Пограничные сервисы безопасного доступа: Secure Access Service Edge (SASE)
2. Использование безопасности и сетевых услуг из облака по подписке. И это уже OPEX. Обычно такие сервисы упоминаются на безопасность как сервис - Security as a Service (SecaaS) и сеть как сервис - Network as a Service (NaaS). Gartner именно так определил SASE в 2019 году - это NaaS + SecaaS.
Среди основных функций, которые Gartner упоминает внутри SASE это Zero Trust Networks Access (ZTNA), CASB и SD-WAN. То есть это не одна услуга, а набор услуг из облака, которыми вы можете управлять.
80% SASE продается через MSS интернет провайдеров, таких как British, Orange, Accenture. Они используют SASE, чтобы предоставить вам MSS услуги. Плюсом для вас является то, что они сами управляют этим сервисом. Вы можете купить SASE у различных производителей независимо от провайдера, и тогда уже вы сами будете управлять этим сервисом. Например, у Palo Alto Networks этот сервисный продукт по защите ваших мобильных сотрудников и филиалов предоставляется через набор продуктов Prisma Access, Prisma Cloud, Prisma SaaS и Prisma SD-WAN, в зависимости от ваших задач.
- авто-масштабирование: теперь облако само тебе масштабирует производительность системы защиты;
- гарантия производительности: теперь не надо мучаться с выбором модели с нужной производительностью, даже если ты включил все функции включая SSL Decrypt и все сигнатуры, то защита предоставляется на заданной скорости;
- минимальные задержки: облачные сервисы теперь работают с минимальными задержками, из-за наличия средств оптимизации маршрутов трафика внутри SASE;
- доступность во всех странах: сервис Prisma Access, например, реализован из 100 стран сразу и поэтому для международных компаний это находка;
- скорость развертывания: теперь не нужно ждать покупки, доставки и настройки устройства - можно сразу подключить ВСЕ офисы во ВСЕХ странах;
- IoT устройства можно защитить через SASE.
1. Вы подключаете по IPSEC весь офис в Бразилии в свой офис в Москве. Любой хост из офиса в Бразилии может видеть любой хост в офисе в Москве? Удобно? А безопасно?
И второе - это то что и называется ZTNA. Вы даете конкретным сотрудникам доступ к конкретным приложениям, а для этого ваше средство защиты должно понимать на каком IP адресе сейчас работает какой сотрдуник и какое приложение он сейчас использует. И конечно этот функционал сейчас содержат NGFW. Поэтому основа ZTNA это NGFW.
Кроме того сотрудников над проверять, что их устройства соответствуют политике компании и защищены: там работает антивирус, бекап, шифрование диска и это все последних версий и активно. Такой функционал обычно встраивают в клиент VPN. В клиенте Global Protect он называется HIP.
- пользователя
- его роль (группу)
- приложение
- HIP состояние компьютера
- cтрану
- время доступа
- риск из системы NTA/UEBA/DLP
Еще более точно Gartner пишет, что SASE Components: