SASE, czyli główny kierunek rozwoju sieci WAN

Oferowane jako usługa chmurowa sieci rozległe sterowane programowo oraz integrujące funkcje bezpieczeństwa już w najbliższych latach zaczną znajdować zastosowania i szybko zyskiwać popularność – tak uważają eksperci Gartnera analizujący rynek sieciowy.

SASE (Secure Access Service Edge) to koncepcja sieciowej architektury, która łączy technologię sterowanej programowo sieci rozległej SD-WAN z mechanizmami bezpieczeństwa, tworząc jednolitą i łatwą do wdrożenia usługę chmurową. Termin ten został po raz pierwszy zaproponowany w 2019 r. przez analityków Gartnera w raporcie „The Future of Network Security Is in the Cloud”.

SASE nie jest lekarstwem na wszystkie problemy z siecią i jej bezpieczeństwem, ale pozwoli firmom szybciej reagować na pojawiające się zakłócenia, zagrożenia i awarie, minimalizując ich wpływ na działanie firmy. Ponadto SASE umożliwi lepsze wykorzystanie nowych technologii, takich jak: przetwarzanie brzegowe, 5G i mobilna sztuczna inteligencja.

Zobacz również:

  • Programowalne sieci komputerowe, czyli ewolucja przesyłania danych
  • Polska technologia 5G idzie w świat

Termin SASE pojawił się w 2019 r., ale pierwsze wdrożenia tego typu architektury były już w roku 2017. A według Gartnera do 2024 r. co najmniej 40% przedsiębiorstw będzie miało wyraźną strategię wdrożenia SASE w porównaniu do mniej niż 1% pod koniec 2018 r. Jednocześnie do 2023 r. 20% przedsiębiorstw wdroży będące podstawą SASE funkcje: SD-WAN, SWG, CASB, ZTNA i FWaaS, pochodzące od jednego dostawcy, w porównaniu do mniej niż 5% w 2019 r.

W raporcie Gartner wymienił 14 firm, które już oferują lub przygotowują się do wprowadzenia na rynek usługi SASE. Są to m.in.: Akamai, Cisco, Fortinet, McAfee, PaloAlto, Symantec, Versa, VMware. Analitycy Gartnera zastrzegają się jednak, że nie jest to lista kompletna i liczba dostawców oferujących tego typu rozwiązania cały czas rośnie.

Jeśli firma planuje rozbudowę lub modernizację sieci WAN lub systemów bezpieczeństwa, na pewno warto zwrócić uwagę na koncepcję SASE i przeanalizować już pojawiające się na rynku oferty zgodnych z nią rozwiązań.

Co to jest SASE

„SASE jest bardziej filozofią i kierunkiem rozwoju systemów WAN niż listą funkcji” – uważa Nat Smith, analityk z firmy Gartner. Ogólnie SASE składa się z pięciu głównych, zintegrowanych technologii: SD-WAN, FWaaS (Secure Web Gateway – zapora sieciowa jako usługa), CASB (Cloud Access Security Broker – broker zabezpieczeń dostępu do chmury), SGW (Secure Web Gateway – bezpieczna brama internetowa) i ZTNA (Zero Trust Network Access – mechanizmy dostępu w sieci o zerowym zaufaniu).

Element SD-WAN wykorzystuje możliwości programowego sterowania siecią udostępniane przez dostawców oprogramowania i sprzętu, a także operatorów telekomunikacyjnych lub dostawców sieci jako usługi. Bezpieczeństwo opiera się na pozostałych wymienionych elementach. Połączenie wszystkich tych funkcji i możliwości w ramach jednej usługi świadczonej przez jednego dostawcę to główny cel, który umożliwi pełną realizację koncepcji SASE.

Oprócz wymienionych technologii analitycy Gartnera mówią też o innych, które w niedalekiej przyszłości powinny znaleźć się w ofercie dostawców rozwiązań SASE. Są to m.in.: ochrona aplikacji internetowych i interfejsów API, zdalna izolacja przeglądarek, sieciowa piaskownica sand-box, a także mechanizmy rozpraszania ruchu utrudniające cyberprzestępcom znalezienie zasobów firm przez śledzenie adresów IP lub podsłuchiwanie strumieni ruchu. Potencjalnymi funkcjami integrowanymi w systemie są też mechanizmy ochrony hotspotów Wi-Fi i urządzeń lub systemów obliczeniowych pracujących w trybie offline oraz obsługa starszych sieci korzystających z tuneli VPN.

Ostatecznym celem połączenia wszystkich tych technologii pod parasolem SASE jest zapewnienie przedsiębiorstwom elastycznych i spójnych zabezpieczeń, lepszej wydajności i mniejszej złożoności systemu, a wszystko to przy niższym całkowitym koszcie jego wdrożenia i utrzymania.

