Οι σύγχρονες ανάγκες, η πολυπλοκότητα σεναρίων πρόσβασης πληροφοριών, η διαφορετικότητα χρηστών, τοποθεσιών και εφαρμογών οδήγησαν στη «γένεση» μιας νέας λύσης που θα τα γεφυρώσει όλα. Η λύση δόθηκε από τον γνωστό οίκο Gartner περί το 2019, και το όνομα αυτής, SASE (Secure Access Service Edge, το οποίο προφέρεται σάσι).

Του Γιάννη Παυλίδη
Security Solutions Architect
Uni Systems – www.unisystems.gr

 

 

 

 

Η λύση SASE έκανε αρκετά μεγάλο «θόρυβο» που συνοδεύτηκε από μεγάλο ενθουσιασμό της αγορά ως προς τα τρομερά οφέλη του. Πολλοί κατασκευαστές αναγνώρισαν το όραμα γύρω από το SASE και προσάρμοσαν τα όπλα της φαρέτρας τους αντίστοιχα, ώστε να βοηθήσουν τις επιχειρήσεις να υποδεχθούν αυτή τη νέα τεχνολογία. Βέβαια, σαν τεχνολογία χρειάζεται κάποιο χρόνο ωρίμανσης, όπως κάθε νέα τεχνολογία άλλωστε. Στην αντίστοιχη μελέτη του Gartner, Hype Cycle for Cloud Security 2021 διακρίνεται πως η τεχνολογία SASE βρίσκεται σε στάδιο προ-ωρίμανσης, ή διαφορετικά, θα μπορούσε να χαρακτηριστεί ως «εφηβεία».

Στο τρέχον στάδιο του SASE ακόμη κατευνάζονται οι προσδοκίες, καθώς αναμένονται εύκολες ή μαγικές λύσεις εμποδίων, ενώ η πραγματικότητα κρύβει πιο περίπλοκες διαδικασίες. Αυτό συμβαίνει γιατί στην ουσία δεν πρόκειται για μια τεχνολογία, αλλά ένα συνονθύλευμα  λύσεων, οι οποίες συνεργάζονται προς τον ίδιο κοινό σκοπό: να γεφυρώσουν τον on-premise κόσμο, με τον Multi-Cloud, ενώ παράλληλα να τηρούν Zero-Trust αρχιτεκτονική για τους χρήστες όπου κι αν αυτοί βρίσκονται. Ακούγεται ιδανικό, αλλά σίγουρα όχι απλό!

Το SASE είναι μια αρχιτεκτονική λύσεων που οφείλουν να σχεδιαστούν και να συνεργαστούν με γνώμονα πολλές πτυχές μιας επιχείρησης και του «ψηφιακού ταξιδιού» της στο Cloud και όχι μόνο. Μια SASE αρχιτεκτονική συντίθεται συνδυάζοντας τεχνολογίες από δύο κύριους τομείς, της δικτύωσης και της ασφάλειας. Για παράδειγμα, κύριο συστατικό της δικτύωσης είναι το SD-WAN, ενώ από την πλευρά της ασφάλειας, είθισται να εισάγουμε διάφορες τεχνολογίες όπως CASB, ZTNA/VPN, SWG, Encryption, DLP, κλπ.­

Παρά το ότι το SASE όντως διαθέτει οτιδήποτε είναι απαραίτητο για να θέσουμε γερές δικτυακές βάσεις με ασφάλεια, φαίνεται να υλοποιείται με μάλλον χαμηλούς ρυθμούς. Βάσει στοιχείων έρευνας του 2021 σε περίπου 2.400 IT leaders, μόλις το 19% δήλωσε ότι υλοποιεί κάποιο έργο SASE, το 50% δεν σκοπεύει να υλοποιήσει και το 31% δεν γνώριζε λεπτομέρειες επ’ αυτού. Παράλληλα, η Gartner δηλώνει πως αναμένει ετοιμότητα ή στρατηγική για το SASE στο 60% περίπου των επιχειρήσεων μέχρι το 2025.

Παράλληλα, η πανδημία έπαιξε ένα αντίστοιχα μεγάλο ρόλο στην υλοποίηση των SASE λύσεων, καθώς οι ανάγκες για SD-WAN σαφώς μειώθηκαν ή αναβλήθηκαν. Με τη σωρεία χρηστών να βρίσκεται πλέον σε προσωπικά δίκτυα, δεν θα μπορούσε μια επιχείρηση να υλοποιήσει SD-WAN, traffic shaping, QoS κ.α., αφού η όλη απότομη μετάβαση στα σπίτια άλλαξε δια παντός τα δεδομένα και το «κεντρικό» δίκτυο όπως το ξέραμε. Συνδυάζοντας αυτά τα στοιχεία με τη γενικότερη αίσθηση της αγοράς, φαίνεται ότι η υιοθεσία του SASE αργοπορεί, τουλάχιστον με τα ως τώρα δεδομένα.

