02 kwi Co to jest architektura SASE? CATO Networks zna odpowiedź
Architektura SASE jest niezbędna w każdej firmie. Sprawdza ona każde urządzenie przed wpuszczeniem go do sieci. W ten sposób można przestać martwić się o problemy ze skalowaniem lub logowaniem do różnych portali w chmurze.
Jaki problem rozwiązuje architektura SASE?
W ciągu ostatnich kilku lat korzystaliśmy z wielu różnych rozwiązań w zakresie bezpieczeństwa i łączności, a dla każdej technologii poszukiwaliśmy najlepszego rozwiązania. Pomyślmy o następującym scenariuszu: korporacja posiadająca 25 różnych lokalizacji, które muszą być ze sobą połączone. Odbywa się to albo za pomocą tradycyjnych (drogich) połączeń MPLS, albo korzysta już z rozwiązania SD-WAN. Teraz wszystkie witryny są ze sobą połączone, ale nie ma zabezpieczeń. Zaczynamy, dodając zaporę NextGen Firewall lub UTM w zależności od wymagań danej lokalizacji.
Świetnie, łączność i bezpieczeństwo sieci są teraz zapewnione. To wszystko, prawda? No cóż, nie. Przed nami jeszcze więcej. Ponieważ znaczna liczba użytkowników potrzebowała połączenia z laptopa lub urządzenia mobilnego, gdy byli w drodze, firma zainwestowała również w koncentrator VPN. Gdy wybuchła pandemia i wszyscy musieli pracować w domu, ich lokalne urządzenia sprzętowe zostały wypchnięte do granic możliwości. Posiadanie wszystkich tych różnych rozwiązań punktowych prowadzi do znacznych kosztów ogólnych związanych z oceną dostawcy, zakupem, rozwiązywaniem problemów i konserwacją wszystkich tych rozwiązań, co tworzy znaczne koszty ukryte.
Przywitaj się z SASE!
Sam termin SASE został „wynaleziony” przez firmę Gartner w 2019 r. i jest skrótem od „Secure Access Service Edge”. Aby rozwiązać powyższe problemy, stworzono architekturę zawierającą kilka głównych elementów:
Konwergencja funkcji sieci WAN i zabezpieczeń: posiadanie mniejszej liczby urządzeń do zarządzania prowadzi do lepszej wydajności, a zatem konwergencja łączności sieci WAN i zabezpieczeń wydaje się nie do pomylenia.
Architektura oparta na chmurze: ponieważ urządzenia lokalne nie są w stanie skalować się do naszych dynamicznych potrzeb, sensowne jest stworzenie całej architektury opartej na chmurze, która będzie skalować się do potrzeb użytkownika.
Usługi oparte na tożsamości: tożsamość jest podstawą dzisiejszych wymagań w zakresie bezpieczeństwa, niezależnie od tego, czy mówimy o osobie fizycznej, czy o konkretnym urządzeniu. Polityki bezpieczeństwa powinny być tworzone w celu przyznawania dostępu do określonych aplikacji tylko określonym osobom.
Obsługa wszystkich krawędzi: ponieważ należy zapewnić, że bezpieczeństwo jest zapewnione dla każdego, kto łączy się z dowolnego miejsca na świecie, niezależnie od tego, czy znajduje się w kampusie firmy, czy w domu (lub w dowolnym miejscu pomiędzy), należy zadbać o to, aby wszystkie krawędzie były traktowane jednakowo.
Globalnie rozproszona infrastruktura punktów obecności (PoP): jak najmniejsze opóźnienia są kluczowe dla zapewnienia użytkownikom jak najlepszych wrażeń. Dlatego też punkty PoP powinny znajdować się na całym świecie, w pobliżu miejsc, w których przebywają użytkownicy i aplikacje.
Jakie są zalety SASE?
Cóż, ponieważ wszystkie usługi są teraz dostarczane z chmury, jest kilka rzeczy, o które nie trzeba się martwić.
Po pierwsze, nie trzeba już logować się do i z różnych portali w chmurze, aby obsługiwać różne rozwiązania punktowe. Porządne rozwiązanie SASE ma jeden portal, który umożliwia: zarządzanie bezpieczeństwem, konfigurowanie użytkowników zdalnych, nadawanie im dostępu do określonych aplikacji, uzyskiwanie wglądu w shadow IT itp. Rozumie się samo przez się.
Po drugie, ponieważ zabezpieczenia są obecnie realizowane w chmurze za pomocą FWaaS (Firewall-as-a-service), nie trzeba się już martwić o problemy ze skalowaniem w połączeniu z określonymi funkcjami. Wystarczy otworzyć arkusz danych swojej ulubionej zapory sieciowej i spojrzeć na liczby dotyczące wydajności. Po włączeniu wszystkich funkcji bezpieczeństwa (IDP, Anti-malware, IPS, …) można zobaczyć wartości od wielu gigabitów na sekundę (przy wielkości pakietów 1500 bajtów) do zaledwie megabitów na sekundę. Oznacza to, że włączenie jednej funkcji może wymagać modernizacji zapory sieciowej. W przypadku rozwiązania FWaaS firmy SASE nie stanowi to już problemu, ponieważ skalowanie odbywa się błyskawicznie, zgodnie z potrzebami.
Nawet konkretne funkcje są dostarczane jako usługa, jak na przykład IPS. Niedawna luka w Log4J jest tutaj doskonałym przykładem. W typowym scenariuszu, niezależnie od tego, czy klasyczny system IPS działał na zaporze ogniowej, czy na dedykowanym urządzeniu, typowe zadanie polega na aktualizacji sygnatur, uruchomieniu trybu wykrywania, sprawdzeniu, czy nie występują problemy z wydajnością, monitorowaniu fałszywych alarmów i wreszcie przełączeniu w tryb zapobiegania. Wszystko to w czasie, gdy na zewnątrz znajduje się luka, która jest aktywnie wykorzystywana.
W przypadku IPS-as-a-service cały ten proces jest obsługiwany przez dostawcę usługi SASE, co prowadzi do znacznie szybszej aktywnej ochrony. W przypadku luki Log4J klienci byli chronieni automatycznie na kilka dni przed tym, jak klasyczni dostawcy zabezpieczeń opublikowali swoje sygnatury. To po prostu zmienia postać rzeczy!
A więc każde rozwiązanie SASE spełni moje potrzeby?
Cóż, byłby to idealny scenariusz, ale niestety świat nie jest jeszcze idealny. Niektóre rozwiązania zostały wprowadzone na rynek specjalnie z myślą o SASE, inne zostały stworzone dawno temu i wymagają znacznych zmian, aby sprostać architektonicznym potrzebom SASE.
Dlatego też SASE łączy bezpieczeństwo i sieci w jedną usługę. Dzięki tej architekturze użytkownik może pożegnać się z logowaniem i wylogowywaniem z różnych portali w chmurze i nie musi się już martwić o problemy ze skalowaniem w połączeniu z niektórymi funkcjami. Moim zdaniem to logiczne rozwiązanie, które pomoże Twojej firmie!
Jednym z naszych ulubionych dostawców rozwiązań SASE jest firma Cato Networks, ponieważ są one prawdziwie natywne dla chmury.
autor Nick Leman