Technology

almasi_zsolt_e.jpg
Forrás: Clico

A technológia, amelyről még SASE hallottál

Egyre több szolgáltatást és erőforrást költöztetünk ki céges hálózatainkból és adatközpontjainkból, hogy egyre agilisabb és nagyobb rendelkezésre állású rendszereket használhassunk – élve a digitalizáció és a felhős környezetek nyújtotta előnyökkel. Almási Zsolt, a Clico Hungary rendszermérnökének írása.

A felhős rendszerekbe költözést hajtja az is, hogy sokszor jobban tervezhetőbbek és akár a költségek is alacsonyabbak, mint „földi” megfelelőiknél. Egyes felhős megoldások üzemeltetéséhez kevesebb szakértelem és erőforrás kell, mint a földi rendszereknél, ami a munkaerőhiány miatt fontos szempont. Ezekhez a trendekhez hozzájárulnak a dolgozók igényei is: nagyrészük elvárja, hogy távolról is tudjon dolgozni, ezalatt pedig nemcsak a home office-t, hanem akár a sarki kávézót is értik, vagyis az olyan helyszíneken történő munkavégzést, amelynek védelmét már nem lehet megoldani egy cégesen kitelepített tűzfallal.

Az egyszerű tűzfal már nem elég
Amellett, hogy a vállalati erőforrások elérését is meg kell oldani, további védelmi kihívásokat jelenthet, hogy elég biztonságos-e az a kapcsolat, amit az adott, távoli elérés megoldás nyújt; van-e a másik oldalon olyan szakember, aki frissíti a VPN-szervert, a kapcsolodó infrastruktúrát, az azonosítás végző komponenseket és egyebeket.
Valamilyen megoldást adhat egy egyszerű tűzfal és egy jól megválasztott VPN-kliens használata, de további feladatok is adódnak még: tűzfalaink egyre komolyabb terhelést kapnak, ha egyre több kliens csatlakozik távolról, illetve ha egységes biztonsági szabályrendszert szeretnénk, akkor az összes távolról dolgozó felhasználónk forgalmát át kell szűrnünk a belső céges környezeten, azaz az összes biztonsági rendszerünket ugyanúgy terheljük, mintha minden dolgozónk a központi irodából érne el mindent.
Ráadásul, ha az adott kolléga éppen külföldön van, és a közvetlen helyi kilépés helyett a forgalom itthoni címről lép ki, az probléma lehet. Vagy ha egy valós idejű alkalmazást (például IP-telefont, konferenciarendszert) szeretne használni távolról, a feleslegesen utaztatott forgalom miatt túl sok hálózati késleltetésünk lesz és a szolgáltatás használhatatlanná silányul.

Miért lettek megalkotva a SASE-megoldások?
A fenti helyzetekre kínál megoldást a Gartner által nemrég definiált új buzzword, a SASE (Secure Access Services Edge), és a mögé bújtatott megoldások. Ezek a rendszerek az elemzőcég iránymutatása alapján próbálják összefogni és homogén, főleg felhőalapú szolgáltatásokkal megoldani a vállalatok fentiek miatt felmerülő igényeit. A SASE alá tartozó technológiák lényegében több, korábban különállóan használható/rendelhető megoldást fognak össze, és segítséget nyújtanak az informatikai osztálynak az új igények mentén kialakult IT-biztonsági és hálózati kihívások leküzdésére anélkül, hogy egyre több és több rendszert kéne üzemeltetniük. Ezek a megoldások képesek a hagyományos fiókirodai és felhasználói kapcsolatokon felül IoT- és mobileszközök kapcsolódási és biztonsági igényeinek kiszolgálására is. Még nem sok komplett SASE-stack érhető el a piacon, de várhatóan a közeljövőben megjelennek újabb rendszerek, és nemcsak a hagyományosan security-hálózat érdekeltségű gyártók fognak beszállni a felhasználókért vívott harcba, hanem a felhős és hálózati (NaaS és SD-WAN) gyártók is. A SASE-megoldásokkal tervezett hálózatok – remélhetőleg biztonságosabb működés mellett – segítik majd a gyors és agilis fejlődést. Felhős felépítésüknek köszönhetően egyszerűen kiterjeszthetők új igények kiszolgálására, az üzemeltetés számára pedig várhatóan kevesebb feladatot adnak majd.

