אספקת אבטחה כוללת באמצעות אסטרטגיית SASE
מהי אסטרטגיית SASE וכיצד היא אמורה לסייע לארגונים לאבטח את הרשתות המבוזרות שלהם בעידן של עבודה מהבית?
אבטחה בכל מקום
ארגונים דורשים כיום גישה מידית וללא הפרעות לרשת, משאבים ונתונים מבוססי-ענן, הכוללים יישומים עסקיים קריטיים – ללא קשר למיקום המשתמשים. במציאות של היום, דפוסי הצריכה משתנים בעקבות ההטמעה של רשתות 5G, מעבר בין עננים, עבודה מתמשכת מהבית ותוצאות דומות הנובעות ממאמצי חדשנות דיגיטלית. כל אלו שינו את הרשת המסורתית והפכו אותה לרשת בעלת קצוות רבים.
בו-בזמן, תצורות רשת משתנות דינמיות אלו, וההתרחבות המהירה של שטח התקיפה, משמען כי פתרונות אבטחה מסורתיים רבים לא מספקים יותר את רמת ההגנה ובקרת הגישה הדרושות לארגונים ולמשתמשים. בסביבה זו, יש לספק את האבטחה בכל מקום, בכל זמן ומכל התקן – ה-WAN, הענן, מרכז הנתונים, ליבת הרשת, הסניף הארגוני וההתקן הנייד של העובד המרוחק. דבר זה דורש את ההתכנסות של אבטחה מסורתית ומבוססת-ענן, יחד עם אינטגרציה עמוקה בין אבטחה ורכיבי רשת בסיסיים.
מהי אסטרטגיית SASE?
אסטרטגיית SASE תוכננה כדי לסייע לארגונים לאבטח את הרשתות המבוזרות החדשות. בדומה לכל קטגוריה של טכנולוגיה מתפתחת, עדיין קיימת אי וודאות מסוימת בנוגע למשמעות המדויקת של פתרון SASE – ואילו טכנולוגיות כלולות בו. בנוסף לכך, ספקי שירותים מנסים להגדיר מחדש את השוק בדרכים אשר משקפות בצורה הטובה ביותר את ההצעות הנוכחיות שלהם – כאשר הכוונה היא כי מרכיבים מסוימים מודגשים יתר על המידה ואחרים, אשר לעיתים חיוניים יותר, זוכים להתעלמות. לרוע המזל, הגדרות מסוימות של SASE כבר כוללות השמטות חשובות אשר משאירות חלק מהארגונים מבולבלים בנוגע לדרך הטובה ביותר לבחור, להטמיע ולנהל את סוג הפתרון הנכון עבור הסביבות הייחודיות שלהם.
לא רק ענן
פתרון SASE מסווג לרוב כשירות המסופק בענן, המספק גישה מאובטחת למשאבים מבוססי-ענן, תקשורת מאובטחת בין משתמשים מרוחקים ואבטחה אשר תמיד פועלת עבור התקנים מחוץ לאתר המקומי. יחד עם זאת, יש מצבים שבהם ארגונים יכולים לדרוש שילוב ייחודי בין פתרונות פיזיים ומבוססי-ענן כדי שפתרון SASE יעבוד בצורה יעילה. זה יכול לכלול תמיכה בפתרון SD-WAN פיזי המותקן בארגון אשר כבר כולל אבטחה או הרצון לספק הגנה בקצה בזמן עיבוד מידע חסוי או רגיש במקום להעביר אותו לענן לצורך בדיקה.
על ידי שילוב אלמנטים פיזיים ומבוססי-ענן, התפקיד של SASE יכול להתרחב בקלות עמוק אל תוך הרשת, מאשר פשוט להעביר את האבטחה למערכת שונה לחלוטין הנמצאת בקצה. דבר זה מבטיח כי קישור SASE מאובטח ישולב באופן רציף עם פתרונות קיימים אשר גם מסתמכים על חומרה, כמו סגמנטציה של הרשת ודרישות תאימות אשר גישת אבטחה מבוססת-ענן בלבד לא יכולה להתמודד עמן, כדי לספק הגנה מקצה לקצה.
LAN ו-WAN מאובטחים
הגדרות SASE מסוימות אינן מתייחסות לאזורים שונים ברשת כמו רשת תקשורת מקומית (LAN) ורשת תקשורת מקומית אלחוטית (WLAN) מאובטחות אשר מהוות שיקולים חיוניים עבור ארגונים רבים. הכללת אזורי רשת אלו בפתרון SASE מסייעת להבטיח כי האבטחה מיושמת בקביעות לאורך כל ארכיטקטורת הרשת, מאשר פריסה של רכיבי אבטחה נפרדים עבור הטמעת פתרון ה-SASE שלהם – מה שעלול ליצור חורים באכיפת פוליסת האבטחה ולהגביל את הנראות. כדי שפתרון SASE יתפקד כהרחבה של ה-LAN או ה-WLAN המאובטחים הקיימים, הוא יצטרך לתמוך גם בפתרונות פיזיים כמו ניתוב ואופטימיזציית WAN (WoC), יחד עם SD-WAN המיועד לבחירת נתיב דינמית. כמו כן, הוא צריך לתפקד בקביעות בעת שימוש בפתרון NGFW או FWaaS, כמו גם פתרונות ZTNA פיזיים ומבוססי-ענן – יחד עם כלי רשת כמו WLAN/LAN/בקרי 5G – כדי לוודא גישת רשת מאובטחת וסגמנטציה דינמית.
