SASE: SD-WAN theo hướng bảo mật

Vận chuyển mà không có an ninh thì liệu có ích gì? Sẽ chẳng ai muốn một chuyến bay giá rẻ đến Hawaii nếu hãng hàng không đó có tai tiếng không tốt về độ an toàn. Nguyên tắc này cũng tương tự với vận chuyển mạng và phân phối dữ liệu.

Hôm nay chúng ta sẽ thảo luận về điểm mấu chốt của bất kỳ sáng kiến làm mới dịch vụ mạng nào: An ninh mạng.

SD-WAN làm cho mạng an toàn hơn thế nào?

Trong ngắn hạn thì nó không. SD-WAN có thể có một số tính năng dường như ảnh hưởng đến an ninh mạng, nhưng trên thực tế, công cụ này không mạnh đến khó tin như vậy. 

Tường lửa được bao gồm trong một thiết bị SD-WAN tiết kiệm không khác gì tường lửa cấp dành cho người tiêu dùng đi kèm với bộ định tuyến tại nhà bán lẻ điện tử Trên thực tế, một số nhà cung cấp SD-WAN chỉ khuyên bạn nên tắt nó đi và sử dụng thứ gì đó thông minh hơn dựa trên đám mây.

Nếu SD-WAN đang giải quyết vấn đề phân phối ứng dụng, thì điều gì sẽ giải quyết cho tính toàn vẹn của dữ liệu đó khi nó truyền qua internet, từ đầu đến cuối? Câu trả lời nằm ở xu hướng công nghệ mới hơn bổ sung cho SD-WAN và các công nghệ bảo mật được gọi là SASE (phát âm là “sassy”).

SASE là gì?

Được định nghĩa bởi Gartner, SASE viết tắt của cụm “secure access service edge”, tạm dịch là dịch vụ truy cập biên an toàn. Khung giải pháp và phương pháp luận này cố gắng hội tụ khả năng của mạng WAN với các chức năng bảo mật mạng. Đây vẫn là một khuôn khổ lỏng lẻo, tuy nhiên có 5 bánh răng chính của SASE như sau:

• Mạng diện rộng do phần mềm xác định (SD-WAN): 

SD-WAN tạo ra một mạng lớp phủ được sử dụng song song với bất kỳ cơ sở hạ tầng mạng hiện có nào để tạo ra trải nghiệm tập trung vào ứng dụng cho người dùng truy cập đám mây.

• Cổng web an toàn (SWG): 

Một proxy dựa trên đám mây thực thi các tiêu chuẩn về lọc URL, phát hiện mã độc hại và kiểm soát ứng dụng cho các ứng dụng liên lạc như MS Teams, Slack, v.v. Công cụ này bảo vệ người dùng khỏi đưa ra các quyết định xấu khi trực tuyến nhưng không thay thế để đào tạo nâng cao nhận thức về an ninh mạng.

• Tường lửa dưới dạng dịch vụ (FWaaS):

Tường lửa dựa trên đám mây được lưu trữ trong trung tâm dữ liệu, bản vá được quản lý bởi bên thứ ba chịu trách nhiệm tạo trải nghiệm bảo mật tiêu chuẩn. Trong một số trường hợp, bên thứ ba sẽ quản lý cảnh báo và báo cáo nhật ký. Tất cả các thành phần của SASE đều dựa trên đám mây và không có cách nào để quản lý mạng an toàn bằng tường lửa dựa trên cơ sở.

• Nhà môi giới bảo mật truy cập đám mây (CASB):

CASB rất quan trọng trong việc mở rộng một bộ quy tắc và quy định đối với phần mềm và cơ sở hạ tầng không thuộc sở hữu của công ty, cho phép người dùng cuối làm việc theo cách thuận tiện nhất có thể mà vẫn an toàn. Nó thực thi chính sách mạng của công ty trên các ứng dụng dựa trên SaaS mà người dùng cuối không có quyền kiểm soát. Điều này cũng có thể mở rộng đến sự phát triển của các nền tảng môi trường nặng và cơ sở hạ tầng ảo hóa, cho dù nó được chia sẻ hay riêng tư.

• Truy cập mạng không tin cậy:

Đây là khuôn khổ ngữ cảnh cho quyền truy cập và quyền của người dùng. Hãy coi đây là một công cụ quản lý truy cập nhận dạng tình huống cao cho phép và từ chối dựa trên vị trí, người dùng, bộ phận, kết nối, thời gian trong ngày và hành vi điển hình. Liệu có ai đó đang vận hành truy cập cơ sở dữ liệu tính lương từ một quán cà phê ở Tây Âu lúc 4 giờ sáng không? Nếu nó không có ký tự hoặc giao thức, quyền truy cập mạng không tin cậy sẽ từ chối và báo cáo. 

SASE dựa trên đám mây, được quản lý và phân phối trên nền tảng đám mây như một dịch vụ. Đó là một khuôn khổ toàn cầu bao gồm các công cụ quản lý quyền truy cập danh tính có thể được đưa vào người dùng, thiết bị, các sáng kiến ​​IoT hoặc máy tính biên.

