воскресенье, 28 февраля 2021 г.

Пограничные сервисы безопасного доступа: Secure Access Service Edge (SASE) это NaaS + SecaaS

Пограничные сервисы безопасного доступа: Secure Access Service Edge (SASE)

Ваши сотрудники подключаются через сеть Интернет и к ресурсам компании и вообще к любому сервису в мире? Как вы их защищаете от угроз? Вы включаете различные функции фильтрации трафика, такие как CASB, NGFW, SWG и оптимизируете маршруты с SD-WAN. 

Когда сотрудник находится внутри офиса, как в крепости, то вам помогает периметровая защита, а когда сотрудники уезжают в другую страну, то возникают задержки, если ему нужно подключаться в офис для получения всех функций защиты. Как переместить периметр защиты ближе к сотруднику, чтобы минимизировать задержки? 

Есть два варианта защиты удаленных филиалов и мобильных сотрудников:

1. Реализация сетевых функций и функций безопасности  может выглядеть как набор железа и софта у вас в офисах или прямо дома у сотрудника. И это ваш CAPEX. 

2. Использование безопасности и сетевых услуг из облака по подписке. И это уже OPEX. Обычно такие сервисы упоминаются на безопасность как сервис - Security as a Service (SecaaS) и сеть как сервис - Network as a Service (NaaS). Gartner именно так определил SASE в 2019 году - это NaaS + SecaaS.

Среди основных функций, которые Gartner упоминает внутри SASE это Zero Trust Networks Access (ZTNA), CASB и SD-WAN. То есть это не одна услуга, а набор услуг из облака, которыми вы можете управлять.

80% SASE продается через MSS интернет провайдеров, таких как British, Orange, Accenture. Они используют SASE, чтобы предоставить вам MSS услуги. Плюсом для вас является то, что они сами управляют этим сервисом. Вы можете купить SASE у различных производителей независимо от провайдера, и тогда уже вы сами будете управлять этим сервисом. Например, у Palo Alto Networks этот сервисный продукт по защите ваших мобильных сотрудников и филиалов предоставляется через набор продуктов Prisma Access, Prisma Cloud, Prisma SaaS и Prisma SD-WAN, в зависимости от ваших задач.

Прелесть SASE
  • авто-масштабирование: теперь облако само тебе масштабирует производительность системы защиты;
  • гарантия производительности: теперь не надо мучаться с выбором модели с нужной производительностью, даже если ты включил все функции включая SSL Decrypt и все сигнатуры, то защита предоставляется на заданной скорости;
  • минимальные задержки: облачные сервисы теперь работают с минимальными задержками, из-за наличия средств оптимизации маршрутов трафика внутри SASE;
  • доступность во всех странах: сервис Prisma Access, например, реализован из 100 стран сразу и поэтому для международных компаний это находка;
  • скорость развертывания: теперь не нужно ждать покупки, доставки и настройки устройства - можно сразу подключить ВСЕ офисы во ВСЕХ странах;
  • IoT устройства можно защитить через SASE.
Комментарии по SASE и как это выглядит для клиента

Что означает Zero Trust Network Access (ZTNA)

Основным отличием защищенного удаленного доступа является наличие ZTNA.
Сравните
1. Вы подключаете по IPSEC весь офис в Бразилии в свой офис в Москве. Любой хост из офиса в Бразилии может видеть любой хост в офисе в Москве? Удобно? А безопасно?
2. Вы подключаете по IPSEC весь офис в Бразилии в свой офис в Москве. Только избранные сотрудники и устройства в бразильском офисе могут подключаться к нужным для них приложениям в сети. Это принцип Zero Trust и это то, что сейчас формирует безопасность. 
И второе - это то что и называется ZTNA. Вы даете конкретным сотрудникам доступ к конкретным приложениям, а для этого ваше средство защиты должно понимать на каком IP адресе сейчас работает какой сотрдуник и какое приложение он сейчас использует. И конечно этот функционал сейчас содержат NGFW. Поэтому основа ZTNA это NGFW.
Кроме того сотрудников над проверять, что их устройства соответствуют политике компании и защищены: там работает антивирус, бекап, шифрование диска и это все последних версий и активно. Такой функционал обычно встраивают в клиент VPN. В клиенте Global Protect он называется HIP.

ZNTA означает, что вы начинаете видеть
  • пользователя
  • его роль (группу)
  • приложение
  • HIP состояние компьютера
  • cтрану
  • время доступа
  • риск из системы NTA/UEBA/DLP

А зачем SD-WAN?

Сейчас удаленные офисы подключают через SD-WAN, чтобы снизить число проблем у приложений при изменении качества каналов. И для ИТ службы это выливается в снижение число кейсов в helpdesk в 100 раз. 

А что еще интересного?

Появилась новая функция Digital Experience Management, которая позволяет каждому сотруднику разобраться почему не работает приложение: глючит его wifi точка, глючит провайдер, или глючит сам сервис компании. Например, это делает компания https://www.sinefa.com/

Еще более точно Gartner пишет, что SASE Components:

Core Components: SD-WAN, SWG, CASB, ZTNA and FWaaS, all with the ability to identify sensitive
data/malware and all with the ability to encrypt/decrypt content at line speed, at scale with
continuous monitoring of sessions for risk/trust levels.
Recommended Capabilities: Web application and API protection, remote browser isolation,
recursive DNS, network sandbox, API-based access to SaaS for data context, and support for
managed and unmanaged devices.
Optional Capabilities: Wi-Fi hot spot protection, network obfuscation/dispersion, legacy VPN, and
edge computing protection (offline/cached protection).

Полная запись конференции по SASE