Zasady bezpieczeństwa

W systemie SASE zasady bezpieczeństwa powinny być dostosowywane do każdego połączenia i sesji oraz egzekwowane przy uwzględnieniu czterech czynników:

• tożsamości użytkownika,

• kontekstu połączenia (stan i zachowanie się urządzenia, rodzaj zasobów, do których użytkownik uzyskuje dostęp),

• zgodności ze zdefiniowanymi w firmie zasadami bezpieczeństwa i regulacjami prawnymi,

• bieżącej oceny ryzyka, które jest analizowane dla każdej sesji niezależnie.

Jakie są zalety i korzyści z wdrożenia architektury zgodnej z SASE

SASE jest jedną usługą łączącą różne funkcje, co zmniejsza złożoność systemu i obniża koszty. Firmy mają do czynienia z mniejszą liczbą dostawców, mniejsza jest ilość sprzętu niezbędnego w oddziałach i zdalnych lokalizacjach, a także liczba modułów agenckich instalowanych w urządzeniach użytkowników końcowych. Oprócz tego można centralnie zarządzać systemem za pomocą platform opartych na chmurze, a zasady bezpieczeństwa są automatycznie egzekwowane w rozproszonych punktach dostępu PoP (Point of Presence) znajdujących się blisko użytkowników końcowych. Z kolei użytkownicy końcowi mają takie same możliwości dostępu, niezależnie od tego, z jakich zasobów chcą skorzystać oraz ich obecnej lokalizacji.

SASE upraszcza procesy uwierzytelniania, stosując odpowiednie zasady dla wszelkich zasobów, których poszukuje użytkownik na podstawie początkowego logowania i wcześniej zdefiniowanych uprawnień. W przypadku pojawiania się nowych zagrożeń usługodawca jest odpowiedzialny za rozwiązanie potencjalnych problemów i zastosowanie odpowiednich środków ochrony, bez nowych wymagań sprzętowych dotyczących firmowej infrastruktury sieciowej. Oprócz tego SASE wykorzystuje sieci o tzw. zerowym zaufaniu (Zero Trust), które opierają się na kontroli dostępu uwzględniającej uprawnienia użytkownika oraz rodzaje urządzeń i aplikacji, a nie tylko na monitorowaniu lokalizacji i adresu IP. W efekcie różnego rodzaju użytkownicy końcowi, pracownicy, partnerzy biznesowi, kontrahenci lub klienci mogą uzyskać dostęp do aplikacji i zasobów firmy bez ryzyka, że tradycyjne mechanizmy zabezpieczeń, takie jak VPN lub DMZ, staną się przyczółkiem do ataku na firmowy system.

Dostawcy SASE mogą też świadczyć usługi o zróżnicowanej jakości, zależnej od aplikacji. Pozwala to na zapewnienie, że każda aplikacja uzyska wymaganą przepustowość i szybkość odpowiedzi.

Dzięki SASE pracownicy IT w firmie mają mniej obowiązków związanych z wdrażaniem, monitorowaniem i konserwacją infrastruktury sieciowej oraz więcej czasu na zajęcie się innymi zadaniami.

Dlaczego popularyzacja SASE jest nieunikniona?

Według Gartnera już obecnie więcej tradycyjnych funkcji centrum danych w firmach jest hostowanych poza lokalnymi centrami należącymi do przedsiębiorstw – w chmurach dostawców IaaS, SaaS i pamięci masowych. A popularyzacja systemów IoT i przetwarzania brzegowego jeszcze bardziej zwiększa zależność firm od zasobów znajdujących się w chmurze. Z drugiej strony wykorzystywana architektura bezpieczeństwa sieci WAN najczęściej wciąż jest dostosowana głównie do ochrony lokalnych centrów danych.

Zdalni użytkownicy zwykle łączą się przez VPN, dlatego też zapewnienie bezpieczeństwa sieci wymaga instalowania zapór sieciowych w każdej lokalizacji lub na poszczególnych urządzeniach. Tradycyjne modele wymagają uwierzytelniania użytkowników w scentralizowanym systemie bezpieczeństwa, który może też wymagać przekierowywania i monitorowania ruchu w centralnej lokalizacji. To zwiększa opóźnienia, obciążenie systemu oraz powoduje wzrost stopnia jego złożoności.

