Rozwiązania Security Service Edge zostały zaprojektowane z myślą o kluczowych problemach w zakresie bezpieczeństwa, przed którymi stoją organizacje w dobie pracy hybrydowej, aplikacji w środowiskach wielochmurowych, edge computing oraz digitalizacji technologii operacyjnych (OT). W miarę jak organizacje wprowadzają oprogramowanie i oferty typu infrastruktura jako usługa (SaaS, IaaS), ich dane i aplikacje są coraz bardziej rozproszone poza centrami danych. Ponadto coraz więcej użytkowników łączy się z aplikacjami i danymi z dowolnego miejsca. Zabezpieczenie aplikacji w chmurze i użytkowników mobilnych jest coraz trudniejsze w przypadku zastosowania tradycyjnych metod zapewniających bezpieczeństwo sieci, ponieważ starsze technologie opierają się na centrum danych i sprawiają, że ścieżka od użytkownika, urządzenia lub obciążenia do usługi jest skomplikowana. Tradycyjne stosy zabezpieczeń centrów danych stały się skomplikowanymi, trudnymi do zintegrowania zbiorami produktów punktowych. W czasach, gdy niemal wszystko opiera się na chmurze, tego typu zabezpieczenia prowadzą do powstania luk i zwiększają ryzyko zaawansowanych zagrożeń, takich jak ransomware.

Rozwiązania typu Security Service Edge umożliwiają wdrożenie cyberbezpieczeństwa bez konieczności łączenia się z siecią. W idealnym przypadku bezpieczeństwo powinna zapewniać chmura, która może śledzić połączenie użytkownika z aplikacją niezależnie od lokalizacji. Dzięki zastosowaniu platformy Zero Trust Exchange firmy Zscaler można prowadzić automatyczne aktualizacje zabezpieczeń dla wszystkich użytkowników, bez typowego czasu opóźnienia związanego z ręczną administracją IT.

Platforma SSE powinna oferować następujące funkcje:

1) Globalna dostępność i odporność na awarie

Kiedy firmy zlecają dostawcom chmury całą infrastrukturę bezpieczeństwa obejmującą wszystkie funkcje, potrzebują globalnie dostępnego, odpornego na awarie i skalowalnego rozwiązania. W związku z tym przy wyborze dostawcy ważną rolę powinna odgrywać możliwość wykazania odporności na awarie. Ułatwiają to umowy o poziomie usług (SLA), które przedstawiają klientowi informacje o gwarantowanych usługach, takich jak stabilność i dostępność.

2) Bezpieczeństwo oparte na modelu Zero Trust

Model Zero Trust jest niezwykle ważny dla zapewnienia właściwej funkcjonalności Security Service Edge dla każdej usługi i powinien być stosowany do inspekcji całego ruchu. Rozwiązanie musi być w stanie monitorować bezpieczeństwo od źródła ruchu do miejsca docelowego za pomocą indywidualnego procesu kontroli opartego na regułach. Proces ten powinien regulować dostęp w oparciu o zasadę najmniejszego uprzywilejowania (Least Privilege), która przyznaje każdemu użytkownikowi lub urządzeniu dostęp do aplikacji na podstawie jego indywidualnych uprawnień. Taka mikrosegmentacja wszystkich źródeł zapobiega poziomemu rozprzestrzenianiu się ataków w środowisku IT. Ponieważ aplikacje i usługi nie są już narażone na zagrożenie z powodu połączenia z Internetem, powierzchnia ataku jest zmniejszona, a ryzyko biznesowe zminimalizowane.

3) Skalowalna i kompleksowa inspekcja TLS

Badanie całego ruchu, także szyfrowanego, pod kątem obecności złośliwego kodu jest podstawą dla dalszych funkcji związanych z bezpieczeństwem. Firmy powinny przywiązywać wagę do wydajności rozwiązania, aby holistyczne skanowanie bezpieczeństwa nie stało się wąskim gardłem dla ruchu. Usługa proxy kontroluje ruch we wszystkich kierunkach w linii i w czasie rzeczywistym. Ustawienie organu kontroli w chmurze pomiędzy źródłem a miejscem docelowym strumienia danych oznacza możliwość przeprowadzenia pełnej kontroli TLS. Dzięki temu można uzyskać wyższy poziom bezpieczeństwa, niż pozwalają na to konwencjonalne zapory przekazujące.

4) Elastyczność dla przyszłych scenariuszy zastosowań

Wraz z pojawiającymi się trendami w dziedzinie edge computing i 5G istotną rolę odgrywa możliwość bezpiecznego działania aplikacji na krawędzi oraz monitorowania komunikacji strumieni danych niezależnie od zastosowanego mechanizmu transmisji. Firmy chcą korzystać z funkcji zapewniających bezpieczeństwo w miejscach, które nie zawsze znajdują się blisko Internetu, a jednocześnie mieć możliwość korzystania z tej samej funkcji kontrolnej.

5) Orientacja na wygodę użytkownika

Wygoda użytkownika rozwiązania bezpieczeństwa powinna być zawsze traktowana priorytetowo, aby umożliwić osiągnięcie powszechnej akceptacji. W idealnej sytuacji użytkownik nie zauważa rozwiązania chroniącego strumienie danych, dzięki czemu nic nie ogranicza jego pracy i nie musi wykonywać manualnych operacji, jak ma to miejsce w przypadku rozwiązania VPN. Łatwość użycia sprawia, że użytkownik może bezproblemowo korzystać z rozwiązania SSE.

6) Integracja z ekosystemem partnera

Żaden dostawca usług bezpieczeństwa nie jest tak dobry, aby mógł obejść się bez partnerów technologicznych, którzy np. zapewniają integrację z chmurą, AWS lub Azure, albo wykrywanie punktów końcowych i SD-WAN. Integracja z partnerem powinna się odbywać w solidnym ekosystemie, opartym na API i najlepszym w swojej klasie, w którym partnerzy wnoszą swój know-how i doświadczenie w konkretnych obszarach, aby zarządzać automatyzacją.

7) Zakupy wyłącznie po gruntownych testach

Każda organizacja, która chce przetestować usługę SSE, powinna poddać ją obszernej weryfikacji koncepcji (Proof of Concept, PoC) w środowisku produkcyjnym. PoC z ograniczoną liczbą użytkowników lub lokalizacji ukrywa ograniczenia i restrykcje, które mogą pojawić się dopiero podczas implementacji w backendzie i mogą doprowadzić do przedłużenia procesu wdrażania. Test badania TLS jest szczególnie ważnym procesem przedstawiającym wydajność systemu.

Nathan Howe, wiceprezes ds. nowych technologii w firmie Zscaler