SASE: Przełomowy model w zarządzaniu siecią i jej bezpieczeństwem

W ostatnich latach zmieniająca się forma pracy na zdalną i hybrydową oraz rosnące zapotrzebowanie na usługi chmurowe, doprowadziły do znaczącej ewolucji w zarządzaniu infrastrukturą sieciową oraz jej bezpieczeństwem. W tradycyjnym modelu, firmy z wieloma oddziałami i pracownikami pracującymi w modelu zdalnym polegały na scentralizowanym podejściu do sieci, gdzie cały ruch kierowany był do głównej lokalizacji, często poprzez VPN. Ten model był skuteczny, gdy większość ruchu sieciowego dotyczyła komunikacji wewnątrz danej organizacji.

Pandemia wirusa COVID-19 mocno przyczyniła się do wprowadzenia zmian sposobu pracy w organizacjach. Narzędzia używane przez pracowników pracujących na home office przyczyniły się do intensywnego wzrostu wolumenu ruchu sieciowego np. przez wykorzystanie narzędzi do wideokonferencji. Dodatkowo znaczna część zasobów organizacji została przeniesiona do chmury. Najczęściej wykorzystywanymi aplikacjami chmurowymi są m.in.: Teams, Slack, Webex, Trello, Office 365, Jira, Google Workspace, Box. Ruch w kierunku Internetu zaczął dominować nad ruchem wewnętrznym. W przypadku stosowania tradycyjnego, scentralizowanego modelu komunikacji, skutkuje to przeciążeniem infrastruktury sieciowej, opóźnieniami w komunikacji i pogorszeniem jakości usług, chociażby takich jak wideokonferencje czy codzienna działalność handlowa.

W odpowiedzi na te wyzwania organizacje zaczęły adaptować bardziej elastyczne podejście do zarządzania ruchem sieciowym, pozwalając pracownikom, dla części usług, na bezpośredni dostęp do Internetu. Ta zmiana, choć przynosi pewne korzyści w zakresie wydajności, powoduje również znaczne obniżenie poziomu bezpieczeństwa. Tradycyjny stos bezpieczeństwa (centralny firewall, serwer proxy itp.), wykorzystywany w tradycyjnym, scentralizowanym modelu sieci, nie jest już w stanie skutecznie chronić użytkowników poza siecią firmową.  

W tym kontekście narodziła się architektura Secure Access Service Edge (SASE), będąca odpowiedzią na potrzeby nowoczesnych organizacji.

Koncepcja rozwiązania SASE

SASE to zdecentralizowane, przyszłościowe podejście do zarządzania siecią i jej bezpieczeństwem, w którym chmura stała się nowym medium komunikacyjnym. SASE łączy funkcje bezpieczeństwa sieci ze zdefiniowaną programowo siecią rozległą (SD-WAN).

Architektura SASE (Secure Access Service Edge) to rozwiązanie skierowane głównie do średnich i dużych przedsiębiorstw, które funkcjonują w różnych lokalizacjach. Jest to szczególnie ważne dla firm w fazie dynamicznego wzrostu, które rozszerzają swoją działalność i potrzebują efektywnego zarządzania siecią oraz bezpieczeństwa danych w rozproszonym środowisku pracy.

Podstawowym celem SASE jest zapewnienie lepszej widoczności i kontroli nad ruchem sieciowym, użytkownikami i dostępem do danych, zarówno wewnątrz sieci firmowej, jak i poza nią. SASE umożliwia skalowalność i efektywność pracy zdalnej, łącząc pracowników organizacji w różnych lokalizacjach oraz umożliwiając bezproblemowy dostęp do sieci z dowolnego urządzenia.  W takim podejściu, punkty dostępu do usług chmurowych (wirtualne routery), są rozmieszczone wewnątrz danego centrum danych. Łączą one zdalnych użytkowników z usługami, co gwarantuje szybki i bezpieczny dostęp do zasobów organizacji przetrzymywanych w chmurze. To minimalizuje opóźnienia i ryzyko związane z połączeniem użytkownika poprzez publiczny Internet bez użycia VPN.

