سرویس لبه دسترسی ایمن چگونه امنیت شبکههای SD-WAN را ارتقا میدهد
در دنیای شبکههای کامپیوتری راهکار جدیدی ابداع شده که نشان میدهد تعامل با شبکهها و زیرساختهای ارتباطی بهتر و راهحلهای امنیتی به شکل کارآمدتری مستقر میشوند…
به گزارش shabakeh – mag
سرویس لبه دسترسی ایمن چگونه امنیت شبکههای SD-WAN را ارتقا میدهد
در دنیای شبکههای کامپیوتری راهکار جدیدی ابداع شده که نشان میدهد تعامل با شبکهها و زیرساختهای ارتباطی بهتر و راهحلهای امنیتی به شکل کارآمدتری مستقر میشوند. نام این فناوری که اولینبار توسط گارتنر معرفی شد، سرویس لبه دسترسی ایمن (SASE) سرنام Secure Access Service Edge است. گارتنر مدعی است که SASE مدلهای سنتی تعامل با شبکه و تأمین امنیت آنها را متحول و باعث منسوخشدن برخی الگوها میشود.
با دیجیتالیشدن هر چه بیشتر سازمانها بهکارگیری راهحلهای معماری مبتنی برSASE که ترکیبی از شبکه گسترده نرمافزار محور (SD-WAN) و فناوریهای امنیتی شبکه هستند، افزایش پیدا میکند. در این روش اجازه دسترسی به برنامههای کاربردی، منابع یا دادهها بر اساس هویت شخص یا دستگاه و کاربرد موردنظر صادر میشود. درحالیکه الگوهای مرسوم امروزی بر مبنای موقعیت مکانی ماشینهای مجازی یا آدرسهای آیپی اجازه دسترسی را صادر میکنند. این روزها شرکتها در حال ارتقا سامانههای خود هستند و بهتبع آن انشعابات شبکه آنها باید بهینهسازی شود. تحلیلهای انجام شده نشان میدهند که ابر، قابلیت تحرک و لبه منجر به افزایش فشار بر شبکههای سنتی و معماری امنیتی آنها شده است. شرکتها در حال انتقال تمام فعالیتها، برنامههای کاربردی و دادههای درون سازمانی به ابر هستند و روی برنامههای کاربردی مستقر در لبه و نیروی کار راه دور متمرکز شدهاند. SASE شبکه گسترده نرمافزار محور و مفاهیم امنیت شبکه را با هم ترکیب میکند تا سازمانها بتوانند امنیت لبههای شبکه را بهتر مدیریت کنند. مؤسسه گارتنر پیشبینی میکند تا سال ۲۰۲۴ میلادی حدود ۴۰ درصد از شرکتها، راهبردهای مشخصی برای استفاده از SASE خواهند داشت.
فناوریهای ما محکوم به پیشرفت هستند
تحول دیجیتالی چابکی و رقابت را به همراه دارد و درعینحال نحوه اتصال و ایمنسازی ارتباطات را دستخوش تغییر میکند. ازاینرو، همانگونه که فناوری پیشرفت میکند، خطمشیها، الگوها و مدلهای سنتی تعامل با شبکهها و تأمین امنیت آنها باید پیشرفت کنند. SASE مناسبترین راهحل برای غلبه بر مشکلات رایج شبکهها است. SASE این ظرفیت را دارد تا قابلیتهای قدرتمند شبکههای گسترده و امنیت شبکه را برای پاسخگویی به نیازهای روبهرشد شرکتهای دیجیتال با یکدیگر ترکیب کند. بااینحال، ضروری است به این نکته مهم دقت کنید که برخی قابلیتهای شبکههای گسترده نرمافزار محور و خدمات امنیتی نظیر دروازه وب امن، CASB و محیط نرمافزار محور (شبکههای نرمافزار محور)، قابلیتهای محافظتی سامانه نام دامنه و دیوار آتش بهعنوان سرویس تحتتأثیر SASE دستخوش تغییر میشوند. امروزه تجهیزات زیادی باید در یک پشته نرمافزاری واحد در قالب یک مجموعه متمرکز کار کنند و از طرفی باید محیطی وجود داشته باشد که در آن تمام شبکه و عملکردهای امنیتی بتوانند بهصورت مرکزی کنترل شوند. سختترین بخش کار این است که بپذیریم آنچه درگذشته انجام دادهایم بهترین گزینه پیش روی سازمانها نبوده است. شیوههای سنتی محافظت از دستگاههای همراه، داراییهای مستقر در ابر و کانالهای ارتباطی (وظیفه برقراری ارتباط شعب را برعهده داشتند) با محیطهای دیجیتال امروزی چندان سازگار نیستند یا به عبارت دقیقتر کارایی سابق را ندارند. بر همین اساس گارتنر مدعی است که حرکت به سمت SASE برخی الگوها و مدلهای ارتباطی حاکم بر شبکهها و دنیای امنیت را منسوخ میکند. عملکرد SASE فراتر از خدمترسانی به شبکههای گسترده نرمافزار است. SD-WAN نمیتواند تمامی مشکلات را حل کند. در این مورد زیرساخت ارتباطی شما باید از طیف کاملی از امکانات پشتیبانی کند. بهعبارتدیگر، شما باید از کاربران موبایل و منابع ابری (از هر کجا) به شیوهای که دیگر نیازی به واسط شبکه نداشته باشند پشتیبانی کنید. امنیت نیز باید به شبکه اضافه شود، زیرا برخی از فروشندگان SD-WAN آن را ارائه نمیکنند. SASE خطمشیهای امنیتی اعمال شده در نشستهای کاربران را بر اساس سنجههای مختلف تنظیم میکند. از جمله این سنجهها میتوان به هویت موجودیت متصل، زمینه (رفتار دستگاه، حساسیت منابع قابلدسترسی)، خطمشیهای انطباقی و ارزیابی مداوم مخاطره در طول هر نشست اشاره کرد. به بیان سادهتر، SASE میگوید: «SD-WAN بهتنهایی کافی نیست و به قابلیتهای اضافی دیگری نیاز دارد.»
