SASE و مزایا و چالش‌های آن

413

(Secure access service edge (SASE معماری شبکه‌ایست که شبکه‌های گسترده تعریف شده توسط نرم افزار (SD-WAN) و امنیت را به یک سرویس ابری تبدیل می‌کند که استقرار WAN ساده را نوید می‌دهد، بهره‌وری و امنیت را بهبود بخشید و پهنای باند مناسب را برای هر برنامه ارائه می‌دهد.

از آنجا که این یک سرویس ابری است، SASE (تلفظ “sassy”) می‌تواند براساس کاربرد به راحتی کوچک و بزرگ و هزینه آن محاسبه شود. در نتیجه، می‌تواند در زمان تغییر سریع، گزینه جذابی باشد. در حالی که برخی از فروشندگان در این فضا دستگاه‌های سخت افزاری برای اتصال کارمندان در خانه و مراکز داده شرکت‌ها، به شبکه‌های SASE خود ارائه می‌دهند، اکثر فروشندگان ارتباطات را از طریق نرم افزارهای مشتری یا لوازم مجازی اداره می‌کنند. اولین بار اصطلاح SASE در یک مقاله سفید در سال ۲۰۱۹ توسط گارتنر به کار رفت که اهداف آن را توصیف می کرد. در این مقاله گفته شده است که SASE در حال توسعه است و ممکن است همه ویژگی های آن هنوز به راحتی در دسترس نباشد.

SASE چیست؟

SASE چیست؟

SASE خط مشی های امنیتی اعمال شده در جلسات کاربران براساس هر یک از فاکتورها تنظیم می شود:

  • هویت موجودیت متصل
  • زمینه (سلامت و رفتار دستگاه، حساسیت منابع قابل دسترسی)
  • امنیت و سیاست های انطباقی
  • ارزیابی مداوم ریسک در طول هر جلسه.

WAN SASE به قابلیت‌های ارائه شده توسط نهادها از جمله ارائه دهندگان SD-WAN، شرکت‌های مخابراتی، شبکه‌های انتقال محتوا، شبکه به عنوان یک سرویس دهنده، تجمیع پهنای باند و فروشندگان تجهیزات شبکه متکی است. بخش امنیتی به کارگزاران امنیت دسترسی ابری، دروازه های وب امن ابر، دسترسی به شبکه با اعتماد صفر، فایروال به عنوان یک سرویس، محافظت از وب-API به عنوان سرویس، DNS و ایزوله کردن مرورگر از راه دور متکی است. گارتنر می‌گوید، در حالت ایده‌آل، تمام این قابلیت‌ها به عنوان یک سرویس SASE توسط یک نهاد واحد که همه را جمع می کند، ارائه می‌شود.

edge کجاست؟

edge قسمتی از SASE هست که معمولاً از طریق PoPs یا مراکز داده فروشنده نزدیک به نقاط انتهایی – مراکز داده، افراد و دستگاه‌ها ارائه می‌شود. در برخی موارد، فروشنده SASE صاحب PoPs است، در حالی که در برخی دیگر از شخص ثالث استفاده می‌کند یا انتظار می‌رود مشتریان اتصال خود را فراهم کنند.

مزایای SASE

از آنجا که این یک سرویس واحد است، SASE پیچیدگی و هزینه را کاهش می‌دهد.

شرکت‌ها با فروشندگان کمتری سرو کار دارند، میزان سخت افزار مورد نیاز در دفاتر شعبه و سایر مکان‌های از راه دور کاهش می‌یابد و تعداد نمایندگان دستگاه‌های کاربر نهایی نیز کاهش می‌یابد. مدیران فناوری اطلاعات می‌توانند به طور متمرکز از طریق سیستم عامل‌های مدیریتی مبتنی برابر، سیاست‌هایی را تنظیم کنند و این سیاست‌ها در PoP های توزیع شده نزدیک به کاربران نهایی اعمال می‌شود. کاربران نهایی فارغ از اینکه به چه منابعی نیاز دارند و در کجای آن‌ها و منابع قرار دارند، همان تجربه دسترسی را دارند.

SASE همچنین با اعمال سیاست‌های مناسب برای هر منبعی که کاربر بر اساس ورود به سیستم اولیه جستجو می‌کند، روند احراز هویت را ساده می‌کند. امنیت بدلیل اینکه سیاست‌ها بدون در نظر گرفتن محل استقرار کاربران به یک اندازه اعمال می‌شوند افزایش می‌یابد. با بروزرسانی تهدیدهای جدید، ارائه دهنده خدمات چگونگی محافظت در برابر آن‌ها را بدون نیاز به سخت افزار جدید برای شرکت عنوان می‌کند.