SASE obejmuje zintegrowane narzędzia bezpieczeństwa, takie jak SWG, CASB, ZTNA i FWaaS, które są dostarczane przez chmurę i zapewniają ochronę na różnych poziomach infrastruktury – od urządzeń końcowych, przez Internet rzeczy, serwery brzegowe, aż po integrację z publicznymi chmurami obliczeniowymi.

Wprowadzenie aplikacji w środowisku chmurowym niesie ze sobą konieczność dokonania istotnych zmian w obszarze zabezpieczeń. Architektura SASE stanowi odpowiedź na te wyzwania, oferując takie rozwiązania jak:

• Zapewnienie poufności danych podczas ich transmisji do zasobów chmurowych.
• Optymalizacja czasu reakcji w dostępie do aplikacji z różnych miejsc na całym globie.
• Zastosowanie szczegółowej kontroli dostępu do zasobów lokalnych bądź chmurowych.

Powstanie terminu SASE

Termin SASE został wprowadzony przez analityków Gartnera w 2019 roku i po raz pierwszy użyty w ich raporcie „The Future of Network Is in the Cloud”. Chociaż nazwa SASE zyskała oficjalne uznanie w tym czasie, to pierwsze kroki w kierunku wdrażania tego modelu miały miejsce już w 2017 roku. Powstanie SASE było reakcją na rosnące zapotrzebowanie na zwiększone bezpieczeństwo użytkowników, szczególnie na ich stacjach roboczych. Stanowiło ono również odejście od tradycyjnego podejścia, które koncentrowało się głównie na zabezpieczeniach centrów danych organizacji. SASE wprowadza innowacyjne połączenie możliwości sieciowych i zabezpieczeń, dostosowując się do potrzeb rozwijających się środowisk pracy zdalnej i chmury obliczeniowej. Jest to odpowiedź na ewoluujące wyzwania związane z zarządzaniem i ochroną dostępu do zasobów cyfrowych w coraz bardziej rozproszonych organizacjach.

Przyszłość architektury SASE

Oczekuje się, że wdrożenie modelu Secure Access Service Edge (SASE) będzie znacząco wzrastać w najbliższych latach. Według prognoz Gartnera, już do 2023 roku około 20% przedsiębiorstw planuje zaimplementować kluczowe komponenty SASE, w tym Zero Trust Network Access (ZTNA), Firewall-as-a-Service (FWaaS), Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) oraz SD-WAN. Ten sam raport przewiduje, że do 2024 roku co najmniej 40% organizacji przyjmie to rozwiązanie. Dell’Oro Group przewiduje, że wartość rynku SASE przekroczy 13 miliardów dolarów do roku 2026. Te liczby świadczą o rosnącym zapotrzebowaniu na zintegrowane i bezpieczne rozwiązania dostępu zasobów organizacji. Podkreśla to, jak ważne dla współczesnych przedsiębiorstw jest inwestowanie w zaawansowane technologie cyberbezpieczeństwa i adaptowanie się do wymagań współczesnego cyfrowego świata.

Założenia technologii SASE

SASE łączy w sobie zaawansowane technologie z zakresu zarządzania szerokopasmową siecią definiowaną programowo (SD-WAN) z innowacyjnymi rozwiązaniami bezpieczeństwa, opartymi na chmurze. Kluczowe elementy SASE to integracja funkcji, takich jak: bezpieczna brama internetowa (SWG), bezpieczny agent w dostępie do zasobów w chmurze (CASB), dostęp do sieci oparty na modelu Zero Trust Network Access (ZTNA) oraz zapora sieciowa jako usługa (FWaaS).

• SD-WAN (Software-Defined Wide Area Network): umożliwia bezpieczne i zoptymalizowane połączenie oddziałów danej organizacji pomiędzy sobą, z usługami m.in. chmurowymi oraz bezpośrednio z Internetem. Może odbywać się to przy wykorzystaniu różnych technologii, takich jak łącza szerokopasmowe i LTE, z możliwością użycia łącz MPLS dla bardziej niezawodnego ruchu. SD-WAN zwiększa efektywność sieci i odporność na awarie, a także umożliwia optymalizację przepustowości dla kluczowych aplikacji biznesowych. Ułatwia konfigurację i skalowanie sieci.
• FWaaS (Firewall-as-a-Service): ma za zadanie chronić użytkowników i zasoby połączone przez VPN, aktywnie monitorując ruch i egzekwując zasady bezpieczeństwa tożsame dla całej organizacji. Firewall umieszczony w chmurze pozwala na łączenie się do chmury, nie powodując przesyłania ruchu przez główną lokalizację. Komunikacja dzięki temu odbywa się znacznie szybciej, a koszty organizacji są niższe.
• ZTNA (Zero Trust Network Access): koncepcja opiera się na zasadzie „Zero Trust”, umożliwiając administratorom przydzielanie dostępu do określonych zasobów na podstawie tożsamości użytkownika. Organizacja wykorzystując ZTNA może przydzielić użytkownikowi dostęp tylko do wybranych aplikacji, które są wymagane i niezbędne do wykonania pracy użytkownika. Dodatkowo organizacja stosująca taką technologię może wymóc na użytkowniku stosowanie określonej wersji aplikacji lub konkretnego ustawienia, co dodatkowo zwiększa bezpieczeństwo danych przedsiębiorstwa.
• SWG (Secure Web Gateway): monitoruje aktywność użytkowników w sieci, zapewniając, że odwiedzane przez niego strony internetowe są bezpieczne. Do tej pory każdy oddział danej organizacji posiadał router fizyczny, który odpowiadał za monitorowanie i filtrowanie ruchu. SWG to router w chmurze, który jest wyjściem do Internetu dla każdego pracownika firmy, zarówno pracującego stacjonarnie, jak i zdalnie.
• CASB (Cloud Access Security Broker): zapewnia kontrolę nad dostępem użytkowników do aplikacji SaaS i chmurowych, umożliwiając implementację kontroli bezpieczeństwa. Sprawdza on również pliki, które są pobierane i wysyłane przez użytkowników pod kątem ich ewentualnego zainfekowania.

Wdrażając SASE, organizacje mogą znacznie uprościć swoje systemy bezpieczeństwa i obniżyć koszty, dzięki konsolidacji różnych usług od jednego dostawcy. To redukuje liczbę urządzeń i agentów wymaganych na urządzeniach użytkowników końcowych oraz pozwala na oszczędności dzięki uproszczeniu infrastruktury. Połączenie w SASE tak różnych komponentów umożliwia bezpieczne udostępnianie aplikacji, usług i danych, a także zapewnia ochronę użytkowników przed niebezpiecznymi aplikacjami, złośliwym oprogramowaniem oraz ułatwia identyfikację wrażliwych danych.

Dodatkowo jednym z największych atutów architektury SASE jest modułowość i elastyczność, dzięki czemu organizacje mogą dostosować tę architekturę do swoich indywidualnych potrzeb. Mogą wybierać poszczególne komponenty lub implementować całościową architekturę SASE, w zależności od swoich specyficznych wymagań i celów biznesowych. To pozwala na bardziej precyzyjne i efektywne zarządzanie zasobami oraz bezpieczeństwem, dając firmom większą kontrolę nad swoją infrastrukturą sieciową i bezpieczeństwem danych.

