SASE (Secure Access Service Edge, «пограничный сервис безопасного доступа») — модель сетевой безопасности, при которой средства защиты и сетевые технологии поставляются в пакете облачных сервисов от одного провайдера, чтобы обеспечить быстрый и безопасный доступ сотрудников к сетевым ресурсам. Концепцию SASE разработало аналитическое агентство Gartner в 2019 году в ответ на рост использования мобильных устройств, облачных приложений и сервисов.
Оглавление
Концепция SASE
Концепция облачной архитектуры под названием Secure Access Service Edge (SASE) предлагает возможности сети и безопасности как услуги в виде единой облачной службы. SASE расширяет возможности сети и безопасности концептуально за пределы того, что обычно возможно. Это позволяет удаленным и работающим из любого места работникам извлекать выгоду из различных функций обнаружения угроз, включая сетевой доступ с нулевым доверием (ZTNA), защищенные веб-шлюзы (SWG), межсетевые экраны как услуга (FWaaS) и многое другое. Security Service Edge (SSE) и SD-WAN составляют SASE.
Gartner первоначально определила слово SASE, которое произносится как «sassy», в исследовании под названием «Будущее сетевой безопасности в облаке», опубликованном в августе 2019 года. «Требования клиентов к простоте, масштабируемости, гибкости, низкой задержке и всеобъемлющей безопасности приводят к конвергенции рынков периферии WAN и сетевой безопасности», — говорится в исследовании тенденций рынка SASE, проведенном Gartner.
Облачные приложения становятся все более необходимыми для функционирования корпоративных сетей, а также для обеспечения распределенных рабочих процессов для мобильных и удаленных пользователей. В результате традиционная корпоративная сеть быстро вышла за пределы традиционной сетевой границы, что создает проблему для управления инфраструктурой с точки зрения управления и защиты постоянно растущей поверхности атак. Решения только на основе VPN больше не актуальны, поскольку большинство технологий безопасности не поспевают за быстрым развитием сетей.
Чтобы предприятия оставались конкурентоспособными, все конечные точки, независимо от их местонахождения, должны быть защищены и управляться с использованием тех же сетевых стандартов и стандартов безопасности, что и локальное оборудование.
SASE перемещает фокус безопасности с ориентированного на поток трафика на ориентированный на идентификацию, объединяя сетевые и защитные возможности в глобально распределенную облачную архитектуру. SASE — это набор технологий, которые интегрируют безопасность в глобальную сетевую структуру, чтобы она всегда была доступна, независимо от местоположения пользователя, приложения или ресурса, к которому он пытается получить доступ, или сочетания транспортных технологий, которые их связывают. Объединяя все сетевые и защитные функции, которые часто предоставляются в точечных решениях, SASE дает много преимуществ.
Основные преимущества SASE приведены в следующей таблице:
| Преимущества | Объяснение |
|---|---|
| Легкая масштабируемость | SASE обеспечивает гибкость сети и легко масштабируется по мере необходимости. |
| Простота обеспечения безопасности | SASE объединяет такие технологии, как системы предотвращения вторжений (IPS), фильтрация URL-адресов, межсетевой экран как услуга (FwaaS) и сканирование на наличие вредоносных программ в реальном времени. |
| Простота администрирования | Ежедневное администрирование сети упрощается благодаря инструментам SASE. |
| Безопасность на границе сети | Фреймворки SASE объединяют все технологии безопасности в комплексную облачную платформу, которая защищает конфиденциальные данные на границе сети, что является одним из ее главных преимуществ. |
| Защита данных в масштабах всей сети | Для повышения безопасности данных как при передаче, так и при хранении SASE включает ряд мер по предотвращению потери данных (DLP). |
| Безопасный доступ к облаку | SASE предоставляет современные облачные решения безопасности, повышающие уровень защиты от потери данных. |
| Улучшенная видимость сети | Zero Trust Network Access (ZTNA) — это относительно новая технология, которая дает компаниям жесткий контроль и детальную видимость систем и людей, получающих доступ к приложениям и сервисам. Компании могут использовать эти новые возможности нулевого доверия, перейдя на платформу SASE с поддержкой ZTNA. |
| Улучшенная безопасность | Архитектура SASE обеспечивает комплексную безопасность в нескольких точках пути доступа. |
| Уменьшенная сложность | Поскольку SASE применяет подход нулевого доверия для каждого пользователя, это может упростить для пользователей настройку и управление безопасными соединениями. |
| Улучшенный пользовательский опыт | SASE повышает скорость и сокращает задержки, обеспечивая максимальную эффективность работы пользователя. |
| Сокращение затрат | SASE повышает производительность, одновременно снижая затраты на обслуживание и защиту корпоративных сетей. |
| Соответствие | Предприятия могут решать проблемы обеспечения соответствия нормативным требованиям с помощью масштабируемого распределенного решения SASE, которое обеспечивает безопасный удаленный доступ и необходимые функции безопасности. |
| Глобальный охват | Распределенные по всему миру точки присутствия SASE гарантируют, что все сетевые функции и функции безопасности будут доступны в любом месте. |
| Устойчивость | SASE является эффективным решением для повышения устойчивости предприятия к атакам и сбоям. |
| Повышение надежности сети | Решение SASE устраняет необходимость пропускать сетевой трафик через определенные места применения политик, которые могут стать узкими местами и негативно влиять на производительность и взаимодействие с пользователем. |
| Последовательное соблюдение политики | Безопасность повышается за счет единообразного применения политик, используемых в архитектуре SASE. |
| Нет необходимости в традиционных VPN | Анонимизация IP, соответствующее шифрование трафика, маскировка приложений и пользователей являются примерами облачных функций безопасности. Автономные клиенты VPN не требуются, и пользователям не нужно настраивать VPN на каждом устройстве. |
1. Легкая масштабируемость
Конфигурации и география сети могут еженедельно меняться из-за запуска новых сервисов, роста сообществ пользователей или изменений в соотношении удаленных и локальных пользователей. SASE обеспечивает гибкость сети и легко масштабируется по мере необходимости.
Использование технологий программно-определяемой глобальной сети SD-WAN и SASE снижает требования к сетевой инфраструктуре за счет расширения защищенной сети на все активы, в которых отсутствуют физические центры обработки данных и серверы. Обновления оборудования занимают меньше времени, можно быстро адаптироваться к изменениям обстоятельств, чтобы добавлять новые филиалы в свою текущую архитектуру SASE.
2. Упрощение защиты
Объединяя такие технологии, как брандмауэр как услуга (FwaaS), фильтрация URL, системы предотвращения вторжений (IPS) и сканирование на наличие вредоносных программ в реальном времени, SASE устраняет ненужную сложность, т.к. нет необходимости использовать много точечных решений.
Технологии SASE упрощают защиту конечных точек для облачных сетей. Независимо от разбросанности конечных точек специалисты по безопасности могут сразу же выявлять риски и им не нужно вручную отслеживать каждую конечную точку.
Выполнив такие обязанности по техническому обслуживанию, как установка исправлений и замена оборудования, ИТ-отдел может сосредоточить свои усилия на быстром реагировании на меняющиеся бизнес-задачи.
SASE предлагает непрерывный сетевой мониторинг, который показывает производительность потока данных, включая удаленные потоки данных, распределенные по центрам обработки данных и виртуализированным облачным средам. Все входящие и исходящие соединения процессов видны в режиме реального времени на одном портале.
Теперь сети взаимодействуют посредством постоянно расширяющегося спектра коммуникационных технологий, поскольку они распространяются на более отдаленные места. SASE позволяет дополнительным пользователям безопасно и надежно подключаться к сети, а организациям отслеживать и управлять этими подключениями и группа пользователей. Пользователи могут рассчитывать на надежную, быструю сеть, которая практически не добавляет задержек в результате сетевого мониторинга.
3. Простота использования
SASE легко интегрируется в существующие инфраструктуры, поставляется в составе облака и полностью основан на программном обеспечении.
Дизайн SASE объединяет функции безопасности и сети в платформу, работающую в облаке. Ежедневное администрирование сети упрощается с помощью инструментов SASE. Консоли SASE позволяют ИТ-менеджерам управлять безопасностью из одного центрального местоположения. Управляемость не меняется по мере роста и адаптации сетей. Платформа SASE гарантирует постоянную бесперебойную работу и быстрое восстановление.
SASE упрощает управление подрядчиками или прием на работу новых сотрудников. Это освобождает время, которое администраторы могут использовать для решения технических проблем, улучшения пользовательского опыта и оптимизации настроек и протоколов безопасности.
Расположение приложений не имеет значения для SASE. Приложения могут располагаться в публичном или частном облаке или в корпоративном центре обработки данных. Они могут быть продуктами SaaS. Такое обширное распределение приложений не является идеальным для централизованной сетевой модели безопасности. Распределенная конструкция SASE упрощает подключение к приложениям, одновременно облегчая выполнение задач безопасности вблизи конечного пользователя.
4. Безопасность
Единая многопользовательская облачная платформа SASE, объединяющая сетевые и защитные сервисы, повышает безопасность и производительность.
