SASE – Secure Access Service Edge
Ένα από τα πιο καυτά θέματα – και buzzwords – στον χώρο των δικτύων σήμερα είναι το «SASE» ή Secure Access Service Edge.
Είναι αξιοσημείωτο ότι ο όρος SASE, αποδίδεται με διαφορετικούς ορισμούς, ανάλογα με τους προμηθευτές λύσεων SD-WAN ή τους προμηθευτές λύσεων ασφάλειας. Είναι επίσης χαρακτηριστικό ότι ακόμη και οι αναλυτές του κλάδου δεν συμφωνούν σε έναν ακριβή ορισμό του SASE.
Ως αποτέλεσμα των παραπάνω παρατηρήσεων, υπάρχουν πολλές απόψεις, παρανοήσεις και ερωτήματα για το ποιος είναι ο σωστός ορισμός για το SASE. Ενδεικτικά αναφέρουμε μερικά χαρακτηριστικά ερωτήματα:
- Είναι μια πρόταση αντικατάστασης του SD-WAN;
- Ποιες είναι οι λειτουργίες δικτύου και ασφάλειας που συνθέτουν μια αρχιτεκτονική SASE; Πρέπει να προχωρήσω με την υλοποίηση του SASE άμεσα και συνολικά ή μπορώ να το κάνω σταδιακά;
- Η προτεινομένη λύση SASE θα παραδοθεί από έναν προμηθευτή και γιατί ή γιατί όχι;
- Γιατί χρειάζομαι ακόμη μια νέα αρχιτεκτονική δικτύου και ασφάλειας;
Τι είναι SASE;
SASE or Secure Access Secure Edge, είναι ένας όρος που επινοήθηκε για πρώτη φορά, το Φθινόπωρο του 2019, από την Gartner, σε ένα άρθρο με τίτλο:
“The Future of Network Security is in the Cloud,”
Θέλοντας να αποδώσουμε έναν ορισμό, θα λέγαμε ότι είναι ένα μοντέλο, ή ένα πλαίσιο (Framework) ή μια Αρχιτεκτονική, που περιγράφει τις απαραίτητες λειτουργίες δικτύου και μάλιστα στο WAN edge, σε συνδυασμό με υπηρεσίες ασφάλειας που παρέχονται από το cloud (Cloud-delivered security services). Κοινός παρονομαστής είναι ότι όλες αυτές οι λειτουργίες προσφέρονται και διαχειρίζονται στο cloud.
Είναι προφανές ότι τίποτα από τα παραπάνω δεν συνιστούν νέες τεχνολογίες ή δυνατότητες. Είναι απλά η ενοποίηση αυτών των λειτουργιών δικτύου και ασφάλειας, για την οποία αποδόθηκε ό όρος SASE.
Συγκεκριμένα, οι απαραίτητες λειτουργίες σε επίπεδο WAN edge περιλαμβάνουν:
- SD WAN
- Routing, για την απαραίτητη επικοινωνία του wan fabric με τον έξω κόσμο
- Βασικές λειτουργίες ασφάλειας προκειμένου να προστατευθεί το υποκατάστημα από εξωτερικές απειλές, όπως :
Ιδανικά, όλες αυτές οι λειτουργίες ενοποιούνται και διαχειρίζονται σε μια ενιαία πλατφόρμα (orchestrator), που απλοποιεί σημαντικά την διαχείριση της υποδομής των υποκαταστημάτων.
Αυτές λοιπόν οι λειτουργίες WAN edge, συνδυάζονται με λειτουργίες ασφάλειας που παρέχονται από το Cloud και ενδεικτικά περιλαμβάνουν:
- FWaaS
- SWG (secure web gateway)
- Cloud Access Security Broker or CASBy
- Zero Trust Network Access or ZTNA
- Data Loss Prevention or DLP
- Sandboxing,
- Antivirus Intrusion detection and prevention
Για ποιο λόγο όμως χρειαζόμαστε το SASE;
Για ποιο λόγο χρειαζόμαστε μια νέα αρχιτεκτονική ασφάλειας;
Ο λόγος είναι ότι σήμερα, το DC δεν είναι πλέον το κέντρο του σύμπαντος για τις περισσότερες επιχειρήσεις!
Αν κάνουμε μια αναδρομή πίσω στον χρόνο, πηγαίνοντας για παράδειγμα πριν από 10 χρόνια, όλες οι εταιρικές εφαρμογές φιλοξενούνταν στο DC.
Όλοι οι χρήστες ανεξάρτητα από το που βρίσκονταν, που εργάζονταν, ήταν απαραίτητο να συνδεθούν με το DC ώστε να αποκτήσουν πρόσβαση στις επιχειρηματικές τους εφαρμογές.
Μια επιχείρηση έπρεπε να πάρει όλα τα απαραίτητα μέτρα ασφάλειας γύρω από το DC για να το προστατέψει.
