Что такое пограничный безопасный доступ (SASE)?

Откройте для себя платформу пограничного безопасного доступа (SASE), которая объединяет широкий ряд сетевых инструментов и средств обеспечения безопасности на основе модели "Никому не доверяй" для защиты корпоративных облачных сред.

Общие сведения о SASE

Пограничный безопасный доступ (сокращенно SASE) — это система безопасности, которая объединяет программно-определяемую глобальную сеть (SD-WAN) и решения на основе модели безопасности "Никому не доверяй" в единую облачную платформу, обеспечивающую безопасное подключение пользователей, систем, конечных точек и удаленных сетей к приложениям и ресурсам.

 

SASE обладает четырьмя отличительными особенностями:

 

1. Использование удостоверений:

 

доступ предоставляется на основе удостоверений пользователей или устройств.

 

2. Облачное решение:

 

инфраструктура и решения для обеспечения безопасности предоставляются в облаке.

 

3. Поддержка границ любого типа:

 

обеспечивается защита любых границ — физических, виртуальных и логических.

 

4. Глобально распределенная система:

 

пользователи остаются под защитой, где бы они ни работали.

 

Архитектура SASE разработана для того, чтобы предоставить пользователям возможность свободно работать, оптимизировать подключения и обеспечить всестороннюю защиту, при этом удовлетворяя меняющиеся потребности цифрового предприятия в безопасном доступе. Вместо того, чтобы передавать трафик обратно традиционным центрам обработки данных или частным сетям для проверок безопасности, SASE в любой момент предоставляет устройствам и удаленным системам беспрепятственный доступ к приложениям и ресурсам, где бы они ни находились.

Основные компоненты SASE

SASE включает в себя шесть основных компонентов.

  • Программно-определяемая глобальная сеть (SD-WAN)

    Программно-определяемая глобальная сеть представляет собой надстраиваемую архитектуру, которая использует программное обеспечение для маршрутизации и коммутации для создания виртуальных соединений между физическими и логическими конечными точками. Сети SD-WAN предоставляют почти неограниченное количество путей для передачи пользовательского трафика, что очень удобно, а также обеспечивают исключительную гибкость в том, что касается шифрования и управления политиками.

  • Шлюз веб-безопасности (SWG)

    Шлюз веб-безопасности — это служба веб-безопасности, которая отфильтровывает несанкционированный трафик, блокируя ему доступ к конкретной сети. SWG позволяет выявлять угрозы прежде, чем они смогут проникнуть сквозь Вирту­альный периметр. Для этого SWG использует целый комплекс технологий, таких как обнаружение вредоносного кода, уничтожение вредоносных программ и фильтрация URL-адресов.

  • Брокер безопасного доступа в облако (CASB)

    Брокер безопасного доступа в облако — это приложение SaaS, которое выполняет роль контрольно-пропускного пункта между локальными сетями и облачными приложениями, а также гарантирует применение политик, обеспечивающих безопасность данных. CASB защищает корпоративные данные, используя сочетание технологий предотвращения, отслеживания и нейтрализации угроз и рисков. Это решение также может обнаруживать вредоносное поведение и уведомлять администраторов о нарушении требований соответствия.

  • Брандмауэр как услуга (FWaaS)

    Технология "Брандмауэр как услуга" позволяет перенести защитные функции брандмауэра в облако в отличие от его традиционного применения на периметре сети. Благодаря ей организации могут предоставить своим удаленным мобильным сотрудникам безопасное подключение к корпоративной сети в рамках согласованных политик безопасности, действие которых распространяется за пределы географических границ организации.

  • Сетевой доступ по модели "Никому не доверяй" (ZTNA)

    Сетевой доступ по модели "Никому не доверяй" — это набор консолидированных облачных технологий, работающих на платформе, где понятия "доверие" просто не существует, а доступ любому пользователю, устройству и приложению предоставляется по принципу минимальных прав и только в рамках дозволенного. При использовании этой модели все пользователи должны проходить проверку подлинности, получать авторизацию и постоянно проверяться, прежде чем им будет предоставлен доступ к частным корпоративных приложениям и данным. ZTNA позволяет избавиться от неудобных рабочих сред, сложностей эксплуатации, затрат и рисков, характерных для традиционной VPN.