Όπως αντιλαμβανόμαστε λοιπόν, το SASE δεν είναι μια «εύκολη λύση» ή ένα τυποποιημένο προϊόν. Για να υλοποιηθεί μια SASE αρχιτεκτονική, χρειάζεται να επενδύσουμε τόσο σε δίκτυο αλλά και σε τεχνολογίες ασφάλειας. Από την άλλη, είναι βέβαιο πως αν μια εταιρία υιοθετήσει μια SASE αρχιτεκτονική, θα επωφεληθεί από ταχύτερα, αποδοτικότερα και οικονομικότερα δίκτυα, διατηρώντας παράλληλα Zero Trust φιλοσοφία με έντονο data protection.

Μια εναλλακτική πρόταση αρχιτεκτονικής

Μια λύση – ή έστω ένα workaround όπως συνηθίζουμε να λέμε – ακούστηκε αφαιρώντας κάποιο, ή έστω κάποια τμήματα του SASE. Αυτά τα τμήματα ανήκουν στο δικτυακό φάσμα του SASE και φυσικά το SD-WAN ανήκει σε αυτά. Αφαιρώντας λοιπόν το SD-WAN (και όποιο άλλο όφελος θα ερχόταν με τις ίδιες συσκευές) από την άσκηση, η αγορά απάντησε με τις λύσεις SSE, Security Service Edge. Το υποσύνολο αυτό του SASE, έδωσε το έναυσμα σε περισσότερους κατασκευαστές να παρουσιάσουν και επενδύσουν στη λύση SSE. Λογικό αποτέλεσμα, αφού η «πίτα» των SD-WAN κατασκευαστών είναι σαφώς μικρότερη.

Μάλιστα, στο Gartner Hype Cycle for Cloud Security 2021 φάνηκε πως το SSE, αν και νεότερο, είχε ήδη πλησιάσει το SASE. Επιπλέον, η ίδια έχει εκδώσει Magic Quadrant για το Security Service Edge. Αυτά τα γεγονότα δείχνουν ότι το απλούστερο SSE έχει μάλλον την τάση να επιταχύνει περισσότερο από την αρχική ιδέα.

Το Security Service Edge λοιπόν, διατηρεί την ίδια λογική με το SASE, χωρίς το WAN τμήμα. Οπότε, συνεχίζουμε και μιλάμε για αρχιτεκτονική πλέον με λιγότερες ή ακόμα και μια ενοποιημένη λύση που διαθέτει πολύτιμες λειτουργίες όπως ενδεικτικά αναφέρονται οι παρακάτω:

  • SWG για ασφαλή πρόσβαση στο διαδίκτυο, όπου κι αν βρίσκονται οι χρήστες μας
  • CASB, για ασφαλή πρόσβαση σε SaaS και Cloud εφαρμογές
  • DLP, για προστασία των δεδομένων εντός των εφαρμογών
  • FWaaS, για σύνδεση με απομακρυσμένους πόρους με ασφάλεια, χωρίς ενδιάμεση φυσική υποδομή
  • ZTNA, για ασφαλή ταυτοποίηση, αυθεντικοποίηση και εξουσιοδότηση χρηστών

Το SSE συνεχίζει να διαθέτει σημαντικά οφέλη για τις επιχειρήσεις που το επιλέγουν και φαίνεται να είναι υπέρ του δέοντος κατάλληλη λύση για σενάρια τηλεργασίας. Ήδη έχουν παρουσιαστεί αξιόλογες λύσεις που μπορούν να βοηθήσουν επιχειρήσεις στην κάλυψη αναγκών που προκύπτουν από Cloud migrations, Application modernization, Remote Working, Compliance, κλπ. Επιλέγοντας μια ολοκληρωμένη λύση SSE, ή ένα blueprint λύσεων, κάθε οργανισμός μπορεί να επωφεληθεί από σημαντικά πλεονεκτήματα. Μπορούμε να πετύχουμε πιο εύκολα ένα δυνατό «μείγμα» ισχυρής ταυτοποίησης χρηστών, διαχωρισμού ρόλων και δικαιωμάτων, κρυπτογράφησης δεδομένων, προστασίας διαρροών πληροφοριών, εκτενώς καταγεγραμμένης ασφαλούς απομακρυσμένης πρόσβασης και μάλιστα με υποβοήθηση AI που ανιχνεύει απειλές και ανωμαλίες. Όλα αυτά, σε συνδυασμό με απόλυτη ορατότητα και έλεγχο σε κινήσεις, πολιτικές, χρήστες και κανονιστική συμμόρφωση.

Συνοψίζοντας, στην ασφάλεια και στη δικτύωση, δεν υπάρχουν “silver bullets”, “unicorns” και άλλες «μαγικές συνταγές» που ταιριάζουν παντού και λύνουν όλα τα προβλήματα. Εννοείται πως αν μια επιχείρηση διαθέτει τους πόρους και ανάγκες για ένα πλήρες SASE Architecture, θα επωφεληθεί από περισσότερες δυνατότητες. Από την άλλη, αν οι συνθήκες δεν είναι κατάλληλες, η λύση μπορεί να χωριστεί «στη μέση», υλοποιώντας ανεξάρτητα τα SD-WAN και SSE τμήματα. Επιλέγουμε τη σωστή λύση για την επιχείρησή μας, τις ανάγκες και δυνατότητές μας, μαζί με έναν Integrator ικανό να ενσωματώσει την τεχνολογία στις διαδικασίες μας και όχι το αντίθετο.