Αποδείξεις Μηδενικής Γνώσης για Ιδιωτικότητα σε dVPN

Τι ακριβώς είναι το SASE και γιατί μας αφορά

Έχετε προσπαθήσει ποτέ να χρησιμοποιήσετε ένα δυσκίνητο VPN ενώ κάθεστε σε μια καφετέρια, μόνο και μόνο για να δείτε την ταχύτητα να πέφτει σε επίπεδα χελώνας ενώ προσπαθείτε απλώς να ανοίξετε ένα βασικό υπολογιστικό φύλλο; Είναι ειλικρινά μια από τις πιο εκνευριστικές εμπειρίες της σύγχρονης ζωής του «εργάσου από παντού», αλλά αυτός ακριβώς είναι ο λόγος που όλοι συζητούν για το SASE τελευταία.

Παλαιότερα, η ασφάλεια έμοιαζε με κάστρο με τάφρο — είχατε ένα μεγάλο τείχος προστασίας (firewall) στο γραφείο και όσο βρισκόσασταν μέσα, ήσασταν «ασφαλείς». Αλλά τώρα, τα δεδομένα μας βρίσκονται παντού. Χρησιμοποιούμε το Salesforce από την κουζίνα μας, έχουμε πρόσβαση σε ιατρικά αρχεία από tablet ή ελέγχουμε το απόθεμα λιανικής από το δάπεδο μιας αποθήκης.

Σύμφωνα με έναν οδηγό της IBM, το SASE (προφέρεται «σάσι») σημαίνει Secure Access Service Edge (Υπηρεσία Ασφαλούς Πρόσβασης στο Άκρο). Ουσιαστικά, είναι ένας τρόπος να συνδυαστεί η δικτύωση και η ασφάλεια σε ένα ενιαίο πακέτο που παρέχεται μέσω cloud, ώστε να μην χρειάζεται να στέλνετε όλη την κίνησή σας πίσω σε ένα σκονισμένο δωμάτιο διακομιστών στα κεντρικά γραφεία μόνο και μόνο για να ελέγξετε τα email σας.

• SD-WAN (Δικτύωση): Αυτός είναι ο «εγκέφαλος» που βρίσκει την ταχύτερη διαδρομή για τα δεδομένα σας, είτε χρησιμοποιείτε 5G, το Wi-Fi του σπιτιού σας ή την οπτική ίνα του γραφείου.
• SSE (Ασφάλεια): Αυτό είναι το μέρος του «πορτιέρη». Σημαίνει Security Service Edge και εισήχθη αργότερα ως ένα εξειδικευμένο υποσύνολο ασφαλείας του ευρύτερου πλαισίου SASE για να διαχειριστεί την πλευρά της προστασίας.
• Το Άκρο (The Edge): Αντί για έναν κεντρικό κόμβο, η ασφάλεια εφαρμόζεται σε «σημεία παρουσίας» (PoPs) που βρίσκονται κοντά στην πραγματική σας τοποθεσία.

Μια έκθεση του 2021 από την Gartner όρισε το σκέλος της ασφάλειας ως SSE. Αυτό είναι σημαντικό γιατί σταματά το "hairpinning" — αυτή την ενοχλητική καθυστέρηση (lag) όπου τα δεδομένα σας ταξιδεύουν 800 χιλιόμετρα μέχρι ένα κέντρο δεδομένων, μόνο και μόνο για να επιστρέψουν σε έναν ιστότοπο που φιλοξενείται μόλις 15 χιλιόμετρα μακριά σας.

Είτε διοικείτε μια αλυσίδα λιανικής είτε μια μικρή ιατρική κλινική, δεν θέλετε να διαχειρίζεστε δέκα διαφορετικά εργαλεία ασφαλείας. Το SASE απλοποιεί τα πράγματα μεταφέροντας τους κανόνες στο cloud. Όπως επισημαίνει η Microsoft, αυτό βοηθά στην επιβολή των ίδιων κανόνων τόσο για έναν υπάλληλο με το laptop του σε ένα πάρκο, όσο και για τον διευθύνοντα σύμβουλο στην αίθουσα συνεδριάσεων.

