SASE & SSE – fundamenty

Home / Aktualności / SASE & SSE – fundamenty

Odkąd praca zdalna i rozproszone sieci stały się normą, specjaliści od spraw bezpieczeństwa przeszli na nowy poziom wyzwań. I tak już rozmyta granica sieci stała się praktycznie niewidoczna. Chmurowe technologie z zakresu bezpieczeństwa IT stały się głównym rozwiązaniem pozwalającym zachować wydajność – bez przestojów i opóźnień – tak denerwujących użytkowników końcowych. Renesans przeżywa również rozpowszechniona już przecież od 2015 (pierwsze wzmianki 2014) technologia SD-WAN.



Jak to bywa z rewolucjami, transformacjami i nowinkami – każda przynosi nowe sformułowania. W 2019 zawitało do nas Secure Access Service Edge (SASE) natomiast już w 2021 Secure Service Edge (SSE). Z czym to się je? Już wyjaśniamy!

Secure Service Edge to składowa SASE, która skupia się na dostępie do internetu i aplikacji. Tak, wiemy że litery się pokrywają – jednak może warto to podkreślić. SSE to zbiór zintegrowanych, skoncentrowanych na chmurze funkcji bezpieczeństwa, które ułatwiają bezpieczny dostęp do witryn internetowych, aplikacji typu SaaS i aplikacji prywatnych (w serwerowniach firm lub ich centrach danych). Jednym z powodów wyodrębnienia SSE jest zdecydowana odrębność cyberbezpieczeństwa od generalnego zarządzania siecią.


W ogromnym uproszczeniu wygląda to następująco:
  1. SSE —> zapewnienie bezpieczeństwa danych i ochrony przed zagrożeniami zewnętrznymi
  2. SASE = SSE + SD-WAN —> SSE + zapewnienie ciągłości działania i łączności pomiędzy lokacjami

Kilka powodów wymieniliśmy w artykule porównującym Web Security i Next Generation Firewall, główny przykłąd podaliśmy powyżej. Jest to rozdział cyberbezpieczeństwa od zarządzania siecią. 

Podstawowe funkcje zabezpieczeń związane z Secure Service Edge obejmują:
  1. Zero Trust Network Access (ZTNA) – najkrócej możemy opisać jako zastępcę VPN, technologię pozwalającą uzyskać bezpieczny dostęp do wybranych (w odróżnieniu od VPN) zasobów przechowywanych lokalnie. ZTNA łączy w sobie autentykakję użytkownika oraz jego autoryzację tylko do wybranych zasobów.
  2. Secure Web Gateway (SWG) – bezpieczne proxy opisywaliśmy w innym artykule. Tu zaznaczymy, że jest częścią SSE.
  3. Cloud Access Security Broker (CASB) – broker dostępu do chmury pozwala chronić aplikacje SaaS poprzez monitoring API lub przechwytując ruch w trybie proxy. Prócz standardowych polityk warunkujących dostęp (zależnie od lokalizacji, urządzenia itp.) udostępnia również funkcje takie jak Single Sign-On, IdP czy szyfrowanie danych w chmurze. Ponadto obserwuje jakie dane składowane są w Twoich zasobach chmurowych oraz kontroluje zachowania użytkowników – zwracając uwagę na anomalnie.

Powyżej opisaliśmy podstawowe funkcje SSE – warto dodać, że na tym się one nie kończą. Producenci dodają funkcje, które pozwalają sprostać współczesnym wyzwaniom. Te, które odpowiadają na dzisiejsze zagrożenia to przede wszystkim:

  1. Data Loss Prevention – DLP to w dobie powszechnych migracji do SaaS oraz biorąc pod uwagę możliwe wektory wycieku po takowej migracji – konieczność. Warto wziąć pod uwagę integrację ze swoim lokalnym DLP oraz opcje rozpoznawania danych. Technologie klasy enterprise zapewnią algorytmy kategoryzacji oparte o machine learning (nadzorowany) czy fingerprinting (tworzenie „odcisku palca” informacji informacji na podstawie autorskiego zestawu skorelowanych klasyfikatorów).