צריכה גמישה
אך ללא קשר לכלים שבהם עושים שימוש או המיקום שבו הם נפרסים, יש נושא מרכזי שצריך לזכור – פתרון SASE לא צריך לעמוד רק בדרישות הגישה של היום, אלא הוא צריך להיות בעל היכולת להתאים את עצמו במהירות לשינויי הרשת המתפתחת במהירות ולדרישות עסקיות ברגע היווצרותן. הקריטריונים המרכזיים של SASE בעלי מודלי הצריכה הגמישים מספקים לארגונים בחירות המתבססות על מקרי השימוש הייחודיים להם במטרה לקבל את הערך האמיתי של SASE.
מגדירים את רכיבי האבטחה החיוניים
כל פתרון SASE חייב לכלול מערך ליבה של רכיבי אבטחה חיוניים. כדי לממש את הפוטנציאל המלא של פריסת SASE, ארגונים מוכרחים להבין ולהטמיע את רכיבי האבטחה הבאים לאורך ה-WAN, ה-LAN והענן:
פתרון SD-WAN מתפקד במלואו – SASE מתחיל עם פתרון SD-WAN אשר כולל בחירת נתיב דינמית, יכולות WAN בעלות תיקון עצמי וחוויות משתמש ויישום קבועות עבור יישומים עסקיים.
התקן אבטחה פיזי של הדור הבא (NGFW) או FWaaS – התקן אבטחה מבוסס ענן – פתרון SASE צריך לכלול גם מערך שלם של אבטחה אשר משתרע על פני מיקומים פיזיים ומבוססי-ענן. למשל, עובדים מרוחקים דורשים שילוב בין אבטחה מבוססת-ענן לצורך גישה למשאבים מקוונים ואבטחה פיזית וסגמנטציה פנימית כדי למנוע ממשתמשי הרשת לגשת למשאבי רשת תאגידיים מוגבלים. יחד עם זאת, חומרה פיזית ואבטחת ענן צריכות לספק את אותה רמת ביצועים גבוהה ומותאמת ולאפשר גמישות ואבטחה מקסימלית.
גישת אבטחה Zero-trust – משמשת בעיקר כדי לזהות משתמשים והתקנים ולאמת אותם בעת הגישה ליישומים. היות ו-ZTNA היא יותר אסטרטגיה מאשר שירות, היא כוללת מספר טכנולוגיות אשר פועלות יחד, כמו אימות רב-גורמים (MFA) כדי לזהות את כל המשתמשים. בצד הפיזי, ZTNA צריכה לכלול בקרת גישה מאובטחת לרשת (NAC), אכיפת מדיניות גישה ויכולת חלוקת רשת דינמית כדי להגביל את הגישה למשאבי הרשת. בצד של הענן, ZTNA צריכה לתמוך במיקרו-סגמנטציה עם בחינת תעבורה לצורך אספקת תקשורת מזרח-מערב מאובטחת בין משתמשים ואבטחה קבועה עבור התקנים בתוך הרשת ומחוצה לה.
גישה מאובטחת לאינטרנט – משמשת כדי להגן על משתמשים והתקנים מפני איומי אבטחה מקוונים באמצעות אכיפת אבטחת אינטרנט ופוליסות תאימות וסינון תעבורת רשת זדונית. היא יכולה לאכוף גם פוליסות שימוש מקובלות עבור גישת רשת, להבטיח עמידה בדרישות תאימות רגולטוריות ולמנוע דליפת נתונים.
CASB) Cloud Access Security Broker) – שירות מבוסס-ענן המאפשר לארגונים לקחת שליטה על יישומי ה-SaaS שלהם, הכולל אבטחת גישה ליישומים ומניעת אתגרי Shadow IT. יש לשלב את השירות עם DLP (מערכת למניעת דליפת מידע) באתרים המרוחקים כדי להבטיח מניעת אובדן נתונים מקיפה.
SASE – התכנסות בין רשת ואבטחה
הטמעה של SASE מסתכמת במתן האפשרות של קישוריות מאובטחת וגישה למשאבים קריטיים מכל מקום ובכל קצה. למרבה הצער, יצרנים מעטים בלבד יכולים לספק זאת היות וההיצע שלהם כולל פתרונות נרכשים שונים או שפשוט אין להם מגוון פתרונות כדי לספק את כל רכיבי האבטחה הדרושים לפתרון SASE חזק. ואפילו אם כן, הפתרונות שלהם לא משתפים פעולה בצורה טובה מספיק כדי להיות יעילים.
מדובר בבעיה היות וכדי ש-SASE יעבוד היטב, כל הרכיבים בפתרון צריכים לשתף פעולה כמערכת משולבת אחת – קישוריות, רשת ורכיבי האבטחה. זאת אומרת שכל רכיב צריך להיות מתוכנן לעבוד יחד כחלק מאסטרטגיה משולבת אשר תחומה באמצעות פתרון אחוד, הכולל ניהול מרכזי. כל אלו צריכים להשתלב בצורה רציפה עם מסגרת האבטחה התאגידית הגדולה יותר ולהסתגל בצורה דינמית עם התפתחות סביבות הרשת. אם לא מתקיימים כל התנאים הללו, לא מדובר בפתרון SASE אמיתי.
המומנטום האחרון בשוק סביב SASE מרגש היות והוא מדגיש את הצורך בגישת רשת המונעת על ידי אבטחה. בתחום של חיבוריות ענן וחדשנות דיגיטלית, חייבת להתקיים התכנסות בין רשת ואבטחה. אי אפשר לחזור לאחור לארכיטקטורות מיושנות ומבודדות.
למדו עוד אודות הדרך שבה SASE הוא העתיד של האבטחה והרשת. החל מ-SD-WAN, ZTNA, CASB ו-NGFW, הפלטפורמה של פורטינט מספקת מוכנות מלאה לאימוץ ה-SASE.