  • Единая, централизованная система управления

    Современная платформа SASE позволяет ИТ-администраторам управлять SD-WAN, SWG, CASB, FWaaS и ZTNA, используя единое, централизованное решение для управления сетями и безопасностью. Это дает ИТ-специалистам возможность сосредоточить внимание на других неотложных вопросах, а также обеспечивает более удобную пользовательскую среду для гибридных рабочих ресурсов организации.

Преимущества SASE

Платформы SASE обладают гораздо большим набором преимуществ по сравнению с обычными локальными сетями. Вот несколько главных доводов, которые могут склонить организацию к переходу на платформу SASE.

 

Снижение сложности ИТ-инфраструктуры и сокращение затрат на нее

 

Устаревшие модели обеспечения безопасности сети опираются на разрозненные решения для защиты периметра сети. SASE позволяет сократить число решений, необходимых для защиты приложений и служб, поэтому затрат становится меньше, а администрирование — проще.

 

Больше гибкости и возможностей для масштабирования

 

SASE предоставляется в облаке, поэтому и сеть, и платформа безопасности полностью поддерживают масштабирование. По мере роста предприятия расширяется и система, позволяя на практике ускорить переход на цифровые технологии.

 

Целенаправленная поддержка гибридной работы

 

Пока традиционные звездообразные сети с трудом обеспечивают пропускную способность, необходимую для продуктивной работы удаленных сотрудников, SASE гарантирует безопасность корпоративного уровня всем пользователям независимо от стиля и места их работы.

 

Удобная среда для пользователей

 

SASE оптимизирует защиту пользователей, обеспечивая интеллектуальное управление обменом данных безопасности в реальном времени. Это снижает задержку при попытках пользователей подключиться к облачным приложениям и службам и сокращает возможные направления атак, направленных на организацию.

 

Повышенная безопасность

 

На платформе SASE объединены средства SWG, DLP, ZTNA и другие технологии аналитики угроз, что позволяет предоставить удаленным сотрудникам безопасный доступ к ресурсам компании и сокращает риск бокового смещения в сети. В SASE все соединения проверяются и защищаются, а политики защиты от угроз четко прописываются заранее, что избавляет от двусмысленности.

 

Подробнее об упреждающей защите на основе модели безопасности "Никому не доверяй"

Отличие SASE от SSE

Пограничная служба безопасности (SSE) — это автономная подгруппа решений SASE, ориентированная исключительно на службы обеспечения безопасности в облаке. SSE предоставляет безопасный доступ к Интернету через защищенный веб-шлюз, защищает приложения SaaS и облачные приложения с помощью CASB и обеспечивает безопасный удаленный доступ к частным приложениям благодаря ZTNA. Эти же компоненты есть и в SASE, но кроме них эта платформа содержит такие элементы, как SD-WAN, функции оптимизации WAN и средства обеспечения качества обслуживания (QoS).

Как начать работу с SASE

Чтобы успешно внедрить SASE, необходимо тщательное планирование и подготовка, а также постоянный мониторинг и оптимизация. Вот несколько советов по планированию и реализации поэтапного развертывания SASE.

 

1. Установите цели и требования к внедрению SASE

 

Определите, какие проблемы организации можно решить с помощью SASE, а также бизнес-результаты, которые вы планируете получить. Когда вы выясните, в чем заключается важность перехода на SASE, уточните, какие технологии помогут заполнить пробелы в имеющейся корпоративной инфраструктуре.

 

2. Выберите магистраль SD-WAN

 

Выберите SD-WAN, которая будет обеспечивать работу в сети, а затем определите поставщика SSE, чтобы создать комплексное решение SASE. Самое важное в этом вопросе — интеграция.

 

3. Внедрите решения "Никому не доверяй"

 

Используйте удостоверения для управления доступом. Чтобы завершить развертывание SASE, выберите набор облачных технологий на основе модели "Никому не доверяй", чтобы обеспечить максимально возможную защиту данных.

 

4. Протестируйте систему и устраните неполадки

 

Прежде чем перевести развернутую систему SASE в рабочий режим, протестируйте ее функциональность в промежуточной среде и поэкспериментируйте, чтобы узнать, как многооблачный стек решений для обеспечения безопасности интегрируется с SD-WAN и другими инструментами.

