راهنمای جامع معماری Secure Access Service Edge
افزایش تعداد نقاط انتهایی شبکه از جمله تجهیزات اینترنت اشیا و اینترنت اشیای پزشکی باعث افزایش ضرورت توجه به امنیت در لبههای شبکه[1] شده است. با دیجیتالیزه شدن هر چه بیشتر سازمانها، میزان استفاده از راهکارهای معماری Secure Access Service Edge (SASE) که ترکیبی از شبکه گسترده نرمافزاری (SD-WAN[2]) و فناوریهای امنیتی شبکه هستند، افزایش پیدا میکند. در این روش به جای استفاده از اطلاعات موقعیتی مثل محل مرکز داده، ماشین مجازی یا آدرس آیپی اجازه دسترسی به برنامههای کاربردی، منابع یا دادهها بر اساس هویت شخص یا دستگاه و کاربرد مورد نظر صادر میشود.
در سال 2019 میلادی، مؤسسه گارتنر در گزارشی با عنوان «آینده امنیت شبکه، به بستر ابر وابسته است»، مفهوم SASE را معرفی و پیشبینیها کرد که: «ظهور SASE منجر به ایجاد فرصت قابل توجهی برای کارشناسان امنیت میشود تا بتوانند الزامات دسترسی پویا که در اثر تحول دیجیتال ایجاد شده است را برآورده کرده و امکان دسترسی امن را برای سرویسهای مبتنی بر ابر و کاربران مختلف در محلهای متفاوت فراهم کنند».
پیش از سال 2020، مدیران ارشد امنیت اطلاعات فعالانه دامنه سازوکارهای امنیتی خودشان را گسترش میدادند تا بتوانند با توسعه دنیای سختافزار، نرمافزار و دادهها در اثر حرکت رایانه و تلفنهای همراه به سمت اینترنت اشیا و اینترنت اشیای پزشکی پیش بروند. پس از شیوع بیماری کرونا، شرکتها تلاش کردند تا امکان دورکاری را برای کارمندانشان فراهم کنند. در واقع این عکس العمل فوری باعث باز شدن درهایی برای تهدیدات سایبری شد. چون حالا برخلاف شرایط کاری عادی دیگر زمان کافی برای پرداختن به مباحث امنیتی وجود نداشت.
وقتی حملات موسوم به بمب گذاری در Zoom شروع شدند، بسیاری از مدیران ارشد امنیت اطلاعات با نگرانیهای جدیدی از جمله آسیب پذیریهای شبکه وایفای خانگی، کلاهبرداریهای فیشینگ، باجافزار، سوءاستفاده از لپ تاپهای کاری در منازل و استفاده مشترک از رایانههای خانگی کارمندان با سایر اعضای خانواده مواجه شدند. با وجود این که بسیاری از سازمانها خط مشیهای مشخصی درباره کار در خانه داشتند اما آمادگی کامل برای دورکاری کارمندان، به خصوص برای شیفت شب وجود نداشت.
بسیاری از سازمانها در سال 2020 مجبور شدند طرحهای خودشان برای استفاده از بستر ابر را گسترش داده و از سرویسهای SaaS (اجاره نرمافزار) برای فراهم کردن ارتباط از راه دور، همکاری با کارمندان، شرکا و مشتریان استفاده کنند. این شرایط برنامهریزی نشده، نیاز به پیادهسازی سازوکار اعتماد صفر یا Zero Trust (یک مدل امنیتی مدیریت و کنترل شبکه که در سازمان های فناوری محور از آن استفاده می شود. در این مدل امنیتی به صورت پیش فرض به هیچ ماشین، سرویس یا شخصی اعتماد نمی شود و در تمام مراحل و از هر جایی کاربران و دستگاه ها باید احراز هویت و تأیید شوند. همچنین دسترسی آنها به صورت «حداقل سطح دسترسی» به منابع مورد نیاز تعریف می شود.) در لبههای شبکه و استفاده از راهکارهای جامع برای امنیت ابر جهت حفاظت از دادهها، مالکیت معنوی و سایر داراییها و منابع سازمانی را نشان می دهد.
