Ασφάλεια διαδικτύου, Διαδίκτυο

Υβριδική Εργασία και μοντέλο άκρου υπηρεσίας ασφαλούς πρόσβασης (SASE)

Γράφει η Μαριάννα Τζίμα

Η εξάπλωση της πανδημίας Covid-19 επέφερε αλλαγές στις εργασιακές πρακτικές των επιχειρήσεων προκειμένου να επιβιώσουν και να αναπτυχθούν. Σηματοδοτήθηκε η απαρχή μιας εποχής ευελιξίας με ένα νέο μοντέλο εργασίας, όχι μόνο να κυριαρχεί την περίοδο της υγειονομικής κρίσης, αλλά να συνεχίζει να εφαρμόζεται και σήμερα. Το μοντέλο της απομακρυσμένης εργασίας (τηλεργασίας) αναδείχθηκε αρχικά ως αναγκαιότητα και πλέον έχει αποκτήσει υβριδικό χαρακτήρα, συνδυάζει την εξ αποστάσεως με τη δια ζώσης εργασία. Ένα ποσοστό της τάξεως του 61% των εργαζομένων στην Ελλάδα, αποζητά το υβριδικό μοντέλο εργασίας θεωρώντας πως ανταποκρίνεται στις συνεχώς μεταβαλλόμενες ανάγκες που έχει επιφέρει η πανδημία. Πρόκειται για μια προσέγγιση που μεγάλος αριθμός επιχειρήσεων συνεχίζει ολοένα και περισσότερο να υιοθετεί.

Κάθε επιχείρηση, είτε διαθέτει εδώ και καιρό πολιτικές και διαδικασίες για την υποστήριξη της εξ αποστάσεως εργασίας, είτε τις θέσπισε πρόσφατα, απαιτείται να διαθέτει ευελιξία λειτουργιών αλλά και να εγγυάται την ασφάλεια των δεδομένων των πελατών και του ίδιου του οργανισμού. Στο νέο περιβάλλον που διαμορφώνεται με το υβριδικό μοντέλο αναδύεται η αρχιτεκτονική με το ακρωνύμιο SASE – Secure Access Service Edge – με στόχο να συνδυάσει τη βέλτιστη δικτύωση για την καλύτερη εξυπηρέτηση πελατών και συνεργατών, αλλά και την υψηλή ασφάλεια της επιχείρησης.

Τι είναι το SASE;

Το SASE έχει σχεδιαστεί για να βοηθά τους οργανισμούς να προστατεύουν τα νέα κατανεμημένα δίκτυα. Ενσωματώνει πολλαπλές λύσεις για την ασφαλή απομακρυσμένη πρόσβαση σε εσωτερικούς πόρους, cloud καθώς και διαδικτυακούς πόρους. Είναι ένας συνδυασμός των δυνατοτήτων WAN (σύνολο υπολογιστών που εκτείνονται σε μια ευρεία γεωγραφική περιοχή και δημιουργούν μεταξύ τους ένα δίκτυο επικοινωνίας) με λειτουργίες ασφάλειας δικτύου: secure web gateway, firewall-as-a-service, zero-trust network access, κ.α. Αυτές οι δυνατότητες παρέχονται as-a-service (γνωστές ως υπηρεσίες SaaS, προσβάσιμες από τους χρήστες διαδικτυακά και απομακρυσμένα, χωρίς να απαιτείται τοπική εγκατάσταση και συντήρηση λογισμικού) και στοχεύουν στην εύρεση ευαίσθητων δεδομένων ή κακόβουλου λογισμικού, αποκρυπτογράφησης περιεχομένου και παρακολούθησης των κινδύνων. Το SASE όμως δεν περιορίζεται μόνο στην συγκέντρωση και διάθεση εργαλείων ασφαλείας. Παρέχει βέλτιστες δυνατότητες δικτύωσης προκειμένου οι χρήστες να έχουν αυξημένη απόδοση απ’ όπου κι αν εργάζονται, ενισχύοντας την παραγωγικότητα και ενσωματώνοντας την πιστοποίηση ταυτότητας και την αξιολόγηση κινδύνου σε πραγματικό χρόνο σε όλες τις συνδέσεις. Οι εφαρμογές στις οποίες έχουν πρόσβαση οι εργαζόμενοι, είτε πρόκειται για επαγγελματικές είτε για προσωπικές εφαρμογές, μπορεί να βρίσκονται σε δημόσια ή ιδιωτικά νέφη (clouds) ή εταιρικά κέντρα δεδομένων. Οι οργανισμοί χρησιμοποιώντας την τεχνολογία SASE μπορούν να υιοθετήσουν ένα πλαίσιο μηδενικής εμπιστοσύνης (zero-trust network access), έναντι των παραδοσιακών τεχνολογιών VPN, για να παρέχουν ασφαλή και απρόσκοπτη πρόσβαση σε εφαρμογές και πόρους οπουδήποτε και ανά πάσα στιγμή, χωρίς κίνδυνο.

Βασικά στοιχεία του μοντέλου SASE

Προκειμένου να αξιοποιηθεί το πλήρες δυναμικό μιας εφαρμογής SASE, χρειάζεται αυτή να περιλαμβάνει ένα σύνολο βασικών στοιχείων ασφαλείας. Οι οργανισμοί πρέπει να κατανοήσουν και να εφαρμόσουν τα παρακάτω στοιχεία σε WAN-edge, LAN-edge και Cloud-edge:

  • Δίκτυο ευρείας περιοχής που ορίζεται από λογισμικό (SD-WAN):αναφέρεται στην αρχιτεκτονική επικάλυψης που χρησιμοποιεί λογισμικό δρομολόγησης ή εναλλαγής για τη δημιουργία εικονικών συνδέσεων μεταξύ τελικών σημείων – τόσο φυσικών όσο και λογικών. Περιλαμβάνει στοιχεία όπως δυναμική επιλογή διαδρομών, δυνατότητες αποκατάστασης WAN και συνεπή εφαρμογή και εμπειρία χρήστη για επιχειρηματικές εφαρμογές.
  • Ασφαλής πύλη web (SWG): είναι μια υπηρεσία ασφαλείας web που φιλτράρει τη μη εξουσιοδοτημένη κυκλοφορία από την πρόσβαση σε ένα συγκεκριμένο δίκτυο. Ο στόχος ενός SWG είναι να μηδενίζει τις απειλές πριν από την εισβολή σε μια εικονική περίμετρο. Το SWG συνδυάζει τεχνολογίες όπως ο εντοπισμός κακόβουλου κώδικα, η εξάλειψη λογισμικού κακόβουλης λειτουργίας και το φιλτράρισμα διευθύνσεων URL, επιβάλλοντας πολιτικές ασφάλειας και συμμόρφωσης, διασφαλίζοντας ότι δεν θα υπάρξει διαρροή δεδομένων.
  • Cloud access security broker (CASB): πρόκειται για μια εφαρμογή SaaS που λειτουργεί ως σημείο ελέγχου ασφαλείας μεταξύ δικτύων εσωτερικής εγκατάστασης και εφαρμογών που βασίζονται στο cloud και επιβάλλει πολιτικές ασφαλείας δεδομένων. Προστατεύει τα εταιρικά δεδομένα μέσω ενός συνδυασμού τεχνικών αποτροπής, παρακολούθησης και μετριασμού. Επιτρέπει στους οργανισμούς να πάρουν τον έλεγχο των εφαρμογών SaaS τους, συμπεριλαμβανομένης της εξασφάλισης πρόσβασης σε εφαρμογές και της εξάλειψης των προκλήσεων Shadow IT.
  • NGFW (φυσικό) ή FWaaS (cloud based) Firewall:Το SASE πρέπει να περιλαμβάνει μια πλήρη λύση ασφαλείας που να καλύπτει τόσο σενάρια φυσικής όσο και βασισμένης στο cloud ασφάλειας. Το τείχος προστασίας ως υπηρεσία μετακινεί την προστασία τείχους προστασίας στο cloud αντί για την παραδοσιακή περίμετρο δικτύου. Αυτό επιτρέπει στους οργανισμούς να συνδέουν με ασφάλεια απομακρυσμένους εργαζόμενους απαιτώντας έναν συνδυασμό ασφάλειας που βασίζεται στο cloud για πρόσβαση σε πόρους που βρίσκονται στο Διαδίκτυο μαζί με τη φυσική ασφάλεια και την εσωτερική τμηματοποίηση για να αποτρέψουν την πρόσβαση των χρηστών του δικτύου σε περιορισμένους πόρους εταιρικού δικτύου.
  • Πρόσβαση μηδενικής εμπιστοσύνης στο δίκτυο (Zero Trust Network Access – ZTNA): Χρησιμοποιείται κυρίως για τον εντοπισμό χρηστών και συσκευών και για τον έλεγχο της ταυτότητάς τους σε εφαρμογές. Επειδή το ZTNA είναι κάτι περισσότερο από μια στρατηγική παρά ένα προϊόν, περιλαμβάνει πολλές τεχνολογίες που συνεργάζονται μεταξύ τους,  ξεκινώντας από τον έλεγχο ταυτότητας πολλαπλών παραγόντων, μέχρι την αναγνώριση όλων των χρηστών. Αποτελεί ένα σύνολο ενοποιημένων τεχνολογιών που βασίζονται στο cloud και λειτουργούν σε ένα πλαίσιο στο οποίο η αξιοπιστία δεν είναι ποτέ έμμεση και η πρόσβαση εκχωρείται με ελάχιστα δικαιώματα, σε όλους τους χρήστες, τις συσκευές και τις εφαρμογές. Όλοι οι χρήστες πρέπει να ελέγχονται, να εξουσιοδοτούνται και να επικυρώνονται συνεχώς πριν τους εκχωρηθεί πρόσβαση σε εταιρικές ιδιωτικές εφαρμογές και δεδομένα. Εξαλείφεται η κακή εμπειρία χρήστη, οι λειτουργικές πολυπλοκότητες, το κόστος και ο κίνδυνος ενός παραδοσιακού VPN.
  • Κεντρική και ενοποιημένη διαχείριση: επιτρέπεται στους διαχειριστές IT να διαχειρίζονται SD-WAN, SWG, CASB, FWaaS και ZTNA μέσω μιας κεντρικής και ενοποιημένης διαχείρισης σε όλη τη δικτύωση και την ασφάλεια. Οι ομάδες IT μπορούν, επομένως, να εστιάζουν την ενέργειά τους σε πιο σημαντικούς τομείς ενώ παράλληλα ενισχύεται η εμπειρία χρήστη για το υβριδικό εργατικό δυναμικό του οργανισμού.

Πλεονεκτήματα SASE

Σύμφωνα με σχετική έκθεση της Microsoft τα πλεονεκτήματα του SASE μπορούν να ταξινομηθούν στα εξής:

  • Μειωμένο κόστος και πολυπλοκότητα IT: Το SASE μειώνει τον αριθμό των λύσεων που απαιτούνται για την ασφάλεια των εφαρμογών και των υπηρεσιών εξοικονομώντας κόστος στις επενδύσεις του IT και απλοποιώντας τη διαχείριση.
  • Μεγαλύτερη ευελιξία και δυνατότητα κλιμάκωσης: Επειδή το SASE χαρακτηρίζεται ως υπηρεσία που βασίζεται στο cloud, τόσο οι δυνατότητες  δικτύωσης, όσο και το πλαίσιο ασφαλείας είναι πλήρως κλιμακούμενα. Οι επιχειρήσεις και τα συστήματα αναπτύσσονται ταυτόχρονα, καθιστώντας πραγματικά δυνατή την επιτάχυνση του ψηφιακού μετασχηματισμού. 
  • Διατήρηση της ασφάλειας της υβριδικής εργασίας σε υψηλό επίπεδο: Υπάρχει ασφάλεια υψηλού επιπέδου για όλους εντός της επιχείρησης, ανεξάρτητα από το πώς ή πού εργάζονται.
  • Ενίσχυση εμπειρίας χρήστη: Βελτιστοποίηση εμπειρίας με λειτουργίες έξυπνης διαχείρισης της ασφάλειας σε πραγματικό χρόνο, καθώς οι χρήστες προσπαθούν να συνδεθούν σε εφαρμογές και υπηρεσίες cloud, μειώνοντας τα ρίσκα και τα ευάλωτα σε επιθέσεις σημεία.

Υιοθέτηση πλαισίου SASE για επιχειρήσεις

Για να μπορεί ένας οργανισμός να έχει τα καλύτερα δυνατά αποτελέσματα όσον αφορά την ολοκληρωμένη προστασία από απειλές, την επιτάχυνση του ψηφιακού μετασχηματισμού του και την υποστήριξη του εργατικού δυναμικού του (απομακρυσμένο ή υβριδικό), χρειάζεται να εξετάσει τo τρέχον περιβάλλον, να δώσει προτεραιότητα στα κρίσιμα για τον οργανισμό εργαλεία και να εντοπίσει τα κενά που πρέπει να αντιμετωπίσει. Οι αρμόδιοι για την ασφάλεια υποδομών των επιχειρήσεων (οι επικεφαλής ασφάλειας και διαχείρισης κινδύνων) χρειάζεται να κατευθύνουν τις δράσεις για τον μετασχηματισμό των υποδομών και για την ενσωμάτωση υπηρεσιών ασφάλειας αιχμής με επίκεντρο το cloud. Χρειάζεται να αξιολογήσουν τις προτεραιότητες ασφάλειας του οργανισμού τους και, στη συνέχεια, να καθορίσουν ποιες λύσεις SASE ανταποκρίνονται καλύτερα σε αυτές τις ανάγκες.

Οι αλλαγές αυτές χρειάζεται να πραγματοποιηθούν βαθμιαία, καθώς η πλήρης αντικατάσταση των υφιστάμενων υποδομών ασφαλείας ταυτόχρονα δεν είναι ρεαλιστική. Δεδομένου ότι το SASE βασίζεται στο cloud και σε λογισμικό, η ενσωμάτωση του σε υπάρχουσες υποδομές είναι εύκολη και επιτρέπει την σταδιακή και ομαλή μετάβαση από την υποδομή ασφάλειας δικτύωσης εσωτερικής εγκατάστασης στο cloud edge.

Πηγές:

https://www.itsecuritypro.gr/yvridiki-ergasia-simainei-sase/ 

https://www.microsoft.com/el-gr/security/business/security-101/what-is-sase#OneGDCWeb-Banner-0lrzzjl