Технология безопасного пограничного доступа, часто встречающаяся под аббревиатурой SASE (Secure access service edge) - это разновидность IT-модели, сочетающая функционал сетевых сервисов и сервисов безопасности.
После прочтения этой статьи вы сможете:
Связанный контент
Модель безопасности в условиях «нулевого» доверия
Контроль доступа
Шлюз информационной безопасности
Сеть как услуга (NaaS)
Что такое VPN?
Подпишитесь на theNET, ежемесячный обзор наиболее популярных аналитических сведений об Интернете от Cloudflare!
Копировать ссылку статьи
Технология безопасного пограничного доступа (SASE) реализована в модели безопасности на базе облачных ресурсов, в рамках которой объединен функционал программно-определяемых сетей (software-defined networking) и функции сетевой безопасности, весь этот пакет сервисов обеспечивается одним и тем же провайдером. Сама по себе аббревиатура SASE была предложена в 2019 году институтом Гартнера- глобальным исследовательским и консалтинговым агентством.
Модель безопасности SASE является работающей на облачных ресурсах альтернативой традиционной «веерной» модели сетевой инфраструктуры, которую еще называют модель «спицы на втулке». Такая традиционная модель подразумевает, что пользователи во множестве своих точек местонахождения («спицы») связаны через централизованные центры обработки данных («втулка»). В рамках традиционной модели построения сети данные и приложения размещаются в ядре - централизованном дата-центре. Для получения доступа к этим ресурсам пользователи, филиалы и приложения подключаются к этому единому дата-центру, будучи объединенными рамками локальной частной сети или вторичной сети, которая подключена к основной сети через выделенную защищенную линию или виртуальную частную сеть VPN.
Будучи достаточно простой по сути своей, традиционная «веерная» модель имеет ряд недостатков, в частности, она плохо приспособлена для решения проблем, связанных с безопасностью работы облачных сервисов, например, Software-as-a-Service (SaaS), а также не обеспечивает потребностей растущего числа пользователей, работающих удаленно. По мере того, как все большее количество разнообразных приложений, рабочих функций и конфиденциальных корпоративных данных переносится в облако, организациями приходится переосмысливать свою концепцию проверки сетевого трафика и управления политикой безопасного пользовательского доступа в сеть. Не представляется больше целесообразным осуществлять маршрутизацию всего трафика через единый дата-центр (принцип «тромбона»), учитывая, что большая часть приложений и данных уже перенесены в облако, это лишь чревато ненужными задержками. Эти задержки особенно остро будут ощущаться пользователями, работающими удаленно (а таких немало), при попытке подключения к корпоративной информационной сети через VPN, при этом пользователи сталкиваются с определенными рисками безопасности, когда осуществляют доступ к корпоративным информационным ресурсам через незащищенное соединение.
В модели SASE механизмы управления безопасностью сети размещены на периметре сети - в пограничной с облаком зоне - в отличии от традиционной модели, где управление безопасностью осуществляется централизованно, через единый дата-центр. Вместо того, чтобы множить облачные сервисы, требующие индивидуальной конфигурации и управления, модель SASE обеспечивает стандартизированный набор сетевых сервисов и сервисов безопасности, которые позволяют создать хорошо защищенную и эффективно организованную сетевую архитектуру в зоне соединения сети и облака (пограничная сетевая зона). Внедрение для защиты периметра сети политики управления доступом в условиях «нулевого» доверия, основанной на аутентификации личности пользователя, позволяет организациям существенно раздвинуть границы сетевого периметра, включив в них и работающих удаленно пользователей, и отдельные филиалы, мобильные устройства или приложения. Это, в свою очередь, делает ненужным использование VPN-сетей и файерволов, обеспечивая более тщательный контроль реализации политики безопасности сети. Для этого модель SASE должна быть интегрирована уже в готовую единую глобальную сеть, в рамках которой вся комбинация сетевых сервисов и сервисов безопасности будет максимально приближена к конечному пользователю.
Давайте представим традиционную архитектуру сети в виде кирпичной кладки, намертво скрепленной раствором. Предположим, Боб хочет проверить баланс своего счета, прежде чем оплатить стоимость аренды. Для этого ему нужно совершить визит в банк и подтвердить свою личность сотруднику банка. Каждый месяц ему приходится совершать такую поездку в банк, и вся процедура повторяется из раза в раз, а поездка обходится недешево в плане затрат времени и сил, особенно, если Боб живет далеко от банка.
Сходная ситуация наблюдается и в аппаратно-определяемом варианте сетевой архитектуры, в этом варианте все решения, связанные с безопасностью и предоставлением доступа, принимаются на уровне стационарного корпоративного дата-центра, а не в рамках облака. Добавление облачных сервисов в традиционную модель сетевой архитектуры сходно с тем, что Боб получил бы возможность проверять баланс своего счета по звонку в банк. Это немного удобнее, чем садиться за руль и ехать через весь город, но здесь потребуется совершенно другой процесс авторизации (например, вместо предъявления удостоверения личности, Боба могут попросить представить по телефону целый ряд других данных для подтверждения его личности). Перед банком встает необходимость управления всем процедурами авторизации для того, чтобы представленная в ходе этих процедур клиентами конфиденциальная информация была в безопасности.
