Η παροχή ασφαλούς, αξιόπιστης και αδιάλειπτης πρόσβασης σε εταιρικούς πόρους και εφαρμογές σε ένα υβριδικό εργασιακό μοντέλο, είναι μία από τις μεγαλύτερες προκλήσεις που αντιμετωπίζουν σήμερα οι ομάδες πληροφορικής. Αυτή η ασφαλής και επαληθευμένη πρόσβαση σε κρίσιμες εφαρμογές και πόρους – είτε οι εργαζόμενοι βρίσκονται εντός του εταιρικού δικτύου, είτε εργάζονται από το σπίτι ή από οπουδήποτε – είναι ζωτικής σημασίας την σημερινή εποχή. Τα υβριδικά δίκτυα είναι ευάλωτα, έχοντας πολλά κενά ασφαλείας καθώς οι εργαζόμενοι μεταφέρθηκαν ξαφνικά από τα γραφεία στα σπίτια και έκτοτε οι οργανισμοί είναι αντιμέτωποι με την έξαρση των κακόβουλων λογισμικών, και ιδιαίτερα των malwares / ransomwares.

 

 

 

Γιώργος Αναστασόπουλος

Senior Systems Engineer at Fortinet

 

 

 

 

 

Οι οργανισμοί πρέπει να σκεφτούν σοβαρά τη μετάβαση από το παραδοσιακό VPN σε νεότερες τεχνολογίες Secure Access Service Edge (SASE) που διασφαλίζουν την απομακρυσμένη πρόσβαση, με έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) ανά συνεδρία / εφαρμογή και ικανές να παρέχουν αποτελεσματική ασφάλεια υψηλού επιπέδου μέσα από μία ενιαία πλατφόρμα που βασίζεται στο cloud.

Ωστόσο, δεν είναι όλες οι λύσεις SASE ίδιες. Η απόδοση, η πρόσβαση και η ασφάλεια στις εφαρμογές μπορεί να διαφέρουν πολύ μεταξύ των λύσεων και για οργανισμούς με στρατηγική υβριδικού μοντέλου εργασίας, η προσθήκη ενός επιπλέον συνόλου τεχνολογιών προς διαχείριση, μπορεί να υπερκαλύψει τους ήδη περιορισμένους πόρους των τμημάτων πληροφορικής.

Κριτήρια αξιολόγησης

Κατά την αξιολόγηση μίας λύσης SASE οι οργανισμοί θα πρέπει να εξετάσουν προσεκτικά τα ακόλουθα ζητήματα:

User access control – Η πρόσβαση μηδενικής εμπιστοσύνης (zero trust network access – ZTNA) έχει αναδειχθεί ως ένα από τα πιο βασικά εργαλεία για την προστασία των σημερινών κατανεμημένων πόρων μίας εταιρίας. Μια ολοκληρωμένη λύση ZTNA πρέπει να πιστοποιεί τους χρήστες, να παρέχει ρητή πρόσβαση σε συγκεκριμένες εφαρμογές, να παρέχει συνεχής παρακολούθηση και να μπορεί να λαμβάνει αντίμετρα προστασίας.

Consistent policy – Αντί να λειτουργούν ως εφάπαξ λύσεις, οι τεχνολογίες SASE θα πρέπει να ενσωματώνονται εύκολα στο ευρύτερο δίκτυο και την αρχιτεκτονική ασφάλειας του οργανισμού. Σε μία ιδανική κατάσταση, τα πρωτόκολλα και οι πολιτικές ασφαλείας στη λύση SASE θα πρέπει να είναι πανομοιότυπα με εκείνα που χρησιμοποιούνται σε άλλα σημεία του δικτύου.

Network & security convergence –  Μια λύση SASE πρέπει να μπορεί να παρέχει απρόσκοπτα διασυνδέσεις μεταξύ του cloud και on-premise συσκευών, ενώ οι πολιτικές πρόσβασης και ασφάλειας πρέπει να ακολουθούν τον χρήστη παντού, αντί να σταματούν στην περίμετρο δικτύου. Μόνο με τη σύγκλιση δικτύων και ασφάλειας από άκρο σε άκρο, από το cloud και τα on-premise datacenters έως τον απομακρυσμένο χρήστη, μπορούν οι οργανισμοί να εφαρμόσουν πραγματικά μια ολοκληρωμένη zero-trust αρχιτεκτονική.

Purpose built PoP –  Είναι σημαντικό μία SASE λύση να είναι αξιόπιστη και να έχει υψηλή απόδοση. Για αυτό χρειάζονται πολλαπλά σημεία (PoPs), κόμβοι, που να πληρούν αυστηρά πρότυπα ασφάλειας και να παρέχουν συνδεσιμότητα με υψηλές ταχύτητες, χαμηλές καθυστερήσεις και  γρήγορη απόκριση.

