سرویس لبه دسترسی ایمن چگونه امنیت شبکه‌های SD-WAN را ارتقا می‌دهد

در دنیای شبکه‌های کامپیوتری راهکار جدیدی ابداع شده که نشان می‌دهد تعامل با شبکه‌ها و زیرساخت‌های ارتباطی بهتر و راه‌حل‌های امنیتی به شکل کارآمدتری مستقر می‌شوند…

به گزارش shabakeh – mag

سرویس لبه دسترسی ایمن چگونه امنیت شبکه‌های SD-WAN را ارتقا می‌دهد

در دنیای شبکه‌های کامپیوتری راهکار جدیدی ابداع شده که نشان می‌دهد تعامل با شبکه‌ها و زیرساخت‌های ارتباطی بهتر و راه‌حل‌های امنیتی به شکل کارآمدتری مستقر می‌شوند. نام این فناوری که اولین‌بار توسط گارتنر معرفی شد، سرویس لبه دسترسی ایمن (SASE) سرنام Secure Access Service Edge است. گارتنر مدعی است که SASE مدل‌های سنتی تعامل با شبکه و تأمین امنیت آن‌‌ها را متحول و باعث منسوخ‌شدن برخی الگوها می‌شود.

با دیجیتالی‌شدن هر چه بیشتر سازمان‌ها به‌کارگیری راه‌حل‌های معماری مبتنی برSASE که ترکیبی از شبکه گسترده نرم‌افزار محور (SD-WAN) و فناوری‌های امنیتی شبکه هستند، افزایش پیدا می‌کند. در این روش اجازه دسترسی به برنامه‌های کاربردی، منابع یا داده‌ها بر اساس هویت شخص یا دستگاه و کاربرد موردنظر صادر می‌شود. درحالی‌که الگوهای مرسوم امروزی بر مبنای موقعیت مکانی ماشین‌های مجازی یا آدرس‌های آی‌پی اجازه دسترسی را صادر می‌کنند. این روزها شرکت‌ها در حال ارتقا سامانه‌های خود هستند و به‌تبع آن انشعابات شبکه آن‌ها باید بهینه‌سازی شود. تحلیل‌های انجام شده نشان می‌دهند که ابر، قابلیت تحرک و لبه منجر به افزایش فشار بر شبکه‌های سنتی و معماری امنیتی آن‌ها شده است. شرکت‌ها در حال انتقال تمام فعالیت‌ها، برنامه‌های کاربردی و داده‌های درون سازمانی به ابر هستند و روی برنامه‌های کاربردی مستقر در لبه و نیروی کار راه دور متمرکز شده‌اند. SASE شبکه گسترده نرم‌افزار محور و مفاهیم امنیت شبکه را با هم ترکیب می‌کند تا سازمان‌ها بتوانند امنیت لبه‌های شبکه را بهتر مدیریت کنند. مؤسسه گارتنر پیش‌بینی می‌کند تا سال ۲۰۲۴ میلادی حدود ۴۰ درصد از شرکت‌ها، راهبردهای مشخصی برای استفاده از SASE خواهند داشت.

