Gartner wprowadził termin SASE (Secure Access Service Edge) stosunkowo niedawno, bo w raporcie z 2019 roku. Został on szybko podchwycony przez producentów rozwiązań sieciowych i mechanizmów bezpieczeństwa, którzy na początku zaczęli po prostu integrować systemy SD-WAN, bezpieczne bramy internetowe SWG, brokerów bezpieczeństwa dostępu do chmury CASB, zapory sieciowe oferowane jako usługa FWaaS oraz mechanizmy dostępu do sieci o zerowym zaufaniu ZTNA. Taka integracja własnych produktów lub systemów składających się z rozwiązań innych niezależnych firm dawała podstawę do określenia produktu jako zgodnego z koncepcją SASE.

Analitycy Gartnera uważają, że przejście przedsiębiorstw na kompletny model SASE zajmie dużo czasu, ale do 2025 roku przynajmniej 60% przedsiębiorstw opracuje strategie i harmonogramy wdrożenia architektury SASE. Na szybkość transformacji wpływ będzie miało wiele czynników, takich jak: cykle odświeżania sprzętu, projekty modernizacji zdalnych oddziałów, a także konieczność przeszkolenia pracowników IT oraz integracji zespołów zajmujących się bezpieczeństwem i zarządzaniem siecią. Ale nie należy odkładać tego tematu i warto już dziś zacząć przygotowania do wdrożenia systemu SASE. Dlatego prezentujemy niektóre firmy z różnych segmentów rynku, które już dzisiaj reklamują się jako dostawcy rozwiązań SASE

Trzeba jednak zdawać sobie sprawę, że w chwili obecnej niewielu dostawców ma kompletną, dojrzałą ofertę SASE, a mimo to przynajmniej kilkadziesiąt firm już reklamuje swoje rozwiązania jako zgodne z tą koncepcją. Analitycy Gartnera ostrzegają, że „nie każdy dostawca, który twierdzi, że oferuje produkt SASE, dostarcza obecnie wszystkich wymaganych i zalecanych funkcji SASE, a jeśli jest inaczej, to często nie wszystkie są na tym samym poziomie funkcjonalności i dojrzałości” (Raport 2021 Strategic Roadmap for SASE Convergence).

SASE nie jest produktem, ale raczej architekturą, platformą lub zbiorem zintegrowanych funkcji łączących mechanizmy bezpieczeństwa oraz oprogramowanie do monitorowania i zarządzania systemem sieciowym. Celem integracji jest zapewnienie, by użytkownicy znajdując się w dowolnym miejscu i korzystający z dowolnego urządzenia mogli bezpiecznie oraz efektywnie korzystać z aplikacji i danych znajdujących się w dowolnym miejscu, czyli w chmurze lub lokalnym centrum danych.

KOMENTARZ EKSPERTA

Rozwiązanie SASE (Secure Access Service Edge) w ostatnim czasie zyskuje na popularności, mimo iż nie jest ono do końca zdefiniowane, a każdy dostawca rozumie i wdraża je nieco inaczej. W czym za tym tkwi fenomen SASE i czy jest w stanie zagościć na rynku na stałe?

Ze względu na bardzo dużą liczbę funkcjonalności, które można realizować przy pomocy tego rozwiązania, trudno jednoznaczne określić kluczowe przewagi nad innymi usługami. Niewątpliwie przy rozproszonej architekturze SASE bardzo istotne są funkcje bezpieczeństwa, i to realizowane blisko użytkownika końcowego; uproszczenie łączności z aplikacjami, szczególnie tymi zlokalizowanymi w chmurze; centralne zarządzanie obejmujące zarówno aspekty sieciowe, jak i bezpieczeństwa; dostęp pracowników zdalnych do zasobów przez niezależnie od ich lokalizacji. SASE, podobnie jak SD-WAN, opiera się na architekturze rozproszonej ze scentralizowanym zarządzaniem, co sprawia, że zyskujemy większą wydajność. Wszystkie te elementy niewątpliwie powodują, iż SASE może być kluczowy przy budowie rozwiązań dostępu do zasobów firmowych. Jednak jeszcze ważniejszym jest budowanie sieci firmowej z wykorzystaniem mechanizmu ZTNA (Zero Trust Network Access), szczególnie w dzisiejszych czasach, gdzie zagrożenie cyberatakami jest co raz częstsze. Mechanizm ZTNA, który jest częścią SASE, zakłada, iż wszyscy użytkownicy, urządzenia, systemy niezależnie od ich lokalizacji traktowane są jako potencjalne zagrożenie dla sieci. Możliwość wykorzystania tego mechanizmu oraz pozostałe bogate funkcjonalności sprawiają, że SASE zyskuje przewagę na rynku nad innymi rozwiązaniami.