Возможности SD-WAN по обеспечению отказоустойчивости и оптимизации WAN, повышают устойчивость сети и производительность. SWG, NGFW, IPS и сетевая архитектура следующего поколения являются примерами функций, которые часто включаются в решение SASE как часть полного стека сетевой безопасности. Облачный подход обеспечивает соответствующую видимость сети и защищает все границы.
Фреймворки SASE объединяют все технологии безопасности в комплексную облачную платформу, которая защищает конфиденциальные данные на границе сети, что является одним из ее главных преимуществ.
Для предприятий, зависящих от периферийных вычислений и распределенных центров обработки данных, такие инструменты, как Next-Generation Firewalls (NGFW) и Secure Web Gateways (SWG), достигают самых дальних границ сети и предлагают надежный периметр. Работники из удаленных мест могут безопасно подключаться и легко получать доступ к централизованным ресурсам.
Распределенная архитектура SASE упрощает подключение к приложениям, одновременно облегчая выполнение задач безопасности вблизи конечного пользователя.
Характеристики сети, которые повышают производительность приложений и предлагают правила безопасности, соответствующие целям конечной точки, такие как QoS и динамический выбор маршрута (компонент программно-определяемой WAN или SD-WAN), реализуются автоматически.
5. Предотвращение утечек
SASE фокусируется на самих данных и позволяет осуществлять доставку DLP-сервисов через облако. Несколько процедур DLP, таких как идентификация и категоризация конфиденциальных данных, будь то использование, хранение или передача, автоматизированы в SASE. Более того, SASE DLP контролирует, кто имеет доступ к данным и приложениям, аутентифицируя людей и устройства. Порталы SSO и многофакторная аутентификация (MFA) обеспечивают строгий контроль над тем, кто имеет доступ к критически важной информации.
С помощью SASE DLP вы можете применять политики защиты ко всей своей сети, включая мобильные устройства, локальные центры обработки данных, различные облачные среды и многочисленные приложения.
Менеджеры безопасности применяют методы доступа к сети с нулевым доверием, имеющиеся в составе SASE. Применение философии «никогда не доверяй, всегда проверяй» стало возможным благодаря ролевому профилированию, контролю привилегий и сегментации сети. Менеджеры отслеживают запросы на доступ в режиме реального времени и защищают данные от нежелательного доступа с помощью детализированных ограничений.
Развертывание любых объектов из облака значительно упрощает поддержание согласованности между настройками и локациями (включая SaaS-приложения, локальные репозитории и многое другое). Архитектура SASE обеспечивает сегментацию, изоляцию, а также маскировку приложений и ресурсов.
6. Безопасный доступ
Со временем ИТ-отделы переключали основной фокус своего внимания с проводного подключения и локального оборудования на приложения и программно-определяемые сети (SD_WAN). В конечном итоге они будут больше зависеть от облачных вычислений. SASE является логическим продолжением этого развития, устраняя любые опасения относительно емкости устройств, позволяя ИТ-отделу полностью защитить все ресурсы и поддерживать высочайший уровень безопасности.
SASE DLP обычно работает в тандеме с Cloud Access Security Brokers (CASB), решающим проблему обеспечения безопасного доступа к данным и их хранения при постоянном перемещении рабочей нагрузки в облако.
На пересечении сетевых и облачных ресурсов CASB обеспечивают соблюдение правил безопасности и следят за текущими транзакциями. Они предлагают критически важную резервную защиту в случае, если меры безопасности поставщиков облачных услуг не срабатывают.
7. Улучшенная видимость
Отслеживая взаимодействие между людьми, устройствами, приложениями и службами в своей сети, организации снижают риски. Крайне важно иметь сетевую видимость в программах мониторинга и обнаружения уязвимостей.
Предприятия могут получить централизованные возможности управления и оркестровки через единый интерфейс и видимость от края до края, объединив виртуализированные сетевые и защитные сервисы в единую архитектуру. Это значительно упрощает общее управление сетями и сервисами.
Значительный рост прозрачности сети и безопасности достигается за счет того, что для обеспечения и поддержания непрерывной видимости сети требуется меньше программных агентов благодаря способности SASE объединять несколько задач в одну.
ZTNA — это относительно новая технология, которая дает компаниям жесткий контроль и детальную видимость систем и людей, которые получают доступ к приложениям и сервисам компании. Компании получают и используют эти новые возможности нулевого доверия, переходя на платформу SASE с поддержкой ZTNA.
8. Улучшенная безопасность
Возможность иметь безопасный доступ ко всему, что им нужно, на любом устройстве и из любого места, в конечном итоге, является самым большим преимуществом SASE для пользователей.
