ТРИ ПОДХОДА К ЗАЩИТЕ ФИЛИАЛОВ
Если у вас в этом году открываются офисы в 100 новых регионах, у вас на вооружении три стратегии:
1. Направить трафик из всех точек в единый, хороший и очень дорогой корпоративный шлюз безопасности.
2. Купить 100 новых устройств для защиты в каждый офис.
3. Купить сервис по защите трафика и его оптимизации.
В первом случае вы серьёзно нагружаете центральное устройство, часто нужно купить более мощное, то есть вы повышаете CAPEX. Сразу же возникает вопрос: «А зачем мне, находясь в Азии, подключаться к корпоративной VPN в Европе, чтобы получить защищённый доступ для сервиса снова из Азии?»
С ростом компании подключения всех сотрудников надо как-то масштабировать, а это сложно. Например, до пандемии коронавируса так подключалось 5% сотрудников, и это было терпимо. Но сейчас так подключается 100% вашего персонала. И зачем вообще такое «гимнастическое упражнение» с отправкой и возвратом трафика через весь мир для всех? Качество работы, продуктивность и удобство сильно ухудшаются.
Возможно, есть какой-то безопасный способ защитить сотрудника в месте его подключения к интернету. Лучше всего, если мы не будем отправлять трафик на проверку и получать его обратно, а будем осуществлять эти проверки на безопасность сами, на месте.
Во втором случае можно поставить устройства защиты непосредственно в каждый офис и ещё более серьезно увеличить CAPEX и OPEX, чем в первом случае. Вам нужно угадать с производительностью в каждом офисе, да ещё обслуживать устройства придётся, то есть нанять больше сотрудников.
В третьем случае вы гарантированно получаете нужную вам производительность функций безопасности и качество каналов при всех включённых функциях, поскольку такой SLA включается в контракт. И для компании это уже OPEX. Вот этот случай мы и рассмотрим в данной статье.
ТЕРМИН SASE
Чтобы разобраться, нужен ли вам безопасный доступ в интернет в виде сервиса, нужно рассмотреть несколько аспектов, которые составляют данную технологию. Термин Secure Access Service Edge (SASE) на русский можно перевести как сервис безопасного доступа. Термин придуман компанией Gartner и включает, по их мнению, несколько компонент.
ЧТО УВИДЕЛ GARTNER?
Итоговое резюме: нужно объединить сетевые сервисы (NaaS), такие как CDN, и контроль полосы пропускания с сервисами безопасности (общепринятое название SecaaS), такими как VPN, CASB, SWG, FWaaS, WAAPaaS, RBI, где WAAPaaS означает web application and API protection as a service, RBI — remote browser isolation, CDN — Content Delivery Network, FWaaS — Fire wall as a service.
Таким образом, SASE представляет защищённый доступ на основе множества современных технологий в виде доступного в каждой стране облачного ресурса. И ещё одно его полезное свойство: теперь можно управлять политикой по каждому сотруднику или устройству, где бы они ни находились, что резко повышает контроль по сравнению с ситуацией, когда мы пишем политику на целую сеть.
Идентификация сотрудника, устройства или сервиса — тоже важный компонент SASE. Конечно, может быть и другой контекст подключения, который будет влиять на доступ: время и страна подключения, уровень доверия к данному рабочему месту на основе проверок его соответствия корпоративной политике установленных и запущенных приложений.
С точки зрения функций безопасности, SASE содержит блокировки вредоносного кода, DLP, UEBA и IPS, включая эти функции внутри SSL.
Важный аспект – гарантия скорости и качества доступа.
Сильные стороны SASE — практически бесконечная производительность и удобство подключения новых филиалов и мобильных пользователей. Для этого в каждом регионе поставщику SASE нужно сделать точку присутствия (PoP — Point of Presence). У лидеров рынка уже более 100 точек присутствия по всему миру.
Таким образом, возможности SASE поставляются как сервис, который базируется на идентификации объекта, текущего контекста, политик безопасности организации или требований комплаенс и постоянно анализирует риск в течение жизни каждой сессии любого приложения. Объектами защиты могут быть люди, группы людей (филиалы), устройства IoT, приложения, другие сервисы или вычислительные мощности из облака.
СКОЛЬКО СТОИТ?
CIO и CISO, которые рассматривают замену своих текущих средств защиты on-premise, стоит рассмотреть вариант переход на SASE, что также будет переходом с CAPEX на OPEX и поможет сэкономить финансы. Мне известны ситуации, когда компания из 100 тысяч сотрудников, расположенная в 100 странах, посчитала два варианта: установить везде on-premise устройства — вышло 15 млн долларов — или купить SASE — всего 4 млн.
Нужно считать и TCO. Я считаю, что логично сравнивать TCO на 5 лет, поскольку обычно смена оборудования происходит каждые 5 лет.
А КАК ПОДКЛЮЧИТЬСЯ?
Для того чтобы получить такой сервис, офис компании подключается обычным туннелем IPSEC до точки предоставления сервиса по всему миру. У мировых брендов точки присутствия есть в каждой стране. Например, в Palo Alto Networks говорят о 100 точках присутствия сервиса Prisma Access, причём две из них в России. Для того чтобы подключить мобильных сотрудников, на их компьютерах и смартфонах должен стоять клиент VPN, который также подключается к ближайшей точке контроля и оптимизации трафика. Существуют ещё варианты подключения через HTTP-прокси, но вы должны понимать, что это защита только веб-приложений, и то если они поддерживают эту функцию.
Всё больше корпоративных приложений размещается вне территории компании. Постепенно многие компании перестают использовать собственные ЦОД. Выясняется, что дешевле использовать облачные аналоги в виде IaaS: Microsoft Azure, Amazon AWS, Google Cloud, Яндекс.Облако. И бизнес поддерживает это. Часть приложений так удобны, что их лучше всего использовать в виде SaaS: Office 365, Gmail, Dropbox, Яндекс.Диск, Evernote, Trello. Если ваша компания перешла на использование виртуальных ЦОД в облаке, переход на SASE—это следующий шаг.
SASE оказался очень востребован, когда все страны одновременно посадили сотрудников работать из дома. Один из CIO в интервью компании Gartner сказал: «До пандемии у меня было 100 офисов и 50 000 сотрудников, а в один прекрасный день у меня стало 50 000 офисов». Если раньше все сотрудники находились внутри офиса и, по сути, внутри доверенной сети, то сейчас мир в прямом смысле перевернулся — теперь все находятся снаружи, в недоверенных сетях.
ГДЕ КУПИТЬ?
80% SASE продается через MSS интернет-провайдеров, таких как British Telecom, Orange, Accenture. Они используют SASE, чтобы предоставить вам MSS-услуги. Плюс для вас — они сами управляют этим сервисом.
Вы можете приобрести SASE у различных производителей независимо от провайдера, но тогда уже вы сами будете управлять этим сервисом.
ПРЕИМУЩЕСТВА SASE
ЧТО ОЗНАЧАЕТ ZTNA
Важное преимущество защищённого удаленного доступа SASE — наличие ZTNA (Zero Trust Network Access).
Сравните две стратегии:
1. Вы подключаете по IPSEC весь офис в Бразилии в свой московский офис. Любой хост из бразильского офиса видит все московские хосты? Удобно? А безопасно?
2. Вы подключаете по IPSEC весь офис из Бразилии в свой офис в Москве. Только избранные сотрудники и устройства в бразильском офисе могут подключаться к нужным для них приложениям в московской сети. И дополнительным критерием доступа становятся проверки, что на устройствах находятся нужные и правильно настроенные компанией приложения.
И вторая стратегия — то, что, собственно, и называется ZTNA. Вы даёте конкретным сотрудникам доступ к конкретным приложениям, а для этого ваше средство защиты должно понимать, на каком IP-адресе сейчас работает каждый сотрудник и какое приложение он в данный момент использует. Конечно, эту функцию сейчас содержат NGFW, поэтому основа технологий ZTNA заложена в уже известные устройства NGFW.
Нужно регулярно проверять для гарантии безопасного доступа, что устройства сотрудников соответствуют политике компании и защищены: там включены и работают антивирус, backup, шифрование диска — и всё это последних версий. Такую функциональность проверки состояния устройств обычно встраивают в клиент VPN. Спросите вашего поставщика есть, ли такая функция сбора информации о хосте и последующей проверке.
Установив ZTNA, что вы постоянно видите:
А ЗАЧЕМ SD-WAN?
Сейчас удалённые офисы подключают через SD-WAN, чтобы снизить количество проблем у приложений при изменении качества каналов. И для ИТ-службы это выливается в снижение числа кейсов в helpdesk в 100 раз.
НОВАЯ ФУНКЦИЯ SASE — МОНИТОРИНГ КАЧЕСТВА КАНАЛА
Было ли у вас так: вы выбегаете с ноутбуком из комнаты ближе к роутеру или переключаетесь на интернет через телефон, чтобы ваше совещание по Zoom не прерывалось?
Теперь появилась новая функция Digital Experience Management (DEM), которая позволяет каждому сотруднику разобраться, почему не работает приложение: что глючит — его точка Wi-Fi, провайдер или сам сервис компании.
Резюмируя, SASE — это целый мир, который привлекает своими удобством и качеством. Который, похоже, вполне может стать новой стратегией безопасности и цифровой трансформации.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных