Η ενσωμάτωση των διαδικασιών Κυβερνοασφάλειας στις λειτουργίες μιας επιχείρησης, δεν είναι απλή υπόθεση. Οι CIOs και CISOs, αφιερώνουν αμέτρητες ώρες καθημερινά για να βελτιστοποιήσουν τις λύσεις ασφάλειας, διασφαλίζοντας τόσο την ορθή λειτουργία τους, όσο και τη μικρότερη δυνατή επιβάρυνση του εταιρικού δικτύου. Με τη μετάβαση σε cloud περιβάλλοντα να μεγεθύνει την πρόκληση, η Netskope, εισάγοντας την single–pass αρχιτεκτονική, έρχεται να δώσει οριστικά λύση.
Γράφει ο Ανδρέας Καραντώνης
Director of Marketing & Communications
Cysoft Ltd. – Channel IT Group of Companies
www.channel-it.com
Από τα physical appliances στο virtualization
Μερικά χρόνια νωρίτερα, η ομάδα Κυβερνοασφάλειας μιας εταιρείας, θα έπρεπε να εγκαταστήσει υπηρεσίες ασφάλειας σε μια σειρά από φυσικές συσκευές. Λειτουργίες όπως το τείχος προστασίας, το φιλτράρισμα διευθύνσεων URL, η παρακολούθηση email, ο εντοπισμός απειλών, η πρόληψη απώλειας δεδομένων κ.α., θα «έτρεχαν» η καθεμιά στο δικό τους «κουτί». Αυτές οι ενδεικτικές λειτουργίες ασφάλειας, θα ήταν ρυθμισμένες με τέτοιο τρόπο, ώστε αφού ολοκληρωθεί η επεξεργασία του πακέτου δεδομένων σε κάθε κουτί, να περνά σειριακά στο επόμενο, μέχρις ότου ολοκληρωθεί η συνολική διαδικασία.
Οι δυνατότητες επέκτασης καθεμιάς από τις παραπάνω υπηρεσίες, θα ήταν ανάλογες με τη διαθεσιμότητα του εκάστοτε hardware, κι όταν αυτή έφτανε στα όριά της, η απόδοση των ελέγχων ασφάλειας και κατ’ επέκταση όλου του δικτύου, θα επιβραδύνονταν. Η κρυπτογραφημένη ροή στο δίκτυο και η διαδικασία αποκρυπτογράφησης, σάρωσης και εκ νέου κρυπτογράφησής τής πολλαπλές φορές, για κάθε λειτουργία ασφάλειας ξεχωριστά, έκανε ακόμα δυσκολότερη την κατάσταση. Η προσπάθεια βελτίωσης της επεκτασιμότητας των υπηρεσιών και της αποσυμφόρησης του δικτύου με τη μετάβαση σε εικονικές συσκευές (virtualization), κατέληγε στον ίδιο παρονομαστή. Κι αυτό, διότι ανεξάρτητα με το από που «έτρεχε» μια υπηρεσία, προϋπέθετε την εκχώρηση συγκεκριμένων πόρων, όπως επεξεργαστική ισχύ, μνήμη και χώρο στο δίσκο.
Με την ενοποίηση υπηρεσιών που διαθέτουν ορισμένες πλατφόρμες ασφάλειας, επιτυγχάνεται η μεγαλύτερη διαθεσιμότητα πόρων συνολικά, ωστόσο με τις επιμέρους υπηρεσίες να ανταγωνίζονται μεταξύ τους, τελικά δεν βελτιώνεται η απόδοση καμίας εξ’ αυτών. Αυτή η «διελκυστίνδα», οδηγεί εν τέλει σε «συμβιβασμούς», μεταξύ της ασφάλειας και της απόδοσης, γεγονός που μεταφράζεται -τουλάχιστον- σε υποβαθμισμένη εμπειρία χρήσης, αλλά στην χειρότερη περίπτωση, στην έκθεση της επιχείρησης σε κίνδυνο, εφόσον οι χρήστες «θυσιάζουν» τους ελέγχους ασφαλείας, στο βωμό της απόδοσης.
Η προσέγγιση της Netskope με χρήση «μικροϋπηρεσιών»
Κατά την ανάπτυξη της πλατφόρμας Secure Access Service Edge (SASE), η Netskope σχεδίασε την αρχιτεκτονική τής με στόχο να υπερκεράσει τις καθυστερήσεις που υποβαθμίζουν την απόδοση παραδοσιακών λύσεων ασφάλειας. Για την επίτευξη του σκοπού αυτού, επαναπροσδιορίστηκαν δύο από τις σημαντικότερες πτυχές του τρόπου λειτουργίας των τεχνολογιών ασφάλειας.
Πρωτίστως, ενοποιήθηκαν σημαντικές δυνατότητες ασφάλειας σε μια ενιαία πλατφόρμα, με παράλληλη σταχυολόγηση μεμονωμένων λειτουργιών και τοποθέτησή τους σε αυτό που η Netskope ονομάζει «μικροϋπηρεσίες» (microservices). Διαδικασίες όπως η αποτροπή απώλειας δεδομένων (Data Loss Prevention – DLP), η προστασία από απειλές, το φιλτράρισμα περιεχομένου ιστού και το Zero Trust Network Access (ZTNA), εκτελούνται ανεξάρτητα, χρησιμοποιώντας καθεμία τους δικούς της πόρους. Όταν η διαθεσιμότητα σε πόρους αρχίζει να επηρεάζουν την απόδοση κάποιας από τις μικροϋπηρεσίες, το Netskope Security Cloud, απελευθερώνει αυτόματα τους επιπρόσθετους πόρους για τη διεργασία της συγκεκριμένης μικροϋπηρεσίας.
Θα μπορούσε να σκεφτεί κανείς ότι ο εν λόγω τρόπος λειτουργίας, δε διαφέρει σε λογική από την αντίστοιχη της αυτόνομης λειτουργίας κάθε λύσης ασφάλειας από τη δική της φυσική συσκευή. Στην πραγματικότητα, ωστόσο, απέχει παρασάγγας από αυτήν, καθώς πρόκειται για μια απλοποιημένη διαδικασία μέσω των μικροϋπηρεσιών. Η δεύτερη αξιοσημείωτη πτυχή της αρχιτεκτονικής της Netskope, έγκειται στον τρόπο με τον οποίο οι μικροϋπηρεσίες λειτουργούν αυτόνομα χρησιμοποιώντας ανεξάρτητους πόρους, ενώ ταυτόχρονα παραμένουν στενά συνδεδεμένες μεταξύ τους, αφού μοιράζονται τα αποτελέσματα των επιμέρους διεργασιών. Έτσι, δεν επαναλαμβάνονται άσκοπα τα ίδια workloads σε μικροϋπηρεσίες που αναλύουν τα ίδια πακέτα, δίνοντας συγκριτικό πλεονέκτημα στη Netskope αναφορικά με τον τρόπο και τον όγκο επεξεργασίας της κίνησης στο δίκτυο, αλλά και την καλύτερη διασύνδεση των αποτελεσμάτων ασφαλείας, για την επιτάχυνση της απόδοσης και τον περιορισμό του latency.
Ταχύτερη επεξεργασία της κυκλοφορίας στο δίκτυο και αποτελεσματικότερη ασφάλεια
Είναι αναπόφευκτο, η εισαγωγή οποιουδήποτε προϊόντος ή υπηρεσίας ασφαλείας στο δίκτυο, να προσδίδει έναν επιπρόσθετο βαθμό καθυστέρησης. Ωστόσο, η single–pass αρχιτεκτονική της Netskope, έχει σχεδιαστεί για να ελαχιστοποιεί το latency, από άκρο σε άκρο του δικτύου. Αυτό το επιτυγχάνει διαχωρίζοντας το «περιεχόμενο» από τα μεταδεδομένα και εκτελώντας επαναλαμβανόμενες δραστηριότητες μόνο μία φορά, για να αξιοποιήσει καλύτερα τα αποτελέσματα σε κάθε μικροϋπηρεσία που χρησιμοποιεί αυτές τις δραστηριότητες (Netskope NewEdge).
Για να γίνει κατανοητό πώς ακριβώς λειτουργεί, ας εξετάσουμε ως παράδειγμα την αποκρυπτογράφηση. Περίπου το 90% της κίνησης που χειρίζεται σήμερα η Netskope, είναι κρυπτογραφημένη. Παρόλο που οι μικροϋπηρεσίες ασφαλείας εκτελούν διαφορετικές λειτουργίες, η αποκρυπτογράφηση εκάστοτε πακέτου στο δίκτυο είναι προαπαιτούμενη για να μπορέσει κάθε μικροϋπηρεσία να πραγματοποιήσει τη δικής της εξειδικευμένη ενέργεια ή λειτουργία.
Με τη single-pass αρχιτεκτονική της Netskope, αποκλείονται από τη διαδικασία αποκρυπτογράφησης οι υπηρεσίες υψηλού επιπέδου, ώστε η κίνηση να αποκρυπτογραφηθεί μόνο μια φορά και στη συνέχεια οι αποκλεισμένες μικροϋπηρεσίες, ενσωματώνονται ξανά στο traffic, πριν από την εκ νέου κρυπτογράφηση και περαιτέρω δρομολόγηση. Έτσι, όταν μια επιμέρους διεργασία όπως το DLP ή το threat protection ξαναμπούν στην «κυκλοφορία», έχουν άμεση πρόσβαση σε πληροφορίες σχετικά με το ποιος είναι ο χρήστης, σε ποια εφαρμογή έχει πρόσβαση, ποια δραστηριότητα προσπαθεί να εκτελέσει κτλ. Εφόσον, λοιπόν, η μικροϋπηρεσία πρέπει να ελέγξει το περιεχόμενο του πακέτου, μπορεί να το κάνει πολύ πιο γρήγορα από ό, τι αν αντιμετώπιζε κρυπτογραφημένες επικοινωνίες για πρώτη φορά.
