SASE – Zabezpieczenie Styku Z Internetem

securitybeztabu.pl 2 lat temu

Czym jest SASE (Secure Access Service Edge)?

Termin SASE (wymawianie „sassy”) oznacza Secure Access Service Edge.

SASE to stosunkowo nowa koncepcja w dziedzinie cyberbezpieczeństwa. Po raz pierwszy zaprezentowana została w sierpniu 2019 roku przez firmę Gartner w raporcie „Przyszłość bezpieczeństwa sieci w chmurze”.

SASE to konwergencja sieci w chmurze i zabezpieczeń w chmurze, zapewniająca prostotę, skalowalność, elastyczność i wszechobecne bezpieczeństwo. Łącząc funkcje bezpieczeństwa sieci z możliwościami sieci WAN, SASE zapewnia bezpieczny, optymalny i zautomatyzowany dostęp do aplikacji i obciążeń w chmurze. Rozszerza definiowaną programowo sieć i zabezpieczenia do drzwi głównych dostawców

IaaS i SaaS. Niezależnie od lokalizacji użytkowników i aplikacji, SASE zapewnia ujednolicony, bezpieczny dostęp z jednej platformy zarządzania.

Secure Access Service Edge (SASE) łączy ruch sieciowy i priorytety bezpieczeństwa, wszechobecne zagrożenia i ochronę danych oraz ultraszybką, bezpośrednią łączność sieciową z chmurą. Podczas gdy SASE było kiedyś kwestią poświęcania szybkości w stosunku do kontroli, ulepszona technologia oferuje teraz firmom szybkość oraz kontrolę. Platforma SASE została zaprojektowana tak, aby umożliwić specjalistom ds. bezpieczeństwa w przedsiębiorstwie stosowanie tożsamości i kontekstu w celu określenia dokładnego poziomu wydajności, niezawodności, bezpieczeństwa i kosztu każdej sesji sieciowej. Organizacje korzystające z frameworku SASE mogą osiągnąć większą szybkość i osiągnąć większą skalę w chmurze, jednocześnie zajmując się nowymi wyzwaniami bezpieczeństwa, nieodłącznymi w tych środowiskach chmurowych. architektura

Korzyści z wprowadzenia SASE dla Twojej organizacji

SASE przyniosłaby korzyści przedsiębiorstwom, zapewniając:

  • Niższe koszty i złożoność — Network Security as a Service powinien pochodzić od jednego dostawcy. Konsolidacja dostawców i stosów technologii powinna zmniejszyć koszty i złożoność.
  • Elastyczność — Włącz nowe cyfrowe scenariusze biznesowe (aplikacje, usługi, interfejsy API) oraz dane, które można udostępniać partnerom i kontrahentom przy mniejszym narażeniu na ryzyko.
  • Lepsza wydajność/opóźnienie — routing zoptymalizowany pod kątem opóźnień.
  • Łatwość użytkowania/przejrzystość — mniej agentów na urządzenie; mniej agentów i rozrostu aplikacji; spójna aplikacja w dowolnym miejscu i na dowolnym urządzeniu. Mniejsze koszty operacyjne dzięki aktualizacjom pod kątem nowych zagrożeń i zasad bez nowego sprzętu lub oprogramowania; szybsze przyswajanie nowych możliwości.
  • Zero Trust Network Access — dostęp do sieci na podstawie tożsamości użytkownika, urządzenia, aplikacji — a nie adresu IP lub fizycznej lokalizacji, aby zapewnić bezproblemową ochronę w sieci i poza nią; szyfrowanie od końca do końca. Rozszerzony do punktu końcowego z publiczną ochroną Wi-Fi przez tunelowanie do najbliższego punktu obecności (Point of Presence).
  • Bardziej efektywni pracownicy sieci i bezpieczeństwa sieci — Przejdź do strategicznych projektów, takich jak mapowanie wymagań biznesowych, regulacyjnych i wymagań dotyczących dostępu do aplikacji na możliwości SASE.
  • Scentralizowane zasady z lokalnym egzekwowaniem — Scentralizowane zarządzanie oparte na chmurze z rozproszonym egzekwowaniem i podejmowaniem decyzji.