در این مطلب از فراست، معماری SASE را به صورت جامع مورد بررسی قرار داده و به بررسی کاربردها و ارایه دهندگان این معماری و همچنین سؤالاتی که مدیران ارشد امنیت اطلاعات و امنیت باید به آنها پاسخ دهند، می پردازیم.
SASE چیست؟
SASE یک بحث نوظهور در حوزه امنیت سایبری ابر است که در سال 2019 ارایه شد. SASE شبکه گسترده نرمافزاری و امنیت شبکه را با هم ترکیب میکند تا سازمانها بتوانند امنیت لبههای شبکه خود را بهتر مدیریت کنند. در واقع مؤسسه گارتنر پیشبینی میکند که تا سال 2024 میلادی حدود 40 درصد از شرکتها، راهبردهای مشخصی برای استفاده از SASE خواهند داشت. در حالی که این عدد در سال 2018 یک درصد بود. همچنین گارتنر به تازگی پیشبینی کرده که تا سال 2024، ارزش بازار SASE به 11 میلیارد دلار خواهد رسید.
راهکارهای SASE ارایه شده توسط شرکتهای مختلف متفاوت هستند چون هر یک از آنها پیش زمینههای (شبکه گسترده یا امنیت شبکه) متفاوتی دارند. گارتنر در سال 2019 عناصر اصلی SASE را راهکارهای امنیت دسترسی ابر (CASB)، ارایه فایروال به صورت سرویس (FWaaS)، سامانههای جلوگیری از نفوذ (IPS)، درگاههای وب امن (SWG) و دسترسی به شبکه با روش اعتماد صفر (ZTNA) بیان کرد. در سال 2020 نیز گارتنر قابلیتهای دیگری از جمله سندباکسینگ، محافظت از API و برنامههای تحت وب (WAAP)، تفکیک مرورگر از راه دور (RBI)، DNS بازگشتی و حتی VPN سنتی را جزو این ابزارها در نظر گرفت.
ترکیب این قابلیتها توسط SASE باعث سادهتر شدن معماری پیچیدهای شد که ناشی از جمع شدن راهکارهای مختلف است. این کاهش پیچیدگی باعث کاهش تأخیر نیز میشود. از آنجا که SASE مخصوص محیط ابر است، قابلیتها و امکانات آن به صورت سرویس ابر عرضه میشوند. گارتنر پیشبینی کرده بیست درصد از شرکتها تا سال 2023 برای استفاده از سرویسهای CASB ،FWaaS ،SWG و ZTNA از یک شرکت استفاده کنند که این عدد برای سال 2019 میلادی فقط پنج درصد بوده است.
یکی از ویژگیهای مهم SASE این است که امکان پیادهسازی امنیت به روش اعتماد صفر را در لبههای شبکه فراهم میکند و به این ترتیب امکان دسترسی بر اساس هویت اشخاص یا دستگاهها فراهم میشود. معماری مبتنی بر ابر SASE قابلیتهای دسترسی پویایی که کسب و کارهای دیجیتال امروزی از جمله اعمال پویای سیاستها بر اساس شرایط نیاز دارند را فراهم میکند. لازم به ذکر است که امروزه تحول دیجیتال باعث ایجاد نیاز بیشتر به SASE نیز شده است.
تأثیرات شیوع بیماری کرونا بر SASE
در سال های گذشته سازمانها راهبردهای تحول دیجیتالی که شامل برنامهریزی و عرضه بودند را پیادهسازی میکردند. با وجود این که بودجههای امنیتی سازمان ها بین محیط ابر و زیرساختهای درون سازمانی توزیع شده بود اما معمولاً این راهبردها منجر به افزایش سرمایه گذاری بر بستر ابر عمومی میشدند. آنها برنامههای کاربردی جدیدشان را مخصوص محیط ابر پیادهسازی میکردند.
وقایع سال 2020 منجر به ایجاد اختلال در عملکرد سازمانها و زنجیره تأمین در کل جهان شد. اگرچه تلاشهای قهرمانانه کارشناسان فناوری اطلاعات برای فراهم کردن امکان دورکاری و راهکارهای جدید در این حوزه، موفقیت آمیز بود اما تیمهای امنیت سایبری هم باید با افزایش نیاز به امنیت بستر ابر، به این شرایط جدید واکنش مناسب نشان میدادند. حوزههای تمرکز آنها عبارت بودند از مدیریت هویتها در محیط ابر، کنترل دسترسی، کنترل مجوزهای کار با دادهها و منابع و همچنین نظارت و مدیریت بر مخاطرات بستر ابری. در مجموع سال 2020 نیاز به سرمایه گذاری در حوزه امنیت ابر را سریعتر از چیزی که انتظار میرفت افزایش داد.
با توجه به تغییر ناگهانی شبکه های سازمانی، هماهنگ سازی دسترسی امن به شبکه سختتر شد. هم اکنون به جای مراقبت و پشتیبانی از دفترهای یک شرکت که تعداد آنها مشخص بود، بخش فناوری اطلاعات و امنیت باید با صدها یا هزاران کارمندی که از منزل و با وسایل مختلف کار میکردند و به سرویسهای مختلف ابری متصل میشدند کار میکرد. از آنجا که بخش فناوری اطلاعات مجبور شد ظرف چند روز راهکارهای مورد نیاز را پیادهسازی کند، بعضی از خریدهای مرتبط با امنیت به جای این که بر پایه درک درستی از نیازهای واقعی انجام شوند، بر حسب ضرورت و نیاز انجام شدند.
سازمانها در سال 2020 پی بردند که باید نسبت به همیشه چابکتر و مقاومتر باشند که این دو قابلیت در اصطلاحاتی مثل «امنیت چابک» و «مقاومت امنیتی» منعکس شدهاند. SASE ابزاری برای دستیابی به هر دو این هدف ها را امکان پذیر می کند.
یکی دیگر از گرایشات جدید در سال 2020، موضوع تداوم کسب و کار بود. با وجود این که از دیدگاه مدیریت مخاطره بحث برنامهریزی برای تداوم کسب و کار همیشه مهم بوده است اما معمولاً این برنامهریزیها برای رویدادهای طبیعی مثل وقوع سیل یا قطع برق انجام می شدند در حالی که شیوع بیماری کرونا پدیدهای جهانی بود که بر همه صنایع جهان تأثیرات خاص خود را گذاشت. هم از دیدگاه کسب و کار و هم فناوری اطلاعات، تداوم کسب و کار با دیجیتالیتر شدن در زمانی بسیار کوتاه متقارن بود.
فناوری SASE در مقایسه با تجهیزات سنتی و درون سازمانی بهتر میتواند از جنبههای دیجیتال یک کسب و کار حمایت کند. همچنین SASE با فراهم کردن قابلیتهای تشخیص بدافزار، جلوگیری از نفوذ و نظارت رفتاری جهت کاهش احتمال اختلال در کار در اثر حوادث امنیتی، به تداوم کسب و کار کمک میکند.
مزایای SASE
مهمترین مزایای SASE عبارتند از:
- قدرت تطبیق با تغییرات کسب و کارها
- کارایی بیشتر و تأخیر کمتر
- مقیاس پذیری بسیار زیاد
- معماری ساده، مدیریت SASE نسبت به مدیریت مجموعهای از راهکارهای مختلف سادهتر و ارزانتر است.
- طراحی مبتنی بر ابر که نسبت به طراحیهای درون سازمانی برای کار با تلفن همراه، اینترنت اشیا و دورکاری بسیار مناسبتر است.
- نظارت پیوسته بر ارتباطات، رفتار کاربران، نشستها و دادهها
- اعمال سیاستهای پویا
- عدم تداخل با تجربیات کاربری روزمره
- سرویس دهی خودکار/تدارکات مقیاس پذیر
دیجیتالی شدن روزافزون کسب و کارها و انتقال دادهها، جریان کار و برنامههای کاربردی آنها به بستری امن باعث رشد SASE شده است. همچنان که سازمانها به استفاده از راهکارهایی مثل ارایه زیرساخت، پلتفرم و نرم افزار به صورت سرویس ادامه میدهند، نیاز به SASE هم بیشتر میشود.
کاربردهای SASE
- کاربرانی که دایماً در حال سفر و حرکت هستند و از وایفای کافی شاپ یا هتلها استفاده میکنند، همچنان به دسترسی به منابع سازمانی نیاز دارند. SASE میتواند همزمان با کاهش مخاطره وایفای عمومی، امکان دسترسی به دادهها و برنامههای کاربردی را فراهم کند.
