استراتژی SASE چیست و چه کاربردی درامنیت دارد – قسمت دوم (پایانی)

در قسمت اول این مطلب راهکار SASE را تعریف کرده و به برخی از کاربردهای آن پرداختیم.

عناصر امنیتی ضروری در راهکار SASE

هر راهکار حقیقی SASE باید شامل مجموعه‌ای هسته‌ای از عناصر امنیتی ضروری باشد. سازمان‌ها برای اینکه پتانسیل کامل یک پیاده‌سازی راهکار SASE را به حقیقت تبدیل کنند، باید این اجزای امنیتی را روی WAN-Edge و LAN-Edge و Cloud-Edge درک و پیاده‌سازی کنند.

• یک راهکار SD-WAN کاملاً عملیاتی: راهکار SASE با یک SD-WAN آغاز می‌شود که شامل مواردی مثل انتخاب مسیر پویا، قابلیت‌های خودترمیمی WAN و برنامه کاربردی و تجربه‌ی کاربری  باثبات برای برنامه‌های کاربردی کسب‌و‌کار است. 
• یک فایروال NGFW (فیزیکی) یا فایروال FWaaS (مبتنی بر Cloud): راهکار SASE همچنین نیازمند یک Stack امنیتی کامل است که هم در سناریوهای فیزیکی و هم مبتنی بر Cloud کارآمد باشد.  برای مثال، کارمندان Remote  نیازمند ترکیبی از امنیت مبتنی بر Cloud برای دسترسی به منابع آنلاین و همچنین امنیت فیزیکی و بخش‌بندی داخلی برای پیشگیری از دسترسی کاربران به منابع محدود شده شبکه در سازمان هستند. بااین‌حال، سخت‌افزار فیزیکی و امنیت Cloud-Native باید عملکرد بالای یکسانی را در مقیاس درست با انعطاف و امنیت حداکثری رائه دهند.   
• دسترسی Zero-trust به شبکه: این مورد به‌طور اساسی برای شناسایی و احراز هویت کاربران و دستگاه‌ها به برنامه‌های کاربردی استفاده می‌شود.  ازآنجایی‌که ZTNA بیشتر یک استراتژی است تا یک محصول، شامل چندین تکنولوژی‌ می‌باشد که با هم کار می‌کنند و اولین آن‌ها احراز هویت چندمرحله‌ای یا به‌اختصار MFA برای شناسایی کاربران می‌باشد. در بخش فیزیکی، ZTNA باید شامل کنترل دسترسی شبکه‌ی ایمن یا به‌اختصار NAC، اعمال Policy دسترسی و یکپارچه‌سازی با بخش‌بندی شبکه‌ی پویا برای محدود کردن دسترسی به منابع شبکه باشد و در بخش Cloud باید از مواردی مثل Micro-Segmentation با بررسی ترافیک برای ارتباطات East-West ایمن بین کاربران و امنیت Always-On برای دستگاه‌ها، هم روی شبکه و هم خارج آن پشتیبانی کند. 
• Secure Web Gateway:  از این مورد برای محافظت از کاربران و دستگاه‌ها از تهدیدات امنیتی آنلاین از طریق اعمال امنیت اینترنت و Policyهای تطبیق‌پذیری و فیلترکردن ترافیک مخرب اینترنت استفاده می‌شود. این Gateway همچنین Policyهای استفاده‌ی قابل‌قبولی را اعمال کرده، تطبیق‌پذیری و تنظیمات را تضمین می‌کند و از نشت داده پیشگیری می‌نماید. 
• CASB : یک سرویس مبتنی بر Cloud به سازمان‌ها این توانایی را می‌دهد که کنترل برنامه‌های کاربردی SaaS خود را بدست گرفته و این شامل ایمن‌سازی دسترسی برنامه‌های کاربردی و حذف چالش‌های Shadow IT است. این مورد باید با On-Premises DLP ترکیب شده تا از دست رفتن داده‌ به‌طور جامع پیشگیری کند.

راهکار SASE؛ ادغام شبکه و امنیت

در سطحی بالا، پیاده‌سازی راهکار SASE به ایجاد ارتباط ایمن و دسترسی به منابع حیاتی از هرجایی در Edge خلاصه می‌شود. متأسفانه، Vendorهای اندکی می‌توانند این شرایط را فراهم کنند، زیرا مجموعه راهکارهای آن‌ها پر است از محصولات مختلف و اکتسابی، یا اینکه صرفاً فاقد وسعت لازم برای فراهم کردن تمام عناصر امنیتی‌ای هستند که یک راهکار SASE قدرتمند به آن نیاز دارد. حتی وقتی‌که این شرایط را فراهم می‌کنند، راهکارهایشان به‌خوبی در همکاری با هم عمل نمی‌کنند تا کارآمد باشند.

این یک مشکل است، زیرا برای اینکه راهکار SASE به‌خوبی کار کند، تمام اجزای آن (عناصر اتصال، شبکه و امنیت) باید به‌عنوان یک سیستم یکپارچه‌ی واحد با هم تعامل داشته باشند. این یعنی هر جزء باید طوری طراحی شود که به‌عنوان بخشی از یک استراتژی یکپارچه‌ با اجرای دیگر تعامل داشته و این اجزا توسط یک راهکار مدیریت و تنظیم واحد و متمرکز به هم متصل باشند. آن‌ها همچنین باید با چارچوب امنیتی سازمانی بزرگتری یکپارچه‌سازی شوند و به‌طور پویا با تکامل محیط‌های شبکه تطبیق پیدا کنند. در غیر این صورت، راهکار مد نظر، یک راهکار SASE حقیقی نیست.

سرعت حرکت تازه‌ی بازار حولِ راهکار SASE هیجان‌انگیز است، زیرا نشان می‌دهد که نیاز به یک رویکرد شبکه‌ی مبتنی بر امنیت وجود دارد. در دوره‌ی ارتباطات Cloud و نوآوری‌های دیجیتال، شبکه و امنیت باید با هم ادغام شوند. بازگشتی به معماری‌های مفرد منسوخ در کار نیست.