Δεν πρόκειται μόνο για την ταχύτητα, αλλά για το να μην αφήνουμε την ψηφιακή πίσω πόρτα ξεκλείδωτη. Στη συνέχεια, θα εμβαθύνουμε στα βασικά συστατικά, όπως το SD-WAN, και στον τρόπο με τον οποίο λειτουργεί στην πράξη η πλευρά της ασφάλειας.

Ανάλυση των συστατικών μερών του SASE

Έχετε αναρωτηθεί ποτέ γιατί το εταιρικό σας δίκτυο μοιάζει με ένα γιγάντιο, μπερδεμένο κουβάρι από νήματα που κανείς δεν θέλει να αγγίξει; Ειλικρινά, αυτό συμβαίνει επειδή προσπαθούμε ακόμα να χρησιμοποιήσουμε εργαλεία του 2010 για να λύσουμε προβλήματα του 2025. Το SASE είναι ουσιαστικά το ψαλίδι που μας επιτρέπει επιτέλους να κόψουμε αυτόν τον γόρδιο δεσμό.

Σκεφτείτε το SD-WAN (Δίκτυο Ευρείας Περιοχής Καθοριζόμενο από Λογισμικό) ως το έξυπνο GPS για τα δεδομένα σας. Παλαιότερα, χρησιμοποιούσαμε γραμμές MPLS — οι οποίες ήταν ουσιαστικά ακριβοί, ιδιωτικοί δρόμοι με διόδια που οδηγούσαν μόνο στο γραφείο σας. Αν ήσασταν στο σπίτι, έπρεπε να οδηγήσετε μέχρι το γραφείο μόνο και μόνο για να μπείτε στον «ασφαλή» δρόμο προς το διαδίκτυο. Ήταν αργό και, ειλικρινά, μια καθαρή σπατάλη χρημάτων.

Σύμφωνα με μια δημοσίευση στο ιστολόγιο της CodiLime, το SD-WAN αποσυνδέει το υλικό του δικτύου από τις λειτουργίες ελέγχου. Αυτό σημαίνει ότι δεν είστε δέσμιοι οποιουδήποτε δυσκίνητου δρομολογητή βρίσκεται στην αποθήκη· το λογισμικό αποφασίζει αν η κλήση σας στο Zoom πρέπει να περάσει από την οπτική ίνα του γραφείου, μια σύνδεση 5G ή την οικιακή σας ευρυζωνική σύνδεση, με βάση το ποια αποδίδει καλύτερα εκείνη τη στιγμή.

• Κατάργηση του υλικού: Δεν χρειάζεστε ένα εκατομμύριο ακριβά κουτιά σε κάθε υποκατάστημα. Ο «εγκέφαλος» βρίσκεται στο λογισμικό.
• Δρομολόγηση βάσει ποιότητας: Εάν η κύρια γραμμή διαδικτύου σας αρχίσει να παρουσιάζει προβλήματα (διακυμάνσεις καθυστέρησης, lag και τα λοιπά γνωστά), το SD-WAN μεταφέρει αυτόματα την κίνηση σε μια εφεδρική σύνδεση χωρίς καν να το αντιληφθείτε.
• Δραστική μείωση κόστους: Μπορείτε να σταματήσετε να πληρώνετε για εκείνες τις πανάκριβες γραμμές MPLS και να χρησιμοποιήσετε απλό διαδίκτυο, κάτι που κάνει το οικονομικό τμήμα πολύ πιο χαρούμενο.

Τώρα, αν το SD-WAN είναι το GPS, το SSE (Security Service Edge) είναι το θωρακισμένο όχημα. Είναι το μισό κομμάτι της ασφάλειας στο νόμισμα του SASE. Όπως αναφέραμε νωρίτερα, η Gartner επινόησε αυτόν τον όρο επειδή ορισμένες εταιρείες έχουν ήδη λύσει το θέμα της δικτύωσης και θέλουν μόνο το κομμάτι της ασφάλειας.