فناوری‌های ما محکوم به پیشرفت هستند

تحول دیجیتالی چابکی و رقابت را به همراه دارد و درعین‌حال نحوه اتصال و ایمن‌سازی ارتباطات را دستخوش تغییر می‌کند. ازاین‌رو، همان‌گونه که فناوری پیشرفت می‌کند، خط‌مشی‌ها، الگوها و مدل‌های سنتی تعامل با شبکه‌ها و تأمین امنیت آن‌ها باید پیشرفت کنند. SASE مناسب‌ترین راه‌حل برای غلبه بر مشکلات رایج شبکه‌ها است. SASE این ظرفیت را دارد تا قابلیت‌های قدرتمند شبکه‌های گسترده و امنیت شبکه را برای پاسخ‌گویی به نیازهای روبه‌رشد شرکت‌های دیجیتال با یکدیگر ترکیب کند. بااین‌حال، ضروری است به این نکته مهم دقت کنید که برخی قابلیت‌های شبکه‌های گسترده نرم‌افزار محور و خدمات امنیتی نظیر دروازه وب امن، CASB و محیط نرم‌افزار محور (شبکه‌های نرم‌افزار محور)، قابلیت‌های محافظتی سامانه نام دامنه و دیوار آتش به‌عنوان سرویس تحت‌تأثیر SASE دستخوش تغییر می‌شوند. امروزه تجهیزات زیادی باید در یک پشته نرم‌افزاری واحد در قالب یک مجموعه متمرکز کار کنند و از طرفی باید محیطی وجود داشته باشد که در آن تمام شبکه و عملکردهای امنیتی بتوانند به‌صورت مرکزی کنترل شوند. سخت‌ترین بخش کار این است که بپذیریم آنچه درگذشته انجام داده‌ایم بهترین گزینه پیش روی سازمان‌ها نبوده است. شیوه‌های سنتی محافظت از دستگاه‌های همراه، دارایی‌های مستقر در ابر و کانال‌های ارتباطی (وظیفه برقراری ارتباط شعب را برعهده داشتند) با محیط‌های دیجیتال امروزی چندان سازگار نیستند یا به عبارت دقیق‌تر کارایی سابق را ندارند. بر همین اساس گارتنر مدعی است که حرکت به سمت SASE برخی الگوها و مدل‌های ارتباطی حاکم بر شبکه‌ها و دنیای امنیت را منسوخ می‌کند. عملکرد SASE فراتر از خدمت‌رسانی به شبکه‌های گسترده نرم‌افزار است. SD-WAN نمی‌تواند تمامی مشکلات را حل کند. در این مورد زیرساخت ارتباطی شما باید از طیف کاملی از امکانات پشتیبانی کند. به‌عبارت‌دیگر، شما باید از کاربران موبایل و منابع ابری (از هر کجا) به شیوه‌ای که دیگر نیازی به واسط شبکه نداشته باشند پشتیبانی کنید. امنیت نیز باید به شبکه اضافه شود، زیرا برخی از فروشندگان SD-WAN آن را ارائه نمی‌کنند. SASE خط‌مشی‌های امنیتی اعمال شده در نشست‌های کاربران را بر اساس سنجه‌های مختلف تنظیم می‌کند. از جمله این سنجه‌ها می‌توان به هویت موجودیت متصل، زمینه (رفتار دستگاه، حساسیت منابع قابل‌دسترسی)، خط‌مشی‌های انطباقی و ارزیابی مداوم مخاطره در طول هر نشست اشاره کرد. به بیان ساده‌تر، SASE می‌گوید: «SD-WAN به‌تنهایی کافی نیست و به قابلیت‌های اضافی دیگری نیاز دارد.»

نگاهی به الزامات SASE

برای فراهم‌کردن دسترسی ایمن به کانال‌های ارتباطی بر مبنای این فناوری و پاسخ‌گویی به الزامات عملیاتی ضروری است که بخش عمده‌ای از خدمات روی ابر میزبانی شوند. راه‌حل فوق بر خلاف روال حاکم بر شبکه‌های درون‌سازمانی و خط‌مشی‌های امنیتی است. برای‌آنکه بتوانSASE را به شکل کارآمدی فعال کرد و از مزایای آن بهره برد لازم است تا محدوده امنیتی (تجهیزات و گره‌هایی که نیازمند امنیت هستند) و حتی خود شبکه در قالب یک ساختار ابری گرد هم آیند. به بیان دقیق‌تر، شبکه و امنیت هر دو به‌عنوان مولفه‌های یک مجموعه بزرگ‌تر به نام ابر شناخته می‌شوند. معماری فوق به بهترین شکل از موجودیت‌های مستقر در لبه محافظت می‌کند، زیرا اشراف کامل اطلاعاتی روی عملکرد برنامه‌ها، تجهیزات و کاربران به وجود می‌آید و هرگونه فعالیت مشکوک به‌راحتی قابل‌تشخیص است. برای ارائه خدمات SASE باید برخی شرایط فراهم شود که از آن جمله می‌توان به موارد زیر اشاره کرد:

1. 1. ترکیب مدل‌های امنیتی شبکه و لبه شبکه گسترده
2. 2. ارائه سرویس‌های مبتنی بر ابر
3. 3. پیاده‌سازی یک شبکه برای تمام لبه‌ها
4. 4. هویت‌سنجی و تعیین مکان شبکه

ترکیب مدل‌های امنیتی شبکه و لبه شبکه گسترده

قبل از هر چیز، لازم است تا لبه شبکه گسترده و مدل‌های امنیت شبکه با یکدیگر ادغام شوند، زیرا مشتری سادگی، گسترش‌پذیری، تأخیر کم و امنیت همه‌جانبه را درخواست می‌کند که دستیابی به آن نیازمند ترکیب این مدل‌ها است. گزینه‌های مختلفی در این زمینه داریم که هر یک مزایا و معایب خاص خود را دارند. به طور مثال، می‌توان یک سرویس زنجیره تجهیزات فیزیکی یا مجازی را انتخاب کرد. این گزینه زمان رسیدن محصول به بازار را کم می‌کند، اما خدمات ناسازگار، امکان مدیریت ضعیف و زمان تأخیر بالا را به همراه دارد. هدف این است که شبکه‌سازی و امنیت را هم‌زمان درون ابر ترکیب کنیم. رویکرد فوق باعث ایجاد یک معماری ذاتاً ابری و سراسری می‌شود که تمام مکان‌ها، منابع ابر و کاربران موبایل را متصل و امنیت آن‌ها را فراهم کرد. سازمان‌ها برای رسیدن به حداکثر بازده اقتصادی و سرعت عمل به یک معماری ذاتاً ابری نیاز دارند. SASE باهدف گسترش‌پذیری ارائه خدمات ابر محور مطرح شده و می‌تواند به میزان چشمگیری کیفیت ارائه خدمات را بهبود ببخشد و تأخیر در دسترسی به شبکه را کم می‌کند. امروزه، سازمان‌های بزرگ برای دستیابی به حداکثر انعطاف‌پذیری با کمترین زمان تأخیر به منابع و معماری ذاتاً ابری نیاز دارند.

ارائه سرویس‌های ابر محور و ذاتاً ابری

برنامه‌های کاربردی لبه حساس به زمان هستند. به همین دلیل به کانال‌ها، شبکه‌ها و امنیت توزیعی و نزدیک به نقطه پایانی نیاز دارند. لبه (Edge)، ابر جدیدی است که به مدل‌ها و ابزارهای متفاوتی که توسط خدمات ابر محور ارائه می‌شوند به همراه مجموعه‌ای محدود از نقاط حضور (PoP) سرنام Points of Presence نیاز دارد. در معماری فوق موقعیت جغرافیایی مهم است و برای پشتیبانی از برنامه‌های کاربردی لبه به یک راه‌حل ابر محور توزیعی نیاز است. فروشندگان راه‌حل‌هایی نظیر SD-WAN نیز نقاط دسترسی زیاد را ترجیح می‌دهد. ازآنجایی‌که بخش عمده‌ای از کاربران سازمان‌های مختلف در کشورهای مختلف ساکن هستند، بنابراین در زمان پیاده‌سازی راه‌حل‌هایی همچون SD-WAN این نکات را مدنظر قرار می‌دهند.

