В последнее время активно набирает обороты SASE — это один из восходящих трендов в сетевой отрасли. Что это такое? Если кратко, то это технологическая корпоративная стратегия, которая объединяет функции сети и безопасности с возможностями глобальной сети. Зачем? Для того, чтобы обеспечить потребности сетевого доступа современных организаций, причем доступ должен быть одновременно надежным и безопасным.

В целом, можно сказать, что SASE — своего рода объединение возможностей SD-WAN и служб сетевой безопасности, включая брандмауэр следующего поколения (NGFW), безопасный веб-шлюз (SWG), сетевой доступ к сети с нулевым доверием (ZTNA) и посреднические службы облачной безопасности (CASB), в единую модель обслуживания. Это если кратко, подробности — под катом.

Кому и зачем это нужно?


В общем-то, ответ остается неизменным — SASE, в первую очередь, нужна для компаний, преимущественно средних и крупных. Им всегда нужен надежный и главное, непрерывный доступ к облачным ресурсам и данным, которые находятся в «облаках». Вся эта информация критически важна для бизнеса, поэтому проблемы не допускаются.

К сожалению, большинство современных решений для обеспечения безопасности не способны обеспечить необходимый уровень скорости, производительности, безопасности и контроля доступа, которые нужны организациям и их пользователям. Можно сказать, что SASE — качественный, а не количественный этап развития сетевых технологий и бизнес-стратегий, которые на них базируются.

Сам термин SASE появился только в 2019 году — его автором можно считать компанию Gartner, которая употребила термин в своем отчете «Будущее сетевой безопасности в облаке». Эксперты агентства в этом ответе указали, что SASE — одна из важнейших тенденций рынка. В частности, об этом говорится в разделе «Требования клиентов к простоте, масштабируемости, гибкости, низкой задержке и постоянной конвергенции сетевой безопасности WAN и рынков сетевой безопасности».

В отчете дается следующее определение стратегии: «SASE объединяет функции сетевой безопасности (такие как SWG, CASB, FWaaS и ZTNA) с возможностями WAN (т.е. SD-WAN) для обеспечения потребности организаций в динамическом безопасном доступе к ИТ-ресурсам. Эти возможности предоставляются в основном в виде -aaS и основаны на определении учетных записей, актуального контекста и политик безопасности и регуляторного соответствия. По сути, SASE — это новый пакет технологий, включающий SD-WAN, SWG, CASB, ZTNA и FWaaS в качестве основных возможностей, обладающий способностью идентифицировать конфиденциальные данные или вредоносное ПО, а также способностью дешифровать контент на линейной скорости, с непрерывным мониторингом сессий на предмет адекватного уровня риска и доверия".

Особенности SASE


Главным отличием SASE от других технологических стратегий является размещение механизмов управления безопасностью сети на периметре — в пограничной с облаком зоне. В большинстве традиционных моделей управление безопасностью осуществляется централизованно. В итоге SASE ликвидирует необходимость в сервисах, которые нуждаются в индивидуальной конфигурации и управлении. Вместо этого SASE предоставляет стандартизированный набор сетевых сервисов и сервисов безопасности, которые позволяют создать надежную и эффективную сетевую архитектуру в зоне объединения сети и облака.

Компоненты стратегии SASE


Простой стратегию назвать нельзя, она включает несколько компонентов. Но цель всего этого — обеспечение безопасного корпоративного доступа к ресурсам.