Το SSE είναι εξαιρετικά σημαντικό γιατί ομαδοποιεί εργαλεία όπως το SWG (Ασφαλής Διαδικτυακή Πύλη — ένα εργαλείο που φιλτράρει την κίνηση στον ιστό για να αποκλείει κακόβουλους ιστότοπους), το CASB (Μεσολαβητής Ασφάλειας Πρόσβασης στο Cloud — ένα σημείο ελέγχου ασφαλείας μεταξύ χρηστών και εφαρμογών cloud) και το FWaaS (Τείχος Προστασίας ως Υπηρεσία — ένα τείχος προστασίας βασισμένο στο cloud που κλιμακώνεται ανάλογα με την κίνησή σας) σε μία ενιαία πλατφόρμα. Μια έκθεση του 2024 από τη Zscaler σημειώνει ότι το SSE αποτελεί υποσύνολο του SASE που εστιάζει αποκλειστικά σε αυτές τις υπηρεσίες ασφαλείας. (Zscaler 2024 AI Security Report). Είναι ιδανικό για μια εταιρεία που λειτουργεί ήδη με τη λογική "cloud-first" και δεν ενδιαφέρεται για τη διαχείριση μεγάλων φυσικών δικτύων σε υποκαταστήματα.

Το SSE βοηθά τους οργανισμούς να απαλλαγούν από το "hairpinning" — αυτό το ενοχλητικό φαινόμενο όπου η κίνηση των δεδομένων σας μεταφέρεται σε ένα κέντρο δεδομένων 500 χιλιόμετρα μακριά μόνο και μόνο για να ελεγχθεί, πριν καταλήξει τελικά σε έναν ιστότοπο.

Ίσως σκέφτεστε: «δεν μπορώ απλώς να αγοράσω το κομμάτι της ασφάλειας;». Φυσικά και μπορείτε. Αλλά το SASE είναι η έκδοση όπου «η ισχύς εν τη ενώσει». Όταν συνδυάζετε τη δικτύωση (SD-WAN) με την ασφάλεια (SSE), αποκτάτε ένα ενιαίο περιβάλλον διαχείρισης.

Μια αλυσίδα λιανικής, για παράδειγμα, θα μπορούσε να χρησιμοποιήσει το SASE για να συνδέσει 500 καταστήματα. Αντί για ένα τείχος προστασίας και έναν δρομολογητή σε κάθε κατάστημα, έχουν απλώς μία κεντρική πολιτική SASE. Αν ένας ταμίας στο Σιάτλ προσπαθήσει να εισέλθει σε έναν ύποπτο ιστότοπο, το SWG τον αποκλείει αμέσως, ενώ το SD-WAN διασφαλίζει ότι οι συναλλαγές με πιστωτικές κάρτες παραμένουν στην ταχύτερη δυνατή διαδρομή.

Στον τομέα της υγείας, αυτό είναι ακόμα πιο κρίσιμο. Ένας γιατρός που πραγματοποιεί μια κλήση τηλεϊατρικής από το σπίτι χρειάζεται χαμηλή καθυστέρηση (χάρη στο SD-WAN) αλλά πρέπει επίσης να συμμορφώνεται με τα πρότυπα HIPAA (χάρη στο SSE). Αν έχετε μόνο το ένα μισό του παζλ, θα έχετε είτε αργό βίντεο είτε κενά στην ασφάλεια.

