Az infrastruktúráért és üzemeltetésért felelős szakemberek, valamint az IT-biztonsági szervezetek számára a hagyományos architektúrákról a modern, Zero-Trust alapokra történő átállás korántsem jelent egyszerű feladatot. Ezek a szervezetek gyakran szembesülnek a különböző gyártók eltérő érettségi szintű heterogén környezeteiben komoly nehézségekkel már az üzemeltetés és fejlesztés területén is. Ettől nagyságrenddel komplexebb kérdéskört vet fel a rendszerek modernizálási igénye.
Növekedés előtt a SASE és az SSE
A Gartner előrejelzése alapján 2025-re a ZTNA-t (Zero Trust Network Access) alkalmazó szervezetek 70%-a vagy a SASE (Secure Access Service Edge) vagy az SSE (Secure Service Edge) irányt választja a ZTNA megvalósítására.
Hogyan is érdemes hozzákezdeni?
Példának okáért: hogyan jutunk el egy SASE komponens bevezetésétől – jelen esetben egy SD-WAN-tól (ami általában elsősorban hálózatos, üzletfolytonossági és felhasználói szempontból érkező igény) – egy akár komplett SASE Platformig?
Ez a feladat korántsem olyan bonyolult, mint amilyennek első látásra gondolnánk. Először is pontosan meg kell határozni az elérni kívánt célokat. Ezt követően a különböző gyártók tengerében szükséges megvizsgálni, hogy az eltérő víziók közül melyek állnak a mi igényeinkhez közelebb. Az első döntési ponton hazánkban jellemző, hogy elsősorban hálózat, nem pedig biztonság orientált a projekt lelke. Ebben az esetben mindenképp szempont kell legyen a hosszú távú tervezés. Ha SD-WAN tekintetében elköteleződünk egy gyártó felé, akkor inkább előbb, de utóbb biztosan biztonsági szempontokból is megjelennek igények, amit szinte csak a kiválasztott gyártó megoldására építve fogunk tudni megoldani.
A SASE egy meglévő ökoszisztémában
Bonyolítja a helyzetet, hogy a legtöbb esetben nem egy új környezet felépítése a feladat. A SASE akkor is rugalmas megoldást nyújt az igényekre, amikor egy meglévő ökoszisztémába kívánunk becsatlakoztatni új biztonsági elemeket, vagy bővülünk. Vagyis egy új telephely, egy új szervezeti egység kialakítása esetén nem feltétlen van megkötve a kezünk. De a meglévő biztonsági architektúránk újragondolása esetén is kiváló döntés lehet az irány. A végcél az, hogy a felhasználók elérjék ugyanazokat az erőforrásokat és rendszereket, ami a munkájukhoz szükséges, lehetőség szerint magasabb biztonsággal. Arról nem is beszélve, hogy egy homogén környezet üzemeltetése sokkal egyszerűbb, és általában költséghatékonyabb is.
Megoldás a Netskope-tól
A Netskope az egyik első azon gyártók körében, akik kifejezetten a SSE-vel, mint technológiai megoldáscsomaggal léptek a piacra. A 2012-ben alakult cég 2015-ben állt elő először azzal a platformmal, melyet ma – követve a trendeket – nemes egyszerűséggel csak Netskope One-nak hív (leánykori nevén Security Cloud Platform), és alapjában véve a felhős szolgáltatások alkalmazásalapú (CASB – Cloud Access Security Broker) kezelésére épül. A Gartner SSE kvadránsában 2024-ben immáron harmadik alkalommal értékeli igen előkelő vezető helyen a Leaders kategóriában. 2023 augusztusában vásárolta fel a Netskope az Infiotot, így az addig hiányzó elem, egy Borderless SD-WAN megoldás is sebesen integrálódott a platformba, így garantáltan “Single-Vendor SASE” kategóriában is előkelő helyre kerülhet – a Palo Alto Networks mellett – a soron következő új riportban.
Mindezek mellett a cég alapítói, befektetőinek egy része, valamint vezető mérnökei szinte kivétel nélkül a különböző konkurenciáktól érkeztek az évek során. Nem csoda, hogy a stabil háttérrel rendelkező cég szakmai vonalon is több mint tíz éve bizonyít a világ különböző piacain. Az igazán ínyenceknek kötelező a “Critical Capabilities for Security Service Edge” kódnév alatt futó Gartner elemzés, melyben többek között négy kiemelt felhasználási mód (1. Secure Web and Cloud Usage, 2. Detect and Mitigate Threats, 3. Connect and Secure Remote Workers, 4. Identify and Protect Sensitive Information) mentén kerülnek besorolásra a gyártók. Spoiler: a Netskope a négyből két esetben első, két esetben második helyre értékelték.
Hogyan válasszunk?
A fentieket végiggondolva nehéz olyan gyártót választani, aki első ránézésre minden tekintetben erősebb, de menjünk egy kicsit mélyebbre. Csak néhány példa, amik számtalanszor felmerülnek a különböző ügyféligények során: felhős alkalmazásokban történő adatszivárgás, felhasználói élmény monitorozás és szabályozás, távoli munkavégzés, külsős beszállítók felügyelete és még sorolhatnánk. Egyvalami azonban mindben közös: az adat, és annak a mozgása a szervezeten belül, és főleg azon kívül.
Ezen a téren nyújt teljes körű szolgáltatást egy igazán jó SASE platform. Mindent lefedhetünk, ami SaaS, IaaS, nem menedzselt szolgáltatások, saját alkalmazások, szinte a létező összes szükséges biztonsági funkcióval (Threat Protection, titkosítás, FWaaS, Cloud SWG, DLP, UEBA, OCR, RBI, stb.). Nem beszélve a különböző analitikákról, és a számos natív integrációs irányról (XDR/SIEM/SOAR stb.), ha ennél még többre lenne szükség. Akár laikusként is végiggondolva, ha ilyen szintű biztonsági funkcionalitást szeretnénk tető alá hozni, az nem tűnik kis feladatnak. Egy SD-WAN bevezetést követően mik a prioritások? Mik lesznek a következő lépések? ZTNA? VPN kiváltás? SWG funkcionalitás? Ezeket kell alaposan végiggondolni előre. Arról már korábban is esett szó, hogy egy ilyen jellegű fejlesztés a megszokottól masszívabb tervezési fázisért kiált, ellenben jó hír, hogy az implementáció fázisában ez kifizetődő.
Ez a kulcsa a jövő hálózatainak. Sokkal alaposabban és hosszabb távon kell tervezni.
Összegzés
A vállalatok számára az üzleti igények miatt előbb-utóbb elkerülhetetlen lesz nyitni az új technológia irányába. Csak így tarthatunk lépést a fejlődés adta lehetőségek mentén az elérhető, minél magasabb biztonsági szint érdekében. Létfontosságú, hogy ez igaz akkor is, ha főként hálózatot érintő projektről van szó. Figyelembe kell venni a biztonsági aspektust, mert ennek hiányában sem közép- sem hosszútávon nem fogunk tudni tovább építkezni, és komoly lépéshátrányba kerülünk. Sokszor olyannyira, hogy a meglévő konstelláció szinte teljes újragondolása lesz szükséges. Tekintettel arra, hogy nincs két egyforma környezet, kulcsfontosságú a tényleges professzionális fejlesztési tervek készítése, még akkor is, ha ezt időről időre igazítani kell a változó igényekhez. A gyártók startra készen várják ezeket az igényeket, itt az idő, hogy az ügyfelek nyissanak, az implementációs szakértők pedig felnőjenek a feladathoz.