 

5. Оптимизируйте установленную систему SASE

 

По мере роста организации и смещения приоритетов ищите новые способы постоянной и адаптивной реализации возможностей SASE. Каждая организация проходит свой уникальный путь к формированию полноценной архитектуры SASE. Поэтапное внедрение поможет вам уверенно двигаться вперед, контролируя каждый шаг.

Решения SASE для бизнеса

Каждая организация, которая желает обеспечить комплексную защиту от угроз и защиту данных, ускорить переход на цифровые технологии и облегчить работу в удаленном или гибридном режиме, должна срочно рассмотреть вопрос внедрения платформы SASE.

 

Для получения наилучших результатов оцените существующую среду и определите пробелы, которые требуется спешно заполнить. Затем выясните, какие решения позволяют использовать текущие вложения в технологии за счет интеграции с имеющимися инструментами, которые уже соответствуют принципам модели "Никому не доверяй".

 

Начало работы

Дополнительные сведения о Microsoft Security

Вопросы и ответы

|

Пограничный безопасный доступ (сокращенно SASE) — это облачная архитектура безопасности, которая объединяет программно-определяемую глобальную сеть (SD-WAN) и стек консолидированных облачных решений для обеспечения безопасности, в число которых входят SWG, CASB, ZTNA и FWaaS.

Архитектура SASE представляет собой передовую модель архитектуры на основе глобальной масштабируемой сети, которая позволяет повысить производительность гибридных рабочих ресурсов и снизить сложность современных распределенных корпоративных сред.

Технология SASE использует нетрадиционный подход к безопасности сети: она проверяет пользователей, конечные точки и удаленные сети и обеспечивает их подключение к приложениям и ресурсам. Традиционные корпоративные системы безопасности сети направляют трафик обратно частным сетям и корпоративным центрам обработки данных через шлюзы и брандмауэры веб-безопасности, тогда как SASE предоставляет глобальное и согласованное присутствие в точке доступа.

 

Эта модель позволяет избавиться от неудобных рабочих сред, сложностей эксплуатации, затрат и рисков, характерных для традиционных моделей безопасности. Кроме того, она сокращает число направлений атак и повышает гибкость ИТ-инфраструктуры.

Решения SASE включают в себя шесть основных элементов, которые обеспечивают широкий ряд возможностей.

 

1. Программно-определяемая глобальная сеть (SD-WAN): надстраиваемая архитектура, которая создает виртуальные подключения между конечными точками.


2. Шлюз веб-безопасности (SWG): служба веб-безопасности, которая отфильтровывает несанкционированный трафик, блокируя ему доступ к конкретной сети.


3. Брокер безопасного доступа в облако (CASB): приложение SaaS, действующее как контрольно-пропускной пункт между локальными сетями и облачными приложениями.


4. Брандмауэр как услуга (FWaaS): решение, которое переносит защитные функции брандмауэра в облако в отличие от его традиционного применения на периметре сети.


5. Сетевой доступ по модели "Никому не доверяй" (ZTNA): ИТ-решение, при использовании которого все пользователи должны проходить явную проверку подлинности, получать авторизацию и далее постоянно проверяться, чтобы иметь возможность доступа к приложениям и данным компании.


6. Единая, централизованная система управления: единая консоль управления политиками.

Правильно реализованная платформа SASE позволяет организациям обеспечить безопасный доступ своим пользователям, устройствам и приложениям, где бы они ни находились. Кроме того, SASE предоставляет следующие возможности:

 

1. Гибкая, комплексная система безопасности — от защиты от угроз до брандмауэра нового поколения.


2. Оптимизированный уровень производительности и более удобная среда для пользователей (в частности, ниже задержка и доступ к средствам безопасности по запросу).


3. Снижение затрат и сложности за счет консолидации основных функций, обеспечивающих работу в сети и безопасность, в рамках меньшего числа решений.


4. Гибкая, масштабируемая сеть, позволяющая ускорить переход на цифровые технологии и внедрение Интернета вещей, повысить продуктивность современных гибридных рабочих ресурсов и снизить сложность ИТ-инфраструктуры в рамках всей организации.