Μέσα από ένα δίκτυο MPLS και ασφαλών συνδέσεων, oι χρήστες μπορούσαν να συνδεθούν με τις κεντρικές εφαρμογές, είτε μέσα από τα υποκαταστημάτα του οργανισμού, είτε απομακρυσμένα μέσω ασφαλών συνδέσεων VPN. Αυτό το μοντέλο λειτούργησε καλά και για πολλά χρόνια.
Στη συνέχεια όμως ήρθαν οι εφαρμογές στο cloud (SaaS) όπως:
- Salesforce.com
- ServiceNow
- Drop Box
- Unified Communications as a Service
- Microsoft Office 365
Επίσης, στο cloud άρχισαν να προσφέρονται και υπηρεσίες Infrastructure as a Service (IaaS) από διεθνείς παρόχους όπως :
- Microsoft Azure
- Amazon AWS
- Google Cloud Platform and others
Οπότε, η επιλογή να στέλνεις κίνηση με τελικό προορισμό το internet, μέσω ενδιάμεσης δρομολόγησης στο κεντρικό DC της επιχείρησης, απλά δεν ήταν λογική και φυσικά αποτελεσματική. Μια τέτοια δρομολόγηση, είχε σαν αποτέλεσμα την επιβάρυνση της κίνησης με μεγαλύτερη καθυστέρηση (delays), που αθροιστικά δημιουργούσε αφενός μεν μια δυσαρέσκεια σε επίπεδο χρήστη σχετικά με την προσφερόμενη υπηρεσία και αφετέρου κατανάλωνε πολύτιμο bandwidth.
Τι πιο απλό λοιπόν να μην χρησιμοποιήσουμε το internet για να συνδεθούμε με εφαρμογές που φιλοξενούνται στο Cloud;
Η σκέψη αυτή, μας οδήγησε στην ταχεία υιοθέτηση ενός πιο έξυπνου μοντέλου που βασίζεται στην τεχνολογία του SD-WAN.
Τι γίνεται όμως με την ασφάλεια της πρόσβασης των απομακρυσμένων χρηστών που συνδέονται απευθείας σε εφαρμογές cloud;
Η παραδοσιακή περιμετρική ασφάλεια είναι σίγουρα ανεπαρκής.
Μετασχηματίζοντας τις παραδοσιακές αρχιτεκτονικές WAN και Security με την νέα αρχιτεκτονική SASE, οι επιχειρήσεις μπορούν να εξασφαλίσουν άμεση και ασφαλή πρόσβαση σε εφαρμογές και υπηρεσίες σε περιβάλλοντα πολλαπλών Clouds, ανεξάρτητα από την τοποθεσία ή τις συσκευές που χρησιμοποιούνται για πρόσβαση σε αυτές.
H υλοποίηση και παραμετροποίηση των σημείων επιβολής των πολιτικών ασφάλειας απευθείας στο cloud και εμπλουτίζοντας διαρκώς με τα πιο πρόσφατα εργαλεία αντιμετώπισης απειλών, είναι πολύ πιο εύκολη από ό,τι με συσκευές firewall που έχουν αναπτυχθεί σε εκατοντάδες ή χιλιάδες τοποθεσίες υποκαταστημάτων.
Ο χρόνος απόκρισης των επιχειρηματικών εφαρμογών βελτιώνεται σημαντικά, συνδέοντας τους χρήστες με ασφάλεια στις εφαρμογές που φιλοξενούνται στο cloud και που βρίσκονται πιο κοντά στο σημείο όπου εργάζονται.
Ποια είναι τα Επιχειρηματικά Οφέλη;
Ο πραγματικός στόχος μιας αρχιτεκτονικής SASE είναι να συνδέει πιο έξυπνα τους χρήστες με τις εφαρμογές τους χωρίς να διακυβεύεται καμία ασφάλεια.
Και τα επιχειρηματικά οφέλη του SASE είναι πολλά όπως:
- Βελτιωμένη παραγωγικότητα των επιχειρήσεων και ικανοποίηση πελατών αλλά και των χρηστών
- Βελτιωμένη, συνεπής επιβολή της πολιτικής ασφάλειας σε όλη την επιχείρηση
- Μειωμένος κίνδυνος και προστασία της εταιρικής εικόνας από εξωτερικές κακόβουλες προσπάθειες
- Αυξημένη απόδοση του τμήματος της πληροφορικής και χαμηλότερο συνολικό κόστος λειτουργίας του δικτύου WAN και της εφαρμοσμένης ασφάλειας, μέσω της δυνατότητας της κεντρικής διαχείρισης
- Δυνατότητα αξιολόγησης, υιοθέτησης και εύκολης υλοποίησης νέων επικαιροποιημένων τεχνολογιών ασφαλείας
Leave a comment