Hogyan tovább SASE? Térhódítás, de hol és hogyan?

Ma már minden vállalat használ felhős szolgáltatásoka –  azok is, melyek kritikus infrastruktúrát kezelnek. Ezzel párhuzamosan hatósági megfelelések egyre nehezebbé váltak. A biztonsági megoldásokat fejlesztő gyártók többsége is a felhőre helyezi a hangsúlyt a fejlesztési költségvetésében. A vállalatoknak viszont általában eszük ágában sincs teljes mértékben a felhőbe szerveződni, „digitalizálódni”, sok esetben inkább valamilyen hibrid eredmény születik. (Jó példa erre, ahogy ahogy a hibrid munkavégzés is normává vált.) Tapasztalataink alapján számtalan ilyen esetben lehet megoldás egy újgenerációs technológiai irány, csupán a piac ezt még nehezen ismeri fel.  

FWaaS (Firewall as a Service, felhőben hosztolt tűzfal), ZTNA (Zero Trust Network Access, mondhatni újgenerációs VPN), SWG (Secure Web Gateway, azaz a lassan tényleg megboldoguló webproxy felhős kiadásban), CASB (Cloud Access Security Broker, ami vállalati webes szolgáltatások kontrollált elérését teszi biztonságossá), SD-WAN (Software-Definied Wide Area Network, mint okos felhordóhálózati technológia). Ezen hívószavak sokak számára már ismerősedk, de az alábbi kérdésekbe már a legtöbbször beletörik a bicska: 

• Hogyan válasszunk, tervezzünk és implementáljunk egy integrációkra rendkívül érzékeny megoldást? 
• Hogyan kezeljük azt, ha az ügyfél mindenféleképpen ragaszkodik a meglévő, sok esetben egyáltalán nem homogén módon kialakított infrastruktúrájához? 
• Hogyan lehet felismerni egy SASE megoldás szükségét egy adott probléma megoldására? 

Számtalan esetben tapasztaljuk azt is, hogy már egy „Proof of Material” ismeretében olyan előnyökkel bír ez a technológia, ami ritkán látott mosolyt csal az érintettek arcára és nemcsak szakmai, hanem sokszor financiális szempontokból is. 

A szakmai álláspontok talán triviálisak: egyszerűbb implementáció, mérsékelt üzemeltetési terheltség. A pénzügyi kérdések azonban már nem ilyen egyszerűek. Elsőre szinte hihetetlennek tűnhet, de sok esetben az ilyen projektek költsége adott időszakra bontva hatékonyabban optimalizálható. A szolgáltatók kiemelten érdekeltek jelenleg abban, hogy az általuk gigantikus erőforrásokat felemésztő megoldásokkal piacot nyerjenek. Aki ebben partner, az igen szimpatikus feltételekkel számolhat. 

Gyakorlatiasabb irányból megvizsgálva a kérdést, létfontosságú tisztában lennünk egy szervezet méretével és szükségleteivel. Különbséget kell tudnunk tenni nemcsak egy bank és egy gyártósort üzemeltető nagyvállalat között, hanem számtalan más vertikumban, szabályozási környezetben, méretben létező cég között. Nincs két egyforma vállalat, két egyforma felhasználási mód, nincsenek kiforrott minták. Pontosan be kell tudnunk határolni, hogy jelenleg hol tart a vállalati IT kultúra a szervezeten belül. Mekkora az IT és az IT biztonsági érettség, és hova kívánunk eljutni egy, három vagy akár öt-tíz éven belül. Magas komplexitású, ebből fakadóan jól megtervezett, hatékony projektek lehetnek csak célravezetőek. Szinte tökéletes egyensúlyt szükséges teremteni a tervezettség és biztonsági fejlesztési ciklusok között. A speciális és gyakorlati tapasztalatból fakadó hozzáértés szintén elengedhetetlen. 

A SASE technológia implementálásához definiált use case-ket elengedhetetlen tűpontosan tisztázni. A különböző alapokkal és megközelítéssel rendelkező gyártók értelemszerűen különböző csomagokkal operálnak. A környezeti sajátosságoktól függően szükséges tervezni, választani és kivitelezni. A Clico portfóliójában több, mint öt gyártó rendelkezik teljes vagy részleges SSE/SASE megoldással, ezek közül most az általunk legjobbnak érzett három megoldást járjuk körbe a saját előnyeik és víziójuk mentén.