- سناریوهای دورکاری و کار در منزل که در آنها اعضای خانواده از رایانه یا سایر تجهیزات به صورت مشترک استفاده میکنند. در این شرایط SASE میتواند برای کنترل دسترسی به منابع و برنامههای کاربردی مفید باشد.
- استفاده مشترک از محیط کار یا ایستگاههای کاری باعث تغییر در شیوه دسترسی به منابع مختلف توسط اشخاص مختلف شده است. SASE میتواند مجوزهای دسترسی را بر اساس شرایط و نظارت بر رفتار کاربر تغییر دهد.
- شعبههای مختلف یک اداره میتوانند از منابع سازمانی استفاده کنند بدون این که نیاز به راهکارهای محلی اختصاصی داشته باشند. همچنین آنها همزمان میتوانند از سرعت بالای دسترسی محلی هم بهره مند شوند.
- مجوزهای دسترسی گروههای کاری مختلف را بر اساس تغییرات این گروهها می توان تغییر داد. برای مثال بعضی از کارمندان فقط برای مدتی محدود قرارداد همکاری با یک تیم را دارند.
- SASE یک ابزار نرمافزاری واحد برای امنسازی لبههای شبکه، مراکز داده و سرویسهای ابری رایانش لبه، اینترنت اشیا و اینترنت اشیای صنعتی را فراهم میکند.
شرکتهای ارایه دهنده SASE
شرکتهای ارایه دهنده سرویسهای SASE ترکیبی از شرکتهای حوزه امنیت شبکه و شبکههای گسترده نرمافزاری (SD-WAN) هستند. همچنین تعدادی شرکت جدید سعی به استفاده از این فرصت نوظهور دارند. در ادامه نام بعضی از این شرکتها را مشاهده میکنید:
- Akamai
- Axis Security
- CATO Networks
- Cisco
- ForcePoint
- Fortinet
- McAfee
- Microsoft
- Netskope
- Palo Alto Networks
- Proofpoint
- Perimeter 81 (startup)
- Symantec
- Versa
- VMware
- Zscaler
موانع پذیرش SASE
فروشندهها: ممکن است فروشندهها آنقدر متمرکز بر فروش محصول باشند که در محتوای بازاریابی، همان محصولات قدیمی با اصطلاحات جدید تبلیغ شوند. با توجه به تازگی SASE، این احتمال وجود دارد که توجه رسانهها به این موضوع منجر به شکل گیری انتظاراتی غیرواقع گرایانه شود. در مطالعه مؤسسه گارنتر در زمینه چرخه هیجان امنیت ابر در سال 2020، SASE در اوج انتظارات قرار داشته است.
ابزارهای موجود: معمولاً سازمان ها تمایل به تهیه مجموعهای از ابزارها از شرکتهای مختلفی را دارند که لزوماً همه آنها هنوز قابل جایگزینی نیستند.
فروشندههای موجود: معمولاً کسب و کارها، تیمها و رهبران امنیت و فناوری اطلاعات متمایل به کار با بعضی از شرکتها هستند. با این وجود، همه شرکتها قادر به دنبال کردن فرصتهای فراهم شده در حوزه SASE با سرعت یا روشی یکسان نیستند. توجه کنید که ممکن است بهترین فروشنده در یک برهه زمانی خاص همیشه بهترین نباشد.
افکار سنتی: حرکت از امنیت متمرکز و درون سازمانی به سمت امنیت مبتنی بر ابر، روندی جدید و رو به گسترش است اما ممکن است افرادی که دیدگاه سنتیتری دارند SASE را یک تهدید تلقی کنند. به طور مشابه، ممکن است شرکتهایی که محصولات سنتی دارند چون SASE را یک تهدید برای خودشان می دانند، پس بر ضد آن تبلیغ یا فعالیت کنند.
نقاط قوت فروشنده مربوطه: همانطور که پیش از این هم اشاره شد، بعضی از فروشندگان راهکارهای SASE، بر بحث SD-WAN و بعضی دیگر بر امنیت شبکه متمرکز هستند. در نتیجه ممکن است صلاحیتهای سنتی و قدیمی آنها بیشتر از صلاحیتهایشان در حوزههای جدید باشد.
