SASE arhitektura kao odgovor na nove IT trendove

U posljednjih par godina, došlo je do velikih promjena u odnosu organizacija spram zaštite od cyber napada. Osim trendova uzrokovanih razvojem tehnologije, velike promjene donijela je pandemija. U svijetu IT-a, danas postoje barem dva velika trenda koji usmjeravaju potrošnju i investiciju svih organizacija u tehnologiju. Posredstvom tih trendova, razvila se i nova arhitektura – SASE.

“Uslugizacija” svega i trajna promjena u poslovanju

“Uslugizacija” se kreće od softvera (SaaS), infrastrukture (IaaS), pa sve do mreže i sigurnosti (Security as a Service, Network as a Service). Umjesto da hakeri “upadaju” u infrastrukturu zbog prevelike zaokupljenosti ili trošenja vremena na održavanje servera i mrežne opreme, as-a-service model omogućava da se dio posla delegira pružatelju usluga. On se potom specijalizira za određene zadaće, a korisnik očekuje da ih izvršava najbolje što može. Korisnik se zato može fokusirati na najbitnije ili najvrjednije aktivnosti. Jer znamo da je vrijeme novac.

Desetljeće digitalne transformacije se koncentriralo i odigralo u nekoliko mjeseci tijekom 2020. godine. Distribuirani rad s bilo koje lokacije na svijetu je postao uobičajen i, neovisno o završetku pandemije, malo je vjerojatno da će se koncentracija zaposlenika u velikim uredima s kompliciranom infrastrukturom ponoviti. Infrastruktura, pod čime mislimo na mrežu i sigurnost, mora pratiti svakog mobilnog korisnika. U doba eskalirajućih cyber prijetnji, ne postoji opravdanje za tretiranje mrežnog prometa na laptopu u središnjem uredu organizacije drugačije od poslovnog tableta u home office okruženju. U protivnom, dolazi do nekonzistentnosti koju napadači iščekuju.

Upravo su ova dva opisana trenda potaknula razvoj Secure Access Service Edge, arhitekture poznatije kao SASE.

Tradicionalan pristup work-from-home je nedostatan

Tradicionalan pristup work-from-home ili udaljenim ispostavama je VPN kojeg prati usmjeravanje prometa u “centralu” i, po potrebi, na internet. No, ovakav pristup znači snažnu koncentraciju opreme, znanja i rada u jednoj točki (centralni ured). Sama udaljena računala zahtijevaju puno angažmana IT tehničara. Dodatno, preusmjeravanje prometa s mobilnih laptopa do centrale, bez previše ograničenja, otvara površinu napada i povećava rizike.

Ako, pak, želimo dodati sigurnosni tretman prometa koji dovodimo do centrale (Data Loss Prevention, URL filtering i Secure Web Gateway, Next-Gen firewall uz detekciju aplikacija, itd.), infrastruktura u centrali se dodatno komplicira. Dolazi do složenih rekonfiguracija koje donose vrlo malu skalabilnost.

Paralelno, otkrivamo da sve više aplikacija “bježi” u cloud (SaaS, Microsoft Office 365). VPN “centrala” se stoga pokazuje nepotrebno opterećena jer postaje “dumb pipe” za prosljeđivanje prometa na internet. Ubrzo, pitamo se zašto toliko prometa “dovlačimo” u centralu da bi ga samo proslijedili na internet. Dodatno, suočeni smo s puno održavanja, intervencija i priljevom novih helpdesk ticketa od strane frustriranih korisnika.

Ukratko, postaje jasno da sa sadašnjom arhitekturom udaljenog pristupa imamo “slona u sobi” (eng. elephant in the room). U prijevodu, imamo skupo, nesigurno i neefikasno rješenje koje tipično izgleda ovako:

Dva gore spomenuta trenda – pandemija i “uslugizacija” IT-a – omogućili su i ubrzali primjenu nove arhitekture. Radi se o Secure Access Service Edge (SASE). Nakon pandemije, VPN u 21. stoljeću bi otprilike mogao izgledati ovako:

Ključna promjena je dodavanje novog servisnog sloja. To znači da se oslanjamo na pružatelja usluga SASE pristupa u odrađivanju pametnog i sigurnog spajanja s centralom i internetom. Apstrahira se jako puno kompleksnosti, uvodeći sigurnosne funkcije filtriranja prometa kod sebe. Time se rasterećuju resursi i pojednostavljuje infrastruktura od centrale do perifernih lokacija i uređaja.

Koje funkcionalnosti podrazumijeva optimalno SASE rješenje?

Mnogi proizvođači su u svoj portfelj uvrstili SASE rješenja, no najbolje pozicionirani su oni koji nude:

1. Kompletan i integriran portfolio koji pokriva sve scenarije – od mrežne opreme u centrali, preko perifernih točaka pristupa (branch office), do klijentskog softvera (endpoint inspekcija i autentikacija korisnika)
2. Već izgrađenu infrastrukturu u cloudu koja je dostupna što bliže korisničkim lokacijama (POP točke), bez obzira na geografsku lokaciju. Baš kao i kod, primjerice, mobilnih operatera, geografska pokrivenost (coverage) je iznimno bitna.
3. Jednostavnost implementacije i (re)konfiguracije, pogotovo na perifernim točkama i mobilnim endpointima. Automatizacija i zero touch provisioning postaje vrlo važan i integralan dio usluge. Implementacija kod tisuću korisnika/zaposlenika mjeri se u danima.
4. Sve potrebne sigurnosne funkcije integrirane su u servisnom sloju: SD-WAN, FWaaS, ZTNA, SWG, CASB, DLP.

Prisma Access, Palo Alto Networks SASE rješenje, jedno je od onih proizvoda koje zadovoljavaju gore navedene funkcionalnosti.

Pročitajte više o Palo Alto Networks proizvodima.