Secure Access Service Edge является новым подходом к облачной безопасности, который в последнее время начинают предлагать вендоры. По мнению аналитиков, такая система позволит максимально эффективно решить вопрос об обеспечении безопасности при предоставлении доступа к корпоративным ресурсам, размещённым как локально, так и в облаках, при этом не нагружая собственную инфраструктуру. Рассмотрим, какие варианты предлагают вендоры на рынке, и попытаемся проанализировать дальнейшие перспективы этого подхода.
- Введение
- Подход SASE
- Мировой рынок SASE
- Российский рынок SASE
- Обзор сервисов SASE
- 5.1. Check Point CloudGuard Connect
- 5.2. Cisco SASE
- 5.3. Citrix Secure Access Service Edge
- 5.4. Cloudflare SASE
- 5.5. Dynamic Edge Protection
- 5.6. FortiSASE
- 5.7. MVISION Unified Cloud Edge
- 5.8. Netskope NewEdge
- 5.9. Palo Alto Networks Prisma Access
- 5.10. SASE Cloud
- 5.11. Secure Access Service Edge
- 5.12. Versa SASE
- 5.13. VMware SASE Platform
- 5.14. Zscaler Secure Access Service Edge
- Выводы
Введение
Исторически сложилось так, что понятие «защита сетевого периметра» всегда было весьма однозначным определением и предполагало, что у любого предприятия может быть понятный и определённый периметр локальной сети, где располагаются важные ресурсы и сервисы компании, которые необходимо защищать средствами обеспечения сетевой безопасности. Однако постепенно периметры сетей стали размываться, поскольку ресурсы предприятий во многих случаях были разнесены по разрозненным площадкам филиалов или вовсе размещены в стороннем облаке, так же как и сервисы. Кроме того, многие сотрудники стали работать удалённо (в том числе из за COVID-19) и / или использовать для подключения к ресурсам компании различные устройства, в том числе и личные.
Все эти новые реалии продемонстрировали, что периметр сети превратился в виртуальный объект, границы которого стало трудно просчитать и увидеть. Таким образом, компании стали нуждаться в новых подходах, которые позволили бы обеспечить требуемую степень информационной безопасности при доступе к корпоративным ресурсам, инфраструктуре и сервисам при любых условиях.
В таких случаях на помощь приходят средства облачной безопасности и поставщики таких услуг. Ранее мы уже обсуждали подобные направления, например в статьях «Обзор брокеров безопасного доступа в облако — Cloud Access Security Broker (CASB)» и «Модель Zero Trust: привычная защита сетевого периметра уже недостаточна».
Secure Access Service Edge является ещё одним новым сервисом на основе облачной безопасности. Он состоит из нескольких основных компонентов: SD-WAN (Software-Defined Wide Area Network), SWG (Secure Web Gateway), CASB (Cloud Access Security Broker), ZTNA (Zero Trust Network Access) и FWaaS (Firewall-as-a-Service). Саму концепцию SASE мы обсуждали в эфире АМ Live «Пограничные сервисы безопасного доступа».
Подход SASE
Саму концепцию SASE придумала исследовательская компания Gartner в 2019 году, представив её в статье «The Future of Network Security Is in the Cloud» («Будущее сетевой безопасности — в облаке»). В этом же материале было определено, что данная концепция является симбиозом направлений ИТ и ИБ. С одной стороны, необходимо обеспечить стабильный канал связи с возможностью автоматического выбора оптимального подключения, а с другой стороны, должны быть предложены все существующие на сегодняшний день инструменты сетевой безопасности.
Рисунок 1. Схема взаимодействия компонентов SASE
Таким образом, Gartner отметила, что продукт, который может относиться к классу SASE, должен включать в себя как минимум следующие компоненты: систему SD-WAN, которая динамически подбирает наилучший способ подключения в зависимости от требований производительности конкретного приложения или сервиса, SWG — безопасный сетевой шлюз, CASB — брокер безопасного доступа к облаку, ZTNA — модель сетевого доступа, основанную на «нулевом доверии», а также FWaaS — облачный межсетевой экран, предоставляемый в виде сервиса.
Помимо упомянутых компонентов в состав SASE могут также входить и другие инструменты, например DLP, QoS, ограничение трафика, WAF (Web Application Firewall), VPN, UEBA (User and Entity Behaviour Analysis), антифрод, обфускация, защита DNS / Wi-Fi и другие, всего — около трёх десятков элементов (рис. 2).
Рисунок 2. Состав компонентов SASE
SASE с подобными компонентами позволяет организовать сетевую безопасность корпоративных ресурсов, а также обеспечить стабильный (с заявленной скоростью) защищённый удалённый доступ к ним. Также подход SASE выделяется тем, что несмотря на использование различных компонентов все они управляются через единую консоль. Это позволяет сократить количество сотрудников, которые отвечают за управление сетью и сетевую безопасность. Ещё одной особенностью является то, что вся сетевая инфраструктура и все элементы безопасности находятся в облаке, что позволяет избавить сотрудников компании от обслуживания физического оборудования. Администраторы могут только настраивать политики и отслеживать функционирование SASE.
Можно сказать, что SASE позволяет легко сконфигурировать удалённую работу сотрудников, которые могут подключаться с определёнными политиками безопасности к корпоративным ресурсам из любой точки мира, и обеспечить защиту критически важных объектов компании (например, при открытии новых филиалов) извне, не затрачивая финансовые и временные ресурсы на построение и настройку собственной периметровой сетевой защиты.
Мировой рынок SASE
Большим драйвером развития концепции SASE и появления её в качестве готового решения у ряда вендоров стала пандемия COVID-19, когда возникла необходимость перевода сотрудников на удалённую работу и предоставления возможности подключения из любой точки земного шара с соблюдением единых политик безопасности. Также SASE упрощает и удешевляет организацию сетевой безопасности и оптимизацию сетевых подключений при открытии новых филиалов.
На момент написания статьи на рынке были представлены только зарубежные продукты класса SASE. Это связано с тем, что зарубежные вендоры в последнее время активно развивают облачные услуги, имея при этом собственные инструменты в области сетевой безопасности и оптимизации сетевого трафика.
Gartner в статье «Top Actions From Gartner Hype Cycle for Cloud Security, 2020» («Основные действия из ажиотажного цикла Gartner по облачной безопасности») продемонстрировала, что SASE выйдет на плато продуктивности через 5–10 лет, но предполагает при этом, что уже к 2024 г. как минимум 40 % предприятий будут иметь чёткие стратегии по внедрению SASE по сравнению с менее чем 1 % в конце 2018 г. Также аналитическое агентство предупредило заказчиков, что поставщики могут переоценивать свои возможности по предоставлению услуг SASE в попытке привлечь новых клиентов на этот быстрорастущий рынок.
Рисунок 3. Кривая «Hype Cycle for Cloud Security, 2020»
На наш взгляд, на данный момент уже можно выделить ряд производителей, имеющих в своем портфеле продукты, которые можно отнести к классу систем SASE. Правда, не всеми из представленных предложений можно воспользоваться прямо сейчас. Например, FortiSASE будет доступен для заказа только во втором квартале 2021 года. Также стоит отметить, что не все из этих вендоров предлагают готовый продукт класса SASE. Тем не менее данные производители могут объединить ряд своих облачных сервисов, чтобы предложить систему SASE из нескольких составляющих и под управлением единой консоли.
Нами были рассмотрены нижеследующие сервисы SASE, которые их разработчики готовы предложить сейчас или в ближайшем будущем:
- Secure Access Service Edge (Akamai).
- SASE Cloud (Cato Networks).
- Citrix Secure Access Service Edge (Citrix).
- CloudGuard Connect (Check Point).
- Cloudflare SASE (Cloudflare).
- Dynamic Edge Protection (Forcepoint).
- FortiSASE (Fortinet).
- MVISION Unified Cloud Edge (McAfee).
- Netskope NewEdge (Netskope).
- Prisma Access (Palo Alto Networks).
- Cisco SASE (Cisco).
- Versa SASE (Versa).
- VMware SASE Platform (VMware).
- Zscaler Secure Access Service Edge (Zscaler).
Также аналитики предполагают, что сервисы SASE вскорости появятся в портфелях Proofpoint и Symantec (Broadcom).
Российский рынок SASE
Российский рынок сервисов SASE пока развивается не так активно, как зарубежный. В настоящий момент нет ни одного отечественного продукта этого класса. Также пока ни один из российских провайдеров облачных услуг не предложил сервис SASE. Тем не менее можно вполне уверенно предполагать, что первым такой сервис появится у крупного поставщика вроде «Ростелеком-Солар».
В настоящий момент на российском рынке представлены или в скором времени будут представлены зарубежные продукты тех вендоров, которые уже работают в России через свои представительства, своих дистрибьюторов и партнёров. Возможным ограничением для развития сервисов класса SASE будет наличие или отсутствие точек присутствия в нашей стране.
Ниже представлен перечень продуктов SASE, к которым имеют доступ заказчики на российском рынке:
- Citrix Secure Access Service Edge (Citrix).
- CloudGuard Connect (Check Point).
- Dynamic Edge Protection (Forcepoint).
- FortiSASE (Fortinet).
- MVISION Unified Cloud Edge (McAfee).
- Prisma Access (Palo Alto Networks).
- Cisco SASE (Cisco).
- VMware SASE Platform (VMware).
Обзор сервисов SASE
Check Point CloudGuard Connect
Продукт CloudGuard Connect от Check Point объединяет 11 различных облачных сервисов безопасности, предназначенных для предотвращения сложных кибератак, и улучшает взаимодействие с пользователями за счёт высокой производительности этих сервисов. В их число входят межсетевой экран следующего поколения (Next Generation Firewall), механизм предотвращения сложных угроз Advanced Threat Prevention, безопасный веб-шлюз (SWG), сетевой доступ на базе «нулевого доверия» (ZTNA), защита DNS, предотвращение утечек информации (DLP), защита почтового трафика и веб-браузера. В ближайшее время вендор добавит ещё три компонента: Secure SaaS Application (защита SaaS-приложений), Device Posture and Compliance (состояние устройств и соответствие требованиям), Web Application and API Protection (защита веб-приложений и API).
Рисунок 4. Окно консоли Unified Security Management
Для обеспечения безопасного доступа к корпоративным ресурсам в CloudGuard Connect реализованы следующие инструменты:
- Захват экрана.
- Бесклиентный удалённый доступ.
- Контроль сетевого доступа при «нулевом доверии».
- Работа с управляемыми и неуправляемыми устройствами.
- Персональный пользовательский портал.
- Встроенная веб-защита в браузере.
- Инструмент единого входа (Single Sign-On, SSO), интегрированный с внешними поставщиками идентификации.
Для применения технологии SD-WAN также возможна интеграция со сторонними поставщиками. В планах у вендора — добавить в этот список возможность использования лёгкого VPN-клиента.
В качестве системы управления всеми возможностями CloudGuard Connect используется консоль Unified Security Management.
Cisco SASE
Подход Cisco к предоставлению сервиса SASE сочетает в себе ключевые механизмы построения сети и безопасности в единой облачной службе, чтобы обеспечить безопасный доступ повсюду, где бы ни находились пользователи и приложения, и заключается в объединении продуктов Cisco Umbrella, Cisco SD-WAN и Cisco Zero Trust, управляемых через консоль Cisco vManage.
Рисунок 5. Схема работы сервиса Cisco Umbrella
Cisco Umbrella реализует различные механизмы сетевой безопасности — в частности, защиту на уровне DNS. Также применяется безопасный веб-шлюз с полноценным облачным прокси-сервером, который может регистрировать и проверять весь веб-трафик для большей прозрачности, контроля и защиты. Umbrella ежедневно анализирует более 200 миллиардов DNS-запросов и проводит процедуры машинного и статистического обучения, что даёт возможность обнаруживать вредоносные домены, IP- и URL-адреса до того, как они будут использованы в атаках.
Модуль App Discovery, входящий в состав Umbrella, позволяет контролировать используемые в организации приложения. Реализована возможность блокировки приложений в зависимости от оценки риска. Доступны для контроля YouTube, WhatsApp, Facebook, Twitter, Dropbox, Gmail, LinkedIn, Slack, Yandex и другие популярные приложения. Для защиты от вредоносных программ в Umbrella применяются как обычный антивирус, так и расширенная защита Cisco AMP, которая изучает угрозы в режиме реального времени с использованием динамической аналитики по вредоносным программам, предоставляемой Talos Security Intelligence and Research Group, а также аналитических данных Threat Grid.
Брокер безопасного облачного доступа (CASB) в Umbrella помогает выявить теневую ИТ-инфраструктуру, обнаруживая используемые в организации облачные приложения и сообщая о них. CASB автоматически генерирует отчёты о производителе, категории и названии приложения, сведения об активности при доступе к каждому облачному приложению. Также в Umbrella используется облачный межсетевой экран (CDFW); данный инструмент позволяет контролировать все соединения, блокируя нежелательный трафик с использованием правил для IP-адресов, портов и протоколов.
Cisco SD-WAN обеспечивает прогнозируемое взаимодействие пользователей с приложениями и предоставляет бесшовную многооблачную архитектуру. SD-WAN позволяет подключать центры обработки данных, филиалы, комплексы зданий с целью совместного размещения ресурсов для повышения скорости, безопасности и эффективности сети. Cisco Zero Trust, в свою очередь, позволяет пользователям безопасно подключаться к сети с любого устройства в любом месте, ограничивая доступ с несовместимых устройств. Возможности автоматизированной сегментации сети позволяют устанавливать микропериметры для пользователей, устройств и трафика приложений, не требуя перепроектирования сети.
Citrix Secure Access Service Edge
Citrix является одним из немногих вендоров, которые предоставляют сервис SASE в полном соответствии с требованиями Gartner, предъявляемыми к этой концепции — т. е. в исчерпывающей комплектации компонентов. В число этих составляющих входит, например, облачный сервис Citrix Secure Internet Access, который позволяет работать с приложениями используя прямой доступ к интернету (DIA) без ущерба для производительности. Это даёт возможность обеспечить защиту от всех угроз при подключении пользователей, в том числе удалённых и мобильных, к корпоративным системам.
Рисунок 6. Архитектура системы SASE от Citrix
Citrix Secure Internet Access и Citrix SD-WAN являются ключевыми компонентами концепции SASE, позволяющими осуществлять стабильное и высокопроизводительное подключение, необходимое для обеспечения работы сотрудников в любом месте. Ещё одной составляющей данной концепции является продукт Secure Workspace Access.
Собранные воедино, эти три компонента наделяют систему SASE от Citrix следующими функциональными возможностями: шлюз безопасности / межсетевой экран, механизм брокера безопасного облачного доступа, защита от вредоносных программ, DLP, песочница, сетевой доступ с «нулевым доверием», изолированный удалённый браузер, сетевая оптимизация. Для централизованного управления всеми компонентами применяется система Unified Management.
Cloudflare SASE
Cloudflare SASE построен на облачной инфраструктуре, которую вендор называет частной глобальной сетью. Повсеместно расположенные точки присутствия создают сетевую структуру, которая позволяет применять возможности информационной безопасности и сетевой оптимизации к конечным пользователям, что даёт предприятиям возможность сократить сетевые задержки, противодействовать атакам и беспрепятственно применять меры безопасности при подключении сотрудников. Cloudflare SASE объединяет и предоставляет сервисы сетевой безопасности на базе брокеров облачного доступа (CASB), безопасных веб-шлюзов (SWG), межсетевого экрана как услуги (FWaaS) и других инструментов из унифицированной и крупномасштабной облачной сети.
Рисунок 7. Схема применения концепции SASE от Cloudflare
Cloudflare SASE позволяет переместить доступ к корпоративным ресурсам с периметра сети на устройства пользователей. Применяется механизм Zero Trust, который обеспечивает безопасное получение доступа ко внутренним приложениям и данным, проверяя запросы и применяя политики на границе сети независимо от того, в какой точке мира находятся пользователи. Служба веб-фильтрации и сетевой безопасности защищает пользователей и корпоративные данные, проверяя пользовательский трафик, фильтруя и блокируя вредоносный контент, выявляя взломанные устройства и используя технологию изоляции браузера для предотвращения выполнения вредоносного кода на пользовательских устройствах. Также обеспечивается защита сетевой инфраструктуры от DDoS и атак сетевого уровня с использованием WAF для защиты от уязвимостей.
Cloudflare позволяет предоставлять интегрированные сетевые сервисы и услуги безопасности в каждой из более чем 200 точек присутствия по всему миру, избавляя предприятия от необходимости пропускать трафик через центр обработки данных или управлять несколькими разрозненными системами в облаке.
Dynamic Edge Protection
Dynamic Edge Protection (DEP) от разработчика Forcepoint позволяет обеспечить сотрудникам контролируемый и безопасный доступ к веб-приложениям, облачным и внутренним программным продуктам независимо от того, где они размещаются. DEP — это набор специально созданных облачных сервисов, таких как Forcepoint Cloud Security Gateway (CSG) и Forcepoint Private Access (PA), которые объединяют в себе усовершенствованные средства безопасности для проверки веб-контента, фильтрации URL-адресов, управления теневой ИТ-инфраструктурой и обеспечения доступа к сети с «нулевым доверием» (ZTNA), межсетевой экран с предотвращением вторжений, сканирование на наличие вредоносных программ, механизм DLP и многое другое.
Рисунок 8. Окно консоли администрирования Dynamic Edge Protection
Платформа DEP, основанная на анализе поведения, позволяет предотвратить угрозы утечки данных, одновременно предлагая более автоматизированную и индивидуальную защиту. Данная архитектура даёт возможность применять различные политики в зависимости от риска.
В целом в состав системы Dynamic Edge Protection входят весьма разнообразные компоненты и инструменты: усовершенствованная веб-защита, обеспечение безопасности облачного доступа, сетевая защита следующего поколения, механизм сетевого доступа с «нулевым доверием», предотвращение утечек конфиденциальной информации, защита от вредоносных программ и использование песочницы, изоляция удалённого браузера, сканирование зашифрованного трафика с контролем конфиденциальности, использование протоколов GRE и IPsec для подключения к сайтам и возможность автоматического подключения для удалённых сотрудников.
FortiSASE
Система SASE от Fortinet помогает обеспечить безопасность всех периферийных устройств, решая многие проблемы масштабируемости и сетевой инфраструктуры, которые возникают в крупных распределённых организациях, чьи рабочие процессы тесно связаны с продуктами IaaS / SaaS. Fortinet предлагает комплексное решение SASE, которое легко интегрируется с SD-WAN, использует межсетевой экран Fortinet и шлюз Secure Web Gateway (SWG), обеспечивая корпоративным организациям многоуровневую безопасность.
Рисунок 9. Схема взаимодействия компонентов FortiSASE
В отличие от многих других поставщиков систем SASE, использующих общедоступные облачные службы вместо создания собственной глобальной сети, FortiSASE поставляется на собственной легко масштабируемой многопользовательской облачной архитектуре. Благодаря этим особым возможностям Fortinet предлагает полнофункциональную систему SASE с необходимой гибкостью.