Многие устаревшие устройства не имеют важных функций, таких как SWG, NGFW или IPS. SASE решает эту проблему, интегрируя полный стек безопасности в сетевую архитектуру, которая его поддерживает, обеспечивая равномерную защиту по всему периметру распределенной корпоративной с помощью единой политики безопасности.
Способность одного поставщика объединять множество функций в один продукт может значительно упростить процесс внедрения расширенных функций безопасности. Команда становится значительно более продуктивной, когда они переходят от поддержания политик на отдельных устройствах к предоставлению услуг политики в масштабах всей системы.
Улучшенные аспекты безопасности SASE можно резюмировать следующим образом:
- Архитектура SASE обеспечивает комплексную безопасность в нескольких точках пути доступа.
- SASE предлагает функции встроенного шифрования.
- В SASE включено профилирование и оценка рисков (UEBA) на основе пользователя, устройства и/или местоположения.
- В структуру SASE встроена система безопасности, гарантирующая проверку и блокировку каждого соединения.
- Принципы нулевого доверия (ZTNA), используемые SASE, предусматривают аутентификацию устройств и пользователей, рассматривают сеть как враждебную и проверяют соответствие местоположениям и политикам перед разрешением сеанса.
- SASE разграничивает доступ к любому ресурсу или активу в зависимости от пользователя, устройства, приложения, политики и контекста.
- SASE смягчает горизонтальное распространение хакерских атак и опасности, исходящие от неуправляемых устройств или устройств Интернета вещей, подключающихся к сети, ограничивая сетевой доступ в зависимости от IP-адреса или местоположения.
- В случае атаки на систему безопасности архитектура с нулевым доверием помогает сократить возможную поверхность атаки, ограничивая доступ пользователей к сети.
9. Уменьшение сложности
Последовательное применение политик SASE снижает сложность ИТ и нагрузку на ИТ-специалистов. SASE обеспечивает безопасность клиентов для Windows, MacOS, Linux и BYOD на всех платформах и операционных системах.
Поскольку SASE применяет безопасность с использованием парадигмы нулевого доверия для каждого пользователя, это может упростить для пользователей настройку и управление безопасными соединениями.
Системы SASE предоставляют информацию обо всех пользователях, устройствах и подключениях, работающих в облаке, из единой панели управления.
Оборудование не нужно отправлять, устанавливать или обновлять в вашем филиале или на удаленных объектах. Просто установите подключение к Интернету на SASE, и все будет готово.
11. Улучшенный пользовательский опыт
Становится проще масштабировать корпоративную WAN-сеть на большее количество пользовательских устройств и мест, что абсолютно необходимо в наши дни, когда удаленная и гибридная работа так популярны.
SASE снижает нагрузку по мониторингу иногда сложных путей маршрутизации корпоративного трафика WAN при его прохождении через центры обработки данных и по выделенным сетевым маршрутам, когда пользователи пытаются получить доступ к ресурсам, которые могут находиться поблизости.
Меньшая зависимость от сложной и неэффективной маршрутизации приводит к снижению задержек, что упрощает авторизацию и ускоряет доступ к приложениям.
Уменьшение задержки в целом приводит к повышению производительности приложений, но потребители могут дополнительно выиграть от возможности получить нужную полосу пропускания в соответствии со своими требованиями.
12. Экономия средств
SASE позволяет организациям избавиться от парадигмы использования физических и виртуальных устройств от нескольких производителей. Вместо этого они могут использовать единое облачное решение. SASE значительно снижает расходы за счет оптимизации регулярных обновлений, исправлений, обслуживания сети, обнаружения и реагирования на угрозы безопасности, а также мониторинга производительности сети.
SASE повышает производительность за счет снижения затрат на обслуживание и защиту сетей. Решения от нескольких поставщиков часто включаются в устаревшие парадигмы безопасности и приводят к усложнению процессов настройки, поскольку все инструменты необходимо часто обновлять.
Решения SASE объединяют инструменты безопасности в единый пакет. По сравнению со старыми моделями облачные решения упрощают обслуживание. Сотрудники могут перераспределить свое время и ресурсы, чтобы сосредоточиться на важных задачах.
Масштабирование WAN-подключения и предоставление его большему количеству пользователей может быть более эффективно достигнуто путем внедрения модели SASE вместо постоянного добавления дорогостоящих физических устройств и оборудования.
SASE — менее затратный вариант, чем MPLS, позволяющий прокладывать каналы именно туда, где они нужны, особенно на удаленные объекты, особенно в сочетании с наложением SD-WAN.
13. Согласованность политик безопасности
Инструменты для облачной безопасности могут быстро адаптироваться для охвата новых подключенных людей или устройств. Конфигурация оборудования и дополнения профилей для различных инструментов безопасности не требуются. Поскольку управление централизовано, гарантируется полная согласованность.
Централизованное администрирование правил безопасности, независимо от местоположения, упрощает сетевое взаимодействие и безопасность для удаленных работников. Каждая конечная точка находится в пределах защищенного периметра сети. Политики безопасности реализуются динамически и зависят от функции подключенного объекта.
Например, устройство IoT получает иную политику, чем продавец, а неуправляемые устройства, такие как телефоны и планшеты, получают свою политику. Эта конфигурация идеально подходит для управления безопасностью таких предметов, как медицинское оборудование, которые обычно сложно защитить из-за их возраста, производителя или назначения.
Кроме того, онлайн-коммуникация обеспечивается удаленной изоляцией браузера (RBI), защищающей исходное устройство от заражения. В том же духе, меры безопасности для оборудования IoT помогают предотвратить захват устройства.
14. Нет необходимости в традиционных VPN
Традиционный метод подключения удаленных пользователей — через VPN. Однако одна из самых распространенных жалоб потребителей — проблемы с VPN. Одна из проблем VPN заключается в том, что они предоставляют полный сетевой доступ авторизованному пользователю, увеличивая поверхность атаки. ZTNA предоставляет возможность интегрировать нулевое доверие в решение для удаленного доступа, ограничивая сетевой доступ удаленных работников только тем, что им действительно нужно для выполнения их задач, при использовании в сочетании с решением SD-WAN или SASE.
Встроенный компонент маршрутизации SASE работает аналогично SD-WAN. Снижая или отказываясь от необходимости более дорогостоящих MPLS и арендованных каналов в пользу доступа VPN через общедоступный Интернет, вы можете ожидать некоторого снижения затрат WAN. Повышение эффективности WAN достигается с помощью технологии оптимизации WAN.
Облачные системы SASE могут использовать облачное подключение к ключевым SaaS-компаниям для дальнейшей оптимизации потоков трафика. В большинстве случаев эти соединения избыточны и достаточно надежны. Доступность приложений может быть улучшена.
По сравнению с использованием VPN в корпоративном центре обработки данных, SASE обеспечивает превосходные характеристики сетевой задержки. Прямая маршрутизация защищенного трафика к месту назначения достигается за счет использования облачных решений безопасности или устройств CPE. Больше не требуется использовать магистральную маршрутизацию для маршрутизации трафика в центры обработки данных и из них для прохождения через механизмы безопасности.
Кроме того, пользователи имеют доступ только к тем ресурсам и программам, которые им абсолютно необходимы, что сводит к минимуму возможность заражения во время работы в сети или содействия распространению инфекции. Это отличается от VPN, которая предоставляет пользователям неограниченный доступ ко всей сети после подтверждения.
Подводя итог, можно сказать, что SASE эффективно использует программно-определяемую замену VPN для предотвращения угроз. Анонимизация IP, шифрование трафика и маскировка приложений и пользователей являются примерами облачных функций безопасности. Однако автономные VPN клиенты не требуются, и пользователям не нужно настраивать безопасность VPN на каждом устройстве.
Ограничения SASE
Ограничения SASE включают сложность проектирования сети, необходимость реструктуризации технических групп, настройку корпоративных сетей и проблемы, связанные с интеграцией решений от многочисленных поставщиков. Координация между группами безопасности и сетевого доступа для SASE может быть сложной задачей, а экосистема SASE может показаться неорганизованной и запутанной.
Для предприятий на ранних этапах внедрения облачных технологий внедрение архитектуры Secure Access Service Edge (SASE) может стать значительным достижением. Внедрение SASE может столкнуться с трудностями из-за существования нескольких поставщиков, поскольку большинство фирм используют решения от разных поставщиков, что приводит к проблемам тестирования и совместимости.
Кроме того, приоритизация функций SASE требует тщательной оценки и понимания текущих ресурсов и сетевой архитектуры. Важно определить ключевые проблемы, которые требуют создания новых периферийных решений. К этим функциям относятся Zero Trust Network Access (ZTNA), Secure Web Gateway (SWG) и Cloud Access Security Broker (CASB). Несмотря на позиционирование SASE как решения для безопасного сетевого доступа, отмеченные ограничения подчеркивают необходимость тщательного рассмотрения перед его использованием.
Источник: https://www.zenarmor.com/docs/network-security-tutorials/benefits-of-sase
Забавно, что SASE произносится на английском примерно как “саси”.