Warto również zaznaczyć możliwość integracji SASE z siecią zbudowaną z wykorzystaniem technologii SD-WAN (Software Defined Network), co pozwala na optymalizacje ruchu i pełne wykorzystanie mechanizmów centralnego zarządzania.

Na koniec należy jeszcze zwrócić uwagę na kwestie związane z dostępem do rozbudowanej analityki, która pozwala nie tylko na detaliczne monitorowanie środowiska SASE, ale przede wszystkim na podejmowanie decyzji dotyczących rozwoju, wykorzystywanych aplikacji, zachowań użytkowników i bezpieczeństwa.

Można się zastanowić, czy przy tak rozbudowanej funkcjonalności SASE może mieć jakieś wady. I wydaje się, że właśnie bardzo duży wachlarz możliwości i zarządzanie wieloma elementami, które bardzo często są wdrażane przez niezależne zespoły w korporacjach np. zespół sieciowy i zespół bezpieczeństwa spowoduje spowolnienie implementacji tego rozwiązania. Ponadto należy pamiętać, iż SASE to zbiór technologii i zasad, a nie jeden konkretny produkt, co będzie utrudniać zrozumienie możliwości i dopasowanie do konkretnych potrzeb i wymagań.

Niewątpliwe SASE będzie dynamicznie rozwijało się w przyszłości. Warto ten rozwój bacznie obserwować, aby wybrać funkcjonalności najistotniejsze dla swojej organizacji. Dużym ułatwieniem może być realizacja usługi w modelu zarządzanym przez sprawdzonego partnera.

SASE według Gartnera

Według definicji Gartnera SASE to zintegrowany, centralnie zarządzany system zawierający zestaw takich podstawowych funkcji, jak:

• SD-WAN (Software Defined WAN) . Technologia sterowanej programowo sieci, która umożliwia agregację, zabezpieczenie i optymalizację wszystkich rodzajów ruchu w sieci WAN.
• FWaaS (FireWall as a Service) . Nowej generacji zapory sieciowe oferowane jako usługa, które zastępują klasyczne rozwiązania sprzętowe. Jest to ich programowy odpowiednik łatwiejszy do wdrożenia i zarządzania. FWaaS zazwyczaj zawiera systemy IPS/IDS i oprogramowanie antywirusowe.
• SWG (Secure Web Gateway) . Filtr treści, który blokuje złośliwy ruch oraz pomaga egzekwować zasady dostępu do treści i danych. Możliwości SWG obejmują filtrowanie adresów URL, inspekcję SSL i monitorowanie DNS.
• CASB (Cloud Access Security Broker) . Brokery bezpieczeństwa dostępu do chmury monitorują ruch wychodzący i przychodzący pod kątem bezpieczeństwa oraz zgodności z zasadami. CASB pozwala także na monitorowanie i zapewnienie bezpieczeństwa aplikacji SaaS.
• ZTNA (Zero Trust Network Access) . Koncepcja sieci Zero Trust zakłada, że wszyscy użytkownicy i urządzenia, niezależnie od lokalizacji, powinni być domyślnie traktowani jako strona niezaufana od której wymagane jest uwierzytelnienie przy każdym logowaniu, a jej aktywność jest monitorowana pod kątem nieautoryzowanych lub podejrzanych działań podczas całej sesji. Metody wdrażania sieci Zero Trust obejmują uwierzytelnianie wieloskładnikowe, szczegółową, granularną kontrolę dostępu oraz segmentację sieci.

Oprócz tych podstawowych opcji SASE istnieją też inne funkcje, które mogą być podstawą do podjęcia decyzji o zakupie konkretnych usług. Są to: mechanizmy zdalnej izolacji przeglądarek, sandboxing sieciowy, możliwość obsługi urządzeń niezarządzanych, ochrona aplikacji internetowych i interfejsów API, a także hot-spotów Wi-Fi lub obsługa starszych sieci VPN.