SASE به دلیل اینکه دسترسی را بر اساس کاربر، دستگاه و برنامه، نه مکان و آدرس IP قرار می دهد از شبکه اعتماد صفر پشتیبانی می‌کند. درصد بیشتری از کاربران نهایی مانند کارمندان، شرکا، پیمانکاران و مشتریان می‌توانند بدون استفاده از روش‌های امنیت سنتی- مانند VPNها و DMZها – بدون به خطر افتادن اتصالشان به منابع دسترسی پیدا کنند و به یک مکان امن برای حملات گسترده احتمالی به شرکت تبدیل شوند. ارائه دهندگان SASE می توانند خدمات متفاوتی را ارائه دهند تا هر برنامه پهنای باند و پاسخگویی شبکه مورد نیاز خود را بدست آورد. با استفاده از SASE، کارکنان IT سازمانی کارهای کمتری در رابطه با استقرار، نظارت و نگهداری دارند و می‌توان وظایف سطح بالاتری را به آن‌ها اختصاص داد.

چالش های SASE

چالش های SASEگارتنر چندین مانع را برای تصویب SASE ذکر کرده است.

برخی از خدمات ممکن است در ابتدا کوتاه شوند زیرا توسط ارائه دهندگانی با سابقه شبکه یا امنیت و در نیمه دیگر فاقد تخصص اجرا می‌شوند. پیشنهادات اولیه SASE ممکن است با ذهنیت بومی ابر طراحی نشود زیرا تجربه قدیمی فروشندگان فروش سخت افزار داخلی است، بنابراین ممکن است معماری هایی را که در آن واحد به یک مشتری اختصاص داده شده است انتخاب کنند.

به همین ترتیب، فروشندگان سخت افزار قدیمی ممکن است تجربه پروکسی های داخلی مورد نیاز SASE را نداشته باشند، بنابراین ممکن است با مشکلات هزینه و عملکرد روبرو شوند. بعضی از فروشندگان سنتی نیز ممکن است در ارزیابی زمینه تجربه نداشته باشند، که این می تواند توانایی آن‌ها را برای تصمیم گیری آگاه از زمینه را محدود کند.

به دلیل پیچیدگی SASE، مهم است که ارائه دهندگان از ویژگی‌های کاملاً یکپارچه‌ای برخوردار باشند، نه ویژگی‌هایی که روی هم قرار گرفته‌اند. تولید جهانی PoPs برای برخی از ارائه دهندگان SASE بسیار پرهزینه است. این می تواند منجر به عملکرد ناهموار در همه مکان‌ها شود زیرا برخی از سایت‌ها ممکن است دور از نزدیکترین PoP واقع شده و تأخیر در ارائه سرویس برای شما داشته باشند.

عوامل ساده SASE برای ساده سازی استقرار، باید با عوامل دیگر ادغام شوند. انتقال SASE با قطع ارتباط تیم های امنیتی و شبکه ای از SASE کارکنان را تحت فشار قرار دهد، جنگ های چمن ممکن است شعله ور شوند. تغییر فروشندگان برای استفاده از SASE ممکن است نیاز به آموزش مجدد کارکنان فناوری اطلاعات شرکت ها برای مدیریت فناوری جدید داشته باشد.

چرا SASE ضروری است؟

گارتنر می‌گوید که بیشتر توابع مرکز داده مرکز سازمانی در حال حاضر در خارج از مرکز داده سازمانی نسبت به آن میزبان هستند.

در ابرهای ارائه دهنده IaaS ، در برنامه‌های SaaS و ذخیره‌سازی ابر. نیازهای اینترنت اشیا و محاسبات لبه‌ای تنها این وابستگی را به منابع مبتنی بر ابر افزایش می‌دهد، با این وجود معماری امنیتی WAN متناسب با مراکز داده سازمانی داخلی است. کاربران از راه دور معمولاً از طریق VPN متصل می‌شوند و به دیوار آتش در هر مکان یا دستگاه‌های جداگانه نیاز دارند. مدل‌های سنتی از آن‌ها برای امنیت متمرکز تأیید می‌شوند که اجازه دسترسی می‌دهند اما همچنین ممکن است از طریق آن مکان مرکزی ترافیک را هدایت کنند. این معماری قدیمی به دلیل پیچیدگی و تأخیر با مشکل روبرو می‌شود.

با استفاده از SASE، کاربران نهایی و دستگاه‌ها می توانند به تمام منابعی که مجاز به دسترسی به آن‌ها هستند و با امنیت مستقر در نزدیکی آن‌ها محافظت می شود، احراز هویت و دسترسی ایمن داشته باشند. پس از احراز هویت، آن‌ها مستقیماً به منابع دسترسی پیدا می‌کنند و به مسائل تأخیر پرداخته می‌شوند.

به گفته نات اسمیت، تحلیلگر گارتنر، SASE بیشتر یک فلسفه و یک جهت است تا یک چک لیست از ویژگی‌ها. اما به طور کلی، او می‌گوید  SASE از پنج فناوری اصلی تشکیل شده است: SD-WAN ، فایروال به عنوان سرویس (FWaaS)، کارگزار امنیت دسترسی ابر (CASB)، دروازه وب امن و دسترسی به شبکه با اعتماد صفر.

SD-WAN مجتمع

به طور سنتی، WAN از زیرساخت‌های مستقل تشکیل شده است که اغلب نیاز به سرمایه‌گذاری سنگین در سخت افزار دارند.

نسخه SASE کاملاً ابری است. توسط نرم افزار تعریف و مدیریت می‌شود و PoPs توزیع کرده‌است که در حالت ایده‌آل، در نزدیکی مراکز داده سازمانی، شعب، دستگاه‌ها و کارمندان قرار دارند. تعداد زیادی PoP برای اطمینان از دسترسی هرچه بیشتر ترافیک شرکت به شبکهSASE، جلوگیری از تأخیر و امنیت اینترنت در اینترنت ، بسیار مهم است.

از طریق این سرویس، مشتریان می‌توانند سلامت شبکه را کنترل کرده و سیاست‌های مورد نیاز برای بازدید خاص خود را تنظیم کنند. از آنجا که ترافیک از اینترنت ابتدا از طریق شبکه ارائه‌دهنده ارائه می‌شود، SASE  می‌تواند ترافیک خطرناک را شناسایی کرده و قبل از رسیدن به شبکه سازمانی، مداخله کند. به عنوان مثال، حملات DDoS را می‌توان در شبکه SASE  کاهش داد و مشتریان را از سیل ترافیک مخرب نجات داد.

فایروال به عنوان یک سرویس

در محیط توزیع شده امروز بیشتر و بیشتر، هم کاربران و هم منابع محاسباتی در لبه شبکه قرار دارند. فایروال انعطاف‌پذیر و مبتنی بر ابر که به عنوان سرویس ارائه می‌شود، می‌تواند از این لبه‌ها محافظت کند. با رشد محاسبات لبه و هوشمندتر و قدرتمندتر شدن دستگاه‌های اینترنت اشیا، این قابلیت اهمیت فزاینده ای پیدا می‌کند.

ارائه FWaaS به عنوان بخشی از پلتفرمSASE ، مدیریت امنیت شبکه خود، تنظیم سیاست‌های یکسان، ناهنجاری‌های نقطه‌ای و ایجاد سریع تغییرات را برای شرکت‌ها آسان می کند.

کارگزار امنیت دسترسی به ابر

هرچه تعداد بیشتری از سیستم های سازمانی به سمت برنامه های SaaS می روند ، احراز هویت و دسترسی به طور فزاینده ای اهمیت پیدا می کنند.

CASB ها توسط شرکت ها مورد استفاده قرار می گیرند تا مطمئن شوند که سیاست های امنیتی آنها بطور مداوم اعمال می شود حتی زمانی که خدمات خود خارج از حوزه کنترل آن‌ها باشند. باSASE ، همان کارکنان پورتال برای دسترسی به سیستم‌های شرکتی خود از پورتالی برای کلیه برنامه‌های ابری که به آن‌ها دسترسی دارند، از جمله CASB استفاده می‌کنند. لازم نیست ترافیک به خارج از سیستم و به سرویس CASB جداگانه هدایت شود.

درگاه وب امن

در شرکت امروز، ترافیک شبکه به ندرت به یک محیط از پیش تعریف شده محدود می‌شود.

بارهای کاری مدرن معمولاً نیاز به دسترسی به منابع خارجی دارند، اما ممکن است دلایل انطباق برای جلوگیری از دسترسی کارمندان به سایت‌های خاص وجود داشته باشد. علاوه بر این، شرکت‌ها می‌خواهند دسترسی به سایت‌های فیشینگ و سرورهای کنترل و کنترل botnet را مسدود کنند. مثلاً کارکنانی که سعی دارند اطلاعات حساس شرکت‌ها را پر کنند، حتی از وب سایت‌های بی ضرر ممکن است مورد سوءاستفاده قرار بگیرند. درگاه‌های امن وب (SGW) از شرکت‌ها در برابر این تهدیدات محافظت می‌کند. فروشندگان SASE که این قابلیت را ارائه می‌دهند باید بتوانند ترافیک رمزگذاری شده را در مقیاس ابری بازرسی کنند. اتصال SWG با سایر سرویس‌های امنیتی شبکه قابلیت مدیریت را بهبود می‌بخشد و مجموعه‌ای یکنواخت‌تر از سیاست‌های امنیتی را امکان‌پذیر می‌کند.

دسترسی به شبکه اعتماد صفر

دسترسی به شبکه با اعتماد صفر به شرکت‌ها امکان مشاهده و کنترل دقیق کاربران و سیستم‌هایی را می دهد که به برنامه‌ها و خدمات شرکتی دسترسی دارند.

اعتماد صفر یک رویکرد نسبتاً جدید برای امنیت شبکه است و انتقال به یک سیستم عامل SASE می‌تواند به شرکت‌ها امکان دستیابی به آن قابلیت‌های اعتماد صفر را بدهد. یک عنصر اصلی اعتماد صفر این است که امنیت بر اساس هویت است، نه مثلاً آدرس IP. این قابلیت کار را برای نیروی سیار سازگارتر می‌کند، اما به احراز هویت بیشتری نیاز دارد، مانند احراز هویت چند عاملی و تجزیه و تحلیل رفتاری. سایر فناوری ها ممکن است بخشی از SASE باشند

علاوه بر پنج قابلیت اصلی، گارتنر همچنین چند فناوری دیگر را که فروشندگان SASE باید ارائه دهند، توصیه می‌کند. این برنامه‌ها شامل برنامه‌های تحت وب و محافظت ازAPI ، جداسازی مرورگر از راه دور و sandboxes شبکه هستند. همچنین توصیه می‌شود: محافظت از حریم خصوصی شبکه و پراکندگی ترافیک که با ردیابی آدرس IP یا شنود جریان‌های ترافیکی برای بازیگران تهدید، یافتن دارایی‌های شرکت را دشوار می‌کند.

از دیگر قابلیت‌های اختیاری می‌توان به محافظت از نقطه اتصالWi-Fi ، پشتیبانی از VPN قدیمی و محافظت از دستگاه‌ها یا سیستم‌های رایانه لبه آفلاین اشاره کرد. دسترسی متمرکز به شبکه و داده‌های امنیتی می‌تواند به شرکت‌ها اجازه دهد تجزیه و تحلیل رفتار جامع و تهدیدات و ناهنجاری‌هایی را تشخیص دهند که در غیر این صورت در سیستم‌های سد شده مشخص نیست. هنگامی که این تجزیه و تحلیل‌ها به عنوان یک سرویس مبتنی بر ابر ارائه می‌شوند، درج اطلاعات تهدید به روز شده و سایر اطلاعات خارجی آسان‌تر خواهد بود.

هدف نهایی از گردآوری همه این فناوری‌ها زیر چتر SASE ، ایجاد امنیت انعطاف‌پذیر و سازگار، عملکرد بهتر و پیچیدگی کمتر به شرکت‌هاست همه اینها با هزینه کل مالکیت پایین‌تر است.

ارائه دهندگان خدمات  SASE

ارائه دهندگان خدمات  SASEگارتنر می گوید چون SASE ترکیبی از خدمات است، نحوه دستیابی به این ترکیب متفاوت خواهد بود. در نتیجه، آنها می گویند که نمی‌توانند لیست کاملی از ارائه‌دهندگان ارائه دهند، اما این لیست از فروشندگان را همانطور که قبلاً انجام داده‌اند یا انتظار دارند SASE را ارائه دهند، تهیه کرد:

  • Akamai
  • Cato Networks
  • Cisco
  • Cloudflare
  • Forcepoint
  • Fortinet
  • McAfee
  • Netskope
  • Palo Alto Networks
  • Proofpoint
  • Symantec
  • Versa
  • VMware
  • Zscaler
منبع Networkworld
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.