Пограничные сервисы безопасного доступа: Secure Access Service Edge (SASE) это NaaS + SecaaS

Пограничные сервисы безопасного доступа: Secure Access Service Edge (SASE)

Ваши сотрудники подключаются через сеть Интернет и к ресурсам компании и вообще к любому сервису в мире? Как вы их защищаете от угроз? Вы включаете различные функции фильтрации трафика, такие как CASB, NGFW, SWG и оптимизируете маршруты с SD-WAN. 

Когда сотрудник находится внутри офиса, как в крепости, то вам помогает периметровая защита, а когда сотрудники уезжают в другую страну, то возникают задержки, если ему нужно подключаться в офис для получения всех функций защиты. Как переместить периметр защиты ближе к сотруднику, чтобы минимизировать задержки? 

Есть два варианта защиты удаленных филиалов и мобильных сотрудников:

1. Реализация сетевых функций и функций безопасности  может выглядеть как набор железа и софта у вас в офисах или прямо дома у сотрудника. И это ваш CAPEX. 

2. Использование безопасности и сетевых услуг из облака по подписке. И это уже OPEX. Обычно такие сервисы упоминаются на безопасность как сервис - Security as a Service (SecaaS) и сеть как сервис - Network as a Service (NaaS). Gartner именно так определил SASE в 2019 году - это NaaS + SecaaS.

Среди основных функций, которые Gartner упоминает внутри SASE это Zero Trust Networks Access (ZTNA), CASB и SD-WAN. То есть это не одна услуга, а набор услуг из облака, которыми вы можете управлять.

80% SASE продается через MSS интернет провайдеров, таких как British, Orange, Accenture. Они используют SASE, чтобы предоставить вам MSS услуги. Плюсом для вас является то, что они сами управляют этим сервисом. Вы можете купить SASE у различных производителей независимо от провайдера, и тогда уже вы сами будете управлять этим сервисом. Например, у Palo Alto Networks этот сервисный продукт по защите ваших мобильных сотрудников и филиалов предоставляется через набор продуктов Prisma Access, Prisma Cloud, Prisma SaaS и Prisma SD-WAN, в зависимости от ваших задач.

Прелесть SASE

• авто-масштабирование: теперь облако само тебе масштабирует производительность системы защиты;
• гарантия производительности: теперь не надо мучаться с выбором модели с нужной производительностью, даже если ты включил все функции включая SSL Decrypt и все сигнатуры, то защита предоставляется на заданной скорости;
• минимальные задержки: облачные сервисы теперь работают с минимальными задержками, из-за наличия средств оптимизации маршрутов трафика внутри SASE;
• доступность во всех странах: сервис Prisma Access, например, реализован из 100 стран сразу и поэтому для международных компаний это находка;
• скорость развертывания: теперь не нужно ждать покупки, доставки и настройки устройства - можно сразу подключить ВСЕ офисы во ВСЕХ странах;
• IoT устройства можно защитить через SASE.

Комментарии по SASE и как это выглядит для клиента

Что означает Zero Trust Network Access (ZTNA)

Основным отличием защищенного удаленного доступа является наличие ZTNA.

Сравните
1. Вы подключаете по IPSEC весь офис в Бразилии в свой офис в Москве. Любой хост из офиса в Бразилии может видеть любой хост в офисе в Москве? Удобно? А безопасно?

2. Вы подключаете по IPSEC весь офис в Бразилии в свой офис в Москве. Только избранные сотрудники и устройства в бразильском офисе могут подключаться к нужным для них приложениям в сети. Это принцип Zero Trust и это то, что сейчас формирует безопасность. 
И второе - это то что и называется ZTNA. Вы даете конкретным сотрудникам доступ к конкретным приложениям, а для этого ваше средство защиты должно понимать на каком IP адресе сейчас работает какой сотрдуник и какое приложение он сейчас использует. И конечно этот функционал сейчас содержат NGFW. Поэтому основа ZTNA это NGFW.
Кроме того сотрудников над проверять, что их устройства соответствуют политике компании и защищены: там работает антивирус, бекап, шифрование диска и это все последних версий и активно. Такой функционал обычно встраивают в клиент VPN. В клиенте Global Protect он называется HIP.

ZNTA означает, что вы начинаете видеть

• пользователя
• его роль (группу)
• приложение
• HIP состояние компьютера
• cтрану
• время доступа
• риск из системы NTA/UEBA/DLP

А зачем SD-WAN?

Сейчас удаленные офисы подключают через SD-WAN, чтобы снизить число проблем у приложений при изменении качества каналов. И для ИТ службы это выливается в снижение число кейсов в helpdesk в 100 раз. 

А что еще интересного?

Появилась новая функция Digital Experience Management, которая позволяет каждому сотруднику разобраться почему не работает приложение: глючит его wifi точка, глючит провайдер, или глючит сам сервис компании. Например, это делает компания https://www.sinefa.com/

Еще более точно Gartner пишет, что SASE Components:

Core Components: SD-WAN, SWG, CASB, ZTNA and FWaaS, all with the ability to identify sensitive

data/malware and all with the ability to encrypt/decrypt content at line speed, at scale with

continuous monitoring of sessions for risk/trust levels.

Recommended Capabilities: Web application and API protection, remote browser isolation,

recursive DNS, network sandbox, API-based access to SaaS for data context, and support for

managed and unmanaged devices.

Optional Capabilities: Wi-Fi hot spot protection, network obfuscation/dispersion, legacy VPN, and

edge computing protection (offline/cached protection).

Полная запись конференции по SASE

Как защищать контейнеры Docker и Kubernetes

В вашей компании наверняка есть программисты, которые используют контейнеры. Часто очень удобно, когда код не монолитный, а разбит на множество мелких контейнеров с определенным функционалом, которые общаются друг с другом. Из-за возросшего числа готовых удачных контейнеров с нужным функционалом в Интернет и простоте работы технология мгновенно была принята сообществом разработчиков. Цели бизнеса - делать быстро и качественно и контейнеризация здесь стала удачным решением. 

Одновременно с ростом применения, растет и число угроз. У множества контейнеров есть уязвимости, вам нужно контролировать, что в вашей компании их нет, либо эти уязвимости прикрыты средствами защиты.

В России первой компанией, кто стал использовать защиту контейнеризации Prisma Cloud стал Росбанк. И за 2020 год было уже множество проектов в крупных организациях, которые осознали угрозы ИБ.

Что делает Prisma Cloud для защиты контейнеров:
- изучается поведение контейнеров и автоматически создаются списки доступа;

- анализ уязвимостей в контейнерах на основе собственной базы;

- живая картина взаимодействий контейнеров и подсказки по уязвимым местам;

- предотвращение в режиме реального времени на основе анализа аномалий и знаний уязвимостей;

- проверка соответствия нормативным требованиям;

- интеграция с процесс CI/CD;

- контроль доступа.

Что делает CN-Series NGFW для защиты контейнеров:

- анализирует соединения между контейнерами и с внешним миром;

- включает функционал защиты, который есть в обычных NGFW: IPS, антивирус, контроль приложений и т.д.

Видеопрезентация с демонстрацией NGFW и Prisma Cloud

Презентация по Prisma Cloud

Больше информации по Palo Alto Networks узнать на странице Netwell,  также на странице Tiger-Optics. Это официальные дистрибьюторы продуктов, которые также предоставляют цены и техническую поддержку.

Какую задачу решают продукты класса Deception

Недавно появился класс продуктов, который относится к классу DDP (Distributed Deception Platform). Такой продукт позволяет дополнить имеющиеся решения EDR, XDR, NTA и на начальном этапе обнаружить lateral movement хакера по своей сети. Для перемещения между компьютерами сотрудников и между сетями используются уже имеющиеся аккаунты в системе и поэтому злоумышленника сложно отличить от собственного сотрудника. В этом проблема распознавания lateral movement, что все действия производятся от аккаунта легитимного сотрудника. Но ведь уже были HoneyPot раньше. Этот новый класс продуктов отличается от решения класса HoneyPot тем, что он располагает специальные приманки не в каком-то отдельном сегменте сети, куда хакер должен (почему-то) прийти, а прямо на каждом компьютере. В английском языке такие приманки называют traps, decoy и lure. Приманкой может служить файл или аккаунт пользователя, который в обычной жизни компании не используется, но для хакера может быть привлекателен тем, что он может быть аккаунтом администратора или бухгалтера или в файле могут быть нужные ему данные. Поскольку приманка на виду, то вероятность, что злоумышленник "клюнет" увеличивается. Эти приманки не требуют установки агентов, могут распространяться через GPO, и они контролируются системой управления и доступ к ним или подбор пароля к ним будет означать, что кто-то "поймал наживку" - мы начинаем реагировать.

Обсуждение решений данного типа в записи доступно тут.