SASE cho phép một khuôn khổ nằm trên nhiều hơn các trang web vật lý truyền thống. SASE có thể đặt trên bất kỳ điểm cuối nào có hỗ trợ internet. SASE cũng chia sẻ điểm tương đồng của SD-WAN ở chỗ nó rất linh hoạt: SASE cho phép bất kỳ điểm cuối nào truy cập vào bất kỳ ứng dụng nào qua bất kỳ mạng nào theo cách được bảo vệ.

Vì sao nên sử dụng đồng thời cả SD-WAN và SASE?

Người dùng đang tiến tới kết hợp SD-WAN với SASE vì một số lý do. Tính linh hoạt và khả năng mở rộng là hai trong số những lý do quan trọng nhất vì bản chất dựa trên đám mây của các công cụ này cho phép phản hồi và phân loại nhanh chóng. Việc hợp nhất tất cả các công cụ này bên dưới một biểu ngữ giúp khách hàng tiết kiệm ngân sách và dễ giám sát hơn. Điều này cũng có nghĩa là cần ít công việc phát triển hơn để thiết lập và chạy các API một cách chính xác.

Việc quản lý chính sách tập trung của SASE, bao gồm cả kiểm soát truy cập toàn cầu, là giá trị chính của các công nghệ này, vì các tổ chức CNTT có thể đẩy các tiêu chuẩn về khả năng hoạt động và độ tin cậy của riêng họ trên các mạng WAN và ứng dụng bên ngoài.

SASE không phải là một cách tiếp cận toàn diện đối với an ninh mạng

SASE không thể làm mọi thứ để một tổ chức vẫn an toàn. Như đã đề cập trước đó, đào tạo người dùng cuối về an ninh mạng là điều tối quan trọng. Ngoài ra, SASE không cung cấp dịch vụ phát hiện và phản hồi / quản lý việc phát hiện và phản hồi (EDR / MDR), là một thành phần quan trọng để đảm bảo môi trường “làm việc từ mọi nơi”.

Về cơ bản, không có bất kỳ loại dịch vụ nào của trung tâm hoạt động bảo mật (SOC) trong SASE, có nghĩa là không có bất kỳ con người nào xử lý và phản hồi sự cố khi nó diễn ra trong thời gian thực. SASE không có nghĩa là một cách tiếp cận toàn diện đối với bảo mật nói chung; nó đơn giản được hiểu là phần mở rộng của chính sách an ninh mạng đối với các ứng dụng khác được lưu trữ bên ngoài hệ thống nội bộ.

Sử dụng SASE để hỗ trợ quản lý

Nhưng điều đó không có nghĩa là SASE không cung cấp bất kỳ hình thức hỗ trợ quản lý nào. Trên thực tế, hầu hết các cửa hàng áp dụng SASE đều chọn tham gia vào một số kiểu quản lý, cho dù đó là kiểu quản lý hoàn toàn hay kiểu kết hợp nào đó. Các mô hình kết hợp thường được áp dụng khi người dùng cuối có một số tường lửa tại chỗ hoặc các ứng dụng homebrew kế thừa đòi hỏi ít nhất một số chuyên môn nội bộ về kiểm tra.

Một trong những xu hướng chính cần theo dõi trong không gian SASE liên quan đến chuỗi dịch vụ và tính toàn vẹn của nhà cung cấp. Khách hàng bị mắc kẹt giữa quan hệ đối tác nhiều cấp và hợp nhất và mua lại có thể bị buộc phải tham gia vào một đường cong học tập cao hơn vì các ứng dụng được kết nối với nhau vì lợi ích của nhà cung cấp. Điều này dẫn đến việc khách hàng có ý thức quản lý môi trường khi các tổ chức này và mô hình hỗ trợ của họ thay đổi trong quá trình hợp nhất.

SASE không thực sự được xây dựng cho một môi trường tập trung vào AI. Nó sẽ là một xu hướng thú vị để làm theo khi tính toán cạnh trở nên phổ biến hơn trong các lần làm mới mạng.

Bạn có nên khởi chạy SD-WAN và SASE không?

Người dùng CNTT muốn tích hợp các công nghệ SD-WAN nên thực hiện các phương pháp SASE thẩm định và kiểm tra. Tùy thuộc vào khách hàng, có thể không cần khởi chạy SD-WAN song song với SASE đồng thời. Nhưng có một số tầm nhìn rõ ràng về cách các công cụ và công nghệ đó có thể bổ sung cho nhau sẽ cung cấp cho các chuyên gia CNTT một lộ trình mạnh mẽ hơn.

Nói cách khác, tốt nhất là bạn nên biết cách tạo cho mình sự an toàn nhất có thể, ngay cả khi bạn không có đủ phương tiện để điều đó xảy ra trong một sớm một chiều. Xem xét lại tư thế và giao thức bảo mật, vì SD-WAN được coi là một kiến trúc mạng mới, là phương pháp hay nhất cần được tuân thủ bởi tất cả mọi người, bất kể nhu cầu hoặc khả năng.