FortiSASE — это масштабируемая облачная система защиты, которая обеспечивает гибкий, безопасный доступ в любое время и для работы из любого места. Используя возможности FortiOS и Fortinet Security Fabric, FortiSASE обеспечивает беспрепятственное взаимодействие между облачным NGFW, веб-безопасностью, IPS, DNS и песочницей. Вместе эти аспекты позволяют разработке от Fortinet выполнять все функции SASE.
MVISION Unified Cloud Edge
Unified Cloud Edge — сервис от McAfee, который предлагает конвергентное решение по безопасности для упрощения внедрения архитектуры Secure Access Service Edge и помогает снизить затратность и сложность современной кибербезопасности. UCE обеспечивает безопасный доступ к облаку с любого устройства для максимальной производительности за счёт интегрированных механизмов предотвращения потери данных, контроля устройств и пользователей, веб-фильтрации (SWG), управления конечными точками и контроля облака (CASB).
Рисунок 10. Схема взаимодействия компонентов MVISION Unified Cloud Edge
Помимо UCE McAfee предлагает ряд смежных механизмов безопасности. Например, через CASB применяется система UEBA, которая предлагает принудительное применение политик на основе необычных поведенческих моделей трафика в облачных сервисах. Используемый контроль доступа McAfee помогает установить личности пользователей и подтвердить состояние безопасности устройств, прежде чем разрешать удалённый доступ (для управляемых и неуправляемых устройств). Также с помощью CASB обеспечивается безопасность контейнеров: контроль уязвимостей, управление состоянием облачной безопасности (Cloud Security Posture Management, CSPM), «нулевое доверие» между контейнерами для защиты от утечки данных.
McAfee может интегрировать свои механизмы SASE с продуктами других поставщиков, например SilverPeak (SD-WAN), Menlo Technology (механизм «нулевого доверия»), Bufferzone (ZTNA), Cisco, Extreme Networks, Check Point, Attivo Networks, Forcepoint. Чтобы сделать архитектуру защиты для Secure Access Service Edge ещё более полной, McAfee приобрела Light Point Security, пионера в области изоляции браузеров. Компания интегрировала технологию изоляции браузера Light Point Security в облачный веб-шлюз безопасности.
Netskope NewEdge
Netskope NewEdge — одно из крупнейших в мире, высокопроизводительное и отказоустойчивое защищённое частное облако с поддержкой встроенных сервисов безопасности Netskope Security Cloud. Netskope NewEdge размещается в центрах обработки данных в 40 регионах. По словам вендора, в NewEdge было вложено более 100 миллионов долларов. Система предлагает в каждой точке присутствия оперативную обработку данных в режиме реального времени, рассчитанную на производительность более чем в два терабита в секунду в каждом ЦОД, что позволяет обслуживать большие объёмы трафика пользователей. Использование архитектуры SASE позволяет развёртывать механизмы безопасности на периферии, где и когда это необходимо.
Рисунок 11. Зона покрытия сервиса Netskope NewEdge
Netskope NewEdge обладает встроенными сервисами для обеспечения безопасности. В частности, применяется безопасный шлюз следующего поколения (SWG). Он предотвращает заражение вредоносными программами, обнаруживает сложные угрозы, осуществляет фильтрацию по категориям, защиту данных и контроль использования приложений. Механизм CASB позволяет выявлять облачные приложения и управлять доступом к ним для предотвращения утечек конфиденциальных данных из-за действий инсайдеров или злоумышленников.
Также среди инструментов Netskope есть подсистема CSPM, которая упрощает обнаружение и устранение угроз и неправильной конфигурации в облаках. Функциональность DLP позволяет предотвращать утечку данных, в том числе благодаря оценке рисков и выявлению особенностей облака, доступа в интернет, действий пользователя. Для обеспечения доступа с «нулевым доверием» к размещённым локально или в общедоступных облачных средах приложениям, а также для защиты данных с помощью средств управления доступом на уровне приложений и на основе личности пользователя и состояния безопасности устройства используется механизм ZTNA.
Palo Alto Networks Prisma Access
Подписка на SASE-сервис компании Palo Alto Networks называется Prisma Access. Клиентам доступны оптимизация и поиск источников проблем для всего сетевого трафика в интернете при помощи функциональности Digital Experience Monitoring (DEM), SD-WAN и искусственного интеллекта, реализованного на облачных шлюзах в 100 точках присутствия по всему миру, включая Россию. Основным преимуществом сервиса для ИБ-департамента, по словам производителя, будет фильтрация трафика всевозможными подсистемами безопасности, такими как IPS, URL-фильтрация, антивирус, песочница, DLP, CASB, SWG, FWaaS, SSL Decryption, DNS Security, Application Control, RBAC, WAF. Полноценная реализация Zero Trust Network Access (ZTNA) означает, что все сотрудники и все устройства компании будут проверяться функциями безопасности. При этом Prisma Access работает не только для веб-приложений, но и для всех других типов программ. Также Palo Alto Networks предоставляет возможности по контролю трафика внутри средств контейнеризации Kubernetes.
