Периферийный сервис безопасного доступа (Secure Access Service Edge, SASE) может значительно улучшить защищенность организации, особенно в облачном мире. Многие поставщики упирают на простоту развертывания SASE, но на самом деле все не так просто, пишет на портале eWeek главный аналитик и основатель J. Gold Associates Джек Голд.
Компании активизируют свои усилия по переходу на облачные архитектуры и вместе с этим ищут способы повысить безопасность и снизить сложность и эксплуатационные расходы. И, конечно, удаленная работа только увеличивает потребность в гибридном облаке и ПО как услуге (SaaS), что делает эти требования еще более актуальными. Их можно удовлетворить с помощью новой технологии, которая находится на пике популярности в сфере корпоративной безопасности — SASE. Выгоды от ее применения могут быть весьма значительны, поскольку SASE — это архитектура, объединяющая такие сетевые концепции, как VPN и SD-WAN, а также Zero Trust (еще одна привлекательная, но часто чрезмерно разрекламированная концепция безопасности) и контекстный доступ.
На данный момент для большинства организаций SASE представляет собой скорее цель или концепцию, чем продукт. Тем не менее, почти все крупные производители (например, Cisco, Palo Alto Networks, Zscaler, Akamai, McAfee и т. д.) ухватились за нее и обозначили многие свои компоненты как критически важные для успешного старта SASE-архитектуры. Но как бы привлекательно концепция не выглядела, на практике существует множество препятствий, которые компании должны преодолеть, чтобы связанные с SASE надежды оправдались.
Проблемы, связанные с внедрением SASE
В широком смысле SASE — это интеграция сетевых сервисов со службами безопасности для обеспечения полной безопасности доступа пользователей, SaaS и мультиоблачных функций. Технология включает в себя возможности, присущие развертыванию SD-WAN, такие как отказоустойчивость путей и избыточность сети. Она также предлагает маршрутизацию приложений, видимость и отчетность, программно-определяемые возможности, установленные конкретным поставщиком, и VPN.
SD-WAN, которая помогает виртуализировать сетевые операции требует от предприятий замены устаревших однофункциональных коммутаторов и маршрутизаторов на новое оборудование. За последние несколько лет многие предприятия уже виртуализировали бóльшую или, по крайней мере, значительную часть своих сетей. Это критически важный шаг, поскольку для внедрения SASE требуется виртуальная сеть. Кроме того, свои сети виртуализировали поставщики публичных облаков, что является дополнительным преимуществом для крупных пользователей их услуг.
Более сложная часть развертывания SASE — необходимость в полностью интегрированной и управляемой архитектуре безопасности, которая подобна программно-определяемым сетям. Однако в настоящее время большинство предприятий используют сборную солянку продуктов безопасности, которые почти всегда работают независимо друг от друга. Фактически, некоторые организации имеют десятки, если не сотни, уникальных приложений безопасности, работающих на всех уровнях, начиная от дата-центров или облаков, сетей, аппаратных конечных точек и заканчивая отдельными приложениями. Даже вездесущая VPN, необходимая для безопасного подключения по сети, и та может быть несовместима со всеми устройствами и серверами в организации. А с увеличением числа доступных вариантов сетей (например, 5G, Wi-Fi 6, широкополосный доступ) это станет причиной появления новых проблем совместимости.
Для полноценного внедрения SASE требуется единый метод управления политиками, безопасным доступом, защитой от угроз и управления устройствами. А с таким количеством компонентов безопасности, которые, как правило, плохо сочетаются друг с другом, это сложная задача.
Последнее препятствие, которое необходимо преодолеть, — организационное. На большинстве предприятий за сетевые операции и операции по обеспечению безопасности отвечают различные команды, не всегда находящимися в тесном контакте. Чтобы развернуть SASE, эти команды должны работать вместе. Без такого взаимодействия реализация SASE невозможна.
Внедрение SASE требует серьезной интеграции
Несмотря на то, что многие поставщики рекламируют свои SASE-продукты как простые в развертывании, на самом деле этому препятствует серьезная интеграционная задача. Многие небольшие организации не имеют ресурсов для ее решения, даже если у них уже есть некоторые компоненты (например, SD-WAN, облачные шлюзы доступа и т. д.). Даже крупным компаниям сложно обеспечить, чтобы все их сетевые средства и средства безопасности, а также продукты для управления облаком могли обмениваться информацией и управляться через единый интерфейс.
Конечно, развернуть SASE можно без универсальной плоскости управления или единой консоли, но стоимость такого решения по сравнению с единым интерфейсом управления гораздо выше в плане необходимых навыков, людей и затрат времени. Еще одна проблема заключается в том, что из-за отсутствия наблюдаемости при ручном управлении несовместимыми системами возрастает вероятность возникновения ошибок.
Для многих компаний наилучшим вариантом перехода на SASE является поиск системного интегратора, который не только интегрирует необходимые инструменты, но и будет управлять повседневными операциями по внедрению архитектуры SASE. Однако предприятиям следует помнить, что SASE — это «движущаяся мишень», поскольку лишь немногие компании имеют все необходимые компоненты, но даже если и имеют, то им все равно с течением времени придется столкнуться с модернизацией и изменениями в инфраструктуре.
Некоторые сетевые операторы в дополнение к операциям связи и безопасности уже предоставляют SASE как услугу (SASE as a Service), но по мере того, как будут меняться потребности бизнеса и инфраструктура, предприятиям все равно придется управлять связями и выделять ресурсы для обеспечения полного внедрения последних обновлений в сети и безопасности. Кроме того, сервис-провайдеры наверняка будут иметь собственный круг партнеров, решения которых могут быть несовместимы с продуктами, имеющимися у предприятия. Тем не менее, сотрудничество с операторами может быть выгодно, поскольку они могут влиять на предложения поставщиков, и у них также имеется опыт в обеспечении эффективной работы SASE.
Для достижения зрелости SASE необходима консолидация рынка
Концепция SASE имеет много достоинств, поскольку она может значительно повысить уровень безопасности организаций, особенно в мире с большим количеством облаков. Но развертывание SASE не такая простая задача, как об этом говорят многие поставщики. На самом деле, потребуется не менее