AI-powered threat intelligence – Οι μηχανισμοί ασφάλειας που παρέχονται από τη λύση SASE στους χρήστες και τις εφαρμογές, απαιτούν να είναι διαρκώς ενημερωμένοι για όλες τις νέες απειλές και να μην απαιτούν χειροκίνητες ενέργειες για τον περιορισμό των απειλών. Εκτός από τους βασικούς μηχανισμούς ασφάλειας, μια λύση SASE πρέπει επίσης να αξιοποιεί την τεχνητή νοημοσύνη και με την χρήση μοντέλων εκμάθησης και εκπαίδευσης, να μπορεί να αξιολογεί το σύνολο δισεκατομμυρίων συμβάντων στον κυβερνοχώρο και να παρέχει έγκαιρη και αποτελεσματική προστασία ενάντια στις zero-day απειλές.

Επιλογή με βάση τις εφαρμογές

Ακολουθούν τέσσερις βασικές περιπτώσεις χρήσης που πρέπει να ληφθούν υπόψη κατά την αξιολόγηση μιας λύσης SASE.

Secure Internet Access – Η λύση SASE θα πρέπει να παρέχει πολλά περισσότερα από ένα κλασσικό VPN για την αντιμετώπιση των σημερινών προηγμένων απειλών και να περιλαμβάνει μία πληθώρα συστημάτων και χαρακτηριστικών ασφαλείας που έχουν ειδικά σχεδιαστεί για να επιθεωρούν την δικτυακή κυκλοφορία, να εντοπίζουν και να σταματούν γνωστές και άγνωστες επιθέσεις. Η λίστα αυτή θα πρέπει να περιλαμβάνει βασικά στοιχεία όπως μια λύση ασφαλούς διαδικτυακής πύλης (SWG) για την παρακολούθηση και προστασία δεδομένων και εφαρμογών από web-based επιθέσεις, ZTNA, URL filtering, DNS protection, antiphishing, antivirus, antimalware, sandboxing και άλλα.

Secure Private Access – Για πολλούς λόγους, δεν μπορούν να μεταφερθούν όλες οι εφαρμογές στο cloud και οι απομακρυσμένοι χρήστες θα συνεχίσουν να έχουν πρόσβαση σε εφαρμογές που βρίσκονται στο κεντρικό datacenter. Τα παραδοσιακά VPN επιτρέπουν την ευρεία πρόσβαση σε κάθε σύστημα και εφαρμογή αλλά και την δυνατότητα μετακίνησης εντός του δικτύου αυτού. Έτσι οι επιτιθέμενοι εισβάλουν στα απροστάτευτα οικιακά δίκτυα, στη συνέχεια μέσω των VPN εισέρχονται στα εταιρικά δίκτυα και datacenters και εισαγάγουν ransomware προκαλώντας ανεπανόρθωτη ζημιά. Μια λύση SASE με ενσωματωμένο ZTNA παρέχει ρητή πρόσβαση ανά εφαρμογή σε πιστοποιημένους χρήστες χωρίς να απαιτείται η δημιουργία μόνιμου VPN.

Cloud-based management – Η cloud κονσόλα διαχείρισης του SASE θα πρέπει να παρέχει ολοκληρωμένη ορατότητα, αναφορές, καταγραφή και αναλυτικά στοιχεία για να διασφαλίζει αποτελεσματικές λειτουργίες ασφάλειας και να μειώνει τον μέσο χρόνο εντοπισμού και απόκρισης. Ωστόσο, η ύπαρξη άλλης μίας κονσόλας διαχείρισης για παρακολούθηση επιβαρύνει επιπλέον τις ομάδες IT. H διαχείριση του SASE θα πρέπει να μπορεί να συνεργάζεται με τα υπόλοιπα συστήματα και η ενοποίηση της διαχείρισης των εσωτερικών συστημάτων ασφάλειας και του SASE είναι βασικό για εξασφάλιση εναρμονισμένης ενορχήστρωσης και επιβολής κοινής πολιτικής.

Simplified onboarding and flexible consumption – Ανάμεσα στα κριτήρια αξιολόγησης μία λύσης SASE, θα πρέπει να είναι και ο τρόπος με τον οποίο γίνεται η αδειοδότηση αλλά και οι μέθοδοι ενεργοποίησης των SASE χρηστών. H εύκολη και κλιμακωτή αδειοδότηση βοηθά στην καλύτερη πρόβλεψη κόστους της υπηρεσίας για μελλοντική ανάπτυξη. Ο απλοποιημένος τρόπος ενεργοποίησης των χρηστών και η διαχείριση, θα πρέπει να συνδυάζει αποτελεσματικές λειτουργίες με αναλυτικά στοιχεία και να περιλαμβάνει εκτενής αναφορές, συμπεριλαμβανομένων των αναλυτικών καταγραφών συμβάντων μεταξύ χρήστη, τελικού σημείου και VPN για αποτελεσματική αντιμετώπιση προβλημάτων.

H GCC Hellas είναι επίσημος διανομέας FORTINET σε Ελλάδα και Κύπρο. https://gcc.net.gr, Τηλ.: 210 4441 300, Email: info.gr@gcc.net.gr