Συνεχης ενημερωση

    Τρίτη, 10-Νοε-2020 14:31

    SASE: Σύγκλιση δικτύωσης και ψηφιακής ασφάλειας

    sase
    • Εκτύπωση
    • Αποστολή με email
    • Προσθήκη στη λίστα ανάγνωσης
    • Μεγαλύτερο μέγεθος κειμένου
    • Μικρότερο μέγεθος κειμένου

    Αρκετοί οργανισμοί αναρωτιούνται τι είναι ακριβώς το SASE καθώς τελευταία κάνει και όλο πιο έντονη την εμφάνισή του. Το Secure Access Service Edge (SASE) είναι μια αναδυόμενη εταιρική στρατηγική που ενσωματώνει πολλαπλές λύσεις για την ασφαλή απομακρυσμένη πρόσβαση σε εσωτερικούς πόρους, cloud καθώς και διαδικτυακούς πόρους. Η κατανόηση των βασικών εννοιών και των συστατικών του SASE είναι σημαντική, καθώς τα οφέλη μπορεί να είναι σημαντικά για πολλούς οργανισμούς. Πολλά από τα θεμελιώδη στοιχεία του SASE, όπως η σύνδεση δικτύων και ψηφιακής ασφάλειας, είναι τάσεις στις οποίες οι πελάτες έλκονται εδώ και χρόνια. Ωστόσο, εξακολουθεί να είναι κρίσιμο να οριστεί σωστά το SASE προκειμένου να αποφευχθεί η πολυπλοκότητα.

    Οι σημερινοί οργανισμοί απαιτούν άμεση, αδιάλειπτη πρόσβαση στο δίκτυο, στους πόρους και στα δεδομένα που βασίζονται στο cloud, συμπεριλαμβανομένων των κρίσιμων εφαρμογών, ανεξάρτητα από το πού βρίσκονται οι χρήστες τους. Η πραγματικότητα είναι ότι τα πρότυπα κατανάλωσης αλλάζουν λόγω της εφαρμογής του 5G, του cloud migration, της ολοένα και αυξανόμενης απομακρυσμένης εργασίας αλλά και παρόμοιων αποτελεσμάτων από τις προσπάθειες εφαρμογής ψηφιακών καινοτομιών. Αυτό έχει μετατρέψει το παραδοσιακό δίκτυο σε ένα δίκτυο πολλών άκρων.

    Ταυτόχρονα, αυτές οι δυναμικά μεταβαλλόμενες διαμορφώσεις δικτύου και η ταχεία επέκταση της επιφάνειας επίθεσης, σημαίνει ότι πολλές παραδοσιακές λύσεις ασφαλείας δεν παρέχουν πλέον το επίπεδο προστασίας και ελέγχου πρόσβασης που απαιτούν οι οργανισμοί αλλά και οι χρήστες. Σε αυτό το περιβάλλον, η ασφάλεια πρέπει να παρέχεται οπουδήποτε και από οποιοδήποτε μέρος, ανά πάσα στιγμή και για οποιαδήποτε συσκευή, είτε πρόκειται για WAN Edge, Cloud Edge, DC Edge, Core Network Edge, Branch Edge, είτε για Mobile Remote Worker Edge. Αυτό απαιτεί σύγκλιση της παραδοσιακής ασφάλειας με βάση το cloud, καθώς και τη βαθιά ενσωμάτωση ασφάλειας και θεμελιωδών στοιχείων δικτύωσης.

    Ο ορισμός του SASE

    Το SASE έχει σχεδιαστεί για να βοηθά τους οργανισμούς να προστατεύουν τα νέα κατανεμημένα δίκτυα. Ωστόσο, όπως συμβαίνει με οποιαδήποτε αναδυόμενη τεχνολογία, εξακολουθεί να υπάρχει κάποια αβεβαιότητα σχετικά με το τι ακριβώς σημαίνει μια λύση SASE  και ποιες τεχνολογίες περιλαμβάνονται σε αυτή. Επιπλέον, οι προμηθευτές προσπαθούν να επαναπροσδιορίσουν αυτήν την αγορά με τρόπους που αντικατοπτρίζουν καλύτερα τις τρέχουσες προσφορές τους, πράγμα που σημαίνει ότι ορισμένα στοιχεία έχουν υπερβολική έμφαση και άλλα, συχνά ουσιαστικά στοιχεία, παραβλέπονται. Δυστυχώς, κάποιοι ορισμοί του SASE περιλαμβάνουν σημαντικές παραλείψεις που μπερδεύουν όταν πρέπει να γίνει επιλογή εφαρμογής και διαχείρισης της σωστής λύσης για τα μοναδικά περιβάλλοντα των πελατών.

    Ασφάλεια, όχι μόνο cloud

    Το SASE χαρακτηρίζεται ως υπηρεσία που βασίζεται στο cloud, παρέχοντας ασφαλή πρόσβαση σε πόρους του cloud, ασφαλείς επικοινωνίες μεταξύ απομακρυσμένων χρηστών και always on ασφάλεια για συσκευές που βρίσκονται εκτός του φυσικού χώρου των επιχειρήσεων. Ωστόσο, υπάρχουν καταστάσεις όπου οι οργανισμοί ενδέχεται να απαιτούν έναν συνδυασμό φυσικών και cloud-based λύσεων για να λειτουργήσει αποτελεσματικά το SASE. Αυτό μπορεί να περιλαμβάνει την υποστήριξη μιας φυσικής λύσης SD-WAN που περιέχει ήδη μια πλήρη εφαρμογή ασφάλειας ή την παροχή προστασίας στην περίμετρο κατά την επεξεργασία εμπιστευτικών ή ευαίσθητων πληροφοριών αντί της μεταφοράς προς έλεγχο στο cloud.

    Συνδυάζοντας φυσικά στοιχεία αλλά και στοιχεία που βασίζονται στο cloud, ο ρόλος του SASE μπορεί να επεκταθεί εύκολα πιο βαθιά στο δίκτυο, παρά απλώς να παρέχει ασφάλεια σε ένα εντελώς διαφορετικό σύστημα στην περίμετρο. Αυτό διασφαλίζει ότι μια ασφαλής σύνδεση SASE ενσωματώνεται απρόσκοπτα με κρίσιμες λύσεις που βασίζονται επίσης σε υλικό, όπως τμηματοποίηση δικτύου και απαιτήσεις συμμόρφωσης που δεν μπορεί να αντιμετωπίσει μια προσέγγιση ασφαλείας βασισμένη στο cloud, για να παρέχει προστασία end to end.

    Ασφαλή LAN και WAN

    Ορισμένοι ορισμοί του SASE παραλείπουν επίσης πράγματα όπως το Secure LAN και το Secure WLAN που είναι ουσιώδεις παράγοντες για πολλούς οργανισμούς. Όταν συμπεριλαμβάνονται αυτές οι τεχνολογίες σε μια λύση SASE, εφαρμόζεται με συνέπεια η ασφάλεια σε ολόκληρη την αρχιτεκτονική, αντί να αναπτύσσονται ξεχωριστά στοιχεία ασφαλείας του SASE - τα οποία θα μπορούσαν να δημιουργήσουν κενά στην επιβολή της πολιτικής ασφαλείας και να περιορίσουν την ορατότητα. Για να λειτουργήσει το SASE ως επέκταση ενός υπάρχοντος ασφαλούς LAN ή WLAN, θα χρειαστεί επίσης να υποστηρίζει φυσικές λύσεις, όπως ελεγκτές δρομολόγησης και βελτιστοποίησης WAN (WoC), παράλληλα με το SD-WAN για δυναμική επιλογή διαδρομής. Πρέπει επίσης να λειτουργεί με συνέπεια είτε χρησιμοποιώντας μια λύση NGFW είτε FWaaS, καθώς και φυσικές ή και cloud-based λύσεις ZTNA - μαζί με εργαλεία δικτύωσης όπως οι ελεγκτές WLAN / LAN / 5G - για να διασφαλιστεί η ασφαλής πρόσβαση στο δίκτυο και η δυναμική τμηματοποίηση.

    Ευέλικτη χρήση

    Ανεξάρτητα από το ποια εργαλεία χρησιμοποιούνται και πού, υπάρχει ένα κεντρικό ζήτημα που πρέπει να λαμβάνουμε υπόψη: Κάθε λύση SASE πρέπει όχι μόνο να ανταποκρίνεται στις ανάγκες πρόσβασης του σήμερα, αλλά και να έχει τη δυνατότητα να προσαρμόζεται γρήγορα στις ταχέως εξελισσόμενες αλλαγές δικτύου και τις επιχειρηματικές απαιτήσεις κατά την εμφάνισή τους. Αυτό εξηγεί τα βασικά κριτήρια για το SASE, τα οποία είναι ευέλικτα μοντέλα κατανάλωσης που δίνουν στους οργανισμούς επιλογές ανάλογα με τις μοναδικές περιπτώσεις χρήσης τους, προκειμένου να επιτύχουν το πραγματικό όραμα της SASE.

