Доказателства с нулево знание за поверителност в dVPN

Какво всъщност е SASE и защо е толкова важно

Случвало ли ви се е да се опитвате да използвате тромава VPN връзка, докато седите в кафене, само за да установите, че тя се влачи със скоростта на охлюв, докато вие просто искате да отворите една обикновена таблица? Честно казано, това е едно от най-фрустриращите неща в съвременния стил на работа от всякъде, но точно затова напоследък всички говорят за SASE.

В миналото сигурността приличаше на замък с ров – имахте голяма защитна стена (firewall) в офиса и докато бяхте вътре, бяхте „в безопасност“. Но днес нашите данни са навсякъде. Използваме Salesforce от кухнята, достъпваме здравни досиета от таблети или проверяваме наличности в склад през мобилно устройство.

Според ръководството на IBM, SASE (произнася се „саси“) означава Secure Access Service Edge (Сигурен достъп до периферни услуги). Това е начин за обединяване на мрежовите функции и сигурността в един общ пакет, доставян чрез облака. Така не се налага да пренасочвате целия си трафик обратно към прашната сървърна стая в централния офис, само за да си проверите имейла.

• SD-WAN (Мрежова част): Това е „мозъкът“, който определя най-бързия път за вашите данни, независимо дали използвате 5G, домашна Wi-Fi мрежа или офис оптичен интернет.
• SSE (Сигурност): Това е ролята на „охранителя“. Съкращението означава Security Service Edge – концепция, въведена по-късно като специализиран подклас на SASE, който се фокусира конкретно върху защитните механизми.
• Периферията (The Edge): Вместо един централен център, сигурността се осигурява в „точки на присъствие“ (PoPs), разположени близо до вашето реално местоположение.

Доклад на Gartner от 2021 г. дефинира компонента за сигурност именно като SSE. Това е от съществено значение, защото спира т.нар. „hairpinning“ – досадното забавяне, при което данните ви изминават 800 километра до център за данни, само за да се върнат обратно до уебсайт, чийто сървър се намира на 15 километра от вас.

Ако управлявате търговска верига или малка здравна клиника, последното нещо, което искате, е да поддържате десет различни устройства за сигурност. SASE опростява процеса, като пренася правилата в облака. Както отбелязват от Microsoft, това помага за прилагането на едни и същи правила за служителя с лаптоп в парка и за изпълнителния директор в заседателната зала.

Тук не става въпрос само за скорост, а за това да не оставяте „дигиталната задна врата“ отключена. В следващата част ще се потопим в основните компоненти като SD-WAN и ще разгледаме как точно функционира страната на сигурността.

Анализ на компонентите на SASE

Случвало ли ви се е да се чудите защо корпоративната ви мрежа изглежда като огромно, заплетено кълбо прежда, до което никой не иска да се докосне? Честно казано, причината е, че все още се опитваме да решаваме проблеми от 2025 г. с инструменти от 2010 г. SASE (Secure Access Service Edge) е на практика ножицата, която най-накрая ни позволява да разрежем тази бъркотия.

Мислете за SD-WAN (софтуерно дефинирана широкообхватна мрежа) като за интелигентен GPS за вашите данни. В миналото използвахме MPLS линии – които бяха скъпи, частни платени пътища, водещи само до вашия офис. Ако бяхте у дома, трябваше да „пътувате“ чак до офиса, само за да стъпите на „безопасния“ път към интернет. Беше бавно и, откровено казано, доста неизгодно.

Според публикация в блога на CodiLime, SD-WAN отделя мрежовия хардуер от контролните функции. Това означава, че вече не сте ограничени от тромавия рутер в килера; софтуерът решава дали вашата Zoom връзка трябва да мине през офисната оптика, през 5G мрежа или през домашния ви интернет, базирайки се на това кой канал се представя по-добре в момента.

• Край на хардуерната зависимост: Не са ви нужни милиони скъпи устройства във всеки филиал. „Мозъкът“ е в софтуера.
• Маршрутизация според състоянието на мрежата: Ако основната интернет линия започне да прекъсва (джитер, лаг и други познати проблеми), SD-WAN автоматично прехвърля трафика към резервна връзка, без дори да забележите.
• Драстично намаляване на разходите: Можете да спрете да плащате за онези прескъпи MPLS линии и просто да използвате стандартен интернет, което ще направи финансовия отдел много по-щастлив.

И така, ако SD-WAN е GPS-ът, то SSE (Security Service Edge) е бронираният автомобил. Това е сигурността – другата страна на монетата SASE. Както споменахме по-рано, Gartner въведе този термин, защото някои компании вече са оптимизирали мрежите си и се нуждаят само от компонента за сигурност.

SSE е изключително важен, защото обединява инструменти като SWG (защитен уеб шлюз – филтрира трафика за блокиране на зловредни сайтове), CASB (брокер за сигурност на облачния достъп – контролно-пропускателен пункт между потребителите и облачните приложения) и FWaaS (защитна стена като услуга – облачна защитна стена, която се мащабира според вашия трафик) в една единствена платформа. Доклад на Zscaler от 2024 г. отбелязва, че SSE е подмножество на SASE, което се фокусира изцяло върху тези услуги за сигурност (Zscaler 2024 AI Security Report). То е идеално за компании, които вече са ориентирани към облачните технологии („cloud-first“) и не искат да се занимават с управление на големи физически мрежи по клоновете си.

SSE помага на организациите да се освободят от т.нар. „hairpinning“ – онзи досаден процес, при който трафикът ви отива до център за данни на 500 км разстояние само за проверка, преди да бъде препратен към желания уебсайт.

Може би си мислите: „Не мога ли просто да купя само частта за сигурност?“ Да, можете. Но SASE е концепцията, при която елементите работят „по-добре заедно“. Когато комбинирате мрежовата свързаност (SD-WAN) със сигурността (SSE), получавате управление от една-единствена точка.

Една търговска верига може да използва SASE за свързване на 500 магазина. Вместо да поддържат защитна стена и рутер във всеки обект, те имат една обща SASE политика. Ако касиер в Сиатъл се опита да влезе в подозрителен сайт, SWG го блокира моментално, докато в същото време SD-WAN гарантира, че трансакциите с кредитни карти преминават по най-бързия възможен път.

В здравеопазването това е още по-критично. Лекар, провеждащ телемедицинска консултация от дома си, се нуждае от ниска латентност (благодарение на SD-WAN), но също така трябва да спазва строгите изисквания за защита на личните данни (благодарение на SSE). Ако разполагате само с едната част от пъзела, ще имате или накъсано видео, или пробив в сигурността.

Виждал съм това в реални сценарии:

1. Финанси: Национален кредитен съюз използва SASE, за да консолидира инструментите си за сигурност, намалявайки броя на различните табла за управление, които ИТ екипът трябва да следи.
2. Производство: Компания със заводи по целия свят внедри решението, за да защити своите IoT сензори, без да се налага да изпраща инженери до всеки обект за конфигурация на хардуера.
3. Образование: Университети го използват, за да предоставят на студентите достъп до библиотечни ресурси от всяка точка, като същевременно предпазват основната мрежа на кампуса от малуер, който потребителите неизбежно изтеглят на личните си лаптопи.

Не става въпрос просто за модерна терминология – целта е човекът, седящ на кухненската маса, да има същата защита като служителите в централния офис. Следващата ни тема: защо „доверие“ е забранена дума в контекста на SASE.

Как SASE помага при засичането на заплахи

Случвало ли ви се е да се запитате защо „сигурната“ мрежа на вашата компания изглежда така, сякаш се крепи на „честна дума“ и малко изолирбанд? Обикновено причината е, че все още се опитваме да се доверяваме на хората въз основа на това къде се намират физически – което, честно казано, е ужасен подход към сигурността през 2025 г.

В сърцето на начина, по който SASE (Secure Access Service Edge) всъщност улавя злонамерените участници, стои концепцията за Zero Trust (Нулево доверие). В миналото, ако бяхте в офиса, мрежата просто приемаше, че сте от „добрите“. Zero Trust обръща това правило: приема се, че всеки е потенциална заплаха, докато не докаже противното.

Както се споменава в ръководството на Microsoft, това не е просто еднократен вход в системата. Става въпрос за достъп, управляван от идентичността (identity-driven access). Системата постоянно проверява: Това наистина ли е изпълнителният директор? Защо влиза от таблет в друга държава в 3 часа сутринта?

• Контекстът е водещ: SASE платформата анализира състоянието на вашето устройство, местоположението ви и ресурса, до който се опитвате да достигнете, преди да ви позволи достъп.
• Микросегментация: Вместо да получите ключовете за целия замък, вие получавате достъп само до конкретното приложение, което ви е необходимо. Ако хакер открадне паролата ви, той остава блокиран в една стая, вместо да се движи свободно из цялата сграда.
• Проверка на състоянието на устройството (Device Health Check): Инструменти за защита на крайни точки проверяват дали защитната стена на лаптопа ви е включена и дали софтуерът е актуализиран, преди API интерфейсът изобщо да ви позволи да се свържете.

Едно от най-впечатляващите неща в начина, по който SASE засича заплахи, е, че прави вашите приложения „невидими“ (dark). При стандартна конфигурация, вашият VPN шлюз е просто изложен в интернет, практически махайки с флаг на хакерите.

Според доклад на Trend Micro от 2024 г., ZTNA (Zero Trust Network Access) заменя тромавите VPN мрежи и скрива приложенията ви от публичното уеб пространство. Ако хакер сканира интернет за софтуера за заплати на вашата компания, той няма да го открие. Той на практика не съществува за него, защото SASE „охранителят“ показва вратата само на тези, които вече са преминали верификация.

Тъй като целият ви трафик преминава през SASE облака, системата може да използва изкуствен интелект (AI), за да засече странни модели на поведение, които човек лесно би пропуснал. Това е като да имате охранител, който е запомнил точно как ходи и говори всеки един служител.

Анализ от 2024 г. на Zscaler (споменат по-рано) обяснява, че тъй като SSE (Security Service Edge) е специално създаден за облака, той може да извършва дълбока инспекция на криптирания трафик, без това да забавя интернет връзката ви до нивата на старите модеми.

Повечето съвременни зловредни софтуери са скрити в криптиран трафик. Старомодните защитни стени се затрудняват да „виждат“ вътре в тези пакети, защото това изисква твърде много изчислителна мощ. Но тъй като SASE работи на ниво Edge (периферия), той може да декриптира тези пакети, да ги провери за вируси чрез машинно обучение и да ги криптира обратно за милисекунди.

Виждал съм как това спасява различни видове бизнес:

1. Здравеопазване: Лекар използва личен iPad, за да провери досиета на пациенти. SASE системата засича, че устройството не е криптирано и блокира достъпа до данните, но все пак позволява на лекаря да провери служебната си поща.
2. Търговия на дребно: Управител на магазин в мол се опитва да изтегли подозрителен прикачен файл. SWG (Secure Web Gateway) улавя сигнатурата на зловредния софтуер в облака, преди той изобщо да докосне локалната мрежа на магазина.
3. Финанси: Национален кредитен съюз използва SASE, за да гарантира, че дори ако физическият интернет на даден клон бъде компрометиран, данните остават криптирани, а връзките тип „отвътре-навън“ не позволяват на нападателите да се движат странично (laterally) в мрежата.

Всичко се свежда до свиване на повърхността за атака (attack surface). Ако лошите момчета не виждат приложенията ви, а изкуственият интелект следи за всяко странно движение, вие сте в много по-безопасна позиция.

Следващата ни тема е как тази цялостна архитектура всъщност улеснява живота ви – и прави управлението на мрежата по-евтино.

Реални ползи за вашия бизнес

Честно казано, никой не се събужда с ентусиазъм да управлява мрежова защитна стена. Обикновено това е неблагодарна работа, при която чувате колегите си само когато интернетът е бавен или VPN връзката прекъсва. Но SASE (Secure Access Service Edge) променя това, като прави целия този хаос много по-лесен за управление, спестявайки същевременно сериозни средства.

Едно от най-големите главоболия в ИТ сектора е „умората от конзоли“. Имате един екран за рутерите, друг за защитната стена и вероятно трети за облачната сигурност. Изтощително е. Според Zscaler, SSE (компонентът за сигурност в SASE архитектурата) позволява консолидирането на всички тези отделни продукти в една платформа. Това естествено намалява оперативните разходи и освобождава финансовия отдел от необходимостта постоянно да следи разходите ви под лупа.

• Край на „кутийния“ манталитет: Вече не е необходимо да купувате скъп хардуер всеки път, когато отваряте нов офис. Тъй като сигурността е базирана в облака, просто свързвате стандартна интернет линия и сте готови.
• Намаляване на MPLS разходите: Както споменахме по-рано, можете да спрете да плащате за онези прескъпи частни линии. SASE използва обикновения интернет, но го кара да функционира като частна мрежа – истинска революция за бюджета.
• Мащабиране без излишна драма: Ако утре наемете 50 нови служители, не е нужно да поръчвате 50 нови хардуерни токена или по-голям VPN концентратор. Просто актуализирате облачния си лиценз и продължавате напред.

Всички сме минавали през това – опитвате се да се включите в Zoom среща, докато VPN мрежата пренасочва трафика ви през център за данни на другия край на страната (т.нар. „hairpinning“). Резултатът е огромно закъснение (lagg), което ви кара да искате да изхвърлите лаптопа си през прозореца. Тъй като SASE използва „точки на присъствие“ (PoPs), проверката на сигурността се случва близо до потребителя.

Анализ на Zscaler от 2024 г. обяснява, че тази разпределена архитектура означава, че служителите ви в кафенето получават същата скорост, каквато имат и хората в централния офис.

Виждал съм това да работи успешно в различни сектори:

1. Търговия на дребно: Управител на магазин проверява наличностите на таблет. Вместо да чака бавна връзка през отдалечен офис, SASE го насочва директно и сигурно към облачното приложение.
2. Финанси: Кредитен инспектор, работещ от вкъщи, има достъп до чувствителни бази данни без досадното „въртящо се колело“ на VPN-а при всяко натискане на бутона „Запази“.
3. Производство: Отдалечени заводи свързват своите IoT сензори към облака, без да е необходим ИТ специалист на място, който да поправя физическата защитна стена при всеки технически гаф.

В основата си идеята е сигурността да стане „невидима“. Когато тя работи правилно, служителите ви дори не подозират за нея – те просто виждат, че приложенията им работят бързо. В следващата част ще обобщим как реално да започнете прехода към това технологично бъдеще, без да нарушавате работата на вече изградените системи.

Внедряване на SASE без излишно главоболие

И така, решили сте да преминете към SASE архитектура, но се притеснявате да не сринете всичко, което сте изградили до момента? Честно казано, повечето хора изпитват същия страх – никой не иска да бъде човекът, който случайно е изключил фирмената мрежа във вторник сутрин.

Внедряването на SASE не е задължително да бъде кошмар тип „изхвърли и замени“. Всъщност можете да го направите поетапно, което е много по-щадящо за вашите нерви и за бюджета.

Най-разумният начин да започнете е като решите най-големия си проблем – обикновено това е тромавият стар VPN. Както споменахме по-рано, замяната на VPN с ZTNA (Достъп до мрежата с нулево доверие) е перфектната първа стъпка. Тя осигурява на отдалечените служители по-висока скорост и значително по-добра сигурност, без да се налага да променяте хардуера в офиса.

• Идентифицирайте своите „ценности“: Започнете, като поставите най-чувствителните си приложения под защитата на SASE филтъра.
• Изберете „пилотна“ група: Нека няколко технически грамотни колеги от маркетинга или продажбите тестват новия достъп, преди да го въведете за цялата компания.
• Почистете политиките си: Използвайте тази промяна като повод да изтриете онези стари потребителски акаунти, които стоят неизползвани от три години.

Доклад на Zscaler от 2024 г. отбелязва, че мониторингът на дигиталното преживяване (DEM) се интегрира директно в SASE платформите, което е огромно предимство. Тъй като SASE се намира точно между потребителя и приложението, тя има директен поглед върху данните за производителността. Това означава, че можете да видите точно защо връзката на даден потребител е бавна – дали заради лошия му домашен Wi-Fi или заради реален мрежов проблем – още преди той да се е обадил на поддръжката.

Не е задължително да купувате всичко от един доставчик. Някои компании предпочитат подхода „единствен доставчик“ заради по-лесната поддръжка, докато други избират „двоен модел“, при който запазват текущата си мрежова инфраструктура, но добавят нов слой за облачна сигурност.

Ръководството на Microsoft, което споменахме по-рано, съветва внедряването на SASE да бъде свързано с настоящите ви доставчици на идентичност. Ако вече използвате единен вход (SSO), уверете се, че вашият SASE инструмент се интегрира идеално с него, за да не се налага на служителите ви да помнят още една парола.

Виждал съм този поетапен подход да работи успешно в различни сектори:

1. Образование: Университетска мрежа започна със защитата на своите изследователски бази данни чрез ZTNA, след което постепенно премести сигурността на кампусния Wi-Fi в облака.
2. Производство: Глобална фирма запази хардуера в заводите си, но прехвърли целия достъп за външни изпълнители към SASE платформа, за да остане основната мрежа „невидима“ за външни лица.
3. Търговия на дребно: Търговска верига първо добави облачни защитни стени (FWaaS) в новите си обекти, докато старите работеха с традиционни технологии до изтичането на договорите за поддръжка на хардуера им.

В крайна сметка, преходът към SASE е пътешествие, а не проект за един уикенд. Започнете с малко, докажете, че работи, и след това надграждайте. Вашата мрежа – и графикът ви за сън – определено ще ви бъдат благодарни по-късно.