В состав этой облачной платформы входят три основных компонента: Security-as-a-Service Layer (безопасность как сервис), Network-as-a-Service Layer (сеть как сервис) и централизованное управление Panorama, что позволяет также управлять и межсетевыми экранами нового поколения.
Рисунок 12. Архитектура Prisma Access
Уровень Security-as-a-Service Layer — это компоненты обеспечивающие сетевую безопасность, такие как FWaaS, SWG, ZTNA и CASB. Межсетевой экран как сервис предлагает все функциональные возможности NGFW от Palo Alto Networks. Cloud Secure Web Gateway обеспечивает функциональность облачного безопасного веб-шлюза для удалённых пользователей по всем протоколам веб-трафика и приложениям в гибридных средах. Шлюз также осуществляет URL-фильтрацию контента для пользователей на основе динамического группового мониторинга и детализированных политик на основе поведения. Механизм сетевого доступа с «нулевым доверием» ZTNA осуществляет аутентификацию и подключение пользователей к приложениям на основе детального контроля доступа с использованием ролей (RBAC), включая двухфакторную аутентификацию. Брокер безопасности облачного доступа в Prisma Access обеспечивает встроенную идентификацию и контроль облачных приложений (SaaS), таких как Office 365, Dropbox, Gmail. Есть возможность провести интеграцию элементов управления в приложениях SaaS и применять единые политики безопасности во всех облачных приложениях.
Помимо стека безопасности в Prisma Access есть также стек Network-as-a-Service Layer, куда входят соответствующие его названию компоненты. В частности, инструмент Networking for Mobile Users позволяет подключать мобильных пользователей к приложению GlobalProtect, которое поддерживает постоянное соединение пользователя, предварительный вход в систему и подключения по запросу. Компонент Networking for Remote Networks даёт возможность подключать филиалы к Prisma Access через стандартный IPsec VPN-туннель с использованием распространённых IPsec-совместимых устройств.
Сервис Digital Experience Monitoring обеспечивает визуализацию работы канала трафика для SASE, что позволяет получать точную информацию о каждом участке прохождения трафика к приложениям в интернете и быстро проводить анализ для устранения проблем независимо от того, возникают ли они на вайфай-роутере, у интернет-провайдера или у поставщика услуг.
SASE Cloud
Cato SASE Cloud — это глобальная конвергентная облачная служба, которая может надёжно и оптимально соединить все филиалы, центры обработки данных, облака и всех сотрудников. Данный сервис позволяет постепенно масштабировать и развёртывать компоненты, чтобы заменить или модернизировать устаревшие сетевые службы и системы безопасности. Cato SASE Cloud работает на частной глобальной магистральной сети из более чем 65 точек присутствия, подключённых через нескольких сетевых провайдеров. Программное обеспечение точек присутствия непрерывно отслеживает сети провайдеров на предмет задержек, потерь пакетов и джиттера, чтобы определить в режиме реального времени лучший маршрут для каждого пакета.
Рисунок 13. Схема функционирования Cato SASE Cloud
Если подробнее рассмотреть сервис SASE Cloud, то можно выделить два ключевых компонента, которые составляют его основу: пограничный SD-WAN и безопасность как сервис (Security-as-a-Service). Следует отметить, что данные компоненты предлагаются Cato Networks и в качестве самостоятельных сервисов. В частности, SD-WAN обеспечивает увеличение качества передачи и отказоустойчивости за счёт балансировки трафика между точками соединения. Поддерживается несколько сценариев объединения каналов для MPLS и интернета (оптоволокно, DSL, кабель, 4G / LTE или 5G). Если произойдёт сбой или отключение на канале связи, сервис мгновенно перенаправит трафик на лучший доступный канал. Настраиваемые политики координируют переключение каналов связи при отказе, устанавливая приоритеты для приложений.
Cato использует полный набор средств сетевой безопасности корпоративного уровня, изначально встроенный в Cato SASE Cloud, для проверки всего интернет-трафика. Уровни безопасности включают в себя ориентированный на приложения межсетевой экран следующего поколения как сервис (FWaaS), безопасный веб-шлюз с фильтрацией URL-адресов (SWG), средство защиты от вредоносных программ следующего поколения (NGAV) и управляемую систему предотвращения вторжений (IPS) как сервис. Cato может дополнительно защитить сеть с помощью комплексной службы управляемого обнаружения и реагирования на угрозы (MDR) для обнаружения взломанных конечных точек. Политики безопасности и события управляются с помощью системы Cato Management.
