آشنایی با SASE | مدلی برای افزایش امنیت شبکه

رویکرد SASE ، برای سازمان ها کنترلی بهتر بر کاربران، ترافیک و دسترسی به اطلاعات یک شبکه فراهم می کند. یعنی یک قابلیت حیاتی برای سازمان های جهانی و مدرن!

شبکه هایی که با SASE ساخته می شوند، انعطاف پذیرتر و مقیاس پذیرتر بوده و کارکنان سازمان ها را از نقاط مختلف جهان و با دستگاه های مختلف به یکدیگر متصل می کنند.

SASE یا Secure Access Service Edge، یک الگوی امنیتی است که امکان دسترسی امن به برنامه‌ها و سرویس‌های ابری را فراهم می‌کند. در واقع، SASE با ادغام امنیت و شبکه به عنوان یک سرویس، رویکردی نوین در بخش امنیت شبکه محسوب می‌شود.

این روش با ارائه محیطی ابری و جمع‌آوری تمامی امکانات امنیتی و شبکه در یک مکان، برای مدیران شبکه و کاربران حرفه‌ای می‌تواند گزینه‌ای جذاب و ایده‌آل باشد. از جمله امکانات ارائه شده توسط SASE می‌توان به تشخیص تهدیدات، مدیریت دسترسی، حفاظت از داده‌ها و کنترل ارتباطات شبکه‌ای اشاره کرد.

مدل SASE چه قابلیت هایی دارد؟

SASE قابلیت های شبکه سازی نرم افزار محور (SD-WAN) را با چند قابلیت امنیت شبکه ترکیب کرده است. ویژگی هایی که تماماً تنها از طریق یک پلتفرم ابری قابل ارائه هستند.

به این ترتیب، SASE به کارکنان اجازه می دهد تا پس از اعتبارسنجی از هر نقطه جهان بتوانند با امن ترین شکل ممکن به منابع داخلی مورد نیاز خود دست یابند. در کنار این، به سازمان ها نیز کنترل بهتری بر ترافیک و داده های ورودی و خروجی در شبکه داخلی شان می دهد.

SASE دارای چهار عنصر امنیتی اساسی است:

1. Secure Web Gateway (SWG): یک SWG با فیلتر کردن محتوای ناخواسته از سمت ترافیک وب، مسدودسازی رفتار غیرمجاز کاربران، و اعمال سیاست های امنیتی سازمان، از تهدیدات سایبری و رخنه اطلاعاتی جلوگیری به عمل می آورد. SWG ها را می توان در هر جایی راه اندازی کرد، به همین دلیل است که برای کارکردهای امنیت از راه دور بسیار ایده آل است.
2. Cloud Access Security Broker (CASB): یک CASB چند ویژگی امنیتی مختلف را برای سرویس های میزبانی شده در فضای ابری، میسر می کند. از جمله افشای shadow IT (سیستم های سازمانی غیرمجاز)، ایمن سازی داده های محرمانه از طریق Access control و data loss prevention (جلوگیری از مفقودی داده ها) و در نهایت اطمینان از پیروی مقررات حفظ حریم خصوصی.
3. Zero Trust Network Access (ZTNA): قابلیت ZTNA منابع داخلی را از دید عموم مخفی کرده و از رخنه های اطلاعاتی احتمالی جلوگیری می کند. این کار از طریق اعتبارسنجی Real time از هر یوزر و دستگاه برای دسترسی به اپلیکیشن مورد نظر، انجام می شود.
4. Firewall as a Service (FWaaS): فایروال به عنوان یک سرویس یعنی فایروال هایی که از طریق ابر به شکل یک سرویس ارائه می شوند؛ FWaaS از پلتفرم هایی ابری، زیرساخت های ابری و اپلیکیشن ها در برابر حملات سایبری محافظت می کند.

برخلاف فایروال های قدیمی، FWaaS دیگر یک ابزار فیزیکی نیست، بلکه تعدادی فیچر امنیتی است که شامل فیلتر سازی URL، جلوگیری از تداخل (Intrusion prevention)، و مدیریت یکپارچه سیاست ها برای تمام ترافیک شبکه می شود.

بر مبنای ارائه دهنده و نیاز سازمان ها، این عناصر امنیتی می توانند به شکل مجزا و یا باندلی از فیچرها در کنار سایر خدمات ابری ارائه شوند.

مزایای فریمورک SASE

SASE در مقایسه با مدل امنیت شبکه دیتاسنتر محور و سنتی مزایای بسیاری دارد:

1. Identity-based Zero Trust network access: فریم ورک SASE به شدت بر مدل امنیت Zero-trust تکیه می کند؛ که تا زمان تایید هویت کاربر، به وی اجازه دسترسی به اپلیکیشن و داده ها را نمی دهد. حتی اگر کاربر در محیط شبکه خصوصی باشد.

زمان ایجاد سیاست های دسترسی، یک رویکرد SASE چیزی فراتر از هویت واقعی اکانت رفته و فاکتورهایی مثل موقعیت کاربر، زمان، استانداردهای امنیتی سازمان و سیستم ارزیابی ریسک را نیز مد نظر قرار می دهد.

1. مسدودسازی حملات زیرساخت شبکه: عناصر فایروال و CASB در SASE به جلوگیری از حملات خارجی نظیر DDoS و دسترسی به منابع داخلی کمک می کند. هر دو شبکه های ابری و درون سازمانی می توانند توسط SASE امن شوند.
2. جلوگیری از رفتار مخرب: با فیلتر کردن URL ها، کوئری های DNS و سایر ترافیک های ورودی و خروجی، SASE به جلوگیری از حملات Malware محور، استخراج داده، و سایر تهدیدات بر داده های سازمان کمک می کند.
3. مدیریت و راه اندازی آسان: SASE راهکارهای امنیتی تک کاره را در یک سرویس ابری یکجا جمع کرده و سازمان ها را قادر می سازد تا تنها با یک ارائه دهنده کار کرده، و در زمان و هزینه های خود نیز صرفه جویی کنند.
4. مدیریت آسان سیاست ها: بجای دست به دست کردن سیاست های مختلف برای راهکارهای گوناگون امنیتی، SASE شما را قادر می سازد تا سیاست های دسترسی به اطلاعات را به سادگی در سراسر جهان، تمام دستگاه ها و تمام کاربران، تنها در یک پرتال تنظیم، ویرایش و اعمال کنید.
5. مسیردهی بهینه و سریع: SASE از طریق هدایت ترافیک به سمت شبکه Edge یا لبه در سطح جهان (با توجه به نزدیکی به موقعیت کاربر) به کاهش تأخیرات شبکه ای کمک می کند. بهینه سازی مسیر (Routing Optimization) می تواند به سیستم کمک کند تا سریعتر مسیر شبکه ای را بر مبنای ترافیک فعال و چند فاکتور دیگر شناسایی کند.
6. حفاظت از امنیت: این رویکرد امنیتی به صورت متمرکز و بر روی کلیه ارتباطات و دسترسی به برنامه‌ها و سرویس‌های ابری اعمال می‌شود و از امنیت شبکه و داده‌ها برای کاربران نهایی محافظت می‌کند.
7. جمع‌آوری امکانات: این الگو با ارائه محیط ابری و جمع‌آوری تمامی امکانات امنیتی و شبکه در یک مکان، برای مدیران شبکه و کاربران حرفه‌ای می‌تواند گزینه‌ای جذاب و ایده‌آل باشد.
8. کاهش هزینه‌ها: با استفاده از SASE، سازمان‌ها می‌توانند هزینه‌های خود را کاهش دهند، زیرا این الگو به دلیل دسترسی به برنامه‌ها و سرویس‌های ابری و عدم نیاز به سخت‌افزارهای قدرتمند، می‌تواند هزینه‌های سازمان را به طور قابل توجهی کاهش دهد.
9. افزایش بهره‌وری: با افزایش امنیت و کاهش زمان و هزینه‌های مرتبط با اجرای شبکه، سازمان‌ها می‌توانند به بهره‌وری بیشتری دست پیدا کنند.
10. افزایش انعطاف‌پذیری: SASE با ارائه امکان دسترسی از هر کجا و هر زمانی، به کاربران این امکان را می‌دهد که از هر دستگاهی به شبکه دسترسی پیدا کنند و این امر به افزایش انعطاف‌پذیری کمک می‌کند.