    Βασικά στοιχεία ασφαλείας του μοντέλου SASE 

    Κάθε λύση SASE θα πρέπει να περιλαμβάνει ένα σύνολο βασικών στοιχείων ασφαλείας, προκειμένου να αξιοποιηθεί το πλήρες δυναμικό μιας εφαρμογής SASE. Οι οργανισμοί πρέπει να κατανοήσουν και να εφαρμόσουν τα παρακάτω στοιχεία σε WAN-edge, LAN-edge και Cloud-edge:
    - Πλήρως λειτουργική λύση SD-WAN: Το SASE ξεκινά με μια λύση SD-WAN που περιλαμβάνει στοιχεία όπως δυναμική επιλογή διαδρομών, δυνατότητες αποκατάστασης WAN και συνεπή εφαρμογή και εμπειρία χρήστη για επιχειρηματικές εφαρμογές.
    - NGFW (φυσικό) ή FWaaS (cloud based) Firewall: Το SASE πρέπει να περιλαμβάνει μια πλήρη λύση ασφαλείας που να καλύπτει τόσο σενάρια φυσικής όσο και βασισμένης στο cloud ασφάλειας. Για παράδειγμα, οι απομακρυσμένοι εργαζόμενοι απαιτούν έναν συνδυασμό ασφάλειας που βασίζεται στο cloud για πρόσβαση σε πόρους που βρίσκονται στο Διαδίκτυο και φυσική ασφάλεια και εσωτερική τμηματοποίηση για να αποτρέψουν την πρόσβαση των χρηστών του δικτύου σε περιορισμένους πόρους εταιρικού δικτύου. Ωστόσο, το hardware και η εγγενής ασφάλεια στο cloud πρέπει να προσφέρουν την ίδια υψηλή απόδοση σε κλίμακα, επιτρέποντας μέγιστη ευελιξία και ασφάλεια.
    - Zero-trust Network Access (ZTNA): Χρησιμοποιείται κυρίως για τον εντοπισμό χρηστών και συσκευών και τον έλεγχο ταυτότητάς τους σε εφαρμογές. Επειδή το ZTNA είναι κάτι περισσότερο από μια στρατηγική παρά ένα προϊόν, περιλαμβάνει πολλές τεχνολογίες που συνεργάζονται μεταξύ τους,  ξεκινώντας από τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), μέχρι την αναγνώριση όλων των χρηστών. Από φυσικής πλευράς, το ZTNA πρέπει να περιλαμβάνει ασφαλή έλεγχο πρόσβασης δικτύου (NAC), επιβολή πολιτικής πρόσβασης και ενσωμάτωση με δυναμική τμηματοποίηση δικτύου για τον περιορισμό πρόσβασης σε δικτυακούς πόρους. Από την πλευρά του cloud, το ZTNA πρέπει να υποστηρίζει μικρο-απόκριση με έλεγχο κυκλοφορίας για ασφαλείς επικοινωνίες σε όλο το εύρος μεταξύ χρηστών και πάντα ενεργή ασφάλεια για συσκευές τόσο εντός όσο και εκτός δικτύου.
    - Μια ασφαλής δικτυακή πύλη: Χρησιμοποιείται για την προστασία χρηστών και συσκευών από διαδικτυακές απειλές, επιβάλλοντας πολιτικές ασφάλειας και συμμόρφωσης και φιλτράροντας την κακόβουλη κίνηση στο Διαδίκτυο. Μπορεί επίσης να επιβάλει αποδεκτές πολιτικές χρήσης για πρόσβαση στο Διαδίκτυο, να διασφαλίσει τη συμμόρφωση με τους κανονισμούς και να αποτρέψει τη διαρροή δεδομένων.
    - CASB: Μια υπηρεσία που βασίζεται στο cloud και επιτρέπει στους οργανισμούς να πάρουν τον έλεγχο των εφαρμογών SaaS τους, συμπεριλαμβανομένης της εξασφάλισης πρόσβασης σε εφαρμογές και της εξάλειψης των προκλήσεων Shadow IT. Αυτό πρέπει να συνδυαστεί με DLP εσωτερικής εγκατάστασης για να εξασφαλιστεί ολοκληρωμένη πρόληψη απώλειας δεδομένων.

