Keď tradičná ochrana IT nestačí, prichádza na rad SASE

Firemné IT prostredie sa v posledných niekoľkých rokoch radikálne zmenilo. Cloudový boom a prechod veľkého množstva zamestnancov do hybridného pracovného režimu zásadne mení prístup užívateľov k tomu, akým spôsobom sa pripájajú do firemnej siete, konzumujú dáta a využívajú aplikácie. Zaistenie kyberbezpečnosti vo vysoko decentralizovanom prostredí vyžaduje úplne novú filozofiu a bezpečnostnú architektúru. Správna odpoveď sa skrýva v štyroch písmenách: SASE.

Priblížte sa k užívateľom

SASE alebo Secure Access Service Edge predstavuje bezpečnostnú reakciu na situáciu, v ktorej drvivá väčšina firemnej prevádzky beží cez internet. Rastie význam verejných cloudov, kde fungujú nielen aplikácie, ale sú tam ukladané aj firemné dáta. Podniky využívajú množstvo služieb SaaS (minimálne Office 365), ktoré sú postavené na cloude. Podstatne sa tiež zvýšil počet zamestnancov, ktorí z vlastných alebo firemných zariadení pracujú z domu. K tomu pripočítajte situáciu firiem tvorených centrálou a pobočkovou sieťou s vlastnou infraštruktúrou. Ak sa takto rušnú prevádzku pokúsite zabezpečiť tým, že ju celú nasmerujete do centrálneho firemného firewallu, narazíte minimálne na kapacitné problémy.

SASE naproti tomu presúva bezpečnosť bližšie k užívateľom. Bezpečnosť na svojej ceste nasleduje ľudí a dáta. Dva základné aspekty konceptu SASE sú vlastne obsiahnuté už v jeho názve: Secure Access reprezentuje zabezpečenie pripojenia, Service Edge potom posun bezpečnostného perimetru bližšie k užívateľovi.

SASE ako stavebnice

Technologicky zahŕňa SASE niekoľko kľúčových komponentov, ktoré na seba nadväzujú alebo sa dopĺňajú:

• SD-WAN alebo softvérovo definovaná WAN. Predstavuje riešenie, v ktorom je manažment siete virtualizovaný a oddelený od fyzických komponentov. Virtualizácia siete WAN dokáže veľmi jednoducho zvýšiť stabilitu a zabezpečenie prenosu a výkonnosť jednotlivých aplikácií bez ohľadu na to, či sa aplikácie nachádzajú v privátnom dátovom centre alebo využívajú infraštruktúru verejných cloudov. Umožňuje v dátovej prevádzke firmy jednoduchšie nastaviť priority či bezpečnostné politiky.
• Firewall as a service alebo FWaaS. Cloudovo poskytovaná služba pre pokročilú ochranu poskytovanú naprieč celou organizáciou vrátane vzdialených pobočiek, zameraná predovšetkým na cloudové aplikácie.
• SWG alebo Secure Web Gateway. Pomáha pripojiť a zabezpečiť pripojenie zamestnancov k verejnému internetu, napríklad k webovým stránkam alebo cloudovým webovým aplikáciám, ktoré nie sú súčasťou oficiálneho zoznamu používaných služieb SaaS spoločnosti.
• Cloud Access Security Broker alebo CASB. Slúži k zabezpečeniu prepojenia s aplikáciami SaaS, ako napríklad Office 365 alebo Salesforce.
• Domain Name System (DNS), teda kontrola na úrovni DNS dotazov.
• DLP alebo Data Loss Prevention, teda technológia na ochranu dát a informácií pred neoprávneným zneužitím a „vynesením“.

Soitron svojim zákazníkom pomáha pokryť bezpečnostné aspekty SASE s produktami spoločnosti Cisco, ktorá patrí celosvetovo k niekoľkým málo firmám schopným kompletne obslúžiť v celej šírke SASE.

„Pre väčšinu firiem nemá zmysel pokúšať sa zaviesť všetky súčasti SASE rýchlo a naraz. Dokonca veľmi často už nejakú zložku architektúry vo svojej infraštruktúre majú. Pôvab SASE spočíva v tom, že ide o skladbu niekoľkých prvkov, ktoré si môže zákazník postupne nastaviť a spúšťať. Využíva ich ako cloudovú službu a nemusí teda investovať do žiadneho hardvéru.“

#CiscoExpertTip bezpečnostného experta Cisco Milana Habrcetla

Ako naskočiť do SASE

SASE nepredstavuje unifikovanú „krabičku“ identickú pre každú spoločnosť a každú situáciu. Naopak. Každá firma je jedinečná, a preto ani neexistuje ten jediný správny spôsob, ako nasadiť SASE. Často je možné napríklad čiastočne využiť už zavedenú infraštruktúru. Z prieskumov Cisco vyplýva, že celosvetovo zhruba 17 % firiem nemá v infraštruktúre žiadne komponenty potrebné k nasadeniu SASE. Ďalší zákazníci ale už môžu využiť napríklad prvky SD WAN alebo cloudovej bezpečnosti. Celú SASE architektúru tak je možné kompletovať postupne a do systému pridávať ďalšie a ďalšie prvky.

„Zanalyzujte, aké prvky už v infraštruktúre máte, aký máte hardvér, aké vlastníte licencie. Stanovte si strednodobú bezpečnostnú stratégiu, ktorá určí žiaduci stav spoločnosti z hľadiska bezpečnosti za tri a viac rokov a postupne túto stratégiu napĺňajte. A predovšetkým sa obráťte na správneho partnera, pretože nasadenie SASE, ako súčasti celkovej koncepcie Zero Trust, je implementačne náročné,“ odporúča za Soitron Petr Kocmich.

Skúsenosti zo siedmich európskych trhov

Pri úskaliach implementácie SASE do firemnej infraštruktúry pomáha svojich zákazníkom aj spoločnosť Soitron, ktorá ťaží nielen zo znalostí technológií Cisco, ale zúročuje pri konkrétnych implementáciách aj poznatky z trhov, na ktorých pôsobí. Soitron pracuje pre zákazníkov v siedmich krajinách, okrem Slovenska tiež napríklad v Česku, Poľsku, Rumunsku, Bulharsku, Turecku či Veľkej Británii. Svoju prax z jednotlivých trhov potom využíva pre vstupnú analýzu a návrh konkrétnej architektúry, podporený špičkovým technologickým portfóliom šitým na mieru individuálnym potrebám zákazníka.

Doterajšie skúsenosti potvrdzujú, že implementácia SASE prináša najviac benefitov predovšetkým spoločnostiam s rozsiahlou pobočkovou sieťou (typicky bankovým, finančným a poisťovacím inštitúciám – BFSI), firmám s veľkým podielom hybridných zamestnancov, ale tiež projektom, ktoré vyrástli na využívaní cloudových služieb.

Spoločnosť, ktorá dokáže plne implementovať SASE, získava istotu, že z jedného miesta uvidí, zabezpečí a pripojí všetkých svojich zamestnancov, verifikuje všetkých užívateľov a všetky zariadenia. Takže zamestnanci môžu pracovať odkiaľkoľvek a získavajú bezpečný, bezproblémový prístup ku všetkým zdrojom, ktoré na prácu potrebujú. Jednotlivé súčasti SASE je možné rýchlo nasadiť a celý systém je škálovateľný. Vzhľadom ku cloudovému charakteru služieb dokonca odpadá väčšina investícií do nového hardvéru.