Το ίδιο σενάριο, ισχύει και για τις διάφορες πολιτικές ασφάλειας. Κοινά workloads μπορούν να εκτελεστούν μία φορά και στη συνέχεια να διαμοιραστούν οι πληροφορίες για περαιτέρω αξιοποίηση από τις επιμέρους μικροϋπηρεσίες. Συνεπώς, οι CISO και οι επαγγελματίες ασφάλειας, δε χρειάζεται να ορίσουν ξεχωριστά πολιτική για το GDPR (General Data Protection Regulation), το PCI (Payment Card Industry), κ.ο.κ. Αυτή η ενοποίηση και απλούστευση της εφαρμογής πολιτικών σε χαμηλότερο επίπεδο μικροϋπηρεσιών αλλά και μέσω μιας ενιαίας κονσόλας διαχείρισης, βελτιώνει τη συνολική απόδοση του συστήματος.
Συνοχή πολιτικής και προβολή σε εκτελέσιμο επίπεδο
Η περί ης ο λόγος αρχιτεκτονική, επιτρέπει επίσης σε συμβάντα ασφαλείας που δημιουργούνται στο Next-gen Secure Web Gateway (SWG), στο Cloud Access Security Broker (CASB), στο DLP και όλες τις παρεχόμενες υπηρεσίες της Netskope, να είναι ορατά μέσω ενός πίνακα ελέγχου και διαχείρισης συμβάντων. Από την οπτική του CISO, όλες οι μικροϋπηρεσίες Netskope φαίνεται να λειτουργούν ως μια ολοκληρωμένη λύση, η οποία διαχειρίζεται εύκολα μέσω μιας κονσόλας. Αυτό επιτρέπει στις ομάδες ασφαλείας να ανταποκρίνονται γρηγορότερα, να γνωρίζουν τα περιστατικά ασφαλείας νωρίτερα, να αναπτύσσουν νέες ή ενημερωμένες πολιτικές απρόσκοπτα και να επιτυγχάνουν την πολυπόθητη ασφάλεια.
Οι διάφορες υπηρεσίες του Netskope Security Cloud, χρησιμοποιούν επίσης την ίδια πηγή δεδομένων στο παρασκήνιο, προκειμένου να παράγουν «κανονικοποιημένα» αποτελέσματα που περιγράφουν συμβάντα ασφαλείας με τυπικούς όρους. Επίσης, ξεκλειδώνουν προηγμένες πληροφορίες, όπως ο εντοπισμός ανώμαλης συμπεριφοράς ή η επισήμανση επικίνδυνων χρηστών, χρησιμοποιώντας τα αναλυτικά στοιχεία συμπεριφοράς χρηστών (UEBA), που βασίζονται στη μηχανική μάθηση (machine learning), συμπεριλαμβανομένης βαθμολογίας εμπιστοσύνης χρήστη και έξυπνης συσχέτισης συμβάντων με βάση τα δεδομένα που συλλέγονται.
Αυτές οι δυνατότητες, διευκολύνουν την ομάδα ασφαλείας να αναγνωρίζει ζητήματα και να μειώνει την προσπάθεια που απαιτείται για τη λήψη δεδομένων από τις διάφορες μικροϋπηρεσίες στο εταιρικό σύστημα πληροφοριών ασφάλειας και διαχείρισης συμβάντων (SIEM). Έτσι, αφιερώνεται λιγότερος χρόνος για μη αυτόματο καθαρισμό δεδομένων και περισσότερος για την ανταπόκριση σε συμβάντα που εντοπίζονται από τις μικροϋπηρεσίες της Netskope. Πρόκειται για μια δραματικά ευκολότερη και ταχύτερη προσέγγιση, εν συγκρίσει με παλαιότερες που περιλάμβαναν πολλά προϊόντα, κονσόλες, διαφορετικά δεδομένα και μορφές κ.ο.κ.
Εν κατακλείδι, θα λέγαμε ότι η single-pass αρχιτεκτονική της Netskope, είναι ελκυστική τόσο για τους αναλυτές και τους επαγγελματίες ασφαλείας, όσο και για τους διαχειριστές δικτύου, για τον περιορισμό του latency και του αντίκτυπου στην απόδοσή του. Επιπλέον, όμως, δίνει και στα «C–Level» στελέχη τη «μεγάλη εικόνα» της υποδομής ασφάλειας της επιχείρησης.
Ως παγκόσμια ηγέτιδα στο SASE, η Netskope προσφέρει ολιστική ασφάλεια στο cloud και προστασία δεδομένων που, μέσω της μοναδικής της αρχιτεκτονικής, βελτιστοποιεί ταυτόχρονα την αποτελεσματικότητα και την αποδοτικότητα των υπηρεσιών ασφαλείας, παρέχοντας παράλληλα ανώτερη απόδοση. Ένα πανίσχυρο εργαλείο στα χέρια των επαγγελματιών για την μετάβαση ενός οργανισμού στο cloud, τον ψηφιακό μετασχηματισμό, κι ένα ακόμα δείγμα για τον τρόπο που η Netskope προσεγγίζει την αποστολή της, να προσφέρει ασφάλεια παγκόσμιας κλάσης, χωρίς συμβιβασμούς.