    Συμπερασματικά

    Η εφαρμογή του SASE είναι πραγματικά απαραίτητη για την ασφαλή συνδεσιμότητα και την πρόσβαση σε κρίσιμους πόρους από οπουδήποτε. Δυστυχώς, λίγοι προμηθευτές μπορούν να το παρέχουν αυτό, επειδή τα χαρτοφυλάκια τους είναι γεμάτα από διαφορετικά προϊόντα ή απλά δεν έχουν αρκετό εύρος για να παρέχουν όλα τα στοιχεία ασφαλείας που απαιτεί μια ισχυρή λύση SASE και έτσι πολλές φορές οι λύσεις τους απλά δεν λειτουργούν αρκετά καλά ώστε να είναι αποτελεσματικές.

    Αυτό αποτελεί ένα σημαντικό πρόβλημα, καθώς για να λειτουργεί σωστά το SASE, θα πρέπει όλα τα στοιχεία του να λειτουργούν ως ένα ενιαίο ολοκληρωμένο σύστημα συνδεσιμότητας, δικτύωσης και ασφάλειας. Κάθε στοιχείο πρέπει να έχει σχεδιαστεί για να λειτουργεί ως μέρος μιας ολοκληρωμένης στρατηγικής που συνδέεται από μια ενιαία, κεντρική λύση διαχείρισης. Πρέπει επίσης να ενσωματωθούν απρόσκοπτα στο μεγαλύτερο εταιρικό πλαίσιο ασφάλειας, καθώς και να προσαρμοστούν δυναμικά καθώς εξελίσσονται τα περιβάλλοντα δικτύωσης. Εάν όχι, δεν είναι μια πραγματική λύση SASE.

    Η πρόσφατη δυναμική της αγοράς γύρω από το SASE είναι συναρπαστική, διότι υπογραμμίζει την ανάγκη για μια προσέγγιση δικτύωσης με ασφάλεια. Στην εποχή της σύνδεσης στο cloud και της ψηφιακής καινοτομίας, η δικτύωση και η ασφάλεια πρέπει να συγκλίνουν. Δεν πρέπει να επιστρέψουμε στις παρωχημένες και σιωπηλές αρχιτεκτονικές.

    Του John Maddison, Chief Marketing Officer and Executive Vice President, Products, Fortinet

    Η Fortinet παρέχει όλες τις βασικές απαιτήσεις SASE - και πολλά περισσότερα - ως μέρος της ενσωματωμένης αρχιτεκτονικής πλατφόρμας ασφαλείας Security Platform και Security Fabric. Αυτό δημιουργεί πραγματική σύγκλιση των λειτουργιών δικτύωσης και ασφάλειας ως μέρος μιας προσέγγισης δικτύωσης με γνώμονα την ασφάλεια που επιτρέπει περαιτέρω την ταχεία επιτάχυνση του ψηφιακού μετασχηματισμού, χωρίς να διακυβεύεται η προστασία. Ορισμένοι από τους πελάτες της Fortinet που θέλησαν να εφαρμόσουν το SASE διαπίστωσαν ότι, με μικρές προσαρμογές, είχαν ήδη εφαρμόσει μια λύση SASE χάρη στη δύναμη του Security Fabric. Η Fortinet ενσωμάτωσε πλήρως την ασφάλεια στο SD-WAN και κατάφερε να συνδυάσει χρόνια εμπειρίας ασφάλειας και δικτύωσης σε μια ενιαία, ενοποιημένη λύση. Επιπλέον μπορεί προσαρμόσει αυτήν τη λύση με μια σειρά προηγμένων τεχνολογιών συνδεσιμότητας και ασφάλειας, διασφαλίζοντας ότι η λύση SASE έχει σχεδιαστεί για να προσαρμόζεται καθώς εξελίσσονται οι απαιτήσεις των πελατών. Το Fortinet Security Fabric μπορεί επίσης να ενσωματωθεί και να συνδεθεί με άλλες λύσεις που αναπτύσσει ο εκάστοτε οργανισμός, είτε εσωτερικά είτε στο cloud. Και όλα αυτά τα στοιχεία καλύπτονται από το ενιαίο σύστημα για να διασφαλίζεται ευρεία ορατότητα και λεπτομερής έλεγχος σε ολόκληρο το δίκτυο, συμπεριλαμβανομένου του περιβάλλοντος SASE.

    ΣΑΣ ΑΡΕΣΕ ΤΟ ΑΡΘΡΟ;

    ΣΧΕΤΙΚΑ ΑΡΘΡΑ