نگاهی به الزامات SASE
برای فراهمکردن دسترسی ایمن به کانالهای ارتباطی بر مبنای این فناوری و پاسخگویی به الزامات عملیاتی ضروری است که بخش عمدهای از خدمات روی ابر میزبانی شوند. راهحل فوق بر خلاف روال حاکم بر شبکههای درونسازمانی و خطمشیهای امنیتی است. برایآنکه بتوانSASE را به شکل کارآمدی فعال کرد و از مزایای آن بهره برد لازم است تا محدوده امنیتی (تجهیزات و گرههایی که نیازمند امنیت هستند) و حتی خود شبکه در قالب یک ساختار ابری گرد هم آیند. به بیان دقیقتر، شبکه و امنیت هر دو بهعنوان مولفههای یک مجموعه بزرگتر به نام ابر شناخته میشوند. معماری فوق به بهترین شکل از موجودیتهای مستقر در لبه محافظت میکند، زیرا اشراف کامل اطلاعاتی روی عملکرد برنامهها، تجهیزات و کاربران به وجود میآید و هرگونه فعالیت مشکوک بهراحتی قابلتشخیص است. برای ارائه خدمات SASE باید برخی شرایط فراهم شود که از آن جمله میتوان به موارد زیر اشاره کرد:
- 1. ترکیب مدلهای امنیتی شبکه و لبه شبکه گسترده
- 2. ارائه سرویسهای مبتنی بر ابر
- 3. پیادهسازی یک شبکه برای تمام لبهها
- 4. هویتسنجی و تعیین مکان شبکه
ترکیب مدلهای امنیتی شبکه و لبه شبکه گسترده
قبل از هر چیز، لازم است تا لبه شبکه گسترده و مدلهای امنیت شبکه با یکدیگر ادغام شوند، زیرا مشتری سادگی، گسترشپذیری، تأخیر کم و امنیت همهجانبه را درخواست میکند که دستیابی به آن نیازمند ترکیب این مدلها است. گزینههای مختلفی در این زمینه داریم که هر یک مزایا و معایب خاص خود را دارند. به طور مثال، میتوان یک سرویس زنجیره تجهیزات فیزیکی یا مجازی را انتخاب کرد. این گزینه زمان رسیدن محصول به بازار را کم میکند، اما خدمات ناسازگار، امکان مدیریت ضعیف و زمان تأخیر بالا را به همراه دارد. هدف این است که شبکهسازی و امنیت را همزمان درون ابر ترکیب کنیم. رویکرد فوق باعث ایجاد یک معماری ذاتاً ابری و سراسری میشود که تمام مکانها، منابع ابر و کاربران موبایل را متصل و امنیت آنها را فراهم کرد. سازمانها برای رسیدن به حداکثر بازده اقتصادی و سرعت عمل به یک معماری ذاتاً ابری نیاز دارند. SASE باهدف گسترشپذیری ارائه خدمات ابر محور مطرح شده و میتواند به میزان چشمگیری کیفیت ارائه خدمات را بهبود ببخشد و تأخیر در دسترسی به شبکه را کم میکند. امروزه، سازمانهای بزرگ برای دستیابی به حداکثر انعطافپذیری با کمترین زمان تأخیر به منابع و معماری ذاتاً ابری نیاز دارند.