Έχω δει αυτό το μοντέλο να εφαρμόζεται με διάφορους τρόπους:

1. Χρηματοοικονομικά: Μια εθνική πιστωτική ένωση χρησιμοποίησε το SASE για να ενοποιήσει τα εργαλεία ασφαλείας της, μειώνοντας τον αριθμό των διαφορετικών ταμπλό ελέγχου που έπρεπε να παρακολουθεί η ομάδα IT.
2. Μεταποίηση: Μια εταιρεία με εργοστάσια σε όλο τον κόσμο το χρησιμοποίησε για να διατηρήσει τους αισθητήρες IoT ασφαλείς, χωρίς να χρειάζεται να στέλνει μηχανικούς σε κάθε τοποθεσία για τη ρύθμιση του υλικού.
3. Εκπαίδευση: Τα πανεπιστήμια το χρησιμοποιούν για να δίνουν στους φοιτητές πρόσβαση στις πηγές της βιβλιοθήκης από οπουδήποτε, διατηρώντας παράλληλα το κεντρικό δίκτυο της πανεπιστημιούπολης ασφαλές από το κακόβουλο λογισμικό που αναπόφευκτα κατεβάζουν οι χρήστες στους προσωπικούς τους υπολογιστές.

Δεν πρόκειται απλώς για μια τάση της μόδας — πρόκειται για τη διασφάλιση ότι ο εργαζόμενος στο τραπέζι της κουζίνας του έχει την ίδια προστασία με τους συναδέλφους του στα κεντρικά γραφεία. Στη συνέχεια, θα εξετάσουμε γιατί η «εμπιστοσύνη» είναι μια απαγορευμένη λέξη στον κόσμο του SASE.

Πώς το SASE συμβάλλει στον εντοπισμό απειλών

Αναρωτηθήκατε ποτέ γιατί το «ασφαλές» δίκτυο της εταιρείας σας μοιάζει σαν να συγκρατείται με πρόχειρες λύσεις και προσευχές; Συνήθως αυτό συμβαίνει επειδή ακόμα προσπαθούμε να εμπιστευτούμε τους ανθρώπους με βάση το πού κάθονται, κάτι που, ειλικρινά, είναι ένας απαίσιος τρόπος διαχείρισης της ασφάλειας το 2025.

Ο πυρήνας του τρόπου με τον οποίο το SASE εντοπίζει πραγματικά τους κακόβουλους παράγοντες είναι αυτό που ονομάζουμε Μηδενική Εμπιστοσύνη (Zero Trust). Παλαιότερα, αν βρισκόσασταν στο γραφείο, το δίκτυο υπέθετε απλώς ότι είστε «ένας από τους καλούς». Η Μηδενική Εμπιστοσύνη το ανατρέπει αυτό—θεωρεί τους πάντες ως δυνητική απειλή μέχρι να αποδείξουν το αντίθετο.

Όπως αναφέρθηκε νωρίτερα στον οδηγό από τη Microsoft, δεν πρόκειται για μια απλή σύνδεση που γίνεται μία φορά. Πρόκειται για πρόσβαση βάσει ταυτότητας (identity-driven access). Το σύστημα ελέγχει συνεχώς: Είναι όντως αυτός ο Διευθύνων Σύμβουλος; Γιατί συνδέεται από ένα τάμπλετ σε μια άλλη χώρα στις 3 τα ξημερώματα;

• Το πλαίσιο είναι το παν: Η πλατφόρμα SASE εξετάζει την «υγεία» της συσκευής σας, την τοποθεσία σας και το τι προσπαθείτε να αγγίξετε προτού σας επιτρέψει την είσοδο.
• Μικρο-κατάτμηση (Micro-segmentation): Αντί να σας δώσει τα κλειδιά για ολόκληρο το κάστρο, αποκτάτε πρόσβαση μόνο στη συγκεκριμένη εφαρμογή που χρειάζεστε. Αν ένας χάκερ κλέψει τον κωδικό σας, θα παγιδευτεί σε ένα μόνο δωμάτιο αντί να περιφέρεται σε ολόκληρο το κτίριο.
• Έλεγχος Κατάστασης Συσκευής: Εργαλεία όπως η προστασία τερματικών σημείων ελέγχουν αν το λάπτοπ σας έχει ενεργοποιημένο το τείχος προστασίας (firewall) και ενημερωμένο το λογισμικό του, προτού καν η διεπαφή προγραμματισμού εφαρμογών (API) σας επιτρέψει να συνδεθείτε.

