы имеем дело с открытой информационной платформой.
SASE — неотъемлемый элемент архитектуры с нулевым доверием. По большому счету, SASE — это не еще одна новая технология, это комбинация новых и ранее появившихся технологий. SASE предоставляет защитные средства пользователю, устройству или узлу граничных вычислений. Прежде кибербезопасность для дата-центра обеспечивала «огненная стена» периметра, теперь SASE предоставляет доступ на основе корпоративных политик, цифрового профиля и оценки контекста в реальном времени.
Три ключевых компонента SASE:
Безопасный веб-шлюз (SWG) контролирует доступ в интернет и определяет, к чему пользователь может, а к чему не может получить доступ. Если пользователь пытается получить доступ к подозрительному сайту или загрузить что-либо с него, или пытается зайти на запрещенный ресурс, например, в онлайн-казино, шлюз его блокирует.
Кибератаки стали очень изощренными. Как только пользователи по ошибкам в словах и по неуклюжему стилю научились распознавать фишинговые письма, злоумышленники стали более искусными. Теперь даже знающий пользователь практически не может отличить легитимные письма от фишинговых.
Необходимо проводить обучение персонала правилам соблюдения кибербезопасности, но даже обученные пользователи порой ошибаются. SWG — это еще один инструмент для просмотра всего входящего и исходящего из вашей сети трафика. Специалисты по безопасности могут использовать SWG для устранения угроз.
Брокер безопасного доступа в облако (CASB) позволяет отслеживать использование SaaS-приложений. Когда пользователь подключается к Salesforce, Office 365 или еще какому-то приложению, команда по безопасности может видеть, какие данные передают пользователи, какие файлы загружаются или скачиваются из OneDrive или SharePoint, кем и в какое время.
CASB — это ПО, которое может размещаться на месте использования или в облаке. Брокеры безопасного доступа в облако — посредники между пользователями и поставщиками облачных сервисов, отвечающие за реализацию политик безопасности, например, политик доступа к облаку и отслеживания активности в сети.
Для создания отчетов CASB нужно предварительно настроить права для каждой группы пользователей в организации. Например, одна группа пользователей получает право выгружать информацию, но ей не разрешается скачивать файлы извне. Другой группе разрешено только чтение, третья может редактировать документы. Политики устанавливает организация.
Также определяются ответные действия, которые должны быть предприняты в случае инцидентов. Ваши специалисты по безопасности могут установить протоколы, например, автоматически блокировать активность или не блокировать, но сообщить о ней средству просмотра событий.
Решения для сетевого доступа с нулевым доверием (ZTNA) — новый элемент SASE. ZTNA предоставляет доступ и обмен трафиком только между аутентифицированными пользователями, устройствами и приложениями. Никакому трафику не доверяем, и все конечные устройства подозреваем в наличии злого умысла, пока не доказано обратное. ZTNA заменяет виртуальные частные сети (VPN) для аутентификации пользователей удаленно.
Предприятия традиционно используют VPN для предоставления сотрудникам удаленного доступа к корпоративной сети. Недостатки VPN — высокая стоимость и не всегда стабильное соединение. Из-за неэффективности удаленных соединений производительность сотрудников снижается, в результате организация несет убытки.
Самая большая проблема VPN заключается в том, что у них мало собственных средств для защиты удаленного доступа. Пользователь, получающий доступ через VPN из домашней сети к корпоративной, проходит аутентификацию и получает полный доступ как к фронтенду, так и к бэкенду. Затем пользователь продолжает работу с фронтендом (клиентской частью приложения). Если вредоносная программа попадает на компьютер пользователя из интернета, она может перейти в бэкенд —серверную часть — того же приложения и перехватить все данные, что приведет к утечке информации.
ZTNA лишает вредоносное ПО возможности перемещаться внутри сети, поскольку индивидуально проверяет подлинность каждого пользователя, устройства и приложения.
Изъяны в защите VPN:
С чего начать внедрению решений Zero Trust
Для начала организация должна принять решение о внедрении архитектуры с нулевым доверием. Команда ИТ и служба кибербезопасности могут постепенно внедрять технологии из разных групп продуктов, повышая уровень зрелости системы безопасности.
С самого начала необходимо определить, какие проблемы в корпоративной среде ежедневно оказывают негативное влияние на организацию. Например, если выход в интернет не удается контролировать, любой сотрудник может получить доступ к любому ресурсу, пользователи без злого умысла, случайно скачивают вредоносное ПО, то приступить к реализации архитектуры нулевого доверия можно с применения SWG.
Следующим шагом может стать выяснение того, какие SaaS-приложения используют сотрудники и кто к чему имеет доступ. Само собой разумеется, что для специалистов по кибербезопасности необходимо повысить видимость, чтобы они могли адекватно предоставлять доступ для авторизованных действий и следить за тем, чтобы пользователи не выходили за рамки, определенные политиками.
Главная цель внедрения архитектуры нулевого доверия — защита данных.
Даже при внедрении параметров безопасности SASE ваша сеть еще не является стопроцентной сетью с нулевым доверием, но вы продвигаетесь в нужном направлении. Путь к достижению Zero Trust — это постепенное, долговременное укрепление безопасности вашей сети, и если неуклонно следовать по этому пути, уровень безопасности будет повышаться многократно.
Защита физических активов, например ноутбуков и серверов, или цифровых активов (учетных записей пользователей, приложений и др.) — это промежуточная цель кибербезопасности. Конечная цель — защита данных, которые используются в бизнес-операциях: имена пользователей, пароли, проприетарные корпоративные данные, конфиденциальные материалы и платежная информация.