SASE — восходящий тренд в сетевой отрасли. Это технологическая корпоративная стратегия, которая объединяет функции сети и безопасности с возможностями глобальной сети. Делается это для того, чтобы обеспечить потребности в надежном и безопасном сетевом доступе в современных организациях.
Можно сказать, что SASE — это объединение возможностей SD-WAN и служб сетевой безопасности, включая брандмауэр следующего поколения (NGFW), безопасный веб-шлюз (SWG), сетевой доступ к сети с нулевым доверием (ZTNA) и посреднические службы облачной безопасности (CASB), в единую модель обслуживания.
Как это использовать
SASE преимущественно необходима для средних и крупных компаний. Когда требуется надежный и непрерывный доступ к облачным ресурсам и данным, которые находятся в «облаках». Часто эта информация критически важна для бизнеса.
Большинство имеющихся решений для обеспечения безопасности не способны обеспечить необходимый уровень скорости, производительности, безопасности и контроля доступа, которые требуются организациям и их пользователям. Поэтому можно утверждать, что SASE — качественный, а не количественный этап развития сетевых технологий и бизнес-стратегий, которые на них базируются.
Сам термин SASE появился только в 2019 году. Gartner привела этот термин в своем отчете «Будущее сетевой безопасности в облаке». Эксперты агентства в этом ответе указали, что SASE — одна из важнейших тенденций рынка. Также об этом говорится в разделе «Требования клиентов к простоте, масштабируемости, гибкости, низкой задержке и постоянной конвергенции сетевой безопасности WAN и рынков сетевой безопасности».
В отчете приведено такое определение стратегии: «SASE объединяет функции сетевой безопасности (такие, как SWG, CASB, FWaaS и ZTNA) с возможностями WAN (т.е. SD-WAN) для обеспечения потребности организаций в динамическом безопасном доступе к ИТ-ресурсам. Эти возможности предоставляются в основном в виде -aaS и основаны на определении учетных записей, актуального контекста и политик безопасности и регуляторного соответствия. По сути, SASE — это новый пакет технологий, включающий SD-WAN, SWG, CASB, ZTNA и FWaaS в качестве основных возможностей, обладающий способностью идентифицировать конфиденциальные данные или вредоносное ПО, а также способностью дешифровать контент на линейной скорости, с непрерывным мониторингом сессий на предмет адекватного уровня риска и доверия».
Что особенного в SASE
Главным отличием от других стратегий является размещение механизмов управления безопасностью сети на периметре — в пограничной с облаком зоне. Тогда как в большинстве моделей управление безопасностью осуществляется централизованно. Таким образом необходимость в сервисах, которые нуждаются в индивидуальной конфигурации ликвидируется. Вместо этого SASE предоставляет стандартизированный набор сетевых сервисов и сервисов безопасности, которые позволяют создать надежную и эффективную сетевую архитектуру в зоне объединения сети и облака.
Стратегия SASE и ее компоненты
Стратегия довольно сложна и включает несколько компонентов.
Компоненты стратегии:
- Защита SD-WAN. Включает основные возможности сети WAN, например, динамический выбор пути, самовосстанавливающиеся возможности WAN, поддержка требовательных высокопроизводительных приложений и единообразное взаимодействие с пользователями.
- Доступ с нулевым доверием (Zero Trust). Многофакторная аутентификация пользователей — основная задача этого компонента. Используется идентификация на основе ролей.
- NGFW (физический) или FWaAs (облачный) брандмауэр. Используется для обеспечения безопасности периферии и предложений, предоставляемых через облако. Это нужно для защиты периферийных устройств и пользователей не только в сети компании, но и за ее пределами. Компоненту обеспечивает внутреннюю сегментацию, которая позволяет предотвратить угрозы гостям и/или Интернету вещей, одновременно обеспечивая согласованные политики безопасности для пользователей, которые работают вне сети.
- Безопасный веб-шлюз. Необходимый компонент для защиты пользователей и устройств от внешних угроз. Обеспечивает соблюдение нормативных требований подключения сети Интернет. А также фильтрует потенциально вредоносный интернет-трафик.
- CASB. Он представляет собой услугу, которая дает возможность компаниям контролировать собственные SaaS-приложения, включая безопасный доступ. CASB и DLP совместно обеспечивают комбинированную защиту критически важных данных. Компонент выполняет сразу несколько функций обеспечения безопасности для облачных сервисов, включая выявление теневой активности, защиту конфиденциальности данных и обеспечение соответствия с требованиям регламентов по защите данных.
Преимущества внедрения SASE в компании
Можно выделить четыре основных плюса:
- Гибкая и последовательная безопасность. Стратегия предоставляет широкий спектр возможностей по обеспечению безопасности, от предотвращения угроз до политик NGFW, для любой периферии, обеспечивая доступ к сети с нулевым доверием. В итоге компания всегда знает, кто и с какой целью находится в сети компании. Кроме того, все ресурсы компании, как в сети, так и вне — защищены, а у сотрудников есть доступ.
- Снижение общей стоимости инфраструктуры. SASE — единая стратегия, объединяющая сразу несколько решений. Благодаря этому не нужно использовать изолированные продукты и «зоопарк» самых разных решений. Так что и капитальные и эксплуатационные расходы снижаются.
- Снижение сложности инфраструктуры. SASE упрощает архитектуру решений за счет объединения ключевых сетевых функций и функций обеспечения безопасности в единое целое. Все они управляются из единого центра.
- Оптимизация производительности. Благодаря доступности облачных технологий, все сотрудники компании без проблем подключаются к внутренним или внешним ресурсам, не опасаясь разного рода киберугроз.
На что обратить внимание
Внедрение SASE требуется аккуратности при выборе архитектуры и программного обеспечения. Компаниям стоит быть осторожными с поставщиками, которые предлагают множество функций на основе чейнинга виртуальных машин. Это ускоряет разворачивание инфраструктуры, но одновременно сегментирует инфраструктуру и усложняет ее управление. Лучше всего выбирать тех поставщиков SASE, кто предлагает лицензирование на основе учетных записей во всех продуктах.
About The Author
Виктор Карабедянц
ИТ директор (CIO), руководитель нескольких DevOps команд. Профессиональный руководитель проектов по внедрению, поддержке ИТ систем и обслуживанию пользователей.