Основные компоненты:
  • Защита SD-WAN. Включает основные возможности сети WAN, например, динамический выбор пути, самовосстанавливающиеся возможности WAN, поддержка требовательных высокопроизводительных приложений и единообразное взаимодействие с пользователями.
  • Доступ с нулевым доверием (Zero Trust). Главная задача этого компонента — многофакторная аутентификация пользователей. Здесь, в числе прочих технологий, используется идентификация на основе ролей.
  • NGFW (физический) или FWaAs (облачный) брандмауэр. Обеспечивает безопасность для периферии и предложений, предоставляемых через облако. Это нужно для защиты периферийных устройств и пользователей не только в сети компании, но и за ее пределами. Благодаря этому компоненту обеспечивается внутренняя сегментация, которая позволяет предотвратить угрозы гостям и/или Интернету вещей, одновременно обеспечивая согласованные политики безопасности для пользователей, которые работают вне сети.
  • Безопасный веб-шлюз. Этот компонент требуется для защиты пользователей и устройств от внешних угроз. Благодаря ему обеспечивается соблюдение нормативных требований подключения сети Интернет. Кроме того, фильтруется потенциально вредоносный интернет-трафик.
  • CASB. Этот компонент представляет собой услугу, которая дает возможность компаниям контролировать собственные SaaS-приложения, включая безопасный доступ к приложениям. CASB и DLP дают комбинированную защиту критически важных данных. Компонент выполняет сразу несколько функций обеспечения безопасности для облачных сервисов, включая выявление теневой активности, защиту конфиденциальности данных и обеспечение соответствия с требованиям регламентов по защите данных.

Какие преимущества дает SASE компании?


В целом, их немало. Всего можно выделить четыре основных плюса.

  • Гибкая и последовательная безопасность. Стратегия предоставляет широкий спектр возможностей по обеспечению безопасности, от предотвращения угроз до политик NGFW, для любой периферии, обеспечивая доступ к сети с нулевым доверием. В итоге компания всегда знает, кто и с какой целью находится в сети компании. Кроме того, все ресурсы компании, как в сети, так и вне — защищены, а у сотрудников есть доступ.
  • Снижение общей стоимости инфраструктуры. SASE — единая стратегия, объединяющая сразу несколько решений. Благодаря этому не нужно использовать изолированные продукты и «зоопарк» самых разных решений. Соответственно, снижаются капитальные и эксплуатационные расходы.
  • Снижение сложности инфраструктуры. SASE упрощает архитектуру решений за счет консолидации ключевых сетевых функций и функций обеспечения безопасности из разрозненных систем и решений в единое целое. Все они управляются из единого центра.
  • Оптимизация производительности. Благодаря доступности облачных технологий, все сотрудники компании без проблем подключаются к внутренним или внешним ресурсам, не опасаясь разного рода киберугроз.

На что нужно обратить особенное внимание?



Как и в любой другой ситуации, при внедрении SASE требуется аккуратность при выборе архитектуры и программного обеспечения. Компании стоит быть осторожной с поставщиками, которые предлагают множество функций на основе чейнинга виртуальных машин. Да, все это ускоряет разворачивание инфраструктуры, но одновременно инфраструктура разделяется на сегменты, управлять ею будет достаточно сложно. Лучше всего выбирать тех поставщиков SASE, кто предлагает лицензирование на основе учетных записей во всех продуктах.

А что у Zyxel?




В частности принцип Zero Trust, о котором мы писали выше, позволяющий эффективно контролировать безопасность сети дажи при большом количестве удаленных устройств реализован в Централизованной системе управления сетью Zyxel Nebula. Система предлагает единое, удобное управление распределенной сетью предприятия, а также удаленными локациями и сотрудниками. Все сетевые компоненты находятся в одной экосистеме, управляемой из облака: безопасность, коммутация, беспроводка. В базовой бесплатной версии выполняется большая часть функционала, подходящая для большинства сетей. В частности в одной из гостиниц Голландии базовая версия работает на более чем 300 устройствах.

12 апреля 2021 года Nebula ждет большое обновление, так что многие данные по ссылке выше будут изменены. Узнать самую актуальную информацию о новой Zyxel Nebula и задать свои вопросы вы сможете на серии наших вебинаров.

Вебинар №1 — для европейской части России и Беларуси


Вебинар №2 — для Украины


Вебинар №3 — для Казахстана, Сибири и Дальнего Востока


Вебинар №4 — Новая модель лицензирования и сопутствующий функционал Nebula


Добро пожаловать!

При подготовке статьи использовались материалы веб-сайта уважаемой компании Fortinet.