Když tradiční ochrana IT nestačí, přichází ke slovu SASE

Firemní IT prostředí se v posledních několika letech radikálně proměnilo. Cloudový boom a přechod velkého množství zaměstnanců do hybridního pracovního režimu, zásadně mění přístup uživatelů k tomu, jakým způsobem se připojují do firemní sítě, konzumují data a využívají aplikace. Zajištění kyberbezpečnosti ve vysoce decentralizovaném prostředí vyžaduje zcela novou filozofii a bezpečnostní architekturu. Správná odpověď se skrývá ve čtyřech písmenech: SASE.

Přibližte se k uživatelům

SASE neboli Secure Access Service Edge představuje bezpečnostní reakci na situaci, v níž drtivá většina firemního provozu běží přes internet. Roste význam veřejných cloudů, kde fungují nejen aplikace, ale jsou tam ukládána i firemní data. Podniky využívají řadu služeb SaaS (minimálně Office 365), které jsou postaveny také na cloudu. Podstatně se zvýšil také počet zaměstnanců, kteří z vlastních nebo firemních zařízení pracují z domova. K tomu připočtěte situaci firem tvořených centrálou a pobočkovou sítí s vlastní infrastrukturou. Pokud se takhle rušný provoz pokusíte zabezpečit tím, že jej celý nasměrujete do centrálního firemního firewallu, narazíte minimálně na kapacitní problémy.

SASE jako stavebnice

Technologicky zahrnuje SASE několik klíčových komponent, které na sebe navazují nebo se doplňují:

• SD-WAN neboli softwarově definovaná WAN. Představuje řešení, v němž je management sítě virtualizován a oddělen od fyzických komponent. Virtualizace sítě WAN dokáže velmi jednoduše zvýšit stabilitu a zabezpečení přenosu a výkonnost jednotlivých aplikací bez ohledu na to, zda se aplikace nacházejí v privátním datovém centru nebo využívají infrastrukturu veřejných cloudů. Umožňuje v datovém provozu firmy jednoduše nastavit priority či bezpečnostní politiky.
• Firewall as a service neboli FWaaS. Cloudově poskytovaná služba pro pokročilou ochranu poskytovanou napříč celou organizací včetně vzdálených poboček, zaměřená především na cloudové aplikace.
• SWG neboli Secure Web Gateway. Pomáhá připojit a zabezpečit připojení zaměstnanců k veřejnému internetu, například k webovým stránkám nebo cloudovým webovým aplikacím, které nejsou součástí oficiálního seznamu používaných služeb SaaS společnosti.
• Cloud Access Security Broker neboli CASB. Slouží k zabezpečení propojení s aplikacemi SaaS, jako například Office 365 nebo Salesforce.
• Domain Name System (DNS), tedy inspekce na úrovni DNS dotazů.
• DLP neboli Data Loss Prevention, tedy technologie pro ochranu dat a informací před neoprávněným zneužitím a vynesením.

Soitron přitom svým zákazníkům pomáhá pokrýt bezpečnostní aspekty SASE s produkty společnosti Cisco, která patří celosvětově k několika málo firmám schopným kompletně obsloužit celou šíři SASE.

„Pro většinu firem nemá smysl pokoušet se zavést všechny součásti SASE rychle a najednou. Navíc velmi často již nějakou složku architektury ve své infrastruktuře mají. Půvab SASE spočívá v tom, že jde o skladbu několika prvků, které si může zákazník postupně nastavit a spouštět. Využívá je jako cloudovou službu a nemusí tedy investovat do žádného hardwaru.“

#CiscoExpertTip bezpečnostního experta Cisco Milana Habrcetla

Jak naskočit do SASE

SASE nepředstavuje unifikovanou „krabičku“ identickou pro každou společnost a každou situaci. Naopak. Každá firma je jedinečná, a proto ani neexistuje ten jediný správný způsob, jak nasadit SASE. V řadě případů lze například částečně využít již zavedenou infrastrukturu. Z průzkumů Cisco vyplývá, že celosvětově zhruba 17 % firem nemá v infrastruktuře žádné komponenty potřebné k nasazení SASE. Další zákazníci ale již mohou využít například prvky SD WAN nebo cloudové bezpečnosti. Celou SASE architekturu tak lze kompletovat postupně a do systému přidávat další a další prvky.

„Zanalyzujte, jaké prvky již v infrastruktuře máte, jaký máte hardware, jaké vlastníte licence. Stanovte si střednědobou bezpečnostní strategii, která určí žádoucí stav společnosti z hlediska bezpečnosti za tři a více let a postupně tuto strategii naplňujte. A především se obraťte na správného partnera, protože nasazení SASE, jakožto součásti celkové koncepce Zero Trust, je implementačně náročné,“ doporučuje za Soitron Petr Kocmich.

Zkušenosti ze sedmi evropských trhů

Úskalími implementace SASE do firemní infrastruktury provádí své zákazníky i společnost Soitron, která těží nejen ze znalostí technologií Cisco, ale propisuje do konkrétních implementací i poznatky z trhů, na kterých působí. Soitron pracuje pro zákazníky v sedmi zemích, vedle Česka také například na Slovensku, v Polsku, Rumunsku, Bulharsku, Turecku či Velké Británii. Nejlepší praxi z jednotlivých trhů pak využívá pro vstupní analýzu a návrh konkrétní architektury podpořený špičkovým technologickým portfoliem, šitým na míru individuálním potřebám zákazníka.

Dosavadní zkušenosti potvrzují, že implementace SASE přináší nejvíce benefitů především společnostem s rozsáhlou pobočkovou sítí (typicky bankovním, finančním a pojišťovacím institucím – BFSI), firmám s velkým podílem hybridních zaměstnanců, ale také projektům, které vyrostly na využívání cloudových služeb.

Společnost, která dokáže plně implementovat SASE, získává jistotu, že z jednoho místa uvidí, zabezpečí a připojí všechny své zaměstnance, verifikuje všechny uživatele a všechna zařízení. Takže zaměstnanci mohou pracovat odkudkoli a získávají bezpečný, bezproblémový přístup ke všem zdrojům, které pro práci potřebují. Jednotlivé součásti SASE lze rychle nasadit a celý systém je škálovatelný. Vzhledem ke cloudovému charakteru služeb navíc odpadá většina investic do nového hardwaru.