Ένα από τα πιο εντυπωσιακά στοιχεία του τρόπου με τον οποίο το SASE διαχειρίζεται τον εντοπισμό απειλών είναι ότι καθιστά τις εφαρμογές σας «αόρατες» (dark). Σε μια κανονική εγκατάσταση, η πύλη του VPN σας είναι απλώς εκτεθειμένη στο διαδίκτυο, ουσιαστικά γνέφοντας στους χάκερ.

Σύμφωνα με μια έκθεση του 2024 από την Trend Micro, η Πρόσβαση Δικτύου Μηδενικής Εμπιστοσύνης (ZTNA) αντικαθιστά αυτά τα δυσκίνητα VPN και κρύβει τις εφαρμογές σας από τον δημόσιο ιστό. Αν ένας χάκερ σκανάρει το διαδίκτυο για την εφαρμογή μισθοδοσίας της εταιρείας σας, δεν θα τη βρει. Ουσιαστικά δεν υφίσταται γι' αυτόν, επειδή ο «πορτιέρης» του SASE δείχνει την πόρτα μόνο σε όσους έχουν ήδη επαληθευτεί.

Εφόσον όλη η κίνησή σας ρέει μέσω του νέφους (cloud) SASE, μπορεί να χρησιμοποιήσει τεχνητή νοημοσύνη (AI) για να εντοπίσει περίεργα μοτίβα που ένας άνθρωπος θα έχανε τελείως. Είναι σαν να έχετε έναν φύλακα ασφαλείας που έχει απομνημονεύσει ακριβώς πώς περπατά και πώς μιλάει κάθε υπάλληλος.

Μια ανάλυση του 2024 από τη Zscaler (που σημειώθηκε νωρίτερα) εξηγεί ότι επειδή το SSE είναι κατασκευασμένο ειδικά για το cloud, μπορεί να πραγματοποιεί βαθιά επιθεώρηση στην κρυπτογραφημένη κίνηση χωρίς να κάνει το διαδίκτυό σας να θυμίζει εποχές dial-up.

Το περισσότερο κακόβουλο λογισμικό (malware) στις μέρες μας κρύβεται μέσα σε κρυπτογραφημένη κίνηση. Τα παραδοσιακά τείχη προστασίας δυσκολεύονται να «δουν» μέσα σε αυτά τα πακέτα, επειδή απαιτείται τεράστια επεξεργαστική ισχύς. Όμως, επειδή το SASE λειτουργεί στο Άκρο (Edge), μπορεί να ανοίξει αυτά τα πακέτα, να ελέγξει για ιούς χρησιμοποιώντας μηχανική μάθηση και να τα ξανακλείσει σε κλάσματα δευτερολέπτου.

Έχω δει αυτή την τεχνολογία να σώζει διαφορετικούς τύπους επιχειρήσεων:

1. Υγεία: Ένας γιατρός χρησιμοποιεί ένα προσωπικό iPad για να ελέγξει τα αρχεία ασθενών. Το σύστημα SASE αναγνωρίζει ότι η συσκευή δεν είναι κρυπτογραφημένη και αποκλείει την πρόσβαση, αλλά επιτρέπει στον γιατρό να ελέγξει το εταιρικό του email.
2. Λιανικό Εμπόριο: Ένας διευθυντής καταστήματος σε ένα εμπορικό κέντρο προσπαθεί να κατεβάσει ένα ύποπτο συνημμένο. Η Ασφαλής Διαδικτυακή Πύλη (SWG) εντοπίζει την υπογραφή του κακόβουλου λογισμικού στο cloud προτού αυτό αγγίξει ποτέ το τοπικό δίκτυο του καταστήματος.
3. Χρηματοοικονομικά: Μια εθνική πιστωτική ένωση χρησιμοποιεί το SASE για να διασφαλίσει ότι ακόμη και αν το φυσικό διαδίκτυο ενός υποκαταστήματος παραβιαστεί, τα δεδομένα παραμένουν κρυπτογραφημένα και οι συνδέσεις «από μέσα προς τα έξω» εμποδίζουν τους επιτιθέμενους να κινηθούν πλευρικά στο δίκτυο.