Milyen funkciókat várhatunk a SASE-termékektől?
A SASE-megoldások használatával egy kliens telepítése után egyszerűen és külön beavatkozás nélkül tudjuk megoldani a végpont és a hálózati forgalmak védelmét a felhasználónk gépén. Ha webproxy-szerű működést szeretnénk, nincs szükség arra, hogy a forgalom áthaladjon a céges/felhős proxyn. Elég a SASE adta SWG (Secure Web Gateway) használata, amely a felhasználónk és a céloldal közötti legközelebbi és legkevesebb késleltetéssel járó adatközpontba tereli a forgalmat, és ott végzi a szűréseket. Igaz ez a többi védelmi megoldásra is, például a felhőben nyújtott SaaS-alapú szolgáltatások védelméhez nem feltétlenül szükséges a forgalom eltérítése, mivel a védelmet a SASE-gyártó által adott/integrált CASB (Cloud Access Security Broker) megoldás adja.
A végpontról induló késleltetésérzékeny folyamatok QoS- (Quality of Service-) igényeit is képes kiszolgálni a SASE által nyújtott környezet, amely felhasználja az SD-WAN alapú technológiákat a hálózat irányítására, illetve FWaaS- (Firewalll as a Service-) megoldást használva képes a védelmi funkciók ellátására is. Az IoT-eszközök által generált forgalmak például szenzoronként titkosítva közlekedhetnek új tűzfal telepítése nélkül is a központi elemző és vezérlő rendszerek irányába. A mobilan dolgozók adatai annak megfelelően fognak áthaladni a kialakított védelmi vonalakon, hogy mit szeretnének elérni. Például ha banki oldalra szeretne menni, azt kiengedjük SSL-bontás nélkül (a hagyományos vizsgálati módszerek mellett – URL-szűrés, DNS-kérések elemzése), viszont ha emberünk egy adatmegosztó szolgáltatás irányába szeretne haladni, akkor a felhőből elérhető szolgáltatások között be tudjuk kapcsolni a DLP-t, illetve az SSL-bontást is anélkül, hogy a mi tűzfalunkat vagy belső rendszereinket terhelnénk a forgalommal.
Az előző példák mellett a SASE-rendszerek képesek különbséget tenni veszélyesség alapján is a kérések között, így megoldható, hogy egy ismert eszközről történő bejelentkezésnél más szabályokat alkalmazzon, mint ha egy ismeretlen eszközről lépnénk be idegen helyről.

A felsorolt pár példa azonban nem mutatja meg a megoldás teljes funkcionalitását, mivel az gyártónként változik a pontos megvalósítás függvényében, de megpróbáltam rávilágítani pár hasznos képességére. Az üzemeltetési és képzési előnyök mellett további pozitív tényezők is bekerülnek a képbe. Ha egy gyártótól sikerül beszerezni az összes fenti megoldást egy termékként, akkor a kereskedelmi és beszerzési folyamatokat is nagyban leegyszerűsíti, mivel a megújítások is egy csatornából érkeznek, és a gyártói támogatást is egyszerűbb igénybe venni, ha nem kell külön-külön irányokba elindulni.

Miért válasszunk különálló termékek helyett SASE-megoldásokat?
Habár a fent vázolt funkciókra megoldást jelentő termékek már jelenleg is léteznek és megfelelő konfiguráció mellett összerakhatóak egységes SASE-rendszer nélkül is, de a jelenleg elterjedt NaaS (Network as a Service) megoldások és külön ezek védelmére, illetve ezek használatával kialakított security termékek egyre kevésbé fenntarthatók. Ennek oka, hogy újabb lehetőséget adnak arra, hogy a hálózati és az IT-biztonsági csapatok különböző igényei alapján akár egymással nem kompatibilis megoldások kerüljenek bevezetésre anélkül, hogy a cég összes igényét ki tudnák elégíteni. A SASE-modell megoldásai ezeket a funkciókat – vagy legalábbis nagyrészüket – egyben képesek lefedni, és használatukkal nagyjából egységes felületen alakíthatunk ki biztonsági szabályokat, valamint definiálhatunk hálózati igényeket, és a rendszer ezek összehangolásával képes a támadási felületet minimálisra csökkenteni.