Dzięki SASE użytkownicy końcowi mogą się uwierzytelniać i uzyskiwać bezpieczny dostęp do wszystkich zasobów, do których mają uprawnienia, będąc pod ochroną mechanizmów zabezpieczeń znajdujących się w ich pobliżu. Tego typu architektura pozwala rozwiązać problemy z opóźnieniami, zmniejszyć obciążenie systemu centralnego, a pośrednio również koszty utrzymania bezpiecznej infrastruktury.

Tradycyjnie sieć WAN składa się z samodzielnej infrastruktury, często wymagającej dużych inwestycji w sprzęt. System SASE jest w całości oparty na chmurze, zarządzany programowo i wyposażony w rozproszone punkty dostępu PoP zlokalizowane w pobliżu firmowych centrów danych oraz zdalnych oddziałów, urządzeń i pracowników. Dostępność odpowiednio licznych i dobrze zlokalizowanych punktów PoP ma kluczowe znaczenie dla zapewnienia, że jak najwięcej firmowego ruchu ma bezpośredni dostęp do sieci SASE, co pozwala uniknąć opóźnień i problemów z bezpieczeństwem publicznego internetu.

Użytkownicy SASE mogą monitorować stan sieci i ustalać zasady bezpieczeństwa oraz wymagania dotyczące wydajności określonych aplikacji. A ponieważ ruch z internetu najpierw przechodzi przez sieć dostawcy SASE, może on wykrywać zagrożenia i interweniować, zanim dotrą one do sieci przedsiębiorstwa. Dzięki temu udaje się np. zapobiegać atakom DDoS, a jeśli do nich dojdzie, łagodzić ich skutki.

Problemy i wyzwania związane z SASE

Koncepcja architektury SASE jest obecnie w początkowej fazie rozwoju, a jej popularyzacja będzie wymagała pokonania przynajmniej kilku barier. Wśród najważniejszych analitycy Gartnera wymieniają:

- Wdrożenie efektywnego systemu opartego na koncepcji SASE może napotkać na problemy, bo rozwiązania takie oferują obecnie dostawcy specjalizujący się albo w technologiach SD-WAN, albo w systemach bezpieczeństwa sieci i często niemający dużego doświadczenia jednocześnie w obu tych dziedzinach.

- Już w początkowej fazie rozwoju tej koncepcji wywołała one spore zainteresowanie wśród producentów oprogramowania. Warto pamiętać, że wiele firm mających duże doświadczenie we wdrażaniu sieci SD-WAN lub systemów bezpieczeństwa może oferować rozwiązania oparte na klasycznej architekturze i sprzęcie instalowanym on-premise, które nie zostały od podstaw zaprojektowane z myślą o chmurze.

- Niektórzy dostawcy nie mają doświadczenia we wdrażaniu wymaganych przez SASE wbudowanych serwerów Proxy, przechwytujących połączenia między użytkownikiem końcowym i internetem (inline proxy), a to może powodować problemy z wydajnością systemu i zwiększać koszty. Oprócz tego może im brakować umiejętności dobrej oceny kontekstu nawiązywanych połączeń, co wpływa na poziom bezpieczeństwa lub efektywność działania sieci.

- Ze względu na złożoność SASE ważne jest też, aby dostawca oferował system o dobrze zintegrowanych funkcjach, a nie tylko łączący różne rodzaje oprogramowania. Na przykład ważne jest zintegrowanie agentów SASE z innymi, już zainstalowanymi w urządzeniach programami tego typu.

- Tworzenie odpowiednio gęstej sieci lokalnych punktów dostępu PoP (Point of Presence) okazuje się zbyt kosztowne dla niektórych dostawców SASE, co w efekcie może prowadzić do różnej wydajności sieci zależnie od lokalizacji zdalnych użytkowników lub oddziałów firmy względem najbliższego punktu PoP.

- Wdrożenie SASE niekiedy powoduje konflikty w firmowych zespołach IT, gdzie funkcjonują względnie niezależne działy zajmujące się zarządzaniem siecią oraz bezpieczeństwem systemu. A jeśli wdrożenie wiąże się ze zmianą dotychczasowych dostawców, może się to wiązać z dodatkowymi szkoleniami niezbędnymi do efektywnej obsługi nowej technologii.

Oprócz tego w przypadku SASE duże znaczenie ma architektura oprogramowania i implementacja systemu. „Warto zwrócić uwagę, że niektórzy dostawcy mogą proponować świadczenie usług łączących dużą liczbę funkcji za pośrednictwem łańcuchów maszyn wirtualnych wykorzystujących oprogramowanie różnych firm. Takie podejście może przyspieszyć wprowadzenie usługi SASE na rynek, ale również spowodować niespójność systemu, utrudnić zarządzanie nim i zwiększyć opóźnienia transmisji” – ostrzega Andrew Lerner, wiceprezes Gartner Research.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200