Korzyści wynikające z wdrożenia SASE

Wdrażanie architektury Secure Access Service Edge (SASE) przynosi przede wszystkim korzyść w formie bezpieczeństwa, które jest na tożsamym poziomie, bez względu na lokalizację organizacji i jej użytkowników. Dodatkowo zabezpieczony jest cały ruch pomiędzy użytkownikiem, a samą usługą, do której się łączymy. Jednak oprócz tego SASE gwarantuje również szereg innych zalet:

• Redukcja ilości oprogramowania i sprzętu wymaganego w centrum danych i oddziałach firmy. Przez uproszczenie zasad dostępu i zmniejszenie liczby wymaganych agentów, SASE znacząco ułatwia zarządzanie infrastrukturą IT, co przekłada się na wyższy komfort pracy administratorów.
• SASE pozwala na ciągłą adaptację do ewoluujących zagrożeń, eliminując potrzebę fizycznej wymiany sprzętu w celu dodania nowych funkcji ochronnych. Aktualizacje są realizowane w chmurze, co umożliwia automatyczną reakcję na nowe zagrożenia i zasady.
• Konsolidacja różnych funkcji w ramach jednej usługi SASE sprawia, że system jest mniej skomplikowany i tańszy w utrzymaniu. Redukcja liczby dostawców i sprzętu w oddziałach, a także zmniejszenie liczby modułów agenckich w urządzeniach użytkowników końcowych, znacznie upraszcza zarządzanie systemem. Centralne zarządzanie przez platformy oparte na chmurze oraz automatyczne egzekwowanie zasad bezpieczeństwa w rozproszonych punktach dostępu blisko użytkowników końcowych, zwiększa efektywność i spójność systemu, jak również jest sporym odciążeniem dla administratorów sieci.
• SASE również ułatwia procesy uwierzytelniania, stosując odpowiednie zasady dla zasobów, których poszukuje użytkownik, na podstawie początkowego logowania i wcześniej zdefiniowanych uprawnień.
• Wdrożenie SASE jest proste i intuicyjne, co dodatkowo obniża bariery związane z adaptacją nowych rozwiązań w przedsiębiorstwie.

Przewaga rozwiązania SASE od Cisco

Cisco, jako lider na rynku SASE, oferuje szereg rozwiązań, które łączą bezpieczeństwo i efektywność sieciową, umożliwiając organizacjom dostosowanie się do dynamicznie zmieniającego się środowiska cyfrowego.

Architektura Secure Access Service Edge (SASE) od Cisco reprezentuje zaawansowane podejście do zarządzania siecią i bezpieczeństwem w przedsiębiorstwach, które odpowiada na wyzwania dynamicznie zmieniającego się świata cyfrowego. Kluczowymi elementami i przewagami SASE od Cisco są:

Cisco Umbrella

Jako integralna część rozwiązania SASE, Cisco Umbrella oferuje bezpieczeństwo dostarczane przez chmurę, które obejmuje bezpieczną bramę internetową (SWG), firewall dostarczany przez chmurę (FWaaS), bezpieczeństwo warstwy DNS oraz broker bezpieczeństwa dostępu do chmury (CASB). To zapewnia kompleksową ochronę przed zagrożeniami internetowymi, takimi jak malware czy phishing. Integracja SD-WAN z Cisco Umbrella zwiększa bezpieczeństwo ruchu internetowego, w tym bezpośredniego dostępu do Internetu (DIA) oraz zdalnego dostępu dla użytkowników korporacyjnych.

DNS Layer Security

Bezpieczeństwo warstwy DNS, realizowane przez Cisco Umbrella, stanowi kluczowy element ochrony w ramach SASE. To rozwiązanie odpowiada na zapytania DNS i analizuje je pod kątem bezpieczeństwa, blokując dostęp do stron, które mogą hostować malware lub zawierać niedozwolone treści. Jest to istotne w kontekście zapewnienia bezpieczeństwa na pierwszej linii obrony przed zagrożeniami z Internetu, umożliwiając efektywne blokowanie niechcianych lub szkodliwych stron.

Zero Trust Network Access

ZTNA, realizowany przez rozwiązanie Cisco DUO, wpisuje się w filozofię „Zero Trust – nigdy nie ufaj, zawsze weryfikuj”. Wyróżnikiem Cisco na tle konkurencji jest funkcja VPN Less, które eliminuje konieczność stosowania tradycyjnych sieci VPN, oferując użytkownikom możliwość bezpośredniego, bezpiecznego połączenia z potrzebnymi zasobami przez przeglądarkę internetową. To uproszczenie, zarówno dla użytkownika końcowego, jak i administratorów, zapewnia większą wygodę i bezpieczeństwo dostępu do zasobów firmowych.

