Периметр службы безопасного доступа

Технология сетевой безопасности

Периферия службы безопасного доступа ( SASE ) — это технология, используемая для доставки глобальной сети (WAN) и средств управления безопасностью в виде службы облачных вычислений непосредственно к источнику подключения ( пользователю , устройству, устройству Интернета вещей (IoT) или местоположению периферийных вычислений ). ), а не центр обработки данных . ^[1] Он использует технологии облачных и периферийных вычислений для уменьшения задержки , возникающей в результате транзитной передачи всего трафика WAN на большие расстояния в один или несколько корпоративных центров обработки данных из-за увеличения перемещения рассредоточенных пользователей и их приложений за пределы помещений. ^[2] Это также помогает организациям поддерживать рассредоточенных пользователей и их устройства с помощью инициатив по цифровой трансформации и модернизации приложений.

Безопасность основана на цифровой идентификации , контексте в реальном времени, а также на политике соответствия компании и нормативным требованиям , а не на таких устройствах безопасности, как брандмауэр. Цифровая идентификация может быть прикреплена к чему угодно: от человека до устройства, облачного сервиса, прикладного программного обеспечения , системы Интернета вещей или любой вычислительной системы. ^[2]

Этот термин был придуман в 2019 году рыночным аналитиком Нилом Макдональдом из Gartner . ^[3]

Обзор

SASE сочетает в себе SD-WAN с функциями сетевой безопасности , включая брокеров безопасности доступа к облаку (CASB), безопасные веб-шлюзы (SWG), проверку на наличие вирусов и вредоносных программ , виртуальную частную сеть (VPN) , брандмауэр как услугу (FWaaS) и предотвращение потери данных. (DLP), и все это обеспечивается единой облачной службой на границе сети .

Функции SASE SD-WAN могут включать в себя приоритезацию трафика , оптимизацию WAN , конвергентные магистрали и самовосстановление с использованием платформ искусственного интеллекта AIOps для повышения надежности и производительности. ^{[4] [5]}

Функции WAN и безопасности обычно предоставляются как единая услуга в рассредоточенных точках присутствия SASE (PoP), расположенных как можно ближе к рассредоточенным пользователям, филиалам и облачным сервисам. ^[2] Для доступа к сервисам SASE периферийные местоположения или пользователи подключаются к ближайшему доступному PoP . Поставщики SASE могут заключить контракт с несколькими поставщиками магистральных сетей и партнерами по пирингу , чтобы предложить клиентам быструю производительность глобальной сети с малой задержкой для соединений PoP-to-PoP на больших расстояниях. ^[2]

История

Термин SASE был придуман аналитиками Gartner Нилом Макдональдом и Джо Скорупой и описан в отчете Gartner «Цикл сетевой шумихи» ^[6] и рыночных тенденциях от 29 июля 2019 г. ^[7] и в отчете Gartner от 30 августа 2019 г. ^[2]

В 2021 году Gartner определил подмножество возможностей SASE, получившее название Secure Services Edge (SSE). ^[8] SSE — это набор служб безопасности SASE, которые можно реализовать вместе с сетевыми службами, такими как SD-WAN, для обеспечения комплексного решения. ^[8]

Драйверы

SASE стимулирует рост мобильных, периферийных и облачных вычислений на предприятии за счет локальных сетей и корпоративных центров обработки данных. Поскольку пользователи, приложения и данные перемещаются из корпоративного центра обработки данных в облако и на периферию сети, необходимо также переместить безопасность и глобальную сеть на периферию, чтобы минимизировать задержки и проблемы с производительностью. ^[9]

Модель облачных вычислений предназначена для делегирования и упрощения доставки SD-WAN и функций безопасности множеству периферийных вычислительных устройств и мест. По данным Gartner, в зависимости от политики разные функции безопасности могут также применяться к разным соединениям и сеансам одного и того же объекта, будь то приложения SaaS, социальные сети, приложения центров обработки данных или персональный банкинг. ^[2]

Облачная архитектура обеспечивает типичные облачные улучшения, такие как эластичность , гибкость, гибкость, глобальный охват и делегированное управление.