Ουσιαστικά, πρόκειται για τη συρρίκνωση της επιφάνειας επίθεσης (attack surface). Αν οι κακοποιοί δεν μπορούν να δουν τις εφαρμογές σας και η τεχνητή νοημοσύνη παρακολουθεί κάθε περίεργη κίνηση, βρίσκεστε σε πολύ πλεονεκτική θέση.

Στη συνέχεια, θα μιλήσουμε για το πώς όλη αυτή η δομή SASE κάνει τη ζωή σας ευκολότερη —και τη διαχείριση οικονομικότερη.

Πραγματικά οφέλη για την επιχείρησή σας

Ας είμαστε ειλικρινείς: κανείς δεν ξυπνάει με την επιθυμία να διαχειριστεί ένα τείχος προστασίας (firewall) δικτύου. Είναι συνήθως μια άχαρη δουλειά, όπου ακούς παράπονα μόνο όταν το διαδίκτυο είναι αργό ή όταν το VPN αποτυγχάνει να συνδεθεί. Ωστόσο, το SASE αλλάζει πραγματικά τα δεδομένα, καθιστώντας όλη αυτή την πολυπλοκότητα πολύ πιο διαχειρίσιμη, ενώ παράλληλα εξοικονομεί σημαντικούς πόρους.

Ένας από τους μεγαλύτερους πονοκεφάλους στον τομέα της πληροφορικής είναι η «κόπωση της κονσόλας». Έχετε μια οθόνη για τους δρομολογητές (routers), μια άλλη για το τείχος προστασίας και ίσως μια τρίτη για την ασφάλεια στο cloud. Είναι εξαντλητικό. Σύμφωνα με την Zscaler, το SSE (η πλευρά της ασφάλειας του SASE) σας επιτρέπει να ενοποιήσετε όλα αυτά τα μεμονωμένα προϊόντα σε μία ενιαία πλατφόρμα. Αυτό μειώνει φυσικά τα λειτουργικά έξοδα και σταματά την πίεση από το οικονομικό τμήμα.

• Εγκατάλειψη της νοοτροπίας του «κουτιού»: Δεν χρειάζεται να αγοράζετε ακριβό εξοπλισμό (hardware) κάθε φορά που ανοίγετε ένα νέο υποκατάστημα. Εφόσον η ασφάλεια βρίσκεται στο cloud, απλώς συνδέεστε σε μια βασική γραμμή internet και είστε έτοιμοι.
• Μείωση του κόστους MPLS: Όπως προαναφέραμε, μπορείτε να σταματήσετε να πληρώνετε για εκείνες τις υπερτιμημένες ιδιωτικές γραμμές. Το SASE χρησιμοποιεί το κοινό διαδίκτυο αλλά το κάνει να λειτουργεί ως ιδιωτικό δίκτυο, κάτι που αλλάζει ριζικά τα δεδομένα του προϋπολογισμού σας.
• Κλιμάκωση χωρίς δράματα: Αν προσλάβετε 50 νέα άτομα αύριο, δεν χρειάζεται να παραγγείλετε 50 νέα token υλικού ή έναν μεγαλύτερο συγκεντρωτή VPN (VPN concentrator). Απλώς ενημερώνετε την άδεια χρήσης στο cloud και συνεχίζετε τη δουλειά σας.

Όλοι το έχουμε ζήσει: προσπαθείτε να συνδεθείτε σε μια κλήση Zoom ενώ το VPN δρομολογεί την κίνησή σας (hairpinning) μέσω ενός κέντρου δεδομένων στην άλλη άκρη της χώρας. Η καθυστέρηση είναι εκνευριστική. Επειδή το SASE χρησιμοποιεί τα «σημεία παρουσίας» (PoPs) που αναφέραμε, ο έλεγχος ασφαλείας γίνεται κοντά στον χρήστη.

Μια ανάλυση του 2024 από την Zscaler εξηγεί ότι αυτή η κατανεμημένη αρχιτεκτονική σημαίνει ότι το προσωπικό σας σε μια καφετέρια απολαμβάνει τις ίδιες υψηλές ταχύτητες με τους συναδέλφους που βρίσκονται στα κεντρικά γραφεία.

Έχω δει αυτό το μοντέλο να αποδίδει σε διάφορους τομείς:

1. Λιανικό Εμπόριο: Ένας διευθυντής καταστήματος πρέπει να ελέγξει το απόθεμα σε ένα tablet. Αντί να περιμένει μια αργή σύνδεση μέσω των κεντρικών, το SASE τον δρομολογεί απευθείας και με ασφάλεια στην εφαρμογή cloud.
2. Χρηματοοικονομικά: Ένας υπάλληλος δανείων που εργάζεται από το σπίτι μπορεί να έχει πρόσβαση σε ευαίσθητες βάσεις δεδομένων χωρίς να βλέπει τον «τροχό της αναμονής» του VPN κάθε φορά που πατάει αποθήκευση.
3. Βιομηχανία: Απομακρυσμένες μονάδες παραγωγής μπορούν να συνδέσουν τους αισθητήρες IoT στο cloud χωρίς την ανάγκη εξειδικευμένου τεχνικού πληροφορικής επί τόπου για να διορθώνει το φυσικό firewall κάθε φορά που παρουσιάζει δυσλειτουργία.

Ουσιαστικά, ο στόχος είναι να γίνει η ασφάλεια «αόρατη». Όταν λειτουργεί σωστά, οι υπάλληλοί σας δεν αντιλαμβάνονται καν την ύπαρξή της — απλώς βλέπουν ότι οι εφαρμογές τους τρέχουν γρήγορα. Στη συνέχεια, θα ολοκληρώσουμε εξετάζοντας πώς μπορείτε πραγματικά να ξεκινήσετε τη μετάβαση προς αυτό το μέλλον του SASE, χωρίς να διαταράξετε τις υποδομές που έχετε ήδη χτίσει.

Εφαρμογή του SASE χωρίς πονοκεφάλους

Αποφασίσατε, λοιπόν, να υιοθετήσετε το μοντέλο SASE (Secure Access Service Edge), αλλά φοβάστε μήπως διαλύσετε ό,τι έχετε χτίσει μέχρι τώρα; Ειλικρινά, οι περισσότεροι αισθάνονται το ίδιο, καθώς κανείς δεν θέλει να είναι εκείνος που θα ρίξει κατά λάθος το δίκτυο της εταιρείας ένα πρωινό Τρίτης.

Η εφαρμογή του SASE δεν χρειάζεται να είναι ένας εφιάλτης τύπου "ξήλωμα και αντικατάσταση". Στην πραγματικότητα, μπορείτε να το υλοποιήσετε σταδιακά, κάτι που είναι πολύ καλύτερο τόσο για την ψυχική σας ηρεμία όσο και για τον προϋπολογισμό σας.

Ο εξυπνότερος τρόπος για να ξεκινήσετε είναι να αντιμετωπίσετε τον μεγαλύτερο πονοκέφαλό σας — που συνήθως είναι αυτό το δυσκίνητο, παλιό VPN. Όπως αναφέραμε νωρίτερα, η αντικατάσταση του VPN με ZTNA (Πρόσβαση Δικτύου Μηδενικής Εμπιστοσύνης) είναι το ιδανικό πρώτο βήμα, καθώς προσφέρει στους απομακρυσμένους εργαζόμενους καλύτερη ταχύτητα και πολύ ανώτερη ασφάλεια, χωρίς να χρειαστεί να αγγίξετε το υλικό (hardware) του γραφείου σας.

• Προσδιορίστε τα "κοσμήματα του στέμματος": Ξεκινήστε θέτοντας τις πιο ευαίσθητες εφαρμογές σας υπό την προστασία του SASE.
• Επιλέξτε μια "πιλοτική" ομάδα: Ζητήστε από μερικούς εξοικειωμένους με την τεχνολογία συναδέλφους στο μάρκετινγκ ή στις πωλήσεις να δοκιμάσουν τη νέα πρόσβαση, προτού την αναπτύξετε σε ολόκληρη την εταιρεία.
• Καθαρίστε τις πολιτικές σας: Χρησιμοποιήστε αυτή τη μετάβαση ως αφορμή για να διαγράψετε εκείνους τους παλιούς λογαριασμούς χρηστών που παραμένουν ανενεργοί εδώ και τρία χρόνια.

Μια έκθεση της Zscaler για το 2024 αναφέρει ότι η παρακολούθηση της ψηφιακής εμπειρίας (digital experience monitoring) ενσωματώνεται πλέον στις πλατφόρμες SASE, κάτι που είναι εξαιρετικά σημαντικό. Αυτό συμβαίνει επειδή το SASE βρίσκεται απευθείας μεταξύ του χρήστη και της εφαρμογής, έχοντας "πρώτο κάθισμα" στα δεδομένα απόδοσης. Αυτό σημαίνει ότι μπορείτε να δείτε ακριβώς γιατί η σύνδεση ενός χρήστη είναι αργή — είτε φταίει το κακό Wi-Fi του σπιτιού του είτε ένα πραγματικό πρόβλημα δικτύου — προτού καν καλέσει την τεχνική υποστήριξη.

Δεν είναι απαραίτητο να αγοράσετε τα πάντα από έναν μόνο πάροχο, αν δεν το επιθυμείτε. Ορισμένες εταιρείες προτιμούν την προσέγγιση του "ενός παρόχου" (single-vendor) για απλότητα, ενώ άλλες προτιμούν ένα μοντέλο "δύο παρόχων" (dual-vendor), όπου διατηρούν την υπάρχουσα δικτυακή τους υποδομή αλλά προσθέτουν ένα νέο επίπεδο ασφάλειας στο cloud.

Ο οδηγός της Microsoft που προαναφέρθηκε προτείνει η ανάπτυξη του SASE να συνδέεται με τους τρέχοντες παρόχους ταυτότητας (identity providers). Εάν χρησιμοποιείτε ήδη ενιαία σύνδεση (SSO), βεβαιωθείτε ότι το εργαλείο SASE επικοινωνεί άψογα με αυτό, ώστε οι υπάλληλοί σας να μη χρειάζεται να απομνημονεύσουν ακόμη έναν κωδικό πρόσβασης.

Έχω δει αυτή τη σταδιακή προσέγγιση να αποδίδει σε διάφορους τομείς:

1. Εκπαίδευση: Ένα πανεπιστημιακό σύστημα ξεκίνησε θωρακίζοντας τις ερευνητικές βάσεις δεδομένων της βιβλιοθήκης με ZTNA και στη συνέχεια μετέφερε σταδιακά την ασφάλεια του Wi-Fi της πανεπιστημιούπολης στο cloud.
2. Μεταποίηση: Μια παγκόσμια εταιρεία διατήρησε τον εξοπλισμό των εργοστασίων της, αλλά μετέφερε όλη την πρόσβαση των εξωτερικών συνεργατών σε μια πλατφόρμα SASE, ώστε να κρατήσει το κύριο δίκτυο "σκοτεινό" και αόρατο για τους τρίτους.
3. Λιανικό Εμπόριο: Μια αλυσίδα πρόσθεσε cloud firewalls (FWaaS) πρώτα στα νέα της καταστήματα, διατηρώντας τα παλαιότερα στην παραδοσιακή τεχνολογία μέχρι να λήξουν τα συμβόλαια συντήρησης του εξοπλισμού τους.

Σε τελική ανάλυση, το SASE είναι ένα ταξίδι, όχι ένα έργο που ολοκληρώνεται σε ένα Σαββατοκύριακο. Ξεκινήστε σε μικρή κλίμακα, αποδείξτε ότι λειτουργεί και στη συνέχεια κλιμακώστε το. Το δίκτυό σας — και το πρόγραμμα του ύπνου σας — σίγουρα θα σας ευγνωμονούν αργότερα.