ThousandEyes

Cisco wykorzystuje technologię Digital Experience Monitoring, za pomocą narzędzia ThousandEyes, do monitorowania jakości połączeń i identyfikacji wąskich gardeł w sieci. ThousandEyes zapewnia kompleksową wizualizację całej ścieżki komunikacji – od użytkownika do zasobów sieciowych – co pozwala na szybką diagnozę i ewentualne przekierowanie ruchu w celu lepszej wydajności sieci.

Cisco Talos

Cisco Talos jest jednym z największych zespołów specjalistów zajmujących się bezpieczeństwem, który monitoruje i analizuje najnowsze zagrożenia w sieci. Talos przetwarza anonimowe logi i zdarzenia, tworząc ranking zagrożeń, które są następnie udostępniane administratorom. Dzięki temu każde przedsiębiorstwo, posiadające rozwiązanie Cisco, może szybko identyfikować potencjalne zagrożenia dla urządzeń w sieci i podejmować odpowiednie kroki zapobiegawcze.

Architektura SASE od Cisco ma na celu:

• zmniejszenie kosztów operacyjnych,
• poprawę jakości doświadczeń użytkownika końcowego,
• minimalizację ryzyka związanego z transformacją cyfrową.

Architektura została zaprojektowana tak, aby była skalowalna w miarę rozwoju firmy, jednocześnie zapewniając wysoki poziom bezpieczeństwa danych. Koncepcja Cisco SASE została zaprezentowana w 2019 roku i obecnie jest rozpowszechniona na całym świecie. Projekt SASE od Cisco został wdrożony na globalną skalę, z kluczowymi lokalizacjami w Amerykach, EMEA, APAC i Chinach. Międzynarodowe podejście wymagało skoordynowanego planowania i wdrażania, biorąc pod uwagę różnorodność regulacji i wymagań biznesowych w różnych regionach.

Cisco zaprojektowało swoją architekturę z myślą o elastyczności i skalowalności, co umożliwia dostosowanie rozwiązania do zmieniających się potrzeb biznesowych i technologicznych klientów. Zastosowanie zautomatyzowanych szablonów konfiguracyjnych zaprojektowanych przez Cisco znacząco przyczynia się do usprawnienia procesów i redukcji ryzyka błędów.

VECTOR TECH SOLUTIONS – najlepszy integrator dla Twojej organizacji

Szczególnie teraz, gdy rośnie potrzeba zastosowania zaawansowanych technologii, które zabezpieczą dane użytkowników organizacji oraz zwiększą kontrolę dostępów i ochrony przed cyberzagrożeniami, wdrożenie architektury SASE może okazać się niezwykle pomocne. VECTOR TECH SOLUTIONS, jako zaufany integrator technologiczny i Premier Partner Cisco, odgrywa kluczową rolę we wdrażaniu zaawansowanych technologii, które zabezpieczają dane i zwiększają kontrolę nad dostępami w organizacjach naszych klientów.

Gwarantujemy usługi najwyższej jakości, które są synonimem zaawansowanych technologii i niezawodności. Nasz zespół składa się z doświadczonych specjalistów, którzy zapewniają sprawne wdrożenie i utrzymanie systemów sieciowych, dostosowanych do potrzeb każdej organizacji.

Współpraca z VECTOR TECH SOLUTIONS to gwarancja, że Twoja organizacja będzie korzystać ze sprawdzonych rozwiązań, dostosowanych do dynamicznie zmieniających się potrzeb rynku i wyzwań cyberbezpieczeństwa. Zapewniamy kompleksową obsługę i wsparcie na każdym etapie współpracy, od projektowania po wdrożenie i utrzymanie systemu, co przekłada się na wydajność i stabilność Twojej działalności biznesowej. Więcej o naszych usługach przeczytasz tutaj.