Концепция SD-WAN, программно-определяемой глобальной вычислительной сети, хороша и удобна. Порой даже чрезмерно удобна: настолько, что ее активное применение начинает угрожать информационной безопасности реализующей эту концепцию организации. Особую актуальность опасения в этой связи приобретают на фоне противокоронавирусных карантинных мер, когда множество компаний по всему свету вынуждены с колес организовывать распределенные офисы для разом отправленных по домам десятков, сотен и даже тысяч сотрудников.
Привыкшие по всякому поводу и без устанавливать на свои смартфоны новые приложения, одомашненные (часто против своей воли) сотрудники столь же легкомысленно склонны относиться к выданным им на время корпоративным ноутбукам и планшетам. В отсутствие постоянно приглядывающего за каждым ПК сисадмина ширятся и крепнут теневые ИТ — скрытая от глаз ИТ- и ИБ-профессионалов область установки и активной эксплуатации несанкционированного ПО на рабочих компьютерах. Что, безусловно, не укрепляет общий уровень конфиденциальности путешествующих по (территориально распределенной теперь) сети компании корпоративных данных.
Фактически, те проблемы информационной безопасности, с которыми прежде планомерно разбирались ИТ-специалисты исключительно крупных коммерческих структур с развитой филиальной сетью, сегодня вынуждены в спешном порядке решать системные администраторы любой компании, хотя бы часть сотрудников которой переведена на удаленку в связи с ограничением перемещений из-за вспышки COVID-19. Ручное управление политиками безопасности в такой ситуации практически невозможно реализовать. Самое время начать освоение сравнительно нового облачного сервиса — SASE (произносится как «sassy»; secure access service edge — оказание услуг на периферии с безопасным доступом).
Эта выделенная Gartner в особую категорию конвергентная комбинация SD-WAN и средств сетевой безопасности порождена требованиями заказчиков предоставить им более гибкое, масштабируемое, не порождающее лишних задержек в ходе обмена данными по распределенной сети, простое в администрировании облачное решение — которое в то же самое время не ослабляло бы, а усиливало информационную безопасность в условиях существенно виртуализовавшейся LAN. По состоянию на осень прошлого года доля провайдеров во всем мире, готовых предоставлять своим клиентам услугу SASE, не превышала 1%. Однако в нынешних реалиях у аналитиков нет ни малейших сомнений, что предложение в ближайшее время взлетит свечой вслед за спросом — поскольку имеющие возможность строить распределенные офисы на базе SASE организации оказываются в существенно более выигрышном положении с точки зрения ИБ.
Распределенный офис естественным образом оптимизирован для имплементации облачных решений. В условиях, когда большинство компаний развертывали пользовательское ПО на компьютерах сотрудников, сохраняя полный физический контроль над ПК и серверами, значительной потребности в облачных средствах безопасности не возникало. Более того, служба ИБ, сосредоточиваясь на охране периметра (включая физическую блокировку USB-портов на компьютерах сотрудников, видеонаблюдение за их подозрительной активностью и т. п.), во многом действовала независимо от ИТ-отдела — и вполне эффективно.
Чем дольше продолжаются в различных странах мира ограничительные меры, тем яснее становится представителям бизнеса, что полный возврат к прежним реалиям после отмены карантина не только невозможен объективно, но во многом и нежелателен. Успешно наладив функционирование распределенного офиса, многие руководители предприятий всерьез задумаются, а стоит ли им вновь арендовать обширные помещения и заставлять персонал тратить по несколько часов в день на дорогу — если и из дома, как выясняется, люди работают совсем не так плохо, как многим представлялось ранее? Возможно, более адекватной инвестицией окажется закупка удобных рабочих столов и кресел для импровизированных домашних кабинетов, чтобы создать сотрудникам более комфортные условия — а в офисах оставить лишь приемные да несколько переговорных, в которых персонал сможет собираться время от времени для обсуждения действительно требующих персонального взаимодействия вопросов?
Но в таком случае никак не удастся обойтись без SASE, органичным образом увязывающей воедино все типы сетевых соединений, облачные услуги и средства ИБ. В этой концепции облачный центр управления сервисами выступает хабом, через который налаживают соединения между собой отдельные пользователи, устройства и приложения. Налаживают, разумеется, под полным контролем этого самого центрального узла — соответственно он же в каждый момент времени контролирует и безопасность перемещающихся по распределенной сети данных.
Эксперты Gartner выделяют следующие преимущества SASE-подхода:
- практически вся маршрутизация потоков внутри распределенного офиса производится через облако, что минимизирует потребности в локальном сетевом оборудовании и, соответственно, снижает риски его взлома и компрометации данных;
- поскольку нагрузка на периферийное оборудование существенно снижается, оно может быть крайне простым (уровень домашнего роутера с беспроводной точкой доступа) и программно-определяемым, что дополнительно снимает ряд серьезных «железных» ИБ-проблем вроде намертво зашитых в микроконтроллер служебных паролей для telnet-доступа или SSH-бэкдоров;
- процесс развертывания новых оконечных точек (простой роутер плюс ПК плюс IP-телефон и т. д.) значительно упрощается, ускоряется и удешевляется;
- практически любой апгрейд функциональности распределенной офисной сети производится в облаке, что открывает поистине безграничные возможности для роста;
- общая стоимость инфраструктуры предприятия резко снижается, львиная доля CAPEX переходит в OPEX;
- поскольку оптимизацию каналов связи принимает на себя SD-WAN, критичному к задержкам сигнала оборудованию вроде элементов промышленного IoT с гарантией будет обеспечено адекватное качество обслуживания;
- выявлением вредоносных программных агентов, несанкционированных потоков данных, шифрованием трафика и прочими ИБ-активностями будут заниматься облачные приложения, ресурсы для эффективного исполнения которых могут масштабироваться (и оплачиваться заказчиком!) в зависимости от реальной нагрузки.
Имплементация подхода SASE интегрирует ИБ в саму ткань сетевого взаимодействия между узлами распределенного офиса. Проблематика теневых ИТ снимается практически сама собой: в случае грамотного построения архитектуры распределенного офиса любые приложения, установленные на корпоративный смартфон, планшет или ПК в любом случае будут взаимодействовать с данными только через посредство центрального узла сети в облаке, который и примет на себя функцию выявления подозрительного или откровенно вредоносного ПО.
Главная особенность SASE — в смещении фокуса ИБ с периметра на каждый элемент распределенного офиса в отдельности. «Элемент» в данном случае — это и пользователь, и отдельное устройство, и даже приложение либо сетевой сервис. Каждый элемент идентифицируется, получает в соответствие определенный набор прав и разрешений; работа каждого проверяется в реальном времени на наличие подозрительной активности. В результате сотрудник на удаленке больше не вынужден сам настраивать VPN-канал, руководствуясь советами сисадмина по телефону, для подключения к корпоративному серверу. И сервер, и сотрудник оба обращаются к своему облачному узлу SASE, который на основе их идентификации (которая может быть и многофакторной, ради пущей надежности) налаживает между ними выделенный шифрованный виртуальный канал — безо всяких дополнительных усилий с их стороны.
При этом пользователь получает доступ лишь к тому набору данных и приложений на сервере, который соответствует назначенным для него политикам безопасности, а облачный узел в реальном времени отслеживает возможную несанкционированную пересылку чувствительных данных и/или активность вредоносного ПО на стороне пользователя. Решение вполне эффективное и надежное, — главное, чтобы уже в ближайшей перспективе как можно больше провайдеров облачных услуг начали предлагать его своим заказчикам.