  2. Cloud Posture Security Management – to zestaw funkcji zaprojektowanych w celu identyfikacji problemów z błędną konfiguracją i ryzyka zgodności regulacjami dot. Danych przechowywanych w chmurze. Celem CSPM jest ciągłe monitorowanie infrastruktury chmury pod kątem luk w egzekwowaniu zasad bezpieczeństwa.

  3. Remote Browser Isolation – czyli ostateczny anty zero-day malware. Sesja użytkownika uruchamiana jest w pełni w wirtualnej maszynie w środowisku vendor – a użytkownik widzi jedynie interaktywną projekcję (podobnie jak współdzielenie ekrany – możesz klikać, ale w przypadku ataku Twoja maszyna nie ucierpi).

  4. Sandboxing – ochrona przed zagrożeniami typu zero-day w plikach, które musisz jednak pobrać na swoją maszynę. Pozwala uruchomić plik w bezpiecznym środowisku imitującym system użytkownika by zobaczyć, jak zachowa się plik. Zwróć uwagę na poziom integracji z SSE, które planujesz wdrożyć.

  5. FWaaS – Firewall-as-a-Service  – niektórzy utrzymują, że firewall jest częścią dotyczącą sieci i pozostającą po stronie SASE a nie SSE. Jednak niektórzy dostawcy zapewniają go jako funkcjonalność w ramach platformy. Nie oszukujmy się jednak, na ten moment nie zastąpi on firewalli nowej generacji stosowanych lokalnie przez większość organizacji.

  6. Content Disarm & Reconstruction alternatywa dla sandboxingu dla bardziej wymagających. „Rozbiera” plik do poziomu kodu, eliminuje wszystkie zbędne i podejrzane fragmenty a następnie składa plik z powrotem i przekazuje do użytkownika. Kluczowym parametrem jest poziom precyzji w rekonstrukcji pliku.

  7. Vulnerability Scanning – pozwala dostrzec podatności w zakresie Twojej infrastruktury. To rozszerzenie SSE sprawdzi się dla Twojego Data Center – w przypadku chmury publicznej jest to odpowiedzialność dostawcy.


Oprócz tego vendorzy oferujący SSE wspierają się integracją z rozwiązaniami typu Endpoint Detection and Response. Niemniej EDR nie jest częścią SASE toteż na wszelkie pytania o ten obszar odpowiemy osobiście.

Podsumowując powyższe – rozwiązanie SSE zapewnia organizacjom pełen zestaw technologii bezpieczeństwa, których potrzebują, aby zapewnić pracownikom, zaufanym partnerom i wykonawcom bezpieczny zdalny dostęp do aplikacji, danych, narzędzi i innych zasobów korporacyjnych, a także monitorować i śledzić zachowanie użytkowników po uzyskaniu dostępu do sieci.

A co z SASE?


 



W ramach SASE zarówno usługi sieciowe, jak i usługi bezpieczeństwa powinny być wykorzystywane w ujednoliconym podejściu dostarczanym z chmury. Zarówno aspekty sieciowe, jak i związane z bezpieczeństwem rozwiązań SASE koncentrują się na poprawie doświadczenia aplikacji typu user-to-cloud przy jednoczesnym zmniejszeniu kosztów i złożoności. W ramach SASE, SSE koncentruje się na ujednoliceniu wszystkich usług bezpieczeństwa, w tym bezpiecznej bramy internetowej (SWG), brokera bezpieczeństwa dostępu do chmury (CASB) i dostępu do sieci o zerowym zaufaniu (ZTNA). Druga połowa platformy SASE koncentruje się na uproszczeniu i ujednoliceniu usług sieciowych, w tym definiowanej programowo sieci rozległej (SD-WAN), optymalizacji sieci WAN, jakości usług (QoS) i innych sposobach poprawy routingu do aplikacji w chmurze.

W 2022 Gartner zamierz opublikować pierwszy Market Quadrant pokazujący vendorów Secure Service Edge – a my już dzisiaj podkreślamy wartości tej technologii dla firmy. To przede wszystkim:

1. Lepsza redukcja ryzyka

SSE umożliwia dostarczanie cyberbezpieczeństwa bez przywiązania do urządzeń i topologii sieci. Bezpieczeństwo zapewnia platforma w chmurze, która może podążać za użytkownikiem do połączenia aplikacji niezależnie od lokalizacji. Ponieważ wszystkie usługi bezpieczeństwa są dostarczane w ujednolicony sposób, ryzyko jest zmniejszone, ponieważ nie ma luk, które często występują w punktowych produktach. Poprawiona widoczność na użytkowników i dane — bez względu na lokalizację i niezależnie od kanałów, do których uzyskano dostęp. Ponadto aktualizacje zabezpieczeń są automatycznie wymuszane w chmurze, bez opóźnień, które często obserwuje się w administracji IT.

