راهنمای جامع معماری Secure Access Service Edge

افزایش تعداد نقاط انتهایی شبکه از جمله تجهیزات اینترنت اشیا و اینترنت اشیای پزشکی باعث افزایش ضرورت توجه به امنیت در لبه‌های شبکه[1] شده است. با دیجیتالیزه شدن هر چه بیشتر سازمان‌ها، میزان استفاده از راهکارهای معماری Secure Access Service Edge (SASE) که ترکیبی از شبکه گسترده نرم‌افزاری (SD-WAN[2]) و فناوری‌های امنیتی شبکه هستند، افزایش پیدا می‌کند. در این روش به جای استفاده از اطلاعات موقعیتی مثل محل مرکز داده، ماشین مجازی یا آدرس آی‌پی اجازه دسترسی به برنامه‌های کاربردی، منابع یا داده‌ها بر اساس هویت شخص یا دستگاه و کاربرد مورد نظر صادر می‌شود.

در سال 2019 میلادی، مؤسسه گارتنر در گزارشی با عنوان «آینده امنیت شبکه، به بستر ابر وابسته است»، مفهوم SASE را معرفی و پیش‌بینی‌ها کرد که: «ظهور SASE منجر به ایجاد فرصت قابل توجهی برای کارشناسان امنیت می‌شود تا بتوانند الزامات دسترسی پویا که در اثر تحول دیجیتال ایجاد شده است را برآورده کرده و امکان دسترسی امن را برای سرویس‌های مبتنی بر ابر و کاربران مختلف در محل‌های متفاوت فراهم کنند».

پیش از سال 2020، مدیران ارشد امنیت اطلاعات فعالانه دامنه سازوکارهای امنیتی خودشان را گسترش می‌دادند تا بتوانند با توسعه دنیای سخت‌افزار، نرم‌افزار و داده‌ها در اثر حرکت رایانه و تلفن‌های همراه به سمت اینترنت اشیا و اینترنت اشیای پزشکی پیش بروند. پس از شیوع بیماری کرونا، شرکت‌ها تلاش کردند تا امکان دورکاری را برای کارمندانشان فراهم کنند. در واقع این عکس العمل فوری باعث باز شدن درهایی برای تهدیدات سایبری شد. چون حالا برخلاف شرایط کاری عادی دیگر زمان کافی برای پرداختن به مباحث امنیتی وجود نداشت.

وقتی حملات موسوم به بمب گذاری در Zoom شروع شدند، بسیاری از مدیران ارشد امنیت اطلاعات با نگرانی‌های جدیدی از جمله آسیب پذیری‌های شبکه وای‌فای خانگی، کلاهبرداری‌های فیشینگ، باج‌افزار، سوءاستفاده از لپ تاپ‌های کاری در منازل و استفاده مشترک از رایانه‌های خانگی کارمندان با سایر اعضای خانواده مواجه شدند. با وجود این که بسیاری از سازمان‌ها خط مشی‌های مشخصی درباره کار در خانه داشتند اما آمادگی کامل برای دورکاری کارمندان، به خصوص برای شیفت شب وجود نداشت.

بسیاری از سازمان‌ها در سال 2020 مجبور شدند طرح‌های خودشان برای استفاده از بستر ابر را گسترش داده و از سرویس‌های SaaS (اجاره نرم‌افزار) برای فراهم کردن ارتباط از راه دور، همکاری با کارمندان، شرکا و مشتریان استفاده کنند. این شرایط برنامه‌ریزی نشده، نیاز به پیاده‌سازی سازوکار اعتماد صفر یا Zero Trust (یک مدل امنیتی مدیریت و کنترل شبکه که در سازمان های فناوری محور از آن استفاده می شود. در این مدل امنیتی به صورت پیش فرض به هیچ ماشین، سرویس یا شخصی اعتماد نمی شود و در تمام مراحل و از هر جایی کاربران و دستگاه ها باید احراز هویت و تأیید شوند. همچنین دسترسی آنها به صورت «حداقل سطح دسترسی» به منابع مورد نیاز تعریف می شود.) در لبه‌های شبکه و استفاده از راهکارهای جامع برای امنیت ابر جهت حفاظت از داده‌ها، مالکیت معنوی و سایر دارایی‌ها و منابع سازمانی را نشان می دهد.

در این مطلب از فراست، معماری SASE را به صورت جامع مورد بررسی قرار داده و به بررسی کاربردها و ارایه دهندگان این معماری و همچنین سؤالاتی که مدیران ارشد امنیت اطلاعات و امنیت باید به آنها پاسخ دهند، می پردازیم.

SASE چیست؟

SASE یک بحث نوظهور در حوزه امنیت سایبری ابر است که در سال 2019 ارایه شد. SASE شبکه گسترده نرم‌افزاری و امنیت شبکه را با هم ترکیب می‌کند تا سازمان‌ها بتوانند امنیت لبه‌های شبکه خود را بهتر مدیریت کنند. در واقع مؤسسه گارتنر پیش‌بینی می‌کند که تا سال 2024 میلادی حدود 40 درصد از شرکت‌ها، راهبردهای مشخصی برای استفاده از SASE خواهند داشت. در حالی که این عدد در سال 2018 یک درصد بود. همچنین گارتنر به تازگی پیش‌بینی کرده که تا سال 2024، ارزش بازار SASE به 11 میلیارد دلار خواهد رسید.

راهکارهای SASE ارایه شده توسط شرکت‌های مختلف متفاوت هستند چون هر یک از آنها پیش زمینه‌های (شبکه گسترده یا امنیت شبکه) متفاوتی دارند. گارتنر در سال 2019 عناصر اصلی SASE را راهکارهای امنیت دسترسی ابر (CASB)، ارایه فایروال به صورت سرویس (FWaaS)، سامانه‌های جلوگیری از نفوذ (IPS)، درگاه‌های وب امن (SWG) و دسترسی به شبکه با روش اعتماد صفر (ZTNA) بیان کرد. در سال 2020 نیز گارتنر قابلیت‌های دیگری از جمله سندباکسینگ، محافظت از API و برنامه‌های تحت وب (WAAP)، تفکیک مرورگر از راه دور (RBI)، DNS بازگشتی و حتی VPN سنتی را جزو این ابزارها در نظر گرفت.

ترکیب این قابلیت‌ها توسط SASE باعث ساده‌تر شدن معماری پیچیده‌ای شد که ناشی از جمع شدن راهکارهای مختلف است. این کاهش پیچیدگی باعث کاهش تأخیر نیز می‌شود. از آنجا که SASE مخصوص محیط ابر است، قابلیت‌ها و امکانات آن به صورت سرویس ابر عرضه می‌شوند. گارتنر پیش‌بینی کرده بیست درصد از شرکت‌ها تا سال 2023 برای استفاده از سرویس‌های CASB ،FWaaS ،SWG و ZTNA از یک شرکت استفاده کنند که این عدد برای سال 2019 میلادی فقط پنج درصد بوده است.

یکی از ویژگی‌های مهم SASE این است که امکان پیاده‌سازی امنیت به روش اعتماد صفر را در لبه‌های شبکه فراهم می‌کند و به این ترتیب امکان دسترسی بر اساس هویت اشخاص یا دستگاه‌ها فراهم می‌شود. معماری مبتنی بر ابر SASE قابلیت‌های دسترسی پویایی که کسب و کارهای دیجیتال امروزی از جمله اعمال پویای سیاست‌ها بر اساس شرایط نیاز دارند را فراهم می‌کند. لازم به ذکر است که امروزه تحول دیجیتال باعث ایجاد نیاز بیشتر به SASE نیز شده است.

تأثیرات شیوع بیماری کرونا بر SASE

در سال های گذشته سازمان‌ها راهبردهای تحول دیجیتالی که شامل برنامه‌ریزی و عرضه بودند را پیاده‌سازی می‌کردند. با وجود این که بودجه‌های امنیتی سازمان ها بین محیط ابر و زیرساخت‌های درون سازمانی توزیع شده بود اما معمولاً این راهبردها منجر به افزایش سرمایه گذاری بر بستر ابر عمومی می‌شدند. آنها برنامه‌های کاربردی جدیدشان را مخصوص محیط ابر پیاده‌سازی می‌کردند.