تاکتیک و راهبرد: ابزارهای مورد استفاده نه تنها در تعریف بلکه در عمل نیز باید متناسب با راهبرد یک سازمان باشند. معمولاً راهکارهای ارایه شده توسط بعضی از شرکتهای بهتر از سایرین، با راهبردهای یک سازمان تناسب دارند.
اعتقاد به وجود یک راهکار کلی: شرکتهای مختلف، ساختار امنیتی متفاوتی دارند و متشکل از محصولات مختلفی نیز هستند. همچنین سطح بلوغ و رشد هر سازمانی نیز متفاوت است. بنابراین رویکردهای استفاده از SASE به نقطه شروع و اهداف سازمان بستگی دارند. به همین خاطر یک راهکار برای همه سازمانها مناسب نیست.
پرسشهای مهم
هر چند عناصر مختلف SASE سالها است که وجود دارند اما SASE به تازگی به عنوان یک محصول جدید شناسایی شده است. به گفته بعضی شرکتهای مورد تأیید، محصولات جدید همیشه چرخههایی قابل پیشبینی دارند که شامل بازاریابی، پذیرش، گسترش در بازار و تحکیم جایگاه در بازار است.
بعضی از سؤالاتی که مدیران ارشد امنیت اطلاعات و مدیران امنیت باید از ارایه دهنده راهکارهای SASE بپرسند، عبارتند از:
- آیا محصول SASE شما با ابزارهای موجود من قابل ادغام هستند؟
- اگر این راهکار با ابزارهای فعلی ما قابل ادغام هستند، چه نوع اطلاعاتی را با یکدیگر به اشتراک میگذارند؟
- آیا گزینه خاصی دارید که برای بهینه سازی کارایی شبکه به من کمک کنند؟ SLAها و هزینههای وابسته به آنها به چه صورت هستند؟
- بهترین راه کاهش هزینهها و مخاطرات در بلندمدت و کوتاه مدت چه روشی است؟ مزایا و معایب آن چیست؟
- آیا راهکار SASE شما قابلیتهای خودکارسازی را دارد؟ محدودیتهای آن چیست؟
- رویکرد شما برای SASE چیست؟ نقشه راه شما برای 12 تا 14 ماه آینده به چه صورت است؟
- برای تضمین موفقیت پیادهسازی SASE چه کارهایی انجام میدهید؟
- آیا راهکارهای جهانی شما کارایی راهکارهای محلی را دارد؟
- فروشندگان مختلف چه خلأیی در محصولات خودشان دارند و این محصولات چه تناسبی با راهکارهای فعلی موجود در سازمان دارند؟ شرکتها برای تکمیل محصولات خودشان چه طرحهایی دارند؟
نتیجه گیری
پیش از شیوع بیماری کرونا، تحول دیجیتال فرصت جدیدی برای SASE ایجاد کرد. در سال 2019 و سالهای پس از آن، شرکتها در حال پیادهسازی راهبردهای تحول دیجیتال چند ساله بودند. پس از شیوع ویروس کرونا، بحث تداوم کسب و کار با «دیجیتالیزه» شدن همراه شد و منجر به شتاب گرفتن پیادهسازی راهکارهای ابر از جمله IaaS، PaaS و SaaS شد. با تغییر ماهیت کسب و کارها، تیمها و مدیران امنیت خودشان را در مقابل چالشهای جدیدی دیدند که ناشی از دورکاری و راهکارهای دیجیتال جدیدی بود که برای کمک به توسعه و رونق کسب و کار آنها در دوره شیوع کرونا طراحی شده بودند.
مثل همیشه، با رشد و توسعه زیرساختهای فناوری اطلاعات، روشهای امنیتی هم باید توسعه پیدا کنند. ظرف چند سال آینده، سازمانهای زیادی از SASE استفاده خواهند کرد زیرا SASE به امنیت، چابکی و مقاومت کسب و کارشان کمک میکند.
[1] همان طور که از اسم آن مشخص است، انتهاییترین سیستم متصل به شبکه، لبه را تشکیل میدهد.
[2] software defined wide area networking
منبع: cshub
ازاسم وخانوادگیم استفاده کردم