Как обычно организована безопасность информационной инфраструктуры предприятия? В традиционной схеме все функции контроля доступа, аутентификации и фильтрации трафика сосредоточены в центре обработки данных, к которому удаленные пользователи и филиалы подключаются с помощью VPN. Из этого же централизованного узла осуществляется администрирование защиты периметра, в том числе, управление учетными записями, обновление антивирусных баз и настройка брандмауэра. Описанная схема в целом работала эффективно, по крайней мере, до тех пор, пока в современных компаниях не исчез охраняемый периметр как таковой. Нет, он не то чтобы исчез полностью, а скорее утратил четкие контуры и размылся: работающие из дома пользователи подключаются к корпоративной сети, к облачным хранилищам, к виртуальным машинам, контейнерам, веб-приложениям, и все перечисленные элементы могут работать независимо друг от друга. Как обеспечить безопасность в этом случае? Для решения проблемы в 2019 году компания Gartner предложила концепцию SASE, которую многочисленные исследователи тут же окрестили «трендом будущего облачных вычислений». Давайте разберемся, что это за тренд, и почему на него возлагают столь большие надежды.

SASE расшифровывается как Secure Access Service Edge, и по большому счету представляет собой модель предоставления клиентам услуг безопасности в качестве сервиса. К концепции SaaS (софт, как сервис) мы все уже давным-давно привыкли, а что же представляет собой «безопасность как сервис»?

SASE позволяет собрать несколько независимых инструментов в единое техническое решение. Конечному потребителю нужно будет управлять только одним сервисом, вместо того чтобы подключать и настраивать кучу отдельных компонентов защиты. По задумке авторов концепции, SASE должен предоставить простой и удобный механизм управления всей инфраструктурой безопасности предприятия с единой административной панелью и стандартным агентом, работающим на клиентских устройствах. Фактически, авторы идеи попытались объединить разношерстный «зоопарк» решений сетевой безопасности в рамках одной облачной платформы.

С функциональной точки зрения SASE состоит из пяти элементов.



Первый из них — брокер безопасности доступа к облаку (CASB). Это инструмент реализации политики безопасности между конечными пользователями и поставщиками облачных служб, веб-приложениями и облачными хранилищами. В состав CASB могут входить службы мониторинга идентификации и доступа Identity and Access Management (IAM), системы проактивного обнаружения нетиповых угроз и целевых атак на конечных точках EDR (Endpoint Detection & Response), а также инструменты для предотвращения потери и утечек данных (DLP).

Второй компонент — облачный брандмауэр FWaaS, Firewal as a Service, предоставляемый конечному пользователю в виде услуги. Как и обычный фаервол, FWaaS выполняет фильтрацию трафика согласно настроенным администраторами правилам, но также может включать функции предотвращения и обнаружения вторжений (IPS/IDS) и обеспечения безопасности DNS. То есть, FWaaS реализует практически все возможности, которые предлагают современные межсетевые экраны нового поколения (Next-Generation Firewall, NGFW).

Следующий элемент архитектуры SASE — это веб-шлюз безопасности (Secure Web Gateway, SWG), использующийся для мониторинга, проверки и регистрации трафика пользователей, а также для блокировки вредоносных программ. Этот же шлюз может применяться в качестве средства офисного контроля для блокировки доступа пользователей к нежелательным сайтам и фильтрации контента по URL с использованием «черных» и «белых» списков.

Четвертый компонент — стратегия сетевого доступа с нулевым доверием (Zero Trust Network Access, ZTNA). Она обеспечивает аутентификацию как на уровне пользователей и их ролей, так и на уровне устройств, и кроме того ограничивает боковые перемещения внутри сетевой инфраструктуры в соответствии с принятыми на предприятии политиками безопасности.

Наконец, пятый элемент — это программно-определяемая глобальная сеть (SD-WAN), безопасно связывающая филиалы, центры обработки данных и удаленных пользователей. SD-WAN может работать как поверх обычного интернета, так и с использованием собственных защищенных каналов связи, например, на основе корпоративного VPN. К этой технологии относят также различные интеллектуальные средства управления трафиком и мониторинга.



С технической точки зрения SASE использует программно-определяемую глобальную сеть для создания регионально распределенных точек присутствия (PoP), которые реализуют облачные функции безопасности для близлежащих филиалов и удаленных пользователей. В статье «Будущее сетевой безопасности в облаке», где впервые появился термин SASE, аналитики Gartner объясняли преимущества своей концепции следующим образом: «Вместо того, чтобы полагаться на безопасность вашего центра обработки данных, трафик с устройств пользователей проверяется в ближайшей точке присутствия, и оттуда отправляется к месту назначения. Это обеспечивает более эффективный доступ к приложениям и данным, что делает предлагаемую технологию лучшим вариантом для защиты удаленных сотрудников и информации в облаке».

В 2021 году в Gartner обратили внимание на то обстоятельство, что в изначальном виде SASE может принести пользу только крупным предприятиям, в то время как компании поменьше задействуют далеко не весь предложенный спектр возможностей. Иными словами, SASE нужен организациям, у которых имеются как удаленные филиалы, так и сотрудники, работающие дистанционно. Если фирма использует только отдельные облачные технологии, SD-WAN в ее инфраструктуре обычно не применяется. Поэтому специально для них разработчики придумали вариант «лайт», убрав из аббревиатуры SASE букву «А». Получившаяся концепция SSE (Security Service Edge) — периметр службы безопасного доступа — это по большому счету SASE без SD-WAN. SSE защищает доступ к Интернету, облачным сервисам и веб-приложениям, а его возможности включают контроль доступа, защиту от угроз, обеспечение безопасности данных, мониторинг и контроль трафика на основе сетевых API. Кроме того, SSE можно развернуть поверх уже существующего SD-WAN, что позволит значительно снизить накладные расходы на внедрение новой технологии. Это станет для предприятия первым шагом на пути к конвергенции используемых инструментов сетевой безопасности, и впоследствии SD-WAN может быть включен в созданную инфраструктуру, превратив SSE в SASE.

Иными словами, SSE является подмножеством SASE, исключающим SD-WAN, но сохраняющим функции CASB, FWaaS, SWG и ZTNA. При этом в парадигме SSE по-прежнему остается возможность задействовать защищенные корпоративные каналы связи, но подключенные и контролируемые с использованием политик ZTNA, а не посредством SD-WAN.

Несмотря на архитектурную сложность, с точки зрения конечного потребителя SASE значительно упрощает менеджмент безопасности IT-инфраструктуры предприятия. Прежде всего, эта концепция в гораздо большей степени обеспечивает контекстуальную осведомленность благодаря корреляции событий безопасности в реальном времени с поступающими от пользователей сетевыми данными. Кроме того, SASE перекладывает задачи по развертыванию, обслуживанию, оптимизации и технической поддержке инфраструктуры безопасности с IT-специалистов компании на плечи поставщика облачных услуг. С экономической точки зрения это очень важный аспект, позволяющий экономить бюджет и ресурсы предприятия, поэтому концепция SASE вряд ли останется незамеченной. Возможно, именно по этой причине ее и называют «трендом будущего». Gartner прогнозирует, что к 2025 году более 60% IT-компаний либо будут на пути к внедрению SASE или SSE, либо, по крайней мере, разработают долгосрочные планы для достижения этой цели.

Вместе с тем, с практическим внедрением SASE все еще имеются некоторые проблемы. Осенью 2022 года CyberRisk Alliance (CRA) опросил 300 специалистов в области информационных технологий о безопасности конвергентных облаков. Только 10% респондентов опроса заявили, что их организации внедрили SASE или SSE. Но при этом почти половина (46%) признались: они не совсем понимают, что означают эти термины.

По большому счету, на сегодняшний день SASE и SSE — это всего лишь концепции, и даже сами авторы не раскрывают каких-то конкретных технических вариантов их реализации. Кстати, поэтому некоторые облачные провайдеры сейчас предлагают своим клиентам решения под маркой «SASE», которые, по большому счету, представляют собой всего лишь набор уже существующих технологий в различных сочетаниях. Однако чтобы продавать клиентам «настоящий SASE», провайдерам придется не просто пересмотреть, а фактически выстраивать с нуля облачную инфраструктуру безопасности.

Ко всему почему в рамках концепций SASE и SSE остается нерешенным вопрос защиты доступа к устаревшим приложениям. Также организации должны будут своими силами создавать решения для подключения своих филиалов и центров обработки данных к сервису SASE, особенно, если они используют самостоятельно разработанные приложения с собственным API.

С другой стороны, переход от установленных непосредственно в офисах серверных стоек к «облакам» уже давно стал повсеместным явлением и никого не удивляет. Услуги информационной безопасности, в частности, те же антивирусы, тоже доступны по подписке в течение уже довольно длительного времени. Вполне логичный следующий шаг — переход от локальных систем защиты данных на базе физического оборудования, которое необходимо настраивать и обслуживать вручную, к эластичным облачным решениям. Тем более, очень многие современные IT-компании постепенно становятся «виртуальными» — их сотрудники работают удаленно в различных городах и даже странах мира, а вся инфраструктура представляет собой набор веб-приложений и облачных сервисов, с которыми взаимодействует персонал. Сможет ли SASE заменить традиционный подход к организации информационной безопасности предприятия? Скорее всего да, но на это потребуется время.

Статья поддерживается командой Serverspace.

Serverspace — провайдер облачных сервисов, предоставляющий в аренду виртуальные серверы с ОС Linux и Windows из любой точки мира менее чем за 1 минуту. Для построения ИТ-инфраструктуры провайдер также предлагает: создание сетей, шлюзов, бэкапы, сервисы CDN, DNS, объектное хранилище S3.