2. Zunifikowane podejście Zero-Trust

Platformy SSE (wraz z SASE) powinny umożliwiać użytkownikom najmniej uprzywilejowany dostęp do aplikacji w chmurze lub prywatnych. Żaden użytkownik nie powinien być z natury godny zaufania. Dostęp powinien być przyznawany na podstawie tożsamości i polityki. Silna zasada zerowego zaufania powinna składać się z czterech czynników: użytkownika, urządzenia, aplikacji i treści. Bezpiecznie łącząc użytkowników i aplikacje za pomocą zasad biznesowych przez Internet, organizacje mogą zapewnić ich obsługę zdalną. Użytkownicy nigdy nie są umieszczani w sieci, a rozprzestrzenianie wewnętrzne zagrożeń jest eliminowane, co dodatkowo zmniejsza ryzyko biznesowe. Dodatkowo aplikacje pozostają chronione za platformą SSE. Nie są narażone na działanie Internetu i nie można ich wykryć, co znacznie zwiększa bezpieczeństwo poprzez zmniejszenie powierzchni ataku.

3. UX – User Experience

Zgodnie z definicją Gartnera, Security Service Edge (SSE) musi być w pełni rozproszony na całym świecie w centrach danych i pozwalać na edge computing – przetwarzanie danych w miejscu ich powstawania. Najlepsze architektury SSE są przeznaczone do kontroli w każdym centrum danych, w przeciwieństwie do dostawców hostujących swoje platformy SSE w infrastrukturach IaaS. Rozproszona architektura poprawia wydajność i zmniejsza opóźnienia, ponieważ inspekcja treści oraz deszyfrowanie i inspekcja SSL są zlokalizowane tam, gdzie użytkownik końcowy łączy się z chmurą SSE. Użytkownicy mobilni nie muszą już korzystać z wolniejszych architektur VPN, a aplikacje zarówno w chmurach publicznych, jak i prywatnych działają szybko i bezproblemowo.

4. Konsolidacja technologii

Ponieważ wszystkie kluczowe usługi bezpieczeństwa są ujednolicone, organizacje zyskują korzyści w postaci niższych kosztów i mniejszej złożoności. SSE zapewnia wiele kluczowych usług bezpieczeństwa na jednej platformie: bezpieczna brama internetowa (SWG), broker zabezpieczeń dostępu do chmury (CASB), dostęp do sieci o zerowym zaufaniu (ZTNA), zapora w chmurze (FWaaS), sandboxing w chmurze, zapobieganie utracie danych w chmurze (DLP) , zarządzanie stanem bezpieczeństwa w chmurze (CSPM) i izolacja przeglądarki w chmurze (RBI). Każdą z tych usług można łatwo dodać wraz z rozwojem organizacji. A ponieważ cała ochrona jest ujednolicona w ramach jednej polityki, wszystkie kanały wykorzystywane przez użytkowników i dane otrzymują tę samą spójną ochronę.

Wobec postępującej digitalizacji działy bezpieczeństwa informacji i IT będę współpracować tylko ściślej. Co według nas zostanie mocniej podkreślone to odrębność bezpieczeństwa IT (a szczególnie prewencji) od zapewnienia ciągłości działania. Znajomość różnic między SSE a SASE pozwoli menadżerom skuteczniej rozdzielić obowiązki i ułożyć procesy tak, by funkcjonalności obu technologii wspomagały strategiczne cele poszczególnych działów. Na końcu i tak wszystkim nam zależy na tym samym – spokoju użytkowników i niezakłóconej działalności biznesu. 



Powiązane artykuły

Bezpieczne bramki proxy – by chronić, trzeba uwierzytelnić
Czym jest kontekst w cyberbezpieczeństwie i dlaczego jest istotny
Dlaczego cyfryzacja sieci przemysłowych to jedno z kluczowych wyzwań dla cyberbezpieczeństwa?
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji