ZKP és P2P munkamenet-védelem a dVPN hálózatokban

Mi is az a SASE, és miért érdemes figyelni rá?

Próbált már egy kávézóban ülve nehézkes VPN-t használni, ami csigalassúsággal tölt be egy egyszerű táblázatot is? Őszintén szólva ez az egyik legidegesítőbb dolog a modern, „bárhonnan végezhető munka” világában – de pontosan ezért beszél mostanában mindenki a SASE-ról.

Régebben a biztonság olyan volt, mint egy vizesárokkal körülvett vár: az irodában volt egy hatalmas tűzfal, és amíg a falakon belül voltunk, „biztonságban” éreztük magunkat. Ma viszont az adataink mindenhol ott vannak. A konyhából használjuk a Salesforce-t, táblagépen nyitjuk meg az egészségügyi leleteket, vagy egy raktárépület közepéről ellenőrizzük a készletet.

Az IBM útmutatója szerint a SASE (kiejtése: „szasszi”) a Secure Access Service Edge rövidítése. Ez lényegében egy olyan módszer, amely a hálózatkezelést és a biztonságot egyetlen nagy, felhőalapú csomagba gyúrja össze. Így nem kell minden adatforgalmat visszaküldeni az irodai központ poros szerverszobájába csak azért, hogy megnézhessük az e-mailjeinket.

• SD-WAN (Hálózatkezelés): Ez a rendszer „agya”, amely meghatározza az adatok számára a leggyorsabb útvonalat, legyen szó 5G-ről, otthoni Wi-Fi-ről vagy irodai optikai hálózatról.
• SSE (Biztonság): Ez a „kidobóember” szerepét tölti be. A Security Service Edge rövidítése, amelyet később vezettek be a tágabb SASE keretrendszer speciális biztonsági alcsoportjaként, hogy kifejezetten a védelmi oldalt kezelje.
• Az Edge (A peremhálózat): Egyetlen központi csomópont helyett a biztonsági ellenőrzés a felhasználóhoz közeli „jelenléti pontokon” (PoP – Points of Presence) történik.

A Gartner egy 2021-es jelentésében külön definiálta a biztonsági összetevőket SSE néven. Ez azért fontos, mert megszünteti a „hajtűkanyar-effektust” (hairpinning) – azt az idegesítő késleltetést, amikor az adatok 800 kilométert utaznak egy adatközpontba csak azért, hogy visszatérjenek egy olyan weboldalhoz, amit tőlünk 10 kilométerre hosztolnak.

Legyen szó egy kiskereskedelmi láncról vagy egy kis magánklinikáról, senki nem akar tíz különböző biztonsági eszközt külön-külön kezelni. A SASE leegyszerűsíti a folyamatokat azáltal, hogy a szabályokat a felhőbe helyezi. Ahogy a Microsoft is rámutat, ez segít abban, hogy ugyanazok a szabályok vonatkozzanak a parkban laptopozó munkatársra, mint a tárgyalóban ülő vezérigazgatóra.

Itt nem csak a sebességről van szó, hanem arról is, hogy ne hagyjuk nyitva a digitális hátsó ajtót. A következőkben részletesen belemerülünk az olyan alapelemekbe, mint az SD-WAN, és megnézzük, hogyan is működik a gyakorlatban a biztonsági oldal.

A SASE összetevőinek elemzése

Gondolkozott már azon, miért tűnik a vállalati hálózata egy óriási, összegubancolódott fonalgombolyagnak, amihez senki sem mer hozzányúlni? Őszintén szólva azért, mert még mindig 2010-es eszközökkel próbáljuk megoldani a 2025-ös problémákat. A SASE lényegében az az olló, amivel végre átvághatjuk ezt a káoszt.

Tekintsen az SD-WAN-ra úgy, mint az adatai intelligens GPS-ére. Régebben MPLS vonalakat használtunk, amelyek alapvetően méregdrága, privát fizetős utak voltak, és csak az irodába vezettek. Ha otthonról dolgozott, el kellett „autóznia” egészen az irodáig, csak hogy rácsatlakozhasson az internetre vezető „biztonságos” útra. Lassú volt, és őszintén szólva, kész rablás.

A CodiLime egyik szakmai bejegyzése szerint az SD-WAN szétválasztja a hálózati hardvert a vezérlési funkcióktól. Ez azt jelenti, hogy nem kötődik többé ahhoz a robusztus routerhez, ami a szerverszobában porosodik; a szoftver dönti el, hogy a Zoom-hívása az irodai optikai kábelen, egy 5G kapcsolaton vagy az otthoni szélessávú interneten fusson-e, aszerint, hogy éppen melyik teljesít jobban.

• Búcsú a hardverektől: Nincs szükség millió drága dobozra minden telephelyen. Az „ész” a szoftverben van.
• Állapot alapú útválasztás: Ha az elsődleges internetvonal gyengélkedni kezd (jitter, késleltetés vagy a szokásos nyűgök), az SD-WAN automatikusan, észrevétlenül átirányítja a forgalmat egy tartalék vonalra.
• Költségcsökkentés: Elfelejtheti az aranyáron mért MPLS vonalakat, és használhat sima internetet, aminek a pénzügyi osztály fog a legjobban örülni.

Ha az SD-WAN a GPS, akkor az SSE a páncélautó. Ez a SASE-érme biztonsági oldala. Ahogy korábban említettük, a Gartner azért alkotta meg ezt a kifejezést, mert egyes cégeknek a hálózati része már sínen van, és csak a biztonsági funkciókra vágynak.

Az SSE azért nagy szám, mert egyetlen platformba gyúrja össze az olyan eszközöket, mint a SWG (Secure Web Gateway – egy webes forgalomszűrő a kártékony oldalak blokkolásához), a CASB (Cloud Access Security Broker – biztonsági ellenőrzőpont a felhasználók és a felhőalkalmazások között), és a FWaaS (Firewall as a Service – felhőalapú tűzfal, amely a forgalommal együtt skálázódik). A Zscaler 2024-es jelentése megjegyzi, hogy az SSE a SASE egy olyan részhalmaza, amely célzottan ezekre a biztonsági szolgáltatásokra összpontosít. (Zscaler 2024 AI Security Report) Ez tökéletes megoldás olyan cégeknek, amelyek már „felhő-központúak” (cloud-first), és nem akarnak fizikai telephelyi hálózatok menedzselésével bajlódni.

Az SSE segít a szervezeteknek megszabadulni a „hajtűkanyar” (hairpinning) jelenségétől – attól az idegesítő folyamattól, amikor a forgalomnak el kell utaznia egy 500 kilométerre lévő adatközpontba csak ellenőrzésre, mielőtt továbbmenne a célwebhelyre.

Talán felmerül Önben: „Nem vehetném meg csak a biztonsági részt?” De igen, megteheti. Viszont a SASE a „csomagban jobb” verzió. Ha ötvözi a hálózatkezelést (SD-WAN) a biztonsággal (SSE), egyetlen, átlátható felületet kap.

Egy kiskereskedelmi lánc például 500 üzlet összekapcsolására használhatja a SASE-t. Ahelyett, hogy minden boltba tűzfalat és routert telepítenének, egyetlen központi SASE-szabályrendszert alkalmaznak. Ha egy eladó Seattle-ben megpróbál megnyitni egy gyanús oldalt, a SWG azonnal blokkolja azt, miközben az SD-WAN garantálja, hogy a bankkártyás tranzakciók a leggyorsabb útvonalon maradjanak.

Az egészségügyben ez még kritikusabb. Egy orvosnak, aki otthonról tart távkonzultációt, alacsony késleltetésre van szüksége (köszönhetően az SD-WAN-nak), de meg kell felelnie a szigorú adatvédelmi előírásoknak is (köszönhetően az SSE-nek). Ha csak a kirakós egyik fele van meg, akkor vagy akadozni fog a videó, vagy biztonsági rés tátong a rendszeren.

Láttam már ezt működni a gyakorlatban:

1. Pénzügy: Egy országos hitelszövetkezet a SASE segítségével vonta össze biztonsági eszközeit, jelentősen csökkentve az IT-csapat által felügyelt műszerfalak számát.
2. Gyártás: Egy globális üzemhálózattal rendelkező cég így tartotta biztonságban az IoT-szenzorait anélkül, hogy mérnököket kellett volna minden egyes helyszínre utaztatni a hardverek konfigurálásához.
3. Oktatás: Egyetemek használják arra, hogy a hallgatók bárhonnan elérhessék a könyvtári erőforrásokat, miközben a központi hálózatot megvédik a kártékony szoftverektől, amiket a diákok elkerülhetetlenül letöltenek a saját laptopjaikra.

Ez nem csak egy divatos technológia – arról szól, hogy a konyhaasztalnál ülő munkatárs ugyanolyan szintű védelmet kapjon, mint aki a központi irodában dolgozik. A következőkben azt nézzük meg, miért vált a „bizalom” szitokszóvá a SASE világában.

Hogyan segíti a SASE a fenyegetések észlelését?

Gondolkozott már azon, miért tűnik úgy, mintha cége „biztonságos” hálózatát csak a szentlélek és némi ragasztószalag tartaná össze? Ennek általában az az oka, hogy még mindig ott tartunk, hogy az alapján bízunk meg az emberekben, hogy éppen hol ülnek – ami, valljuk be, 2025-ben már meglehetősen gyenge alap a biztonsághoz.

A SASE fenyegetésészlelési mechanizmusának szíve az úgynevezett Zero Trust (zéró bizalom) elv. Régebben, ha bent ült az irodában, a hálózat automatikusan feltételezte, hogy Ön a „jófiúk” közé tartozik. A Zero Trust ezt a feje tetejére állítja: mindenkit potenciális fenyegetésnek tekint, amíg az ellenkezőjét be nem bizonyítja.

Ahogy azt a Microsoft útmutatója is említi, ez nem csupán egy egyszeri bejelentkezést jelent. Itt identitásalapú hozzáférésről beszélünk. A rendszer folyamatosan ellenőrzi: Valóban az ügyvezető az? Miért egy táblagépről jelentkezik be egy másik országból hajnali 3-kor?

• A kontextus a döntő: A SASE platform megvizsgálja az eszköz állapotát, a tartózkodási helyet és azt, hogy mihez próbál hozzáférni, mielőtt engedélyt adna.
• Mikroszegmentáció: Ahelyett, hogy megkapná a kulcsot az egész várhoz, csak a konkrét alkalmazáshoz férhet hozzá, amire szüksége van. Ha egy hacker ellopja a jelszavát, csak egyetlen szobába szorul be, és nem tud az egész épületben garázdálkodni.
• Eszközállapot-ellenőrzés: Az olyan eszközök, mint a végpontvédelem, ellenőrzik, hogy aktív-e a tűzfal és frissítve van-e a szoftver a laptopon, mielőtt az API egyáltalán engedné a csatlakozást.

A SASE fenyegetésészlelésének egyik legizgalmasabb része, hogy „láthatatlanná” teszi az alkalmazásokat. Egy hagyományos felállásban a VPN-átjáró egyszerűen ott lóg az interneten, gyakorlatilag zászlóval integetve a hackereknek.

A Trend Micro 2024-es jelentése szerint a ZTNA (Zero Trust Network Access) leváltja a nehézkes VPN-eket, és elrejti az alkalmazásokat a nyilvános világháló elől. Ha egy támadó elkezdi pásztázni az internetet a cég bérszámfejtő szoftvere után, nem fogja megtalálni. Számukra gyakorlatilag nem létezik, mert a SASE „kidobóembere” csak azoknak mutatja meg az ajtót, akiket már hitelesítettek.

Mivel minden forgalom a SASE felhőn keresztül áramlik, a rendszer képes mesterséges intelligenciát (AI) használni olyan furcsa mintázatok kiszűrésére, amelyeket egy ember simán elvétene. Olyan ez, mintha lenne egy biztonsági őrünk, aki fejből tudja, pontosan hogyan jár és beszél minden egyes alkalmazott.

A Zscaler 2024-es elemzése (amelyet korábban is említettünk) rávilágít, hogy mivel az SSE-t kifejezetten felhőre tervezték, képes a titkosított forgalom mélyreható vizsgálatára (deep inspection) anélkül, hogy az internetsebesség a betárcsázós korszak szintjére lassulna.

Napjainkban a legtöbb kártékony szoftver titkosított forgalomba rejtőzik. A régi típusú tűzfalak nehezen „látnak bele” ezekbe a csomagokba, mert az túl sok számítási kapacitást igényelne. De mivel a SASE a hálózat szélén (Edge) él, képes felnyitni ezeket a csomagokat, gépi tanulással ellenőrizni a vírusokat, majd milliszekundumok alatt visszazárni őket.

Láttam már, ahogy ez különböző iparágakat mentett meg:

1. Egészségügy: Egy orvos saját iPadet használ a betegadatok ellenőrzéséhez. A SASE rendszer észleli, hogy az eszköz nincs titkosítva, ezért blokkolja a hozzáférést a rekordokhoz, de a munkahelyi levelezést továbbra is engedélyezi.
2. Kereskedelem: Egy üzletvezető egy plázában megpróbál letölteni egy gyanús csatolmányt. Az SWG (Secure Web Gateway) már a felhőben elcsípi a kártékony kód ujjlenyomatát, mielőtt az egyáltalán elérné az üzlet helyi hálózatát.
3. Pénzügy: Egy országos hitelszövetkezet a SASE-t használja annak biztosítására, hogy még ha egy fiók fizikai internetkapcsolata kompromittálódik is, az adatok titkosítva maradjanak, az „inside-out” típusú kapcsolatok pedig megakadályozzák a támadók oldalirányú mozgását a hálózaton belül.

A lényeg a támadási felület drasztikus csökkentése. Ha a rosszfiúk nem látják az alkalmazásait, az AI pedig minden gyanús mozdulatot figyel, Ön sokkal nagyobb biztonságban van.

A következőkben arról lesz szó, hogyan teszi ez az egész „Sassy” felállás egyszerűbbé – és olcsóbbá – a rendszerfelügyeletet.

Valódi üzleti előnyök az Ön vállalata számára

Őszintén szólva, senki sem ébred úgy, hogy alig várja a hálózati tűzfalak kezelését. Ez általában egy hálátlan feladat, ahol csak akkor hall az ember a többiekről, ha lassú az internet, vagy ha nem csatlakozik a VPN. A SASE (Secure Access Service Edge) azonban ezen változtat: az egész káoszt sokkal könnyebben kezelhetővé teszi, miközben jelentős költségeket takarít meg.

Az IT egyik legnagyobb fejfájása a „konzol-fáradtság”. Van egy képernyő a routerekhez, egy másik a tűzfalhoz, és talán egy harmadik a felhőbiztonsághoz. Ez kimerítő. A Zscaler szerint az SSE (ami a SASE biztonsági oldala) lehetővé teszi, hogy ezeket a különálló termékeket egyetlen platformba integráljuk. Ez természetesen csökkenti a rezsiköltségeket, és a pénzügyi osztály is végre leszáll az emberről.

• Szakítás a „doboz-központú” szemlélettel: Nem kell drága hardvereket vásárolnia minden alkalommal, amikor új fiókirodát nyit. Mivel a biztonsági réteg a felhőben él, elég egy alap internetkapcsolat, és már kész is van.
• Az MPLS költségek csökkentése: Ahogy korábban említettük, elfelejtheti a túlárazott bérelt vonalakat. A SASE a hagyományos internetet használja, de úgy működteti azt, mintha privát hálózat lenne – ez pedig kész főnyeremény a költségvetésnek.
• Skálázás dráma nélkül: Ha holnap felvesz 50 új embert, nem kell 50 új hardveres tokent vagy nagyobb VPN-koncentrátort rendelnie. Csak frissíti a felhőlicencet, és haladhat tovább a munkával.

Mindannyian jártunk már így: próbálunk csatlakozni egy Zoom-híváshoz, miközben a VPN épp „meghajlítja” (hairpinning) a forgalmunkat egy, az ország másik felén lévő adatközponton keresztül. Akadozik a kép, és az ember legszívesebben kihajítaná a laptopot az ablakon. Mivel a SASE azokat a bizonyos „jelenléti pontokat” (PoP – Points of Presence) használja, amikről beszéltünk, a biztonsági ellenőrzés a felhasználóhoz közel történik.

A Zscaler 2024-es elemzése rávilágít arra, hogy ez az elosztott architektúra biztosítja: a kávézóban dolgozó munkatársak ugyanolyan sebességet élvezhetnek, mint az irodában ülők.

Láttam már ezt a gyakorlatban működni:

1. Kiskereskedelem: Az üzletvezetőnek le kell ellenőriznie a készletet egy tableten. Ahelyett, hogy a lassú háttérirodai kapcsolatra várna, a SASE közvetlenül és biztonságosan irányítja őt a felhőalkalmazáshoz.
2. Pénzügy: Az otthonról dolgozó hitelügyintéző anélkül férhet hozzá a bizalmas adatbázisokhoz, hogy minden mentésnél a „VPN-halálforgót” kellene bámulnia.
3. Gyártás: A távoli üzemek összekapcsolhatják IoT-szenzoraikat a felhővel anélkül, hogy helyszíni IT-sra lenne szükség minden alkalommal, amikor egy fizikai tűzfal megadja magát.

A lényeg a biztonság „láthatatlanná” tétele. Ha jól működik, az alkalmazottak észre sem veszik a jelenlétét – csak azt látják, hogy az alkalmazásaik gyorsak. A következőkben azt nézzük meg, hogyan indulhat el ezen a modern úton anélkül, hogy romba döntené a már meglévő rendszereit.

SASE bevezetése fejfájás nélkül

Úgy döntött, hogy bevezeti a SASE-t, de tart tőle, hogy romba dönti a már meglévő infrastruktúrát? Őszintén