Secure Access Service Edge
Являясь одной из крупнейших в мире глобально распределённых облачных сетей, платформа Akamai Intelligent Edge обеспечивает основу для построения и оптимизации концепции SASE. Вендор не имеет готового продукта с соответствующим названием, поэтому предлагает ряд своих услуг для объединения в сервис SASE.
Рисунок 14. Схема предоставления сервиса SASE от Akamai
SASE от Akamai состоит из двух крупных блоков: безопасность и эффективность. К первому можно отнести обеспечение информационной безопасности при подключении сотрудников к корпоративным ресурсам и защиту корпоративных устройств от угроз извне. Также предполагается обеспечение безопасности веб-сайтов, приложений и API, которые размещены в интернете, независимо от того, развёрнуты они в центрах обработки данных или в общедоступном облаке. В данный блок входят следующие компоненты: ZTNA, SWG, WAF, rDNS (DNS) Protection (обеспечение непрерывной доступности и высокой производительности DNS и обратного DNS при DDoS-атаках), защита от DDoS-атак, выявление ботов в целях обнаружения и предотвращения потенциальных угроз, обеспечение защиты веб-страниц путём обнаружения и устранения уязвимостей скриптов, а также Akamai Identity Cloud — облачный сервис SaaS, который упрощает управление идентификацией клиентов и доступом (CIAM).
Во второй блок SASE от Akamai входят все инструменты, которое влияют на масштабирование и оптимизацию производительности сети. Это позволяет разместить сайты и приложения на крупнейшей в мире бессерверной вычислительной платформе для повышения производительности и оптимизации доступа к ним. В данный блок входят следующие компоненты: Serverless Computing (пограничные бессерверные вычисления), Site and Application Acceleration (доставка облачных приложений для бизнес-процессов через интернет), Global Traffic Management (глобальный балансировщик нагрузки, который обеспечивает более быстрый и надёжный доступ к веб-сайтам и приложениям), IoT (сбор данных интернета вещей в режиме реального времени и обмен сообщениями между приложениями с масштабируемой безопасностью), Digital Performance Management (контроль, обнаружение и устранение проблем с производительностью веб-сайтов и приложений с помощью системы mPulse от Akamai Real User Monitoring (RUM), а также Image and Video Management (интеллектуальная оптимизация изображений и видеопотоков с помощью комбинирования и подбора достаточного качества, формата и размера, которые лучше всего подходят для каждого устройства и браузера).
Versa SASE
Versa SASE предоставляет полный набор услуг через VOS (операционную систему Versa), обеспечивая информационную безопасность, сетевое взаимодействие, функциональность SD-WAN и аналитику. Versa SASE предназначена для развёртывания в самых сложных средах, обеспечивая требуемую гибкость, масштабируемость и безопасность. С её помощью можно построить защищённую, эффективную и отказоустойчивую сеть в масштабах всего предприятия, одновременно повышая производительность приложений с несколькими облаками и снижая расходы. Versa SASE представляет собой полную интеграцию нескольких средств безопасности, расширенных сетевых технологий, SD-WAN, мультиарендности и сложной аналитики в единой операционной системе.
Рисунок 15. Архитектура Versa SASE
Архитектура Versa SASE включает в себя как компоненты информационной безопасности, так и компоненты оптимизации сетевого трафика. Например, применяется механизм сетевого доступа (ZTNA) с «нулевым доверием», который называется Versa Secure Access (VSA). С помощью этого компонента сотрудники могут безопасно подключаться к приложениям как в частном облаке, так и в общедоступном. Также используется SWG — шлюз, который обеспечивает безопасный доступ в интернет, к корпоративным сайтам, домашним рабочим местам и мобильным пользователям без ущерба для производительности и удобства работы. Безопасный шлюз имеет следующие функции: IPS, управление веб-трафиком, прокси-сервер, идентификация и контроль приложений, защита от вредоносных программ, веб-фильтрация. Брокер безопасного облачного доступа (CASB) позволяет защищать данные при их передаче и хранении в облаке.
Ещё одним ключевым компонентом является Remote Browser Isolation (RBI). Он позволяет выполнять действия пользователя в браузере с клиентского устройства на удалённом сервере, локально или в облаке. Это защищает от эксплойтов для браузера и предоставляет средства анонимного просмотра и открытого доступа в интернет без риска. Next Generation Firewall-as-a-Service (NGFWaaS) обеспечивает межсетевое экранирование, идентификацию приложений, IP-фильтрацию, категоризацию и фильтрацию URL-адресов, сетевой потоковый антивирус, IDS / IPS. Сложная аналитика, которая дополнительно входит в состав Versa SASE, предлагает централизованный портал для согласованного наблюдения за приложениями, пользователями, рабочими нагрузками, базами данных, веб-серверами и нарушениями политики безопасности.
