Secure Access Service Edge (SASE): как заменить дорогие NGFW и VPN на облачное решение?

Я уже выступал по теме SASE и писал заметку в 2021 году. Вижу что интерес к SASE все больше возрастает в мире и думаю, что скоро и в России. Причиной для повсеместного использования облачных сервисов станут хорошие каналы на территории всей страны. И это постепенно развивается.

Мои выводы про концепцию облачного безопасного доступа Secure Access Service Edge (SASE):

1. Сервис SASE для заказчика выглядит как распределённая сеть точек доступа по всему миру, обеспечивающая безопасное подключение пользователей и офисов. Он включает элементы VPN, при этом в отличие от классических VPN-шлюзов, использует Zero Trust Network Access (ZTNA) и другие механизмы контроля клиентских станций и трафика от них.

2. Для примера: Palo Alto Networks предоставляет 100 точек присутствия VPN-шлюзов в 76 странах, в том числе две в России. Решение реализовано на базе Google Cloud и Amazon AWS, называется Prisma Access и управляется через систему Panorama. Однако у других вендоров (Zscaler, Cisco, Netskope, Cloudflare) есть альтернативные сети PoP (Points of Presence) с различной географией и функциональностью.

3. В основе архитектуры лежат сервисы NGFW с IPS, AV, URL, DLP, DNS, TI, IoT, CASB и политиками Zero Trust на уровне пользователей и приложений. 

4. В состав SASE обычно входят сервисы ZTNA, CASB, DLP, Sandbox, антивирус, URL-фильтрация, IPS, DNS-защита и Threat Intelligence, при этом их наличие зависит от провайдера. Некоторые функции могут требовать отдельной лицензии или дополнительной интеграции.

5. Для подключения к SASE удалённых офисов можно использовать любое устройство, поддерживающее IPSEC. 

6. Для мобильных пользователей доступны VPN-клиент с поддержкой IPSEC или SSL, подключение через браузер или интеграция через CASB для SaaS-приложени без установки клиента. У некоторых поставщиков SASE может быть реализован в виде прокси-сервера, очищающего только web-трафик (SWG или SIG). 

7. Архитектура SASE может быть full mesh, hub-and-spoke или гибридной, в зависимости от провайдера и конфигурации. Многие решения используют централизованные облачные точки обработки трафика, обеспечивающие баланс между эффективностью маршрутизации и безопасностью.

8. Сервис SASE может включать SD-WAN. SD-WAN обеспечивает интеллектуальный выбор каналов связи и маршрутизацию (Network as a service), а SASE добавляет к нему облачную безопасность (Security as a aservice). В офисах можно использовать устройства SD-WAN или традиционные маршрутизаторы с поддержкой IPSEC.

9. SASE особенно выгоден компаниям, у которых значительная часть трафика идёт в облачные сервисы IaaS, SaaS или PaaS. Однако он также полезен для организаций с распределённой инфраструктурой и строгими требованиями к безопасности, независимо от процентного соотношения облачного трафика.

10. Сервис SASE предоставляется по модели подписки (OPEX), что снижает капитальные затраты (CAPEX) и упрощает масштабирование. Важно учитывать, что управление подпиской и её своевременное продление остаётся на стороне заказчика.

11. Внутри облачной сети SASE минимизируются задержки за счёт оптимизированной маршрутизации (так как это NaaS), но последний участок сети (last mile) остаётся критичным. Для повышения стабильности работы используется SD-WAN, который автоматически выбирает лучший канал связи (auto healing).

12. SASE легко масштабируется, и им уже пользуются компании с числом сотрудников более 200 000. Это делает его подходящим для больших корпоративных сред, но также доступным и для средних организаций.

13. Провайдеры SASE часто гарантируют пропускную способность согласно условиям подписки, устраняя необходимость выбора аппаратной или виртуальной модели NGFW в офисе. Однако SLA у разных поставщиков отличаются, и производительность может зависеть от нагрузки в облаке. Масштабирование доступно через смену тарифного плана, а не покупку нового оборудования (например, увеличение скорости с 1 Гбит до 2 Гбит или числа VPN-клиентов с 1 000 до 50 000).

14. SLA для SASE включает доступность сервиса и задержки в передаче трафика. У разных провайдеров SLA может включать как общее время доступности платформы, так и гарантированные задержки до определённых облачных сервисов.

Изучаем подходы к ZTNA или как работает доверенный удаленный доступ компаний VK

Начну с благодарности. Сотрудники обожают работать из дома со времен COVID. Спасибо этой болезни за наш новый образ жизни. Я сам удаленку люблю со времени моей работы в IBM с 2006 года.

Какие есть риски удаленного доступа и чем защищаться

Существует готовый подход предоставления доверенного удаленного доступа своих сотрудников к корпоративной сети и для последующей обработки конфиденциальной информации: написания кода, перевода денег, создание других интеллектуальных продуктов. Его называют Zero Trust Network Access (ZTNA). Он стал развитием обычного доступа по Remote VPN. И причин расширения функциональности VPN несколько, часть я напишу ниже, не ограничивая общности.

В чем плюс безопасности из облака?

Существует несколько видов облачных сервисов безопасности из облака

• Облачная защита: WAF, Anti-DDoS, когда атакующий трафик даже не доходит до ресурсов вашей компании, а чистится где-то в облаке;
• Внешний Security Operation Center (SOC), когда вы можете отправлять события безопасности в сервисную компанию в облаке и она будет выявлять инциденты и оповещать вас;
• Managed Detection and Response (MDR) - это тот же внешний SOC в задачу которого входит еще и реагировать на найденные инциденты;
• Облачная защита сотрудников и офисов от угроз, реализованная в облаке в виде внешнего сервиса Secure Access Service Edge (SASE) включающего в себя защиту и собственных облачных ресурсов через Cloud Access Service Broker (CASB), что для многих выглядит как защита все-в-одном работающая облаке в некоторой точке в любой стране, к которой сотрудник или офис подключается по VPN или через прокси-сервер и через этот облачный фильтр потребляем ресурсы Интернет и собственные ресурсы компании;
• Система хранения и обработки событий в облаке (Data Lake, XDR, SIEM, UEBA) когда вы не готовы хранить свои же события и когда вы не готовы администрировать средства защиты - здесь за размер и доступность хранилища и за работоспособность продуктов ИБ отвечает внешний поставщик - вы просто пользуетесь. В общем Security as a service по модели Software as a service. Сплошной SecaaS.

Первое замечательное свойство всех этих облачных сервисов:

- внешний SOC, SASE, MDR всегда может переварить больше событий, больше очистить трафика, чем куплено. Это даже вписывают в SLA. На собственном SIEM или NGFW эти события или трафик просто будут удалены по причине физической невозможности обработки данного трафика. Вы прекращаете битвы с поставщиками оборудования за то, что вам привезли NGFW не той модели или SIEM или DLP не тянут нагрузки. В облаке автоматически масштабируется нагрузка.

Второе свойство, которое может понравиться:

- это сервис, который уходит в OPEX и можно его поменять и гибко масштабировать.
Пример: Если вчера 1% сотрудников были дома и пользовались имеющимся VPN, а завтра надо чтобы все 100% остались дома и подключились по VPN - вам не надо спешно докупать новых 100 VPN шлюзов - вы просто доплачиваете за подписку!

Пограничные сервисы безопасного доступа: Secure Access Service Edge (SASE) это NaaS + SecaaS

Пограничные сервисы безопасного доступа: Secure Access Service Edge (SASE)

Ваши сотрудники подключаются через сеть Интернет и к ресурсам компании и вообще к любому сервису в мире? Как вы их защищаете от угроз? Вы включаете различные функции фильтрации трафика, такие как CASB, NGFW, SWG и оптимизируете маршруты с SD-WAN. 

Когда сотрудник находится внутри офиса, как в крепости, то вам помогает периметровая защита, а когда сотрудники уезжают в другую страну, то возникают задержки, если ему нужно подключаться в офис для получения всех функций защиты. Как переместить периметр защиты ближе к сотруднику, чтобы минимизировать задержки? 

Есть два варианта защиты удаленных филиалов и мобильных сотрудников:

1. Реализация сетевых функций и функций безопасности  может выглядеть как набор железа и софта у вас в офисах или прямо дома у сотрудника. И это ваш CAPEX. 

2. Использование безопасности и сетевых услуг из облака по подписке. И это уже OPEX. Обычно такие сервисы упоминаются на безопасность как сервис - Security as a Service (SecaaS) и сеть как сервис - Network as a Service (NaaS). Gartner именно так определил SASE в 2019 году - это NaaS + SecaaS.

Среди основных функций, которые Gartner упоминает внутри SASE это Zero Trust Networks Access (ZTNA), CASB и SD-WAN. То есть это не одна услуга, а набор услуг из облака, которыми вы можете управлять.

80% SASE продается через MSS интернет провайдеров, таких как British, Orange, Accenture. Они используют SASE, чтобы предоставить вам MSS услуги. Плюсом для вас является то, что они сами управляют этим сервисом. Вы можете купить SASE у различных производителей независимо от провайдера, и тогда уже вы сами будете управлять этим сервисом. Например, у Palo Alto Networks этот сервисный продукт по защите ваших мобильных сотрудников и филиалов предоставляется через набор продуктов Prisma Access, Prisma Cloud, Prisma SaaS и Prisma SD-WAN, в зависимости от ваших задач.

Прелесть SASE

• авто-масштабирование: теперь облако само тебе масштабирует производительность системы защиты;
• гарантия производительности: теперь не надо мучаться с выбором модели с нужной производительностью, даже если ты включил все функции включая SSL Decrypt и все сигнатуры, то защита предоставляется на заданной скорости;
• минимальные задержки: облачные сервисы теперь работают с минимальными задержками, из-за наличия средств оптимизации маршрутов трафика внутри SASE;
• доступность во всех странах: сервис Prisma Access, например, реализован из 100 стран сразу и поэтому для международных компаний это находка;
• скорость развертывания: теперь не нужно ждать покупки, доставки и настройки устройства - можно сразу подключить ВСЕ офисы во ВСЕХ странах;
• IoT устройства можно защитить через SASE.

Комментарии по SASE и как это выглядит для клиента

Что означает Zero Trust Network Access (ZTNA)

Основным отличием защищенного удаленного доступа является наличие ZTNA.

Сравните
1. Вы подключаете по IPSEC весь офис в Бразилии в свой офис в Москве. Любой хост из офиса в Бразилии может видеть любой хост в офисе в Москве? Удобно? А безопасно?

2. Вы подключаете по IPSEC весь офис в Бразилии в свой офис в Москве. Только избранные сотрудники и устройства в бразильском офисе могут подключаться к нужным для них приложениям в сети. Это принцип Zero Trust и это то, что сейчас формирует безопасность. 
И второе - это то что и называется ZTNA. Вы даете конкретным сотрудникам доступ к конкретным приложениям, а для этого ваше средство защиты должно понимать на каком IP адресе сейчас работает какой сотрдуник и какое приложение он сейчас использует. И конечно этот функционал сейчас содержат NGFW. Поэтому основа ZTNA это NGFW.
Кроме того сотрудников над проверять, что их устройства соответствуют политике компании и защищены: там работает антивирус, бекап, шифрование диска и это все последних версий и активно. Такой функционал обычно встраивают в клиент VPN. В клиенте Global Protect он называется HIP.

ZNTA означает, что вы начинаете видеть

• пользователя
• его роль (группу)
• приложение
• HIP состояние компьютера
• cтрану
• время доступа
• риск из системы NTA/UEBA/DLP

А зачем SD-WAN?

Сейчас удаленные офисы подключают через SD-WAN, чтобы снизить число проблем у приложений при изменении качества каналов. И для ИТ службы это выливается в снижение число кейсов в helpdesk в 100 раз. 

А что еще интересного?

Появилась новая функция Digital Experience Management, которая позволяет каждому сотруднику разобраться почему не работает приложение: глючит его wifi точка, глючит провайдер, или глючит сам сервис компании. Например, это делает компания https://www.sinefa.com/

Еще более точно Gartner пишет, что SASE Components:

Core Components: SD-WAN, SWG, CASB, ZTNA and FWaaS, all with the ability to identify sensitive

data/malware and all with the ability to encrypt/decrypt content at line speed, at scale with

continuous monitoring of sessions for risk/trust levels.

Recommended Capabilities: Web application and API protection, remote browser isolation,

recursive DNS, network sandbox, API-based access to SaaS for data context, and support for

managed and unmanaged devices.

Optional Capabilities: Wi-Fi hot spot protection, network obfuscation/dispersion, legacy VPN, and

edge computing protection (offline/cached protection).

Полная запись конференции по SASE