چطور می توان از SASE استفاده کرد؟

بسیاری از سازمان ها در راه اندازی SASE رویکردی تدریجی را اتخاذ می کنند؛ در واقع، ممکن است بسیاری از سازمان ها برخی از عناصر SASE را حتی بدون علم بر وجود آن، تاکنون اجرا کرده باشند؛

برای راه اندازی این مدل امنیتی می توانید این اقدامات را پیش ببرید:

1. ایمن سازی نیروهای دورکار
2. انتقال زیرساخت شعبات اداری به محیط ابری
3. انتقال سیاست محافظت در برابر DDoS به سرورهای لبه (Edge)
4. مهاجرت وبسایت و اپلیکیشن به زیرساخت ابری
5. تغییر تمهیدات امنیتی قبلی با سیاست های ابری محور

تفاوت SASE با سایر شبکه ها

در مدل شبکه های قدیمی تر، سایت ها، اپلیکیشن ها و داده ها در دیتاسنتر اصلی نگه داری می شوند؛ به منظور دستیابی به این منابع، کاربران و شعبات اداری از شبکه خصوصی داخلی خود به این دیتاسنترها متصل می شوند (یا شاید یک شبکه میانی مثل VPN).

این مدل در مدیریت پیچیدگی های سرویس های ابری مثل SaaS و در زمان رشد و توسعه شرکت به نقاط جهانی، با مشکلات زیادی همراه است. چراکه در صورت میزبانی از سایت بر روی فضای کلود، دیگر مسیردهی ترافیک به سمت یک دیتاسنتر متمرکز کارایی نخواهد داشت.

در مقابل، SASE کنترل شبکه را به سمت Edge ابری خواهد برد نه دیتاسنتر واحد شرکت. علاوه بر این، بجای چند لایه کردن خدمات ابری که به پیکربندی های متفاوتی نیاز دارند، SASE آنها را در کنار امنیت به یک محیط منسجم منتقل خواهد کرد.

اجرای سیاست های دسترسی Zero Trust و هویت محور بر روی شبکه edge به سازمان ها این امکان را می دهد تا محیط شبکه ای خود را گسترش داده و دسترسی به آن را برای کاربران ریموت و ادارات فعال در کشورهای دیگر ارائه دهند.

راهکار میزبان کلود

یکی از سرویس های زیرساختی میزبان کلود ارائه ماژول های امنیت ابری است. به کمک CDN میزبان کلود می توانید در یک پرتال واحد تمام سیاست های امنیتی مورد نظر را برای صفحات مختلف و دسترسی های گوناگون در سراسر جهان پیاده سازی کنید.

به عبارتی، پس از اتصال به سرورهای لبه CDN میزبان کلود، می توانید فایروال ابری فعال در سطح شبکه سرورهای لبه، WAF، محافظت DDoS پیشرفته و Rate Limit را به سادگی در پنل میزبان کلود برای سایت یا اپلیکیشن خود فعال کنید.

علاوه بر این به کمک Page Rule میزبان کلود می توانید سیاست های مختلفی برای دسترسی به اطلاعات و صفحات مختلف تعیین کنید. تمامی این ماژول ها به صورت یکپارچه در کنار یکدیگر در یک محیط ابری مدرن برای سازمان ها قابل اتخاذ هستند.

جمع بندی

SASE یا Secure access service edge برای افزایش امنیت دسترسی کارکنان سازمان ها به اطلاعات و منابع سایت یا اپلیکیشن از طریق شبکه داخلی است. حتی اگر کارکنان در شعبات دور دست سازمان اقدام به ارسال درخواست و دریافت پاسخ از سمت سرور اصلی کنند، این معماری مدرن با پیاده سازی اعتبارسنجی های لازم و اجرای سیاست های امنیتی تعریف شده، امن ترین ارتباطات را برای سازمان ها فراهم خواهد کرد.

این راهکار برای زیرساخت های مبتنی بر ابر در جهت اجرای سیاست های امنیتی پیشرفته از طریق یک پلتفرم واحد، بسیار کاربردی است. در این مطلب به چیستی فریم ورک SASE و مزایای آن اشاره کرده و نحوه پیاده سازی آن را نیز بررسی کردیم.