Kezdjük a Palo Alto Networks megoldásával. A SASE problémakörre a gyártótól megszokott kiterjedt, minden oldalról komplett megoldást nyújt. A Palo Alto Networks az általuk tökéletesített újgenerációs tűzfal irányából indul, ezért egyértelmű, hogy a hálózatbiztonsági vonal nagyon hangsúlyos, és az ebből az irányból felmerülő ügyféligényeket a leghatékonyabban fedi. Ez a már régebben is elérhető Prisma Access nevű megoldásként található meg a portfoliójukban. A Prisma Access lényege, hogy egy jól használható, könnyen kezelhető FWaaS tűzfal szolgáltatást adjon az ügyfelek kezébe, ahol nem kell üzemeltetni magát az infrastruktúrát, elég csak szabályrendszert kezelni, és minden mást megold a szolgáltatás. A fiókirodák, távoli telephelyek, a földi adatközpont, de még az ügyfelek is a „felhőn” keresztül csatlakoznak, és onnan szabályozzuk, hogy ki, mit, és hogyan érhet el. A teljes SASE megoldás része a Prisma SD-WAN is, ami egy fejlett, kifejezetten a jó felhasználói élmény biztosítására kihegyezett saját, natívan integrálódó SD-WAN megoldás. Ez az alkotóelem nyújtja a SASE megoldásoktól elvárt hálózatkezelés funkciót és segít optimalizálni a hálózati kapcsolatokat. A Palo Alto Networks talán legnagyobb előnye az ADEM (Autonomous Digital Experience Management) névre keresztelt egyedülálló funkcionalitás, mely segítségével teljesen automatizáltan végez a rendszer folyamatos, mélyreható analízist a hálózaton közlekedő forgalmakon és folyamatosan a változó paraméterek figyelembevételével optimalizálja a kapcsolatokat. Ez például a különböző, alacsony késleltetést igénylő szolgáltatások (VoIP, Zoom, Teams, egyéb kollaborációs megoldások, gyártásvezérlők, ipari rendszerek) által generált speciális és számottevő sávszélességi igények esetén felmerülő teljesítmény problémák kezelésében kiemelkedő. A fent említett két fő elem segítségével egy kifejezetten hatékony, mesterséges intelligenciával megtámogatott, mindenki számára jól kezelhető és könnyen igénybe vehető megoldást kínál a gyártó, amihez nem szükséges bonyolult „földi” infrastruktúrát fenntartani, ám mégis kiemelkedő védelmet nyújt az ügyfelek számára. Fontos megemlíteni, hogy a csomag egy ideje tartalmaz egy DLP megoldást is, ami a megfelelési szempontok miatt elengedhetetlen lehet bizonyos iparágakban. A Palo Alto Networks érdeme továbbá, attól eltekintve, hogy a megoldás egyben nagyon hatékony platformot alkot, az elemei külön-külön is Gartner leader kategóriába sorolhatóak, mivel az elemzők számára is egyértelmű, hogy érdemes velük számolni. Egyedüli SASE gyártóként találhatóak meg a Gartner SSE, SD-WAN és NGFW Magic Quadrantban is.

A Forcepoint SASE megoldása a Forcepoint ONE, aminek az alapjait a 2021-ben felvásárolt Bitglass adja, és ennek meglévő funkcióit folyamatosan fejlesztik és integrálják a Forcepoint korábbi megoldásaival. A Forcepoint évek óta jelentős szereplő az SD-WAN és CASB kategóriákban, de a legnagyobb előnye mégsem ebben rejlik versenytásaival szemben. A gyártó hagyományaiból fakadóan elsősorban nem a hálózatbiztonsági, hanem adatbiztonsági alapok irányából közelíti meg a SASE problémakört. A Forcepoint ONE Secure Web Gateway (SWG), CASB és ZTNA lábak szinte adták magukat, és ezen sziklaszilárd stratégiai bástyája mellé épült fel egy igen fejlett tűzfal és SD-WAN összetevőket tartalmazó (FlexEdge) teljeskörű, minden elvárt funkciót magába foglaló, teljes komplexitású rendszer. Az egyéb szükséges kiegészítők, szolgáltatások sem kerülték el a gyártó figyelmét, mint a Cloud Security Posture Management (CSPM), SaaS Security Posture Management (SSPM), továbbá a manapság egyre fontosabb RBI (Remote Browser Isolation) és Content Disarm and Reconstruction (CDR) funkciók. Az RBI képes megvédeni a felhasználót a böngésző alapú támadásoktól úgy, hogy a tényleges böngésző munkamenet egy távoli felhős sandbox környezetben fut és a helyi gépen csak annak a folyamatnak az „interaktív képe” jelenik meg. A CDR pedig az interneten keresztül érkező dokumentumok tartalmának teljes szétbontását képes elvégezni, majd minden potenciálisan kártékony kód nélkül, egy újragenerált verzióban már biztonságosan meg is nyitható. Mindezt értelemszerűen valós időben. Külön érdekesség, hogy egyes más gyártók megoldásától eltérően nemcsak képként kapja meg a felhasználó a tartalmat, hanem az eredeti file formátumában, Office dokumentumok esetén szerkeszthetően is.