Характеристики

Основными элементами SASE являются:

• Конвергенция функций WAN и сетевой безопасности.
• Облачная архитектура , обеспечивающая конвергентную глобальную сеть и безопасность как услугу, которая обеспечивает масштабируемость , эластичность, адаптивность и самовосстановление, типичные для всех облачных сервисов.
• Глобально распределенная структура точек доступа, обеспечивающая полный спектр возможностей глобальной сети и безопасности с низкой задержкой, где бы ни находились бизнес-офисы, облачные приложения и мобильные пользователи. Чтобы обеспечить низкую задержку в любом месте, точки доступа SASE должны быть более многочисленными и обширными, чем те, которые предлагают типичные поставщики общедоступных облаков, а поставщики SASE должны иметь обширные пиринговые отношения.
• Услуги, основанные на идентификации . Идентификационные данные могут быть прикреплены к чему угодно — от человека или филиала до устройства, приложения, службы, устройства IoT или местоположения периферийных вычислений в источнике подключения. Идентификация является наиболее важным контекстом, влияющим на политику безопасности SASE. Однако местоположение, время суток, степень риска/доверительности подключающегося устройства и приложения, а также чувствительность данных будут предоставлять другой контекст в реальном времени, определяющий службы и политики безопасности, применяемые к каждому сеансу глобальной сети и на протяжении него.
• Поддержка всех периферийных устройств в равной степени, включая физические местоположения, облачные центры обработки данных, мобильные устройства пользователей и периферийные вычисления, с размещением всех возможностей в локальной PoP, а не в периферийной локации. Граничные подключения к локальной точке доступа могут варьироваться от SD-WAN для филиала до VPN-клиента или бесклиентского веб- доступа для мобильного пользователя, до нескольких туннелей из облака или прямых облачных подключений внутри глобального центра обработки данных. ^[9]

Gartner и другие продвигают архитектуру SASE для мобильных и облачных предприятий. Преимущества включают в себя:

Пониженная сложность

SASE снижает сложность благодаря своей модели облачных вычислений и единому поставщику для всех функций глобальной сети и безопасности по сравнению с несколькими устройствами безопасности от нескольких поставщиков в каждом месте. Снижение сложности также достигается за счет однопроходной архитектуры, которая расшифровывает поток трафика и проверяет его один раз с помощью нескольких механизмов политик, а не связывает несколько служб проверки вместе. ^[10]

Универсальный доступ

Архитектура SASE спроектирована так, чтобы обеспечивать последовательный быстрый и безопасный доступ к любому ресурсу из любого объекта в любом месте, в отличие от доступа, основанного преимущественно на корпоративном центре обработки данных .

Эффективность затрат

Экономическая эффективность облачной модели, которая переносит первоначальные капитальные затраты на ежемесячную абонентскую плату, объединяет поставщиков и поставщиков, а также сокращает количество физических и виртуальных филиальных устройств и программных агентов, которые ИТ-отделы должны приобретать, управлять и обслуживать собственными силами. Сокращение затрат также достигается за счет делегирования обслуживания, обновлений и обновлений оборудования поставщику SASE.

Производительность

Производительность приложений и услуг повышается за счет маршрутизации с оптимизацией задержек, что особенно полезно для чувствительных к задержкам видео, VoIP и приложений для совместной работы . Поставщики SASE могут оптимизировать и маршрутизировать трафик через высокопроизводительные магистрали , заключив контракт с операторами связи и партнерами по пирингу . Производительность также повышается за счет реализации всех функций безопасности с однопроходной архитектурой внутри одной PoP, чтобы избежать ненужной маршрутизации. ^[10] В зависимости от реализации SASE может сократить количество приложений и агентов, необходимых для устройства, до одного приложения, обеспечивая при этом единообразную работу пользователя независимо от того, где он находится и к чему получает доступ. ^[10]

Постоянная безопасность

Последовательная безопасность с помощью единого облачного сервиса для всех функций безопасности глобальной сети и соединений глобальной сети. Безопасность основана на одном и том же наборе политик, при этом одни и те же функции безопасности предоставляются одной и той же облачной службой для любого сеанса доступа , независимо от местоположения и места назначения приложения, пользователя или устройства (облако, приложение центра обработки данных). Как только поставщик SASE адаптируется к новой угрозе, адаптация может быть доступна для всех периферийных устройств. ^[2]

Критика

Критика в адрес SASE исходила из нескольких источников, включая IDC и IHS Markit , о чем говорится в сообщении sdxcentral от 9 ноября 2019 года, написанном Тобиасом Манном. ^[11] Обе аналитические фирмы критикуют SASE как термин Gartner, который не является ни новым рынком, технологией или продуктом, а скорее интеграцией существующих технологий с единым источником управления.

