Hlavní navigace

Kyberbezpečnost: SASE jako lék na covid?

30. 4. 2021
Doba čtení: 8 minut

Sdílet

 Autor: Depositphotos
Jak sloučit síťové a bezpečnostní služby do jednotné cloudové architektury V současnosti stále více organizací přechází na práci z domova. Potřebují proto zajistit bezpečnost hraničních prvků a zařízení, jež často fungují vzdáleně. Pomoci jim v tom může architektura SASE (Secure Access Service Edge) umožňující konvergenci bezpečnostních řešení a sítí do jedné globální cloudové služby. Pomocí této služby lze propojit a zabezpečit všechny hraniční prvky podnikové sítě, jako jsou weby, mobilní uživatelé, cloudová datová centra, služby SaaS a zařízení pro IoT.

„SASE je hojně diskutovaným tématem posledních měsíců," říká Jan Pinta, ředitel společnosti H-Square ICT Solutions. „I v době, kdy není možné fyzicky navštěvovat kanceláře, je totiž nutné zajistit zaměstnancům nejen stejné pracovní podmínky, ale především i stejnou úroveň bezpečnosti vzdáleného přístupu. Právě to řeší služba SASE, která zajišťuje bezpečný přístup k zařízením na okraji sítě, přičemž chytře kombinuje funkce SD WAN a ochrany sítě."

Podnikovými sítěmi dnes prochází více externího provozu než kdykoli předtím, ať už jde o provoz generovaný cloudovými a SaaS prostředími, zařízeními IoT, mobilními uživateli a vzdálenými zaměstnanci. Každý koncový bod vyžaduje připojení do sítě a podniky musejí těmto připojením a veškerému výslednému provozu zajistit bezpečnost. Ponechání bezpečnostních služeb pouze v datovém centru však snižuje efektivitu a zhoršuje uživatelskou zkušenost.
Díky SASE mohou podniky distribuo­vat síťové a bezpečnostní služby, jako jsou filtrování adres URL, DNS, softwarově definovaná síť WAN (SD-WAN) nebo zabezpečená webová brána, přímo do jakéhokoli koncového bodu bez ohledu na to, kde se k síti připojuje.

Jakkoli vypadá architektura SASE radikálně, její implementace je součástí přirozeného procesu transformace sítí WAN, který už nějakou dobu probíhá. Podniky začínají pomalu opouštět multiprotokolové přepojování podle návěští MPLS (Multiprotocol Label Switching) a v některých případech jej nahrazují softwarově definovanou sítí WAN a kompletně internetovou konektivitou, zatímco jiné využívají hybridní přístup. Sdružení cloudového a mobilního přístupu do jedné zabezpečené sítě je pak přirozeným rozšířením těchto kroků.

Propojení síťových a bezpečnostních služeb

Síťová řešení SASE zahrnují hraniční zařízení pro SD-WAN, a podniky by mohly dokonce nasadit SASE jako alternativu SD-WAN. Stejně jako SD-WAN podporují implementace SASE postupné migrace, které koexistují s nynějšími síťovými i bezpečnostními službami. Vzdálený přístup a cloudová konektivita by měly být volitelné.

Bezpečnostní řešení SASE nahrazují širokou škálu on-premise bezpečnostních funkcí včetně firewallů nové generace, zabezpečených webových bran, bezpečnostních brokerů cloudového přístupu a řešení pro přístup k síti s nulovou důvěrou (zero-trust network access).

Někteří dodavatelé SASE budou nabízet omezená heterogenní řešení. V takových případech nelze očekávat, že bude možné vyměnit některé z bezpečnostních komponent za nabídky třetích stran.

Podniky mohou provozovat svá výpočetní prostředí i bez bezpečnostních služeb poskytovatele SASE, nebo je aktivovat pouze za účelem ochrany některých lokalit. Ve druhém případě mohou k platformě SASE připojit i starší firewally prostřednictvím tunelů IPsec, zatímco ostatní prostředí chrání bezpečnostní služby poskytovatele SASE.

Pokud organizace trvají na zachování starších firewallů, mohou zvážit přístup nazývaný rozevření firewallu (firewall bursting). Podobně jako v případě cloud burstingu – kde se aplikace provozovaná v privátním cloudu nebo datovém centru „protaví" do veřejného cloudu v případě, že vzroste poptávka po výpočetní kapacitě – umožní rozevření firewallu udržet starší hraniční firewall v provozu tím, že se nadlimitní provoz svede do cloudu SASE.

SASE může opravdu výrazně snížit náklady na zajištění bezpečnosti. Tyto náklady zahrnují místo v racku, napájení, připojení k internetu, připojení pomocí MPLS, náklady na hardware a údržbu. Také provozní náklady, náklady na licence a případné náklady na upgrade a výměnu bezpečnostní infrastruktury mohou být poměrně významné a dají se díky SASE omezit.

Kromě toho musejí podniky, které nevyužívají SASE, bezpečnostní infrastrukturu stále udržovat. Když bezpečnostní týmy objeví nový útok nebo zranitelnost, závodí s časem, aby svou infrastrukturu aktualizoval. Poskytovatelé SASE udržují bezpečnostní infrastrukturu sami a tento problém řeší.

Podniky, jejichž investice do bezpečnostních řešení mají stále určitou hodnotu, se musejí rozhodnout, zda bezpečnostní funkce SASE aktivovat, či nikoli. Svou roli v tom hraje i fakt, že instalovaná řešení mohou být licencována každým dodavatelem odlišně. V mnoha případech je mohou podniky udržovat až do konce své smlouvy, aby ušetřily náklady na podobnou funkci v nabídce SASE. V jiných případech však společnosti raději takové investice odepisují kvůli provozní efektivitě, kterou může SASE poskytnout.

Strategie zavedení SASE

Rychlou cestou k SASE může být přesun současné infrastruktury na správu cloudovými nástroji poskytovanými dodavateli zařízení. Je pravděpodobné, že produkty vytvořené v posledních několika letech takovou možnost nabízejí, i když ji zákazníci dnes možná nevyužívají. Pomocí těchto nástrojů lze politiky a konfigurační parametry snadno přenést z tradiční sítě WAN na SASE.

Pokud organizace uvažuje o přístupu založeném na cloudu, je dobré
zjistit, zda dodavatel umožňuje přejít k on-premise infrastruktuře spravované přes cloud. To může být důležité pro podnik s rostoucím počtem a rozsahem lokalit.

V průběhu zavádění může mít totiž organizace řadu malých lokalit a upřednostní cloudový přístup. Pokud se později jedna nebo více lokalit zvětší tak, že režijní náklady sítě způsobují problémy, může organizace chtít zavést on-premise model, v němž je infrastruktura spravována cloudem. V ideálním případě by měl dodavatel mít v záloze plán takového přechodu, aby k němu mohlo dojít bez narušení provozu podniku.

Dalším klíčovým hlediskem je bezpečnost. Někteří z menších poskytovatelů SASE mají své vlastní sady bezpečnostních nástrojů, ale zákaznická organizace může upřednostňovat značkového dodavatele. Mnoho dodavatelů řešení SD-WAN uzavřelo partnerství s předními firmami dodávajícími bezpečnostní funkce, aby doplnili své schopnosti SASE. Potenciální zákazníci by si měli dopředu zjistit, o jaké dodavatele zabezpečení jde a zda jim vyhovují.

Podniky by se také měly ujistit, že jejich poskytovatel SASE může nabídnout řídicí panel s maximem funkcí včetně analytických, který zajistí dobrou vizibilitu všech podstatných prvků sítě i bezpečnostních aspektů. Sítě nejsou statické a je třeba je vyvíjet stejně, jako se vyvíjí podnik.

To vyžaduje komplexní vizibilitu síťového provozu a přehled o hustotě uživatelů, bezpečnostních zásadách a dalších faktorech. Zákazníci obvykle tyto údaje potřebují, aby mohli dělat změny. I když využívají spravovanou službu, musí jim její poskytovatel zajistit vhled do prostředí. Nikdo totiž nemůže provozovat nebo zabezpečit to, co nevidí. A zejména u SASE je kriticky důležité vidět všechno.

„Prakticky všechna řešení SASE jsou dnes určená především pro globální společnosti, a to jak z hlediska umístění přípojných míst, tak kvůli vysokým provozním nákladům," upozorňuje Pinta z H-Square ICT Solutions. SASE je však podle něj možné provozovat i v tuzemském prostředí menších firem se zachováním všech výhod z tohoto konceptu plynoucích.

„Lokální službu je totiž možné postavit na míru," pokračuje Pinta. „V jejím rámci získá zákazník přípojná místa, která jsou ve správě poskytovatele a  nabízejí nejvyšší dostupnou míru zabezpečení. Jedinou starostí zákazníka je pak definice pravidel a monitoring. Data od uživatelů či poboček k přípojným místům putují standardními IPSec tunely, a není tak třeba žádného dalšího softwarového ani hardwarového vybavení."

SASE se tak podle Pinty v dnešní době jeví jako optimální alternativa k tradičním přístupům pojetí bezpečnosti.