Модель SASE: как противостоять новым вызовам в кибербезопасности

Славное было время в информационной безопасности 15-20 лет назад — пользователи приходили в офис, работали за стационарными компьютерами, бизнес-приложения располагались на железных корпоративных серверах, интернет был слабо развит, т.е. существовал вполне себе осязаемый «периметр», отделяющий «своих» от «чужих». И который надо было защитить, используя достаточно простой по современным меркам межсетевой экран. 

Но прогресс неумолим, и сейчас «периметр», который надо защищать видоизменился. И тут очень важно отметить такой момент: «периметр» изменил форму при неизменившихся требованиях к обеспечению безопасности, а на практике же произошло его «размытие», некоторые его области оказались проницаемы для злоумышленников. Теперь вполне реальны сценарии, при которых пользователи, находясь дома, подключаются к корпоративным WEB-приложениям, которые хостятся у облачного провайдера со своего личного ноутбука, который подключен к Wi-Fi, к которому также подключен еще и умный холодильник. Задача ИБ-департамента сделать такое подключение защищенным. Если привести аналогию, ранее защита «периметра» была сравнима по сложности с расчетом площади прямоугольника (a*b), сейчас — с расчетом площади сложной криволинейной фигуры (привет, интегралы и системы дифференциальных уравнений). 

Логичным ответом на современные вызовы безопасности стало появление модели SASE (Secure Access Service Edge, «пограничный сервис безопасного доступа») — это компонент архитектуры с нулевым доверием, который защищает сетевые элементы внутри и вне традиционного периметра сети. Об этом и пойдет речь в данной статье. 

Проблема с корпоративными VPN

Существует довольно популярное утверждение: «Зачем что-то выдумывать? Для сотрудников, которые работают удаленно и региональных офисов, существуют частные виртуальные сети (VPN)». Да, такой способ для организации доступа сотрудников распределенной компании к единым корпоративным ресурсам существует, но есть нюансы. 

Можно выделить две основные проблемы с VPN: 

• Бинарное доверие. Если VPN-соединение установлено, то сессия, пользователь и устройство считаются доверенными, они имеют доступ ко всей сети. Если устройство скомпрометировано — это ставит под угрозу всю сеть. 
• VPN не создавался для доступа к облачным сервисам. VPN способны обеспечить безопасный доступ к физическим корпоративным ресурсам (сервера, рабочие станции), но он не оптимизирован для доступа к облачным сервисам. По этой причине многие пользователи при обращении к облачным сервисам не используют VPN, что является большой проблемой безопасности.

Удаленные сотрудники

Многие компании в России и мире после пандемии COVID-19 существуют в новой парадигме: сотрудники могут и хотят работать вне офиса. Так, например, аналитики рекрутинговой онлайн-платформы Superjob пришли к выводу, что до 35% респондентов в ИТ предполагает удаленный формат работы. Доля сотрудников с гибридным форматом работы еще выше, но хотелось бы акцентировать внимание не только и не столько на удаленщиках, сколько на обычных офисных сотрудниках, которые используют корпоративные ресурсы вне офиса (кто-то работает по вечерам, кто-то летает в командировки и посещает внешние встречи).

Важно помнить о существовании таких сотрудников по трем причинам: 

1. Их много. Достаточно сложно найти работников, которые используют корпоративные ресурсы исключительно в офисе. 
2. Такие сотрудники обычно оказываются вне фокуса отделов информационной безопасности, в отличии от «стандартных» удаленщиков. 
3. Доля таких сотрудников увеличивается с увеличением роли сотрудника в компании и, как правило, чем выше роль сотрудника, тем с более чувствительными данными он работает и тем большими привилегиями он обладает. 

Таким образом, процент сотрудников, которые используют корпоративные ресурсы, физически находясь вне офиса, существенный. И он больше процента сотрудников с удаленным или гибридным форматом работы. С точки зрения информационной безопасности удаленные сотрудники представляют большую угрозу. Так, например, точки доступа, через которые такие сотрудники выходят в интернет и подключаются к корпоративным WEB-приложениям, имеют слабую защиту и должны рассматриваться как скомпрометированные «по умолчанию».

Точки продаж и филиалы

Обеспечение защищенности и доступности для компаний, имеющих большое количество распределенных точек продаж и филиалов, также является ощутимой проблемой для специалистов, которые обеспечивают информационную безопасность. 

Рассмотрим чуть подробнее требования и угрозы безопасности для подобных структур на примере классического представителя — АЗС, которая располагается в селе в Рязанская области: 300 километров от Москвы, 120 километров от Рязани. 

Особенности данного объекта: 

1. Оно очевидно географически далеко расположено от ИТ и ИБ-служб организации и, вероятно, не имеет собственного квалифицированного персонала для обеспечения работоспособности и защиты сети. Более того, техническому специалисту, которому надо будет выехать на площадку для устранения проблемы, потребуется только на дорогу от двух до пяти часов. 
2. АЗС необходимо иметь постоянный защищенный доступ в корпоративные ресурсы (для корректной работы кассового оборудования, программ лояльности и так далее). 

Таких объектов десятки тысяч, и они разнесены не только географически, но и функционируют в 11-часовых поясах. Каждый час простоя, а равно как и каждый час, который инженер тратит на дорогу до АЗС или на объяснение оператору что ему надо и откуда скачать и что нажать, в рамках всей компании превращаются в весьма ощутимые суммы расходов. 

Структур у бизнеса, подобных АЗС, огромное количество: аптеки, розничные магазины, распределительные центры, центры продаж и обслуживания населения, пункты выдачи и приема отправлений, банки и многое другое. 

Пограничный сервис безопасного доступа

Для того, чтобы существенно облегчить и упростить вопросы, связанные как с управлением и администрированием, так и с обеспечением защиты для описанных выше сценариев (и это далеко не полный список возможных вариантов применения), в 2019 году аналитиками Gartner Нилом Макдональдом и Джо Скорупой была предложена концепция SASE (SecureAccessServiceEdge) пограничный сервис безопасного доступа. 

Позднее, в 2022 году, организация MEF (Metro Ethernet Forum) выпустила документ SASE Service Attributes and Service Framework (MEF 117) который является технической спецификацией SASE для общественного использования.  

SASE, как правило, содержит следующие ключевые элементы: 

• SD-WAN: программно-определяемая распределенная сеть. Основная идея — отделить сетевые функции от физического оборудования, что позволяет централизованно управлять, задавать политики, устанавливать приоритеты, маршрутизировать сетевой трафик для обеспечения отказоустойчивости, непрерывности бизнес-процессов и снижения расходов на сеть;
• SWG: средства защиты на уровне веб-шлюзов (Secure Web Gateway) обеспечивают безопасную работу в Интернете для защиты пользователей, устройств и приложений как от внутренних, так и от внешних угроз. SWG обеспечивает сквозную безопасную работу в Интернете с помощью единой фильтрации URL-адресов, предотвращения потери данных (DLP) и расширенной защиты от вредоносных программ. В архитектуре SASE SWG реализуется для каждого устройства, подключенного к сети. SWG использует информацию системы доменных имен (DNS) и другие технологии для выявления источников нежелательного трафика;
• CASB: брокер безопасного доступа в облако (Cloud Access Security Broker), который находится между пользователями и их облачными службами и обеспечивает соблюдение политик безопасности при доступе к облачным ресурсам;
• FWaaS: облачный брандмауэр (Firewall-as-a-Service) — предоставляет организации возможности NGFW, но в формате облачного сервиса предоставляет такие возможности NGFW, как веб-фильтрация, расширенная защита от угроз (ATP), IPS и Secure DNS;
• ZTNA: решение для сетевого доступа с нулевым доверием (Zero Trust Network Access) используется для идентификации пользователей и устройств и их аутентификации в приложениях. ZTNA — включает в себя несколько технологий, работающих вместе. Многофакторная аутентификация (MFA) идентифицирует всех пользователей, безопасный контроль доступа к сети (NAC), соблюдение политики доступа и интеграцию с динамической сегментацией сети для ограничения доступа к сетевым ресурсам. Что касается облака, ZTNA поддерживает такие вещи, как микросегментация с проверкой трафика для безопасной связи между пользователями, а также постоянную безопасность для устройств как внутри сети, так и за ее пределами.

Ряд провайдеров и вендоров предлагают сервис без SD-WAN и в таком случае данный сервис называется SSE (Secure Service Edge, «пограничный сервис безопасности»).

Рассмотрим преимущества, которые способна обеспечить реализация концепции SASE для ИТ и ИБ-служб: 

1. Упрощение сети. Встроенные функции безопасности и управления приложениями для удаленных сотрудников и филиалов устраняют необходимость в нескольких точечных продуктах, таких как VPN, инструменты управления конечными точками и межсетевые экраны. Помимо экономии капитальных затрат (оборудование и лицензии), этот подход экономит время и эксплуатационные расходы, связанные с внедрением и сопровождением нескольких отдельных продуктов.
2. Повышение безопасности. Как я писал выше — «периметр» организации, который требуется защищать, существенно изменился с изменившимися сценариями доступа пользователей к корпоративным ресурсам (удаленная работа, BYOD), развитием технологий, изменением бизнес-процессов и корпоративных ресурсов. Все это привело к повышению рисков информационной безопасности и усложнению подходов к защите. Внедрение SASE обеспечивает ИТ-отдел средствами защиты, необходимыми для защиты ресурсов организации, обеспечивая при этом сотрудникам возможность работать там, где и так, как им нужно.
3. Доступность корпоративных ресурсов и средств защиты для удаленных пользователей и филиалов. Основным преимуществом SASE является возможность быстрого подключения удаленных пользователей и филиалов к облачным приложениям, не беспокоясь о ненадежности, уязвимостях безопасности и проблемах с производительностью, связанных с локальным подключением к сети Интернет. 
4. Производительность и балансировка трафика. При наличии сотен, если не тысяч локальных и облачных приложений, производительность в классических сетях может снижаться. Но SASE позволяет добавить балансировку нагрузки и автоматическую маршрутизацию трафика для обеспечения качества обслуживания (QoS) для пользователей в гибридных облачных средах.
5. Унификация средств защиты. С развитием облачных вычислений и SaaS приложений, ИБ командам приходится использовать большое количество точечных средств защиты. SASE позволяет обеспечить унифицированный подход к организации защищенного доступа к гибридным и WEB-приложениям.

В заключение хотелось бы отметить, что Gartner оценивает темпы глобального годового роста рынка SASE в 29% и прогнозирует, что он составит более 27 миллиардов долларов к 2027 году. Оценка российского рынка SASE существенно сложнее: в данный момент нет коммерческих релизов вендорского SASE, поэтому приведу оценку рынка SD-WAN (как основы для SASE). Аналитики ИКС Консалтинг прогнозируют в 23-24 годах объем российского рынка SD-WAN в 22 миллиарда рублей. 

Я буду более осторожен в прогнозе — на мой взгляд, на указанные выше объемы рынок выйдет не ранее 25-26 года и, с большой долей вероятности, будет поделен между двумя экосистемными ИБ-вендорами, что может быть справедливым и для будущего рынка SASE.