Фраза дня: SASE

Secure Access Service Edge, также известный как SASE (произносится как sassy - нахальный), представляет собой модель облачной архитектуры, которая объединяет функции сети и безопасности как услуги и предоставляет их как единую облачную службу.

SASE позволяет организациям объединить свои сетевые инструменты и инструменты безопасности в единой консоли управления. Это обеспечивает простой подход к безопасности и работы в сети, который не зависит от местонахождения сотрудников и ресурсов. SASE практически не требует аппаратного обеспечения, используя широко распространенные возможности подключения облачных технологий для объединения SD-WAN с функциями сетевой безопасности, в том числе:

• брандмауэр как услуга - firewall as a service (FaaS)
• программное обеспечение как услуга - software as a service (SaaS)
• безопасные веб-шлюзы
• брокеры безопасности облачного доступа - cloud access security brokers(CASB)
• доступ к сети с нулевым доверием

Поскольку количество удаленных сотрудников увеличивается, а организации все чаще используют облачные сервисы для запуска приложений, SASE предлагает удобный, гибкий, экономичный и масштабируемый продукт SaaS для сетей и безопасности.

Организации, которым требуется более продвинутая и ориентированная на пользователя сеть для управления сетью своей компании, несомненно выиграют от изучения и внедрения архитектуры SASE. Благодаря внедрению облачных сервисов, мобильных сотрудников и периферийных сетей цифровая и облачная трансформация меняет способ использования организациями сетевой безопасности. В прошлом организации использовали свою безопасность через устаревшие аппаратные устройства и устаревшую архитектуру безопасности.

Как работает архитектура SASE?
Платформы SASE работают путем объединения нескольких элементов - объединения SD-WAN с такими сервисами сетевой безопасности, как FaaS, SaaS, безопасными веб-шлюзами, брокерами безопасности облачного доступа, безопасностью конечных точек и доступом к сети с нулевым доверием. Результатом является многопользовательская и многорегиональная платформа безопасности, на которую не влияет расположение сотрудников, центры обработки данных, облачные сервисы или локальные офисы.

SASE не полагается на механизмы проверки в центрах обработки данных. Вместо этого инспекционные машины SASE доставляются в ближайшую точку присутствия - Point of Presence (PoP). Клиент SASE (например, мобильное устройство с агентом SASE, устройство IoT, мобильное устройство с бесклиентским доступом или оборудование филиала) будет отправлять трафик в PoP для проверки и пересылки - в Интернет или через центральную сеть используемой архитектуры SASE.

Сервисы SASE обладают четырьмя отличительными чертами:

Глобальная услуга SD-WAN. SASE использует службу SD-WAN с частной магистралью, что позволяет избежать проблем с задержкой из глобального Интернета и соединяет отдельные точки доступа, используемые для обеспечения безопасности и сетевого программного обеспечения. Трафик редко попадает в Интернет, только для соединения с глобальной магистралью SASE.
Распределенная проверка и применение политик. Услуги SASE не просто подключают устройства; они их защищают. Шифрование и дешифрование встроенного трафика - это все, что вам нужно. Службы SASE должны проверять трафик несколькими способами, работающими параллельно. Механизмы проверки включают сканирование на вредоносные программы и карантин. SASE также должна предоставлять другие услуги, такие как защита на основе DNS и распределенная защита от отказа в обслуживании (DDoS). Местные нормативные акты, такие как Общий регламент по защите данных (GDPR), должны применяться в политиках маршрутизации и безопасности SASE.
Облачная архитектура. Сервисы SASE должны использовать облачные ресурсы и архитектуры без особых требований к оборудованию и не должны включать цепочку сервисов. Программное обеспечение должно быть мультитенантным для обеспечения приемлемой цены и иметь возможность быстрого расширения.
Идентичность. Сервисы SASE имеют, в отличие от сайта, доступ на основе маркеров идентификации пользователя, таких как конкретное пользовательское устройство и местоположение.

Каковы преимущества SASE?
Удобство использования. Существует один центр, одна платформа управления, которая контролирует и обеспечивает выполнение политик безопасности всей организации, предлагая операционное упрощение. Это серьезное улучшение для ИТ-групп, позволяющее им перейти от безопасности, ориентированной на сайт, к безопасности, ориентированной на пользователя.

Общая простота сети. Нет необходимости в сложных и дорогих линиях многопротокольной коммутации по меткам (MPLS) или сетевой инфраструктуре. Вся сетевая инфраструктура адаптирована, чтобы сделать ее простой, обслуживаемой и легкой в ​​использовании - независимо от того, где расположены сотрудники, центры обработки данных или облачные среды.

Обеспечивает повышенную безопасность сети. Эффективная реализация сервисов SASE может защитить конфиденциальные данные и помочь смягчить различные атаки, такие как перехват трафика, spoofing (подмена информации) и malicious (вредоносный) трафик. Ведущие службы SASE также обеспечивают безопасное шифрование для всех удаленных устройств и применяют более строгие политики проверки для сетей общего доступа (таких как общедоступный Wi-Fi). Контроль конфиденциальности также обычно может быть лучше обеспечен - путем маршрутизации трафика на точки присутствия в определенных регионах.

Объединение магистрали и конечной точки доставки. SASE позволяет провайдеру предлагать облако, доступ к Интернету, услуги центра обработки данных, сетевые функции и функции безопасности в рамках единой службы - объдиняющей доступ к сетям, безопасности, мобильным устройствам, разработке приложений и системному администрированию.

В чем заключаются проблемы SASE?
Вообще говоря, наиболее значительным потенциальным недостатком являются то, что ИТ-команды теряют определенные преимущества мультисорсинга, такие как обеспечение того, чтобы различные элементы были получены от лучших поставщиков для отдельных функций, и диверсификация рисков в операциях с поставщиками. С архитектурой SASE пользователи рискуют получить массивную единую точку отказа (SPOF) или уязвимость - поскольку SASE объединяет все сетевые функции и функции безопасности как единую услугу, технические проблемы на стороне поставщика могут потенциально привести к отключению всей системы для конечных пользователей.

Почему SASE важна?
По мере того как организации все чаще внедряют облачные сервисы, многие быстро понимают, что сетевая безопасность не так проста. Традиционная сетевая безопасность была построена на идее, что организации должны направлять трафик в корпоративные статические сети, где расположены необходимые службы безопасности. Это была общепринятая модель, поскольку большинство сотрудников работали в офисах, ориентированных на сайт.

Концепция сетей, ориентированных на пользователя, изменила традиционную сеть, которую мы когда-то знали. За последнее десятилетие во всем мире увеличилось количество людей, работающих удаленно из дома. В результате стандартные аппаратные устройства безопасности, от которых зависели сетевые администраторы, больше не могут обеспечивать безопасность удаленного доступа к сети.

SASE позволяет компаниям рассматривать услуги безопасности, не будучи продиктованными местонахождением ресурсов компании, с консолидированным и унифицированным управлением политиками на основе идентификаторов пользователей.

Это снимает вопрос с Какова политика безопасности для моего сайта или моего офиса в городе N? на Какова политика безопасности пользователя? Это изменение приводит к серьезному сдвигу в способах использования компаниями сетевой безопасности, позволяя им заменить от семи до 10 различных поставщиков средств защиты на одну платформу.

Подробнее о SASE можно начать знакомиться здесь.

Делитесь своей информацией и находками на платформе Сообщество еАдрес (тем, кому надо). 
Нам это надо, а Вам?