Клиффорд Гросснер из IHS Markit критикует отсутствие аналитики, искусственного интеллекта и машинного обучения в рамках концепции SASE, а также вероятность того, что предприятия не захотят получать все функции SD-WAN и безопасности от одного поставщика. Gartner возражает, что объединение функций безопасности и SD-WAN от нескольких поставщиков приводит к «несогласованности услуг, плохой управляемости и высокой задержке». ^[11]

Аналитик IDC Брэндон Батлер ссылается на позицию IDC, согласно которой SD-WAN будет развиваться в SD-Branch, определяемую как централизованное развертывание и управление виртуализированными SD-WAN и функциями безопасности в нескольких филиалах.

SASE-технологии

SD-WAN

SD-WAN — это технология, которая упрощает работу в глобальной сети посредством централизованного управления сетевым оборудованием или программным обеспечением, которое направляет трафик через глобальную сеть. Это также позволяет организациям комбинировать или заменять частные подключения к глобальной сети широкополосным доступом в Интернет , соединениями LTE и/или 5G . Центральный контроллер устанавливает политики, определяет приоритеты, оптимизирует и маршрутизирует трафик WAN, динамически выбирая лучший канал и путь для достижения оптимальной производительности. Поставщики SD-WAN могут предлагать некоторые функции безопасности с помощью своих виртуальных или физических устройств SD-WAN, которые обычно развертываются в центре обработки данных или филиале.

Обычно SASE включает SD-WAN как часть облачной службы, которая также обеспечивает мобильный доступ и полный стек безопасности , доставляемый из локальной точки доступа .

Межсетевой экран следующего поколения (NGFW)

NGFW сочетает в себе традиционный межсетевой экран с другими функциями безопасности и сети, предназначенными для виртуализированных центров обработки данных. Функции безопасности включают в себя контроль приложений, глубокую проверку зашифрованных пакетов , предотвращение вторжений , фильтрацию веб-сайтов , защиту от вредоносных программ, управление идентификацией , анализ угроз и даже качество обслуживания глобальной сети и управление пропускной способностью. ^[12]

NGFW предлагает подмножество стека безопасности, предлагаемого SASE, и обычно не включает службы SD-WAN. NGFW можно развернуть локально или в виде облачной службы, тогда как SASE по определению является облачной архитектурой. В то время как SASE фокусирует внимание на безопасности соединений WAN, NGFW можно развернуть где угодно, в том числе внутри центра обработки данных.

Межсетевой экран как услуга (FWaaS)

FWaaS — это межсетевой экран , предлагаемый в виде облачной службы, а не локально в виде программного или аппаратного обеспечения. Большинство поставщиков FWaaS предлагают возможности NGFW . Обычно вся организация подключена к одному облаку FWaaS , и нет необходимости поддерживать собственную инфраструктуру брандмауэра . SASE сочетает в себе Edge FWaaS с другими функциями безопасности и SD-WAN . ^[2]

Подобная технология

Сеть как услуга (NaaS)

Концепции SASE и NaaS совпадают. NaaS предоставляет виртуализированную сетевую инфраструктуру и услуги, используя бизнес-модель облачной подписки. Как и SASE, он обеспечивает снижение сложности и затрат на управление. Как правило, разные поставщики NaaS предлагают разные пакеты услуг, например пакет WAN и безопасный VPN как услугу, полосу пропускания по требованию или размещенные сети как услугу. Напротив, SASE задуман как единое комплексное безопасное решение SD-WAN для филиалов, мобильных пользователей, центров обработки данных и любых других требований к защищенной глобальной сети предприятия .