SASE to najlepszy sposób na osiągnięcie architektury bezpośrednio w chmurze, która nie narusza widoczności i kontroli bezpieczeństwa, wydajności, złożoności ani kosztów. Szybkość bez narażania bezpieczeństwa.

Jakie jest 10 zasad skutecznego rozwiązania SASE zidentyfikowanego przez Palo Alto?

Zasada 1. SD-WAN.

Nowoczesne firmy przyjęły już technologie SD-WAN, aby połączyć swoje oddziały z sieciami korporacyjnymi i zapewnić przełamywanie lokalnego Internetu jako alternatywę dla kosztownych połączeń MPLS. Korzystając z rozwiązania SASE, dostarczasz architekturę oddziału całkowicie opartą na chmurze.

Zasada 2: Zero trust network access.

Jak wiesz, ZTNA wymaga, aby użytkownicy, którzy chcą połączyć się z aplikacją, najpierw uwierzytelnili się przez bramę przed uzyskaniem dostępu. Daje to administratorom bezpieczeństwa możliwość identyfikacji użytkowników i tworzenia polityk w celu ograniczenia dostępu, minimalizacji utraty danych i szybkiego łagodzenia potencjalnych zagrożeń. Problem polega jednak na tym, iż wiele produktów ZTNA jest opartych na architekturach SDP (Software-Defined Perimeter). Nie zapewniają one kontroli zawartości. Tworzy to rozbieżności w rodzajach ochrony dostępnych dla każdej aplikacji. Korzystając z usługi SASE, możesz opierać się na kluczowych zasadach ZTNA i stosować je we wszystkich innych usługach w ramach rozwiązania SASE. Będziesz identyfikować swoich użytkowników, urządzenia i aplikacje bez względu na to, skąd się łączą. Znacznie upraszcza tworzenie i zarządzanie zasadami. SASE eliminuje złożoność łączenia się z bramą poprzez włączenie usług sieciowych do jednej ujednoliconej struktury chmury.

Zasada 3: Cloud Access Security Broker

CASB to oparte na chmurze punkty egzekwowania zasad bezpieczeństwa, które zapewniają bramę zarówno dla dostawcy SaaS, jak i pracowników. Usługa SASE z pewnością oferowałaby rozwiązanie CASB jako bramę zarówno dla dostawcy SaaS, jak i pracowników. Pomogłoby to znacznie wyegzekwować zasady firmy dotyczące dostępu użytkowników i chronić ich dane przed hakerami.

Zasada 4: Zapora jako usługa

Korzystasz już z fizycznych lub wirtualnych zapór ogniowych wszędzie tam, gdzie są Twoi użytkownicy. Niezależnie od tego, czy jest to centrala, oddziały, centra danych czy chmura. Jednak większość organizacji ma problemy z zarządzaniem dziesiątkami lub większą liczbą zapór ogniowych, aby poradzić sobie z eksplozją zdalnych użytkowników i aplikacji. Jako niezbędny składnik SASE, FWaaS oferuje taką samą funkcjonalność zapory sieciowej NGFW, jak usługa oparta na chmurze.

Zasada 5: Secure Web Gateway

Wiele firm korzysta już z SWG, aby chronić swoich użytkowników i urządzenia przed dostępem do złośliwych lub nieodpowiednich stron internetowych. Większość SWG jest oferowana jako oddzielne urządzenie lub usługi, co skutkuje niespójnym egzekwowaniem zasad. Ponieważ SWG w chmurze jest integralną częścią SASE, zapewnia pełną widoczność i kontrolę w całej sieci, niezależnie od tego, gdzie znajdują się Twoi użytkownicy. Skalowanie nigdy nie jest problemem w SASE.

Zasada 6: Cyfrowe monitorowanie doświadczeń

Doświadczenie użytkownika ma najważniejsze znaczenie dla satysfakcji i produktywności pracowników. Ten aspekt będzie autonomiczny w przypadku SASE, ponieważ uzyskujesz wgląd w segmenty w całej ścieżce dostarczania usług. Umożliwiłoby to samodzielne naprawianie (rozwiązywanie problemów) cyfrowych doświadczeń, z jakimi może się zetknąć Twój użytkownik w dowolnym momencie.

Zasada 7: Zapobieganie zagrożeniom

Zapobieganie zagrożeniom jest przez cały czas najważniejszym wymogiem cyberbezpieczeństwa. Twoja firma może już używać narzędzi, takich jak oprogramowanie antywirusowe, IPS, blokowanie plików itp. Problem polega jednak na tym, iż wszystkie te narzędzia są rozwiązaniami punktowymi i zwykle pochodzą od różnych dostawców. To sprawia, iż ​​ich zarządzanie i integracja są bardzo trudne dla specjalistów ds. bezpieczeństwa. Zawsze skutkują opóźnionymi reakcjami na zagrożenia/incydenty. W rozwiązaniu SASE wszystkie te narzędzia i usługi oparte na punktach byłyby całkowicie zintegrowane z jedną platformą chmurową. Zapewni to uproszczone zarządzanie i nadzór nad wszystkimi zagrożeniami i lukami w Twojej sieci i środowiskach chmurowych. Funkcje uczenia maszynowego powinny zostać uwzględnione w SASE, umożliwiając zapobieganie innym nieznanym zagrożeniom w czasie zbliżonym do rzeczywistego oraz rozszerzając widoczność i bezpieczeństwo na wszystkie urządzenia, w tym nigdy wcześniej nie widziane urządzenia IoT.

Zasada 8: IoT

Większość firm nie zarządza swoim IoT, który jest podłączony do ich sieci korporacyjnej. Wiele luk bezpieczeństwa pozostaje otwartych dzięki wykorzystaniu urządzeń IoT. Zespoły ds. bezpieczeństwa często nie mają wystarczającej widoczności tych urządzeń. Dzięki SASE należy zintegrować zabezpieczenia IoT z platformą, aby zabezpieczyć zdalne oddziały, witryny i pracowników z chmury. Korzystając z chmury, SASE jest w stanie dokładnie wykrywać urządzenia w celu uzyskania pełnej widoczności i egzekwować zasady w celu zapewnienia bezpieczeństwa w całej sieci, eliminując potrzebę dodatkowych rozwiązań bezpieczeństwa IoT.

Zasada 9: Zapobieganie utracie danych

Narzędzia do zapobiegania utracie danych (DLP) chronią poufne dane i zapewniają, iż nie zostaną one utracone, skradzione ani niewłaściwie wykorzystane. DLP to złożone rozwiązanie, które monitoruje dane w środowiskach, w których są wdrażane (np. sieci, punkty końcowe, chmury) oraz poprzez ich punkty wyjściowe. Ostrzega również kluczowych interesariuszy w przypadku naruszenia zasad. Jednak większość rozwiązań DLP ma fabrycznie załadowane wiele funkcji, rozłączne zasady, konfiguracje i obejścia. DLP stały się bardzo złożone, trudne do wdrożenia na dużą skalę i zbyt drogie. W architekturze SASE DLP nie jest już samodzielnym rozwiązaniem. Jest osadzony w istniejących punktach kontroli organizacji, eliminując w ten sposób potrzebę wdrażania i utrzymywania wielu narzędzi. DLP staje się jednym rozwiązaniem dostarczanym w chmurze, skupionym wokół samych danych, wszędzie. Te same zasady można konsekwentnie stosować do danych wrażliwych, zarówno w spoczynku, ruchu, jak i w użyciu, niezależnie od ich lokalizacji.

Zasada 10: Rozszerzalność platformy

Istnieje już zbyt wiele rodzajów usług opartych na chmurze. Dla większości firm bardzo ważne byłoby dobre zintegrowanie tych usług z efektywnym rozwiązaniem SASE. Rozwiązanie SASE powinno obejmować również integrację usług stron trzecich (niezależnie od tego, kto jest ich dostawcą). Docelowo powinno uprościć proces administratorom, zapewniając platformę, która z łatwością integruje inne usługi. Aby pomóc firmom w tym, SASE zapewnia im pełne wsparcie.

Podsumowanie

Zdaniem Gartnera do 2024 roku aż 40% przedsiębiorstw opracuje strategię wdrożenia SASE, by zapewnić bezpieczeństwo swoim danym i użytkownikom.

Idź do oryginalnego materiału