Миграция приложений в облака и растущая мобильность пользователей меняют то, как мы строим сети и сетевую безопасность. Будущее сетевой безопасности находится в облаке, и эта новая модель получила название “secure access service edge” (SASE, произносится «сасси»). Основатель и технический директор Palo Alto Networks Нир Зук в течение последних нескольких лет курировал эти изменения в рамках продукта Prisma Access, который сегодня является наиболее полнофункциональным SASE в отрасли.
В этой статье Нир объясняет, почему SASE является логическим развитием сетевой безопасности. Оригинал в блоге Palo Alto Networks.
В облачном мире безопасность должна быть унифицированной, согласованной и поставляемой из облака, которое она защищает. Это утверждение остается верным всю мою карьеру в области безопасности, требующую постоянного развития, что позволяет идти в ногу с изменениями в технологиях и защищать пользователей, приложения и данные. Этот фокус остается. Однако, когда речь заходит о будущем сетевой безопасности и грядущей конвергенции, традиционный подход точечных продуктов больше не актуален.
25 лет назад я был главным разработчиком первого в отрасли межсетевого экрана с контролем состояния сессий. Это были первые годы существования Интернета, и тогда популярной технологией на МСЭ были списки контроля доступа без контроля состояния сессий (ACL). ACL не могли справиться с появлением stateful-приложений, таких как интернет-аудио- и видеоприложения (или даже старый добрый FTP), поэтому стало очевидно, что нужен новый подход. Попытка использования прокси-технологии оказалась тщетной, поскольку прокси были слишком медленными и имели тенденцию ломать многие из этих приложений. Инспекция трафика с учетом состояния сессий оказалась полезной и безопасной, поэтому с тех пор она доминирует на рынке сетевой безопасности.
Почти 15 лет назад стало очевидным, что рост числа интернет-приложений ставит под сомнение технологию stateful inspection, поэтому снова понадобился новый подход. Появились первые попытки ответить на проблему с помощью прокси-технологии (во второй раз!). Тем не менее, они снова потерпели неудачу из-за присущей прокси низкой производительности и неспособности проверять все типы сетевого трафика. Я посчитал, что должен снова исправить межсетевой экран, что привело меня к созданию Palo Alto Networks и внедрению замены stateful inspection — межсетевого экрана нового поколения на основе App-ID — который сегодня лидирует на рынке.
Сегодня мы являемся свидетелями еще одного изменения в приложениях, которое ведет к еще одному изменению сетевой безопасности. На этот раз приложения перемещаются из корпоративных ЦОДов в облака — как SaaS, так и публичные облака. Внедрение облачных решений снова бросает вызов архитектуре МСЭ и требует от меня ответа. И да, снова происходят первые попытки решить проблему с помощью прокси-серверов, и они терпят неудачу по тем же причинам, что и раньше.
Пришло время исправить сетевую безопасность. Снова
Со временем организации обычно собирают довольно много экземпляров инфраструктуры сетевой безопасности. Существует инфраструктура для защиты филиалов, где трафик, как правило, проходит через сеть IP-VPN (MPLS) обратно в головной офис или ЦОД, и интернет-трафик направляется оттуда через стек решений сетевой безопасности организации. Кроме того, существует инфраструктура сетевой безопасности для обеспечения удаленного доступа в корпоративный ЦОД.
Когда приложения перемещаются в облако, старый метод принудительного прогона всего трафика филиалов, пользователей и партнеров через корпоративную штаб-квартиру или ЦОДы больше не имеет смысла. Гораздо разумнее доставлять тот же стек сетевой безопасности из облака, так чтобы трафик, предназначенный для облака, не попадал в корпоративные сети, и меньше трафика нужно было направлять в корпоративные ЦОДы.
Обеспечивая сетевую безопасность из облака, вы можете защитить пользователей, приложения и данные независимо от того, где они находятся.
SASE. Повышаем защищенность где угодно
Gartner предложил новую модель сетевого взаимодействия и сетевой безопасности в облаке, известную как «secure access service edge», или SASE (произносится как «сасси»). По словам Gartner:
«Secure access service edge является новым сервисом, сочетающим в себе широкие возможности WAN с комплексными функциями сетевой безопасности (такими как SWG, CASB, FWaaS и ZTNA) для поддержки меняющихся потребностей безопасного доступа цифровых организаций».
По сути, Gartner постулирует, что SASE способна удовлетворить требования облачных и мобильных сред, решая проблемы с использованием традиционных сетей и архитектур безопасности.
Я согласен с этой концепцией, и, на мой взгляд, она относительно проста. SASE — это объединение различных методов доступа и сетевой защиты в единую платформу. Возможно, самая главная особенность заключается в том, что единая платформа должна обеспечить бесшовную работу пользователя. Сервис должен быть построен на основе высокопроизводительной глобальной сети, что недоступно для большинства небольших вендоров. SASE требует беспрецедентного уровня интеграции в индустрии безопасности. Она совершенно не похожа на другие подходы в фрагментированной индустрии ИБ, которая имеет крайне низкие барьеры для входа.
Отрасль ИБ прикладывала большие усилия к тому, чтобы убедить клиентов, что они должны работать с десятками поставщиков и использовать десятки точечных продуктов и технологий. Тем не менее, будущее сетевой безопасности находится в облаке, и поставщики безопасности должны развиваться, чтобы эффективно защищать клиентов везде и всюду.
Компания Palo Alto Networks предвидела эти перемены и создала достойное решение в категории SASE. Prisma Access обеспечивает сетевые сервисы и сетевую безопасность, которая треубется организациям в архитектуре SASE, предназначенной для всего трафика, всех приложений и всех пользователей.
Чтобы узнать больше о SASE, прочитайте статью Gartner The Future of Network Security Is in the Cloud («Будущее сетевой безопасности в облаке»).