Secure Access Service Edge (SASE) คืออะไร
เรียนรู้ว่าเฟรมเวิร์ก Secure Access Service Edge (SASE) ผสานระบบเครือข่ายบริเวณกว้างและการรักษาความปลอดภัยแบบ Zero Trust เพื่อปกป้ององค์กรบนระบบ Cloud ได้อย่างไร
คำจำกัดความของ SASE
Secure Access Service Edge ซึ่งมักย่อเป็น (SASE) คือเฟรมเวิร์กการรักษาความปลอดภัยที่รวมระบบเครือข่ายพื้นที่กว้างที่ใช้ซอฟต์แวร์กำหนด (SD-WAN) และโซลูชันการรักษาความปลอดภัยแบบ Zero Trust เข้าเป็นแพลตฟอร์มที่จัดส่งผ่านคลาวด์ที่ครอบคลุมซึ่งเชื่อมต่อผู้ใช้ ระบบ ปลายทาง และเครือข่ายระยะไกลกับแอปและทรัพยากรอย่างปลอดภัย
SASE มีลักษณะสำคัญสี่ประการ:
1. อิงตามข้อมูลประจำตัว:
ให้สิทธิ์เข้าถึงตามข้อมูลประจำตัวของผู้ใช้และอุปกรณ์
2. บนระบบคลาวด์:
ทั้งโซลูชันโครงสร้างพื้นฐานและความปลอดภัยมีการจัดส่งผ่านคลาวด์
3. รองรับทุกขอบเขต:
ขอบเขตทางกายภาพ ดิจิทัล และตรรกะทั้งหมดได้รับการปกป้อง
4. จัดจำหน่ายทั่วโลก:
ผู้ใช้จะปลอดภัยไม่ว่าจะทำงานที่ไหน
เป้าหมายหลักของสถาปัตยกรรม SASE คือการมอบประสบการณ์ใช้งานของผู้ใช้ที่ราบรื่น การเชื่อมต่อที่เหมาะสมที่สุด และการรักษาความปลอดภัยที่ครอบคลุมในแบบที่รองรับความต้องการการเข้าถึงที่ปลอดภัยแบบไดนามิกขององค์กรดิจิทัล แทนที่จะดึงปริมาณการใช้งานกลับไปยังศูนย์ข้อมูลแบบเดิมหรือเครือข่ายส่วนตัวสำหรับการตรวจสอบความปลอดภัย SASE ช่วยให้อุปกรณ์และระบบระยะไกลสามารถเข้าถึงแอปและทรัพยากรได้อย่างราบรื่นไม่ว่าจะอยู่ที่ใดได้ตลอดเวลา
ส่วนประกอบหลักของ SASE
SASE สามารถแบ่งออกเป็นหกองค์ประกอบที่สำคัญ
ระบบเครือข่ายพื้นที่กว้างที่ใช้ซอฟต์แวร์กำหนด (SD-WAN)
ระบบเครือข่ายพื้นที่กว้างที่ใช้ซอฟต์แวร์กำหนดคือสถาปัตยกรรมโอเวอร์เลย์ที่ใช้ซอฟต์แวร์การกำหนดเส้นทางหรือการเปลี่ยนเพื่อสร้างการเชื่อมต่อเสมือนระหว่าง ปลายทาง ทั้งทางกายภาพและเชิงตรรกะ SD-WAN ให้เส้นทางเกือบไม่จำกัดสำหรับปริมาณการใช้งานของผู้ใช้ ซึ่งปรับประสบการณ์ใช้งานของผู้ใช้ให้เหมาะสม และให้ความยืดหยุ่นที่มีประสิทธิภาพในการเข้ารหัสและการจัดการนโยบาย
Firewall as a Service (FWaaS)
Firewall as a Service ย้ายการป้องกันไฟร์วอลล์ไปยังคลาวด์แทนขอบเขตเครือข่ายแบบเดิม ซึ่งช่วยให้องค์กรสามารถเชื่อมต่อบุคลากรเคลื่อนที่ทางไกลเข้ากับเครือข่ายขององค์กรได้อย่างปลอดภัย ในขณะที่ยังคงบังคับใช้นโยบายการรักษาความปลอดภัยที่มีเสถียรภาพซึ่งเข้าถึงได้มากกว่าร่องรอยทางภูมิศาสตร์ขององค์กร
Secure web gateway (SWG)
Secure web gateway คือบริการรักษาความปลอดภัยเว็บที่กรองปริมาณการใช้งานที่ไม่ได้รับอนุญาตจากการเข้าถึงเครือข่ายเฉพาะ เป้าหมายของ SWG คือการลดภัยคุกคามก่อนที่จะเจาะเข้าไปในขอบเขตเสมือน SWG บรรลุเป้าหมายนี้โดยการรวมเทคโนโลยีต่างๆ เช่น การตรวจหาโค้ดที่เป็นอันตราย การกำจัด มัลแวร์ และการกรอง URL
การเข้าถึงเครือข่าย Zero Trust (ZTNA)
การเข้าถึงเครือข่าย Zero Trust คือชุดของเทคโนโลยีบนระบบ Cloud แบบรวมที่ทำงานบนเฟรมเวิร์กที่ไม่ได้ให้ความไว้วางใจง่ายๆ และให้สิทธิ์การเข้าถึงตามความจำเป็นและมีสิทธิ์ระดับต่ำสุดสำหรับผู้ใช้ อุปกรณ์ และแอปพลิเคชันทั้งหมด ในโมเดลนี้ ผู้ใช้ทั้งหมดต้องได้รับการรับรองความถูกต้อง อนุญาต และตรวจสอบอย่างต่อเนื่องก่อนที่จะได้รับอนุญาตให้เข้าถึงแอปพลิเคชันและข้อมูลส่วนตัวของบริษัท ZTNA ขจัดประสบการณ์ใช้งานของผู้ใช้ที่ขาดประสิทธิภาพ ความซับซ้อนในการดำเนินงาน ค่าใช้จ่าย และความเสี่ยงของ VPN แบบเดิม
ตัวกลางรักษาความปลอดภัยของการเข้าถึงระบบคลาวด์ (CASB)
ตัวกลางรักษาความปลอดภัยของการเข้าถึงระบบคลาวด์คือแอปพลิเคชัน SaaS ที่ทำหน้าที่เป็นจุดตรวจสอบความปลอดภัยระหว่างเครือข่ายภายในองค์กรและแอปพลิเคชันระบบ Cloud และบังคับใช้นโยบายการรักษาความปลอดภัยของข้อมูล CASB จะปกป้องข้อมูลองค์กรด้วยเทคนิคการป้องกัน การติดตาม และการบรรเทาผลกระทบร่วมกัน นอกจากนี้ยังสามารถระบุลักษณะการทำงานที่เป็นอันตรายและเตือนผู้ดูแลระบบเกี่ยวกับการละเมิดการปฏิบัติตามข้อบังคับ
การจัดการแบบรวมศูนย์ที่ครบวงจร
แพลตฟอร์ม SASE ที่ทันสมัยช่วยให้ผู้ดูแลระบบไอทีสามารถจัดการ SD-WAN, SWG, CASB, FWaaS และ ZTNA ผ่านการจัดการแบบรวมศูนย์ที่ครบวงจรทั่วทั้งระบบเครือข่ายและการรักษาความปลอดภัย ซึ่งทำให้สมาชิกทีมไอทีมีอิสระในการโฟกัสพลังงานในพื้นที่เร่งด่วนอื่นๆ และเพิ่มประสบการณ์ใช้งานของผู้ใช้สำหรับพนักงานแบบไฮบริดขององค์กร
ประโยชน์ของ SASE
แพลตฟอร์ม SASE มีข้อดีเหนือตัวเลือกเครือข่ายภายในองค์กรแบบดั้งเดิม ต่อไปนี้คือสาเหตุหลักบางประการที่องค์กรอาจต้องการเปลี่ยนไปใช้เฟรมเวิร์ก SASE:
ลดค่าใช้จ่ายด้านไอทีและความซับซ้อน
โมเดลการรักษาความปลอดภัยเครือข่ายแบบดั้งเดิมต้องใช้โซลูชันร่วมกันเพื่อรักษาความปลอดภัยในขอบเขตของเครือข่าย SASE ลดจำนวนโซลูชันที่จำเป็นต่อการรักษาความปลอดภัยแอปพลิเคชันและบริการ ซึ่งช่วยประหยัดค่าใช้จ่ายด้านไอทีและทำให้การดูแลระบบง่ายขึ้น
ความคล่องตัวและความยืดหยุ่นที่มากขึ้น
เนื่องจาก SASE มีการจัดส่งผ่านคลาวด์ ทั้งเครือข่ายและเฟรมเวิร์กการรักษาความปลอดภัยจึงสามารถปรับขนาดได้อย่างสมบูรณ์ เมื่อองค์กรของคุณเติบโตขึ้น ระบบก็สามารถเติบโตได้เช่นกัน ซึ่งทำให้การเร่งการแปลงข้อมูลเป็นดิจิทัลเป็นไปได้อย่างแท้จริง
สร้างขึ้นเพื่อรองรับการทำงานแบบไฮบริด
ในกรณีที่เครือข่ายแบบฮับและลูกข่ายแบบเดิมมีปัญหาในการจัดการแบนด์วิดท์ที่จำเป็นเพื่อให้พนักงานระยะไกลมีประสิทธิภาพอยู่เสมอ SASE จะรักษาความปลอดภัยระดับองค์กรสำหรับผู้ใช้ทั้งหมด ไม่ว่าพวกเขาจะทำงานอย่างไรหรืออยู่ที่ใด
เพิ่มประสิทธิภาพประสบการณ์ใช้งานของผู้ใช้
SASE ปรับความปลอดภัยให้เหมาะสมสำหรับผู้ใช้โดยจัดการการแลกเปลี่ยนความปลอดภัยอย่างชาญฉลาดในเวลาจริง ซึ่งจะช่วยลดเวลาแฝงเมื่อผู้ใช้พยายามเชื่อมต่อกับแอปพลิเคชันและบริการระบบคลาวด์ และลดพื้นหน้าของการโจมตีขององค์กร
ความปลอดภัยที่ได้รับการปรับปรุง
ในเฟรมเวิร์ก SASE SWG, DLP, ZTNA และเทคโนโลยีข่าวกรองเกี่ยวกับภัยคุกคามอื่นๆ มารวมกันเพื่อให้พนักงานระยะไกลสามารถเข้าถึงทรัพยากรของบริษัทได้อย่างปลอดภัย ขณะเดียวกันก็ลดความเสี่ยงของการหาช่องโหว่รอบด้านในเครือข่าย ใน SASE การเชื่อมต่อทั้งหมดจะได้รับการตรวจสอบและรักษาความปลอดภัย และมีการกำหนดนโยบายการป้องกันภัยคุกคามไว้ล่วงหน้าอย่างชัดเจน ปราศจากข้อสงสัย
เรียนรู้เพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยแบบ Zero Trust เชิงรุก
ความแตกต่างระหว่าง SASE และ SSE
Security service edge (SSE) เป็นชุดย่อยแบบสแตนด์อโลนของ SASE ที่เน้นเฉพาะบริการ รักษาความปลอดภัยของระบบคลาวด์ SSE มอบการเข้าถึงอินเทอร์เน็ตอย่างปลอดภัยผ่านเกตเวย์เว็บที่มีการป้องกัน ปกป้อง SaaS และแอปในคลาวด์ผ่าน CASB และรักษาความปลอดภัยการเข้าถึงแอปส่วนตัวจากระยะไกลผ่าน ZTNA SASE ยังมีส่วนประกอบเหล่านี้ แต่จะขยายให้รวมถึง SD-WAN, การปรับ WAN ให้เหมาะสม และองค์ประกอบคุณภาพของบริการ (QoS)
วิธีเริ่มต้นใช้งาน SASE
การนำ SASE ไปใช้งานที่ประสบความสำเร็จจำเป็นต้องมีการวางแผนและการเตรียมการในเชิงลึก ตลอดจนการติดตามและการปรับให้เหมาะสมอย่างต่อเนื่อง ต่อไปนี้คือคำแนะนำบางประการสำหรับวิธีวางแผนและปรับใช้การนำ SASE ไปใช้งานเป็นขั้นตอน
1. กำหนดเป้าหมายและข้อกำหนดของ SASE
ระบุปัญหาในองค์กรของคุณที่สามารถแก้ไขได้ผ่าน SASE รวมถึงผลลัพธ์ทางธุรกิจที่คาดหวัง เมื่อคุณรู้แล้วว่าเหตุใด SASE จึงมีความสำคัญ ให้ชี้แจงว่าเทคโนโลยีใดสามารถอุดช่องว่างในโครงสร้างพื้นฐานปัจจุบันขององค์กรของคุณได้
2. เลือกแกนหลัก SD-WAN
เลือก SD-WAN เพื่อให้ฟังก์ชันเครือข่าย จากนั้นเลเยอร์ผู้ให้บริการ SSE เพื่อสร้างโซลูชัน SASE ที่ครอบคลุม การผสานรวมเป็นกุญแจสำคัญ
3. รวมโซลูชัน Zero Trust
การควบคุมการเข้าถึงควรได้รับการควบคุมดูแลโดยข้อมูลประจำตัว ปรับใช้ SASE ให้เสร็จสมบูรณ์โดยเลือกชุดเทคโนโลยีบนระบบคลาวด์ที่มี Zero Trust เป็นแกนหลักเพื่อให้ข้อมูลของคุณปลอดภัยที่สุด
4. ทดสอบและแก้ไขปัญหา
ก่อนเริ่มใช้งานจริงด้วยการปรับใช้ SASE ให้ทดสอบฟังก์ชันการทำงานของ SASE ในสภาพแวดล้อมสเตจจิ้ง และทดสอบว่าสแตกการรักษาความปลอดภัยมัลติคลาวด์ ของคุณผสานรวมกับ SD-WAN และเครื่องมืออื่นๆ ได้อย่างไร
5. ปรับการตั้งค่า SASE ให้เหมาะสม
เมื่อองค์กรของคุณเติบโตและจัดลำดับความสำคัญมากขึ้น ให้มองหาโอกาสใหม่ๆ สำหรับการใช้งาน SASE ที่ต่อเนื่องและปรับเปลี่ยนได้ เส้นทางขององค์กรทุกแห่งสู่สถาปัตยกรรม SASE ที่เติบโตเต็มที่นั้นมีเอกลักษณ์เฉพาะตัว การดำเนินการตามขั้นตอนช่วยให้มั่นใจได้ว่าคุณสามารถก้าวไปข้างหน้าอย่างมั่นใจในแต่ละขั้นตอน
โซลูชัน SASE สำหรับธุรกิจ
ทุกองค์กรที่ต้องการให้บริการปกป้องภัยคุกคามและข้อมูลอย่างครอบคลุม เร่งการแปลงข้อมูลเป็นดิจิทัล และอำนวยความสะดวกให้กับบุคลากรทางไกลหรือแบบไฮบริดนั้นควรพิจารณาใช้เฟรมเวิร์ก SASE อย่างเร่งด่วน
เพื่อให้ได้ผลลัพธ์ที่ดีที่สุด ให้ประเมินสภาพแวดล้อมปัจจุบันของคุณและระบุช่องว่างเร่งด่วนที่คุณต้องแก้ไข จากนั้น ระบุโซลูชันที่ช่วยให้คุณสามารถใช้ประโยชน์จากการลงทุนด้านเทคโนโลยีในปัจจุบันของคุณโดยการผสานรวมกับเครื่องมือปัจจุบันที่เป็นไปตามหลักการ Zero Trust อยู่แล้ว
เรียนรู้เพิ่มเติมเกี่ยวกับ Microsoft Security
Microsoft Entra Private Access
ให้ผู้ใช้สามารถเชื่อมต่อกับแอปส่วนตัวได้อย่างปลอดภัยจากทุกที่
Microsoft Entra Internet Access
การเข้าถึงอินเทอร์เน็ต SaaS และ Microsoft 365 Apps อย่างปลอดภัย
Microsoft Defender for Cloud Apps
ปกป้องแอปในคลาวด์ด้วยตัวกลางรักษาความปลอดภัยของการเข้าถึงระบบคลาวด์
การรักษาความปลอดภัยของระบบคลาวด์
รับการป้องกันแบบรวมสำหรับแอปและทรัพยากรมัลติคลาวด์ของคุณ
คำถามที่ถามบ่อย
-
Secure access service edge (ซึ่งมักย่อเป็น SASE) คือสถาปัตยกรรมการรักษาความปลอดภัยบนระบบ Cloud ที่รวมระบบเครือข่ายพื้นที่กว้างที่ใช้ซอฟต์แวร์กำหนด (SD-WAN) เข้ากับสแตกความปลอดภัยที่จัดส่งผ่านคลาวด์แบบรวมที่มีฟีเจอร์ SWG, CASB, ZTNA และ FHaaS
-
สถาปัตยกรรม SASE เป็นโมเดลสถาปัตยกรรมชั้นนำที่ขับเคลื่อนโดยเครือข่ายที่ปรับขนาดได้ระดับโลก ซึ่งช่วยเพิ่มประสิทธิภาพของบุคลากรแบบไฮบริด และลดความซับซ้อนในสภาพแวดล้อมขององค์กรแบบกระจายในปัจจุบัน
-
SASE แตกต่างจากวิธีการรักษาความปลอดภัยเครือข่ายแบบเดิมในด้านวิธีการตรวจสอบและเชื่อมต่อผู้ใช้ ปลายทาง และเครือข่ายระยะไกลกับแอปและทรัพยากร SASE มอบสถานะระดับโลกที่ต่อเนื่อง ณ จุดเข้าใช้งาน ซึ่งตัวเลือกการรักษาความปลอดภัยเครือข่ายองค์กรแบบเดิมจะดึงปริมาณการใช้งานกลับไปยังเครือข่ายส่วนตัวและศูนย์ข้อมูลองค์กรผ่าน Secure web gateway และไฟร์วอลล์ที่ปลอดภัย
โมเดลนี้ขจัดประสบการณ์ใช้งานของผู้ใช้ที่ขาดประสิทธิภาพ ความซับซ้อนในการปฏิบัติงาน ค่าใช้จ่าย และความเสี่ยงของรูปแบบการรักษาความปลอดภัยแบบเดิม ลดพื้นหน้าของการโจมตีขององค์กร และเพิ่มความคล่องตัวด้านไอที
-
โซลูชัน SASE ประกอบด้วยองค์ประกอบสำคัญหกประการ ซึ่งมีความสามารถหลากหลาย:
1. ระบบเครือข่ายพื้นที่กว้างที่ใช้ซอฟต์แวร์กำหนด (SD-WAN): สถาปัตยกรรมโอเวอร์เลย์ที่สร้างการเชื่อมต่อเสมือนระหว่างปลายทาง
2. Secure web gateway (SWG): คือบริการรักษาความปลอดภัยเว็บที่ป้องกันปริมาณการใช้งานที่ไม่ได้รับอนุญาตจากการเข้าถึงเครือข่ายเฉพาะ
3. ตัวกลางรักษาความปลอดภัยของการเข้าถึงระบบคลาวด์ (CASB): แอปพลิเคชัน SaaS ที่ทำหน้าที่เป็นจุดตรวจสอบความปลอดภัยระหว่างเครือข่ายภายในองค์กรและแอประบบคลาวด์
4. Firewall as a service (FWaaS): โซลูชันที่ย้ายการป้องกันไฟร์วอลล์ไปยังคลาวด์แทนขอบเขตเครือข่ายแบบเดิม
5. Zero Trust Network Access (ZTNA): โซลูชันไอทีที่กำหนดให้ผู้ใช้ทุกคนต้องได้รับการรับรองความถูกต้องอย่างชัดแจ้ง อนุญาต และตรวจสอบอย่างต่อเนื่องเพื่อเข้าถึงแอปและข้อมูลของบริษัท
6. การจัดการแบบรวมศูนย์และเป็นหนึ่งเดียว: การจัดการนโยบายจากคอนโซลเครื่องเดียว
-
เมื่อนำไปใช้อย่างเหมาะสม SASE ช่วยให้องค์กรสามารถรับรองการเข้าถึงที่ปลอดภัยไม่ว่าผู้ใช้ อุปกรณ์ หรือแอปพลิเคชันจะอยู่ที่ใด นอกจากนี้ SASE ยังมอบ:
1. การรักษาความปลอดภัยที่ยืดหยุ่นและครอบคลุม ตั้งแต่การป้องกันภัยคุกคามไปจนถึงไฟร์วอลล์รุ่นต่อไป
2. ประสิทธิภาพที่ปรับให้เหมาะสมและประสบการณ์ใช้งานของผู้ใช้ที่ดีขึ้น (เช่น ลดเวลาแฝงและการรักษาความปลอดภัยตามความต้องการ)
3. ต้นทุนและความซับซ้อนลดลง ด้วยการรวมฟังก์ชันเครือข่ายและความปลอดภัยที่สำคัญไว้ในโซลูชันจำนวนน้อยลง
4. ขอบเขตเครือข่ายที่ปรับขนาดได้และคล่องตัว ซึ่งเร่งการแปลงข้อมูลเป็นดิจิทัลและการนำ IoT มาใช้ และช่วยให้บุคลากรแบบไฮบริดสมัยใหม่มีประสิทธิภาพดีขึ้นและลดความซับซ้อนทั่วทั้งองค์กร
ติดตามเรา