IDC i IHS Markit, krytykują wprowadzony przez Gartnera termin SASE podkreślając, że nie jest to nowy segment rynku, nowy produkt lub usługa, a jedynie integracja już istniejących i wykorzystywanych technologii w taki sposób, by zapewniały jednolity system zarządzania. Oprócz tego analitycy z IHS Markit zwracają uwagę, że Gartner pominął analitykę, sztuczną inteligencję i uczenie maszynowe, nie wprowadzając ich do definicji koncepcji SASE. Zdaniem IDC, technologia SD-WAN będzie ewoluować w kierunku rozwiązań SD-Branch, definiowanych jako system pozwalający na scentralizowane wdrażanie zwirtualizowanych funkcji SD-WAN i mechanizmami bezpieczeństwa w wielu lokalizacjach oraz zarządzanie nimi.

Kto oferuje rozwiązania SASE

Lista firm oferujących SASE wydaje się powiększać z dnia na dzień. Niżej przedstawiamy główne kategorie dostawców rozwiązań SASE.

Producenci sprzętu i oprogramowania sieciowego

Cisco, Extreme, VMware i inni starają się wprowadzić do oferty pełne portfolio funkcji SASE dokonując strategicznych przejęć lub zawierając porozumienia partnerskie.

Na przykład, w sierpniu 2021 roku Extreme kupiła firmę Ipanema Technologies, dostawcę systemów SD-WAN/SASE. Cisco pracuje nad integracją wielu przejęć technologii pod szyldem Umbrella SASE, dotyczy to m.in. rozwiązań opracowanych przez Viptela i Meraki (SD-WAN) oraz Duo Security (sieci Zero Trust i mechanizmy wieloskładnikowego uwierzytelniania). Natomiast VMware przejął VeloCloud SD-WAN i integruje technologie tej firmy z platformą bezpieczeństwa i wirtualizacji sieci NSX. VMware nawiązał również współpracę z firmami Menlo Security i Zscaler w celu rozszerzenia funkcji swojej oferty SASE.

Tradycyjni dostawcy narzędzi bezpieczeństwa

Palo Alto, McAfee, Forcepoint, Barracuda lub Fortinet również tworzą rozwiązania SASE, zarówno rozwijając własne technologie, jak i przejmując inne firmy oraz opracowane przez nie rozwiązania.

Na przykład Palo Alto kupiło CloudGenix, dostawcę SD-WAN, Fortinet, firmę OPAQ opracowującą rozwiązania dla sieci Zero Trust; Barracuda przejęła start-up Fyde, również oferujący mechanizmy do budowy sieci Zero Trust; McAfee kupiło Light Point Security, dostawcę funkcji pozwalających na izolację przeglądarek, a Forcepoint przejął firmę Bitglass.

Dostawcy mechanizmów bezpieczeństwa działających w chmurze

Niektóre firmy, które utworzyły własne, globalne sieci chmurowe, rozbudowują ich funkcjonalność o funkcje SASE. Można tu wymienić Cato Networks, Netskope, Versa i Zscaler. Podobnie jak tradycyjni dostawcy zabezpieczeń rozwijają własne technologie lub nawiązują partnerstwa z niezależnymi firmami. Na przykład Cato Networks ogłosiła w 2021 roku uzyskanie nowego finansowania o wartości około 200 milionów dolarów, które zostanie przeznaczone na przyspieszenie rozwoju oprogramowania CASB będącego ważnym elementem systemu SASE.

Dostawcy sieci CDN (dostarczanie treści), tacy jak Cloudflare i Akamai, wbudowali funkcje SASE w swoje globalne sieci chmurowe. Natomiast dostawcy chmurowych systemów o dużej mocy obliczeniowej, m.in. AT&T i Verizon, oferują funkcje SASE we współpracy z innymi firmami. AT&T ma w ofercie usługę SASE wykorzystującą rowiązania firmy Palo Alto. Z kolei Verizon korzysta z technologii opracowanych przez Versa i Zscaler. Również IBM współpracuje z Zscaler, by zaoferować funkcje SASE w środowisku chmurowym