A Forcepoint ONE legnagyobb előnye a piacvezető Forcepoint Enterprise DLP-vel való integrálhatósága, amely révén a felhős környezetekre és a keresztül haladó forgalmakra is ki lehet terjeszteni védelmet, a földi DLP-ben megalkotott szabályrendszer szerint képes kutatni a felhőben tárolt érzékeny információk után, és szükség esetén blokkolni tudja az érzékeny információk szivárgását. Tapasztalataink szerint a versenytársak által ez az egyik leginkább lefedetlen terület, a többiek inkább csak „DLP Light” kezdeményeket építenek be a saját SASE megoldásukba. 

Összefoglalónkban a harmadik gyártónk a Netskope. Az olvasók többségének még nem feltétlen cseng olyan ismerősen a gyártó neve, -hiszen csak 1 éve kezdték meg az európai menetelésüket- de ennél jelentősebb a Netskope megoldásánának jónéhány technológiai finomsága. Ráadásul az már említett gyártóktól eltérően a SASE a Netskope főprofilja, és ezen a piacon úttörő szerepe van.

A Netskope jelen pillanatban több mint 65 régió adatközpontjaiba telepített, saját maga által kezelt privát felhő szolgáltatást kínál ügyfeleinek, és minden adatközpontból egységesen biztosítja az összes elérhető szolgáltatási funkciót. Ez mindenképpen egy keresett és ritka privilégium, amivel azon ügyfeleknél biztosan előnyt élveznek majd, akik nem szeretnének egyik nagy felhőszolgáltató felé sem elköteleződni, vagy nem szeretnék a hibrid, netán multicloud infrastrukturájukat az egyik, általuk is hasznát felhőszolgáltatás üzembiztonsága miatt a szükségesnél jobban kitenni, például egy Amazonos (Azure-os, Google-s, stb) kiesés esetén az Azure-os (Amazonos, Google-s, stb) workloadok eléréset elveszíteni. Az Netskope SSE irányból épített SASE platformot szintén megkülönbözteti a versenytársaktól, hogy a szolgáltatásokat egyetlen platformról biztosítja. Egyetlen konzolon tudunk minden funkciót használni és az egyes modulok tökéletesen integráltak, ami lehetővé teszi, hogy a forgalmakon belüli különböző összefüggéseket könnyen észleljük. 

A Netskope 2022 augusztusi Infiot felvásárlásával egy addig hiányzó elem, egy Borderless SD-WAN megoldás is került a csomagba. A SASE biztonsági részét a Netskope Intelligent SSE biztosítja, amely tartalmazza az elvárt CASB, FWaaS, SWG, ZTNA, RBI funkciókat. A Netskope mindezek mellett úgy lett megtervezve, hogy nemcsak TCP és HTTP alapú forgalom kezelésére alkalmas, hanem API szinten vizsgálódik, így megérti a felhasználók szándékát, milyen tevékenységet végeznek éppen, így több összefüggésben is biztonságot tud nyújtani. A Netskope SASE megoldás alapja a NextGen SWG, amely nem csak allow/block kontrollokat nyújt, hanem megérti az adatfolyamok a kontextusát. A Netskope CASB egyébként az iparág vezető felhőalapú CASB megoldása, több ezer felhőalkalmazás azonosítására és kezelésére, a különböző fenyegetések valós idejű észlelésére és orvosolására képes.

Mindhárom gyártó esetében 99.99 százalékos vállalt rendelkezésre állással számolhatunk a platform tekintetében, és POP-ok (Cloud Point of Presence) vonatkozásában szintén a bőség zavarával szembesülünk, akárcsak a skálázható teljesítményt illetően. Ezeket megfejelve az ugyan gyártónként eltérő, de minden esetben könnyen átlátható és rugalmas előfizetési modellek között biztosan mindenki megtalálja a számára szimpatikusat.

Összességében tehát kijelenthető, hogy mindegyik megoldás több mint megfelelő lehet a környezeti sajátosságok és a felhasználás céljának függvényében, az adott feladatra legalkalmasabb belépési pontot-gyártót-technológiát pedig szakértőink segítségével már egyszerűbb lesz meghatározni.