وقایع سال 2020 منجر به ایجاد اختلال در عملکرد سازمان‌ها و زنجیره تأمین در کل جهان شد. اگرچه تلاش‌های قهرمانانه کارشناسان فناوری اطلاعات برای فراهم کردن امکان دورکاری و راهکارهای جدید در این حوزه، موفقیت آمیز بود اما تیم‌های امنیت سایبری هم باید با افزایش نیاز به امنیت بستر ابر، به این شرایط جدید واکنش مناسب نشان می‌دادند. حوزه‌های تمرکز آنها عبارت بودند از مدیریت هویت‌ها در محیط ابر، کنترل دسترسی، کنترل مجوزهای کار با داده‌ها و منابع و همچنین نظارت و مدیریت بر مخاطرات بستر ابری. در مجموع سال 2020 نیاز به سرمایه گذاری در حوزه امنیت ابر را سریع‌تر از چیزی که انتظار می‌رفت افزایش داد.

با توجه به تغییر ناگهانی شبکه های سازمانی، هماهنگ سازی دسترسی امن به شبکه سخت‌تر شد. هم اکنون به جای مراقبت و پشتیبانی از دفترهای یک شرکت که تعداد آنها مشخص بود، بخش فناوری اطلاعات و امنیت باید با صدها یا هزاران کارمندی که از منزل و با وسایل مختلف کار می‌کردند و به سرویس‌های مختلف ابری متصل می‌شدند کار می‌کرد. از آنجا که بخش فناوری اطلاعات مجبور شد ظرف چند روز راهکارهای مورد نیاز را پیاده‌سازی کند، بعضی از خریدهای مرتبط با امنیت به جای این که بر پایه درک درستی از نیازهای واقعی انجام شوند، بر حسب ضرورت و نیاز انجام شدند.

سازمان‌ها در سال 2020 پی بردند که باید نسبت به همیشه چابک‌تر و مقاوم‌تر باشند که این دو قابلیت در اصطلاحاتی مثل «امنیت چابک» و «مقاومت امنیتی» منعکس شده‌اند. SASE ابزاری برای دستیابی به هر دو این هدف ها را امکان پذیر می کند.

یکی دیگر از گرایشات جدید در سال 2020، موضوع تداوم کسب و کار بود. با وجود این که از دیدگاه مدیریت مخاطره بحث برنامه‌ریزی برای تداوم کسب و کار همیشه مهم بوده است اما معمولاً این برنامه‌ریزی‌ها برای رویدادهای طبیعی مثل وقوع سیل یا قطع برق انجام می شدند در حالی که شیوع بیماری کرونا پدیده‌ای جهانی بود که بر همه صنایع جهان تأثیرات خاص خود را گذاشت. هم از دیدگاه کسب و کار و هم فناوری اطلاعات، تداوم کسب و کار با دیجیتالی‌تر شدن در زمانی بسیار کوتاه متقارن بود.

فناوری SASE در مقایسه با تجهیزات سنتی و درون سازمانی بهتر می‌تواند از جنبه‌های دیجیتال یک کسب و کار حمایت کند. همچنین SASE با فراهم کردن قابلیت‌های تشخیص بدافزار، جلوگیری از نفوذ و نظارت رفتاری جهت کاهش احتمال اختلال در کار در اثر حوادث امنیتی، به تداوم کسب و کار کمک می‌کند.

 

مزایای SASE

مهمترین مزایای SASE عبارتند از:

• قدرت تطبیق با تغییرات کسب و کارها
• کارایی بیشتر و تأخیر کمتر
• مقیاس پذیری بسیار زیاد
• معماری ساده، مدیریت SASE نسبت به مدیریت مجموعه‌ای از راهکارهای مختلف ساده‌تر و ارزان‌تر است.
• طراحی مبتنی بر ابر که نسبت به طراحی‌های درون سازمانی برای کار با تلفن همراه، اینترنت اشیا و دورکاری بسیار مناسب‌تر است.
• نظارت پیوسته بر ارتباطات، رفتار کاربران، نشست‌ها و داده‌ها
• اعمال سیاست‌های پویا
• عدم تداخل با تجربیات کاربری روزمره
• سرویس دهی خودکار/تدارکات مقیاس پذیر

دیجیتالی شدن روزافزون کسب و کارها و انتقال داده‌ها، جریان کار و برنامه‌های کاربردی آنها به بستری امن باعث رشد SASE شده است. همچنان که سازمان‌ها به استفاده از راهکارهایی مثل ارایه زیرساخت، پلتفرم و نرم افزار به صورت سرویس ادامه می‌دهند، نیاز به SASE هم بیشتر می‌شود.

کاربردهای SASE

• کاربرانی که دایماً در حال سفر و حرکت هستند و از وای‌فای کافی شاپ یا هتل‌ها استفاده می‌کنند، همچنان به دسترسی به منابع سازمانی نیاز دارند. SASE می‌تواند همزمان با کاهش مخاطره وای‌فای عمومی، امکان دسترسی به داده‌ها و برنامه‌های کاربردی را فراهم کند.
• سناریوهای دورکاری و کار در منزل که در آنها اعضای خانواده از رایانه یا سایر تجهیزات به صورت مشترک استفاده می‌کنند. در این شرایط SASE می‌تواند برای کنترل دسترسی به منابع و برنامه‌های کاربردی مفید باشد.
• استفاده مشترک از محیط کار یا ایستگاه‌های کاری باعث تغییر در شیوه دسترسی به منابع مختلف توسط اشخاص مختلف شده است. SASE می‌تواند مجوزهای دسترسی را بر اساس شرایط و نظارت بر رفتار کاربر تغییر دهد.
• شعبه‌های مختلف یک اداره می‌توانند از منابع سازمانی استفاده کنند بدون این که نیاز به راهکارهای محلی اختصاصی داشته باشند. همچنین آنها همزمان می‌توانند از سرعت بالای دسترسی محلی هم بهره مند شوند.
• مجوزهای دسترسی گروه‌های کاری مختلف را بر اساس تغییرات این گروه‌ها می توان تغییر داد. برای مثال بعضی از کارمندان فقط برای مدتی محدود قرارداد همکاری با یک تیم را دارند.
• SASE یک ابزار نرم‌افزاری واحد برای امن‌سازی لبه‌های شبکه، مراکز داده و سرویس‌های ابری رایانش لبه، اینترنت اشیا و اینترنت اشیای صنعتی را فراهم می‌کند.

شرکت‌های ارایه دهنده SASE

شرکت‌های ارایه دهنده سرویس‌های SASE ترکیبی از شرکت‌های حوزه امنیت شبکه و شبکه‌های گسترده نرم‌افزاری (SD-WAN) هستند. همچنین تعدادی شرکت جدید سعی به استفاده از این فرصت نوظهور دارند. در ادامه نام بعضی از این شرکت‌ها را مشاهده می‌کنید:

• Akamai
• Axis Security
• CATO Networks
• Cisco
• ForcePoint
• Fortinet
• McAfee
• Microsoft
• Netskope
• Palo Alto Networks
• Proofpoint
• Perimeter 81 (startup)
• Symantec
• Versa
• VMware
• Zscaler

موانع پذیرش SASE

فروشنده‌ها: ممکن است فروشنده‌ها آنقدر متمرکز بر فروش محصول باشند که در محتوای بازاریابی، همان محصولات قدیمی با اصطلاحات جدید تبلیغ شوند. با توجه به تازگی SASE، این احتمال وجود دارد که توجه رسانه‌ها به این موضوع منجر به شکل گیری انتظاراتی غیرواقع گرایانه شود. در مطالعه مؤسسه گارنتر در زمینه چرخه هیجان امنیت ابر در سال 2020، SASE در اوج انتظارات قرار داشته است.

ابزارهای موجود: معمولاً سازمان ها تمایل به تهیه مجموعه‌ای از ابزارها از شرکت‌های مختلفی را دارند که لزوماً همه آنها هنوز قابل جایگزینی نیستند.

فروشنده‌های موجود: معمولاً کسب و کارها، تیم‌ها و رهبران امنیت و فناوری اطلاعات متمایل به کار با بعضی از شرکت‌ها هستند. با این وجود، همه شرکت‌ها قادر به دنبال کردن فرصت‌های فراهم شده در حوزه SASE با سرعت یا روشی یکسان نیستند. توجه کنید که ممکن است بهترین فروشنده در یک برهه زمانی خاص همیشه بهترین نباشد.

افکار سنتی: حرکت از امنیت متمرکز و درون سازمانی به سمت امنیت مبتنی بر ابر، روندی جدید و رو به گسترش است اما ممکن است افرادی که دیدگاه سنتی‌تری دارند SASE را یک تهدید تلقی کنند. به طور مشابه، ممکن است شرکت‌هایی که محصولات سنتی دارند چون SASE را یک تهدید برای خودشان می دانند، پس بر ضد آن تبلیغ یا فعالیت کنند.

نقاط قوت فروشنده مربوطه: همانطور که پیش از این هم اشاره شد، بعضی از فروشندگان راهکارهای SASE، بر بحث SD-WAN و بعضی دیگر بر امنیت شبکه متمرکز هستند. در نتیجه ممکن است صلاحیت‌های سنتی و قدیمی آنها بیشتر از صلاحیت‌هایشان در حوزه‌های جدید باشد.