Край нулевого доверия

Исследовательская фирма Forrester называет SASE-подобный тип конвергентной сети и стека безопасности Zero Trust Edge (ZTE). ^[13] Forrester описывает свою модель как аналогичную модели Gartner, но с дополнительным упором на внедрение принципов нулевого доверия для аутентификации и авторизации пользователей. ^[13]

Торговая площадка

Gartner ожидает, что рынок решений SASE вырастет до 15 миллиардов долларов в 2025 году, при этом покупатели разделятся между решениями одного или нескольких поставщиков. ^[14] Некоторые поставщики сосредотачиваются на сетевых аспектах, в то время как другие сосредотачиваются на аспекте безопасности, который теперь называется Secure Service Edge (SSE). ^[14] Исследование, проведенное Dell'Oro Group в марте 2022 года, выявило более 30 поставщиков, предлагающих решения SASE, а также выявило поставщиков Cato Networks, Versa и VMware, имеющих унифицированную платформу SASE. ^[15]

Стандарты

MEF , первоначально известный как Metro Ethernet Forum, стал организацией по стандартизации следующего поколения, специализирующейся на программно-определяемых сетях и услугах инфраструктуры безопасности для поставщиков услуг, производителей технологий и проектирования корпоративных сетей. С целью создания будущего, в котором возможно взаимодействие между «лучшими в своем классе» решениями, MEF намеревалась создать ряд отраслевых стандартов, которые можно было бы использовать для обучения, а также для интеграции. Был создан комитет MEF SASE Services Definition (MEF W117), который предоставит проект технической спецификации для публичного использования. Эта спецификация была разработана рядом производителей технологий, а также несколькими поставщиками услуг и основана на текущих технических спецификациях MEF, таких как MEF 70.1 Draft Release 1 Service Attributes SD-WAN и структура обслуживания.

MEF опубликовал рабочий проект; «Проект MEF W117 1.01 SASE (Secure Access Service Edge) Атрибуты обслуживания и структура обслуживания SASE» август 2021 г. Документ доступен компаниям-участникам и членам MEF.

Смотрите также

• Модель безопасности с нулевым доверием

Рекомендации

1. «Последствия для инвестиций:« Будущее сетевой безопасности в облаке »» . Гартнер . Проверено 5 апреля 2020 г.
2. Макдональд, Нил; Оранс, Лоуренс; Скорупа, Джо (30 августа 2019 г.). «Будущее сетевой безопасности в облаке». Гартнер .
3. Мусталер, Линда (12 ноября 2019 г.). «SASE – это больше, чем просто модное слово для BioIVT». Гартнер . Проверено 24 июня 2022 г.
4. Конран, Мэтт (24 октября 2019 г.). «Эволюция Secure Access Service Edge (SASE) обусловлена ​​необходимостью». Сетевой мир . Проверено 20 декабря 2020 г.
5. Манн, Тобиас (21 января 2021 г.). «SASE – это больше, чем просто модное слово для BioIVT» . Проверено 24 июня 2022 г.
6. «Цикл ажиотажа в сфере корпоративных сетей, 2019» . Гартнер . Проверено 20 декабря 2020 г.
7. «Тенденции рынка: как победить, когда граница глобальной сети и безопасность сливаются с периферией службы безопасного доступа» . Гартнер . Проверено 20 декабря 2020 г.
8. Шеклфорд, Дэйв (1 марта 2022 г.). «SASE – это больше, чем просто модное слово для BioIVT». ТехТаржет . Проверено 24 июня 2022 г.
9. Конран, Мэтт (03 октября 2019 г.). «Secure Access Service Edge (SASE): отражение нашего времени». Сетевой мир . Проверено 20 декабря 2020 г.
10. Мария, Дэйв (7 сентября 2020 г.). «Что такое SASE? Облачный сервис, сочетающий SD-WAN с безопасностью». Сетевой мир . Проверено 24 июня 2022 г.
11. «Аналитики обсуждают достоинства SASE как рекламного поезда Совета поставщиков» . SDxЦентральный . Проверено 18 ноября 2019 г.
12. «Что такое межсетевой экран следующего поколения? Узнайте о различиях между NGFW и традиционными межсетевыми экранами». Цифровой страж . 27.11.2017 . Проверено 20 декабря 2020 г.
13. Манн, Тобиас (16 февраля 2021 г.). «SASE – это больше, чем просто модное слово для BioIVT». Форрестер . Проверено 24 июня 2022 г.
14. «Анализ прогноза: периферия службы безопасного доступа по всему миру». Гартнер . 1 марта 2022 г. . Проверено 27 июня 2021 г.
15. Манн, Тобиас (1 марта 2022 г.). «VMware, Cato, Versa претендуют на титул унифицированного SASE». Гартнер . Проверено 24 июня 2022 г.