ارائه سرویسهای ابر محور و ذاتاً ابری
برنامههای کاربردی لبه حساس به زمان هستند. به همین دلیل به کانالها، شبکهها و امنیت توزیعی و نزدیک به نقطه پایانی نیاز دارند. لبه (Edge)، ابر جدیدی است که به مدلها و ابزارهای متفاوتی که توسط خدمات ابر محور ارائه میشوند به همراه مجموعهای محدود از نقاط حضور (PoP) سرنام Points of Presence نیاز دارد. در معماری فوق موقعیت جغرافیایی مهم است و برای پشتیبانی از برنامههای کاربردی لبه به یک راهحل ابر محور توزیعی نیاز است. فروشندگان راهحلهایی نظیر SD-WAN نیز نقاط دسترسی زیاد را ترجیح میدهد. ازآنجاییکه بخش عمدهای از کاربران سازمانهای مختلف در کشورهای مختلف ساکن هستند، بنابراین در زمان پیادهسازی راهحلهایی همچون SD-WAN این نکات را مدنظر قرار میدهند.
هویت و مکان شبکه
امروزه با حقیقت غیرقابلانکار رشد تقاضا و دسترسی گسترده به زیرساختها روبرو هستیم. کارمندان سازمانها یا شعب برای انجام فعالیتهای خود به منابع مختلفی نیاز دارند. عاملی که منجر به افزایش فشار بر شبکههای سنتی و معماریهای امنیتی شده است. تحولات دیجیتال و بهکارگیری مدلهای پیادهسازی لبه، ابر و موبایل همراه با تغییر در الگوهای ترافیک، بازنگری در شبکههای سازمانی سنتی و مکان قرارگیری آنها را اجتنابناپذیر کرده است. برای پشتیبانی از این تغییرات، باید در نحوه نگرش خود به مراکز داده سنتی تجدیدنظر کنیم. ما باید نحوه استفاده از آدرسهای IP بهعنوان یک لنگرگاه برای مکان شبکه و اجرای ضوابط امنیتی را ارزیابی کنیم. بهخاطر داشته باشید هر چیزی که به آدرس IP متکی باشد بیفایده است، زیرا راهحل معتبری برای اجرای خطمشیهای امنیتی و شبکه فراهم نمیکند. اغلب از این موضوع بهعنوان معضل آدرسهای IP یاد میشود. به طور مثال، احراز هویت مبتنی بر آدرس آیپی را تصور کنید. کارمند یک سازمان تنها زمانی میتواند از خدمات سازمان استفاده کند که آدرس آیپی دستگاه او تغییر نکند. زمانی که آدرس آیپی تغییر کرد، سرپرست شبکه باید آدرس آیپی جدید کارمند را برای شبکه تعریف کند تا کارمند بتواند دوباره به خدمات دسترسی داشته باشد. یک چنین احراز هویتی بیش از آنکه مفید باشد فاجعهبار است.
SASE میتواند یک تجربه کاری متفاوت در شبکه را منطبق با سطح دسترسی مناسب امنیتی ارائه کند. این دسترسی بر مبنای هویت و قواعد لحظهای است که مطابق با خطمشی شرکت تعیین میشود. به طور معمول، میتوان ترافیک را به روشهای خاصی مسیریابی و اولویتبندی کرد. با این کار میتوانید سطح امنیت شخصیسازی کنید. تمام خطمشیها به هویت کاربر مرتبط هستند و بر اساس آدرس IP نخواهد بود. در نهایت، مراکز داده سنتی دیگر نباید بهعنوان مرکز معماری شبکه در نظر گرفته شوند. علاوه بر این، طراحی مراکز داده جدید نباید محدود به خطمشی مشخصی باشند و ضروری است دسترسیها بر مبنای احراز هویت امن انجام شود. هویتها میتوانند با افراد، دستگاهها، اینترنت اشیا یا مکانهایی کهرایانش لبه در آن مکانها انجام میشود مرتبط باشند.
یک بازار جدید در حوزه فناوری شبکه
معرفی بازار جدیدی که SASE در آن حضور دارد بازتابی از زمان حال است. فناوریها به شکل چشمگیری تغییر کردهاند. ابر، قابلیت تحرک و لبه فشار بیشتری بر شبکههای قدیمی و معماری امنیت شبکه وارد کرده است؛ بنابراین، حضور گسترده SASE باعث منسوخشدن برخی مدلهای رایج میشود. پس از شیوع ویروس کرونا بحث تداوم کسبوکار با دیجیتالیشدن همراه شد و منجر بهشتاب گرفتن پیادهسازی راهکارهای ابر از جمله IaaS، PaaS و SaaS شد. با تغییر ماهیت کسبوکارها، تیمها و مدیران امنیت خودشان را مقابل چالشهای جدیدی دیدند که ناشی از دورکاری و راهکارهای دیجیتال جدیدی بود که برای کمک به توسعه و رونق کسبوکار آنها در دوره شیوع کرونا طراحی شدهاند. اکنون زمان آن رسیده تا اخبار و دستاوردهای بیشتری در مورد پیشرفتهای صورتگرفته توسط SASE در بازار شبکههای کامپیوتری و تأمین امنیت ارتباطات آن بشنویم.