تاکتیک و راهبرد: ابزارهای مورد استفاده نه تنها در تعریف بلکه در عمل نیز باید متناسب با راهبرد یک سازمان باشند. معمولاً راهکارهای ارایه شده توسط بعضی از شرکت‌های بهتر از سایرین، با راهبردهای یک سازمان تناسب دارند.

اعتقاد به وجود یک راهکار کلی: شرکت‌های مختلف، ساختار امنیتی متفاوتی دارند و متشکل از محصولات مختلفی نیز هستند. همچنین سطح بلوغ و رشد هر سازمانی نیز متفاوت است. بنابراین رویکردهای استفاده از SASE به نقطه شروع و اهداف سازمان بستگی دارند. به همین خاطر یک راهکار برای همه سازمان‌ها مناسب نیست.

پرسش‌های مهم

هر چند عناصر مختلف SASE سال‌ها است که وجود دارند اما SASE به تازگی به عنوان یک محصول جدید شناسایی شده است. به گفته بعضی شرکت‌های مورد تأیید، محصولات جدید همیشه چرخه‌هایی قابل پیش‌بینی دارند که شامل بازاریابی، پذیرش، گسترش در بازار و تحکیم جایگاه در بازار است.

بعضی از سؤالاتی که مدیران ارشد امنیت اطلاعات و مدیران امنیت باید از ارایه دهنده راهکارهای SASE بپرسند، عبارتند از:

• آیا محصول SASE شما با ابزارهای موجود من قابل ادغام هستند؟
• اگر این راهکار با ابزارهای فعلی ما قابل ادغام هستند، چه نوع اطلاعاتی را با یکدیگر به اشتراک می‌گذارند؟
• آیا گزینه خاصی دارید که برای بهینه سازی کارایی شبکه به من کمک کنند؟ SLAها و هزینه‌های وابسته به آنها به چه صورت هستند؟
• بهترین راه کاهش هزینه‌ها و مخاطرات در بلندمدت و کوتاه مدت چه روشی است؟ مزایا و معایب آن چیست؟
• آیا راهکار SASE شما قابلیت‌های خودکارسازی را دارد؟ محدودیت‌های آن چیست؟
• رویکرد شما برای SASE چیست؟ نقشه راه شما برای 12 تا 14 ماه آینده به چه صورت است؟
• برای تضمین موفقیت پیاده‌سازی SASE چه کارهایی انجام می‌دهید؟
• آیا راهکارهای جهانی شما کارایی راهکارهای محلی را دارد؟
• فروشندگان مختلف چه خلأیی در محصولات خودشان دارند و این محصولات چه تناسبی با راهکارهای فعلی موجود در سازمان دارند؟ شرکت‌ها برای تکمیل محصولات خودشان چه طرح‌هایی دارند؟

نتیجه گیری

پیش از شیوع بیماری کرونا، تحول دیجیتال فرصت جدیدی برای SASE ایجاد کرد. در سال 2019 و سال‌های پس از آن، شرکت‌ها در حال پیاده‌سازی راهبردهای تحول دیجیتال چند ساله بودند. پس از شیوع ویروس کرونا، بحث تداوم کسب و کار با «دیجیتالیزه» شدن همراه شد و منجر به شتاب گرفتن پیاده‌سازی راهکارهای ابر از جمله IaaS، PaaS و SaaS شد. با تغییر ماهیت کسب و کارها، تیم‌ها و مدیران امنیت خودشان را در مقابل چالش‌های جدیدی دیدند که ناشی از دورکاری و راهکارهای دیجیتال جدیدی بود که برای کمک به توسعه و رونق کسب و کار آنها در دوره شیوع کرونا طراحی شده بودند.

مثل همیشه، با رشد و توسعه زیرساخت‌های فناوری اطلاعات، روش‌های امنیتی هم باید توسعه پیدا کنند. ظرف چند سال آینده، سازمان‌های زیادی از SASE استفاده خواهند کرد زیرا SASE به امنیت، چابکی و مقاومت کسب و کارشان کمک می‌کند.

 

[1] همان طور که از اسم آن مشخص است، انتهایی‌ترین سیستم متصل به شبکه، لبه را تشکیل می‌دهد.

[2] software defined wide area networking

 

منبع: cshub