Традиционная «веерная» инфраструктура на момент своего создания не была рассчитана на работу с облачными сервисами. В ее основе фиксированный и защищенный периметр сети, сформированный вокруг основного дата-центра, эта модель эффективна лишь в том случае, если большая часть данных и приложений остается внутри этого периметра. При переходе к облаку для IT-специалистов становится сложнее управлять различными сервисами безопасности и политикой контроля доступа.
С другой стороны, модель SASE работает по аналогии с банковским приложением, установленным на мобильном устройстве Боба. Вместо того, чтобы лично ехать в банк или тратить время на телефонный звонок, Боб может в электронном виде пройти авторизацию и быстро получить доступ к информации о балансе своего счета из любой точки мира. И это становится возможным не только для Боба, но и для любого клиента банка, независимо от его местонахождения.
Модель SASE приближает сервисы по обеспечению безопасности сети и контроля доступа к конечному пользователю путем переноса ключевых процессов в облако, она функционирует в глобальной сети для минимизации времени задержки при работе этих ключевых процессов.
Пакеты сервисов в рамках модели SASE: возможности программно-определяемых WAN-сетей (SD-WAN) c богатым функционалом сервисов сетевой безопасности, которые в полном объеме доставляются и управляются с единой облачной платформы. Пакет функционала SASE включает в себя следующие 4 базовых компонента обеспечения безопасности:
В зависимости от поставщика и потребностей организации, это ключевые функции могут быть объединены и интегрированы с любым количеством сервисов безопасности, от защиты веб-приложений и API (WAAP) с изоляцией удаленных браузеров до рекурсивных DNS-серверов, защиты точек беспроводного доступа Wi-Fi, механизмов сетевой обфускации/дисперсии, граничные вычисления (edge computing) и т.д.
Модель SASE обеспечивает целый ряд преимуществ по сравнению с традиционной моделью сетевой безопасности, основанной на концепции дата-центра, лежащего в ядре всей системы:
Важно отметить, что все варианты реализации модели SASE выглядят одинаково. При наличии ряда общих характеристик - политики контроля доступа на базе авторизации личности пользователя, сетевых услуг безопасности и облачной архитектуры - существуют значительные отличия, которые зависят от специфики организации. К примеру, в отдельно взятом варианте реализации модели SASE может отдаваться предпочтение архитектуре с одним арендатором, нежели со множеством арендаторов, могут быть предусмотрены механизмы контроля доступа в сеть для Интернета Вещей и периферийных устройств, могут содержаться дополнительные ресурсы безопасности, делаться акцент на минимизацию количества аппаратных/виртуальных устройств для обеспечения функционирования сервисов безопасности и пр.
Предлагаемая компанией Cloudflare модель SASE может применяться с такими продуктами, как Cloudflare for Infrastructure и Cloudflare for Teams, оба этих продукта работают на базе единой глобальной платформы, обслуживающей более 25 миллионов сетевых Интернет-объектов. Продукт Cloudflare имеет уникальную архитектуру, представляя собой интегрированную платформу с пакетом сетевых сервисов и сервисов безопасности, в зону охвата которой входит более 200 городов. Эта платформа устраняет необходимость для организации заниматься закупкой и управлением целым набором точечных решений для работы в облаке.
Cloudflare for Infrastructure представляет собой созданный компанией пакет сервисов безопасности и управления сетью, которые обеспечивают безопасность, ускоряют и делают более надежной работу любой внутренней, гибридной или облачной системы. Неотъемлемой часть продукта Cloudflare for Infrastructure является Cloudflare Magic Transit. Этот инструмент защищает инфраструктуру сети от угроз DDoS-атак и атак сетевого уровня, а также работает совместно с для защиты против вредоносных кодов, эксплуатирующих уязвимости сети (эксплойтов). Продукт Magic Transit функционирует на базе глобальной сети Cloudflare, что позволяет ускорить прохождение легитимного трафика, сократить время задержки и оптимизировать пропускную способность сети. Более подробная информация о продукте Cloudflare Magic Transit.
Продукт Cloudflare for Teams обеспечивает безопасность корпоративных данных двумя разными способами: с помощью Cloudflare Access- продукта для контроля доступа в сеть в условиях «нулевого» доверия, и Cloudflare Gateway, - сервиса с функционалом фильтрации запросов в системе DNS, обеспечивающего защиту от вредоносных программ (malware) и фишинга. Продукт Cloudflare Access делает ненужными традиционные VPN-сети и обеспечивает безопасный доступ на базе авторизации пользователя к внутренним сетевым приложениям и данным, независимо от местонахождения пользователя. Продукт Cloudflare Gateway защищает корпоративные данные и данные пользователей путем фильтрации и блокировки вредоносного контента, выявляя компрометированные устройства и используя технологию изоляции браузера для того, чтобы помешать срабатыванию вредоносного программного кода на других устройствах пользователей. Более подробная информация о продукте Cloudflare for Teams.
Начало работы
Об управлении доступом
О «нулевом доверии»
VPN-ресурсы