هویت و مکان شبکه

امروزه با حقیقت غیرقابل‌انکار رشد تقاضا و دسترسی گسترده به زیرساخت‌ها روبرو هستیم. کارمندان سازمان‌ها یا شعب برای انجام فعالیت‌های خود به منابع مختلفی نیاز دارند. عاملی که منجر به افزایش فشار بر شبکه‌های سنتی و معماری‌های امنیتی شده است. تحولات دیجیتال و به‌کارگیری مدل‌های پیاده‌سازی لبه، ابر و موبایل همراه با تغییر در الگوهای ترافیک، بازنگری در شبکه‌های سازمانی سنتی و مکان قرارگیری آن‌ها را اجتناب‌ناپذیر کرده است. برای پشتیبانی از این تغییرات، باید در نحوه نگرش خود به مراکز داده سنتی تجدیدنظر کنیم. ما باید نحوه استفاده از آدرس‌های IP به‌عنوان یک لنگرگاه برای مکان شبکه و اجرای ضوابط امنیتی را ارزیابی کنیم. به‌خاطر داشته باشید هر چیزی که به آدرس IP متکی باشد بی‌فایده است، زیرا راه‌حل معتبری برای اجرای خط‌مشی‌‌های امنیتی و شبکه فراهم نمی‌کند. اغلب از این موضوع به‌عنوان معضل آدرس‌های IP یاد می‌شود. به طور مثال، احراز هویت مبتنی بر آدرس آی‌پی را تصور کنید. کارمند یک سازمان تنها زمانی می‌تواند از خدمات سازمان استفاده کند که آدرس آی‌پی دستگاه او تغییر نکند. زمانی که آدرس آی‌پی تغییر کرد، سرپرست شبکه باید آدرس آی‌پی جدید کارمند را برای شبکه تعریف کند تا کارمند بتواند دوباره به خدمات دسترسی داشته باشد. یک چنین احراز هویتی بیش از آنکه مفید باشد فاجعه‌بار است.

SASE می‌تواند یک تجربه کاری متفاوت در شبکه را منطبق با سطح دسترسی مناسب امنیتی ارائه کند. این دسترسی بر مبنای هویت و قواعد لحظه‌ای است که مطابق با خط‌مشی شرکت تعیین می‌شود. به طور معمول، می‌توان ترافیک را به روش‌های خاصی مسیریابی و اولویت‌بندی کرد. با این کار می‌توانید سطح امنیت شخصی‌سازی کنید. تمام خط‌مشی‌ها به هویت کاربر مرتبط هستند و بر اساس آدرس IP نخواهد بود. در نهایت، مراکز داده سنتی دیگر نباید به‌عنوان مرکز معماری شبکه در نظر گرفته شوند. علاوه بر این، طراحی مراکز داده جدید نباید محدود به خط‌مشی مشخصی باشند و ضروری است دسترسی‌ها بر مبنای احراز هویت امن انجام شود. هویت‌ها می‌توانند با افراد، دستگاه‌ها، اینترنت اشیا یا مکان‌هایی که‌رایانش لبه در آن مکان‌ها انجام می‌شود مرتبط باشند.

یک بازار جدید در حوزه فناوری شبکه

معرفی بازار جدیدی که SASE در آن حضور دارد بازتابی از زمان حال است. فناوری‌ها به شکل چشمگیری تغییر کرده‌اند. ابر، قابلیت تحرک و لبه فشار بیشتری بر شبکه‌های قدیمی‌ و معماری امنیت شبکه وارد کرده است؛ بنابراین، حضور گسترده SASE باعث منسوخ‌شدن برخی مدل‌های رایج می‌شود. پس از شیوع ویروس کرونا بحث تداوم کسب‌وکار با دیجیتالی‌شدن همراه شد و منجر به‌شتاب گرفتن پیاده‌سازی راهکارهای ابر از جمله IaaS، PaaS و SaaS شد. با تغییر ماهیت کسب‌وکارها، تیم‌ها و مدیران امنیت خودشان را مقابل چالش‌های جدیدی دیدند که ناشی از دورکاری و راهکارهای دیجیتال جدیدی بود که برای کمک به توسعه و رونق کسب‌وکار آن‌ها در دوره شیوع کرونا طراحی شده‌اند. اکنون زمان آن رسیده تا اخبار و دستاوردهای بیشتری در مورد پیشرفت‌های صورت‌گرفته توسط SASE در بازار شبکه‌های کامپیوتری و تأمین امنیت ارتباطات آن بشنویم.