VMware SASE Platform
Облачная архитектура VMware SASE сочетает в себе модули VMware SD-WAN, VMware Secure Access, механизм сетевого доступа с нулевым доверием (ZTNA), безопасный веб-шлюз (SWG), брокер безопасного облачного доступа (CASB), а также межсетевой экран VMware NSX. Сервис межсетевого экрана нового поколения осуществляется через точки присутствия VMware SASE (PoP). Модуль VMware SD-WAN позволяет обеспечить прямой доступ к облаку через точку управления с помощью бизнес-политик; также он способен администрировать и автоматизировать межоблачное соединение on-ramp и IaaS со множеством облачных сервисов, включая AWS, Azure, GCP и др. VMware SD-WAN включает в себя более 100 точек присутствия по всему миру, которые служат переходом к SaaS и другим облачным сервисам. Это глобальное присутствие даёт VMware возможность оперативно запускать новые сетевые сервисы и службы безопасности, а также осуществлять интеграцию с другими системами кибербезопасности.
Рисунок 16. Схема работы сервиса VMware SASE
Преимуществом VMware SASE является приоритизация приложений на основе бизнес-политик с гибкими опциями (заранее определённые стандартизированные или настраиваемые политики). Сравнительный анализ производительности приложений использует искусственный интеллект для определения первопричин и поиска решений сетевых проблем.
Платформа SASE, которая содержит функции ZTNA, SWG и CASB, объединяет возможности безопасного доступа для мобильных клиентов, филиалов и кампусов с помощью технологии VMware Workspace ONE. Платформа управления, размещённая в облаке, позволяет централизованно создавать политики, распространять их на другие участки и контролировать их выполнение. Расширенная аналитика на основе машинного обучения и AIOps в филиалах, LAN / Wi-Fi, WAN и центрах обработки данных с Edge Network Intelligence (ENI) позволяет выявлять и устранять возникающие проблемы.
Zscaler Secure Access Service Edge
Zscaler Cloud Security Platform — это сервис SASE, созданный «с нуля» для обеспечения производительности и масштабируемости. Поскольку это — глобально распределённая платформа, пользователи всегда могут быстро подключаться к своим приложениям, а благодаря соглашениям с сотнями партнёров по всему миру она обеспечивает оптимальную производительность и надёжность для пользователей. Архитектура SASE реализована в 150 центрах обработки данных по всему миру и обладает способностью к масштабированию. В настоящее время на мощностях Zscaler обрабатывается до 100 миллиардов транзакций в пиковые периоды и выполняется 120 000 уникальных обновлений безопасности каждый день.
Рисунок 17. Механизм работы сервиса Zscaler Secure Access Service Edge
Zscaler — это полностью облачный сервис, обеспечивающий сегментацию приложений с помощью бизнес-политик для доступа аутентифицированного пользователя к авторизованному приложению.
Zscaler Secure Access Service Edge интегрирован со следующими сервисами безопасности: контроль доступа (облачный межсетевой экран, URL-фильтрация, DNS-фильтрация, контроль пропускной способности), предотвращение угроз (борьба со сложными угрозами, облачная песочница, антивирус, безопасность DNS), защита данных (предотвращение утечки данных, брокер безопасного облачного доступа, контроль по типу файлов).
Выводы
Как видно, концепция SASE является весьма эффективным и современным подходом для предотвращения угроз и решения сетевых проблем в бесшовном пространстве, когда периметр многих предприятий начинает растягиваться до границ самого интернета. При таких условиях использование классических и локально размещённых средств сетевой безопасности и сетевой оптимизации становится неэффективным.
В настоящее время на рынке представлено весьма большое количество продуктов, которые позиционируются как SASE. Как правило, их предлагают производители, которые оказывают облачные услуги или являются разработчиками инструментов сетевой безопасности.
Тем не менее, если рассматривать состав концепции, то мы видим, что не все рассмотренные в этой статье сервисы полностью соответствуют требованиям SASE с точки зрения аналитиков из Gartner. Сервисы, которые имеют в своём составе все необходимые компоненты — SD-WAN, SWG, CASB, ZTNA и FWaaS, — предлагает только несколько производителей из списка. В то же время можно предполагать, что количество вендоров и провайдеров сервисов SASE будет только расти одновременно с ростом рынка облачных услуг.
Технология SASE обладает рядом преимуществ и имеет «под капотом» внушительный арсенал средств безопасности и сетевой оптимизации. Можно не сомневаться в том, что потребность в облачных услугах будет только расти при сохраняющейся необходимости использования локальных корпоративных ресурсов. Соответственно, будут актуальными механизмы облачной безопасности, позволяющей обеспечить защищённый доступ как к облачным ресурсам, так и ко внутренним, при этом сохраняя стабильность и безотказность сетевых соединений. Это открывает большие перспективы на рынке информационной безопасности для концепции SASE.