Я уже выступал по теме SASE и писал заметку в 2021 году. Вижу что интерес к SASE все больше возрастает в мире и думаю, что скоро и в России. Причиной для повсеместного использования облачных сервисов станут хорошие каналы на территории всей страны. И это постепенно развивается.
Мои выводы про концепцию облачного безопасного доступа Secure Access Service Edge (SASE):
-
Сервис SASE для заказчика выглядит как распределённая сеть точек доступа по всему миру, обеспечивающая безопасное подключение пользователей и офисов. Он включает элементы VPN, при этом в отличие от классических VPN-шлюзов, использует Zero Trust Network Access (ZTNA) и другие механизмы контроля клиентских станций и трафика от них.
Для примера: Palo Alto Networks предоставляет 100 точек присутствия VPN-шлюзов в 76 странах, в том числе две в России. Решение реализовано на базе Google Cloud и Amazon AWS, называется Prisma Access и управляется через систему Panorama. Однако у других вендоров (Zscaler, Cisco, Netskope, Cloudflare) есть альтернативные сети PoP (Points of Presence) с различной географией и функциональностью.
В основе архитектуры лежат сервисы NGFW с IPS, AV, URL, DLP, DNS, TI, IoT, CASB и политиками Zero Trust на уровне пользователей и приложений.
В состав SASE обычно входят сервисы ZTNA, CASB, DLP, Sandbox, антивирус, URL-фильтрация, IPS, DNS-защита и Threat Intelligence, при этом их наличие зависит от провайдера. Некоторые функции могут требовать отдельной лицензии или дополнительной интеграции.
Для подключения к SASE удалённых офисов можно использовать любое устройство, поддерживающее IPSEC.
Для мобильных пользователей доступны VPN-клиент с поддержкой IPSEC или SSL, подключение через браузер или интеграция через CASB для SaaS-приложени без установки клиента. У некоторых поставщиков SASE может быть реализован в виде прокси-сервера, очищающего только web-трафик (SWG или SIG).
Архитектура SASE может быть full mesh, hub-and-spoke или гибридной, в зависимости от провайдера и конфигурации. Многие решения используют централизованные облачные точки обработки трафика, обеспечивающие баланс между эффективностью маршрутизации и безопасностью.
-
Сервис SASE может включать SD-WAN. SD-WAN обеспечивает интеллектуальный выбор каналов связи и маршрутизацию (Network as a service), а SASE добавляет к нему облачную безопасность (Security as a aservice). В офисах можно использовать устройства SD-WAN или традиционные маршрутизаторы с поддержкой IPSEC.
-
SASE особенно выгоден компаниям, у которых значительная часть трафика идёт в облачные сервисы IaaS, SaaS или PaaS. Однако он также полезен для организаций с распределённой инфраструктурой и строгими требованиями к безопасности, независимо от процентного соотношения облачного трафика.
-
Сервис SASE предоставляется по модели подписки (OPEX), что снижает капитальные затраты (CAPEX) и упрощает масштабирование. Важно учитывать, что управление подпиской и её своевременное продление остаётся на стороне заказчика.
-
Внутри облачной сети SASE минимизируются задержки за счёт оптимизированной маршрутизации (так как это NaaS), но последний участок сети (last mile) остаётся критичным. Для повышения стабильности работы используется SD-WAN, который автоматически выбирает лучший канал связи (auto healing).
-
SASE легко масштабируется, и им уже пользуются компании с числом сотрудников более 200 000. Это делает его подходящим для больших корпоративных сред, но также доступным и для средних организаций.
-
Провайдеры SASE часто гарантируют пропускную способность согласно условиям подписки, устраняя необходимость выбора аппаратной или виртуальной модели NGFW в офисе. Однако SLA у разных поставщиков отличаются, и производительность может зависеть от нагрузки в облаке. Масштабирование доступно через смену тарифного плана, а не покупку нового оборудования (например, увеличение скорости с 1 Гбит до 2 Гбит или числа VPN-клиентов с 1 000 до 50 000).
-
SLA для SASE включает доступность сервиса и задержки в передаче трафика. У разных провайдеров SLA может включать как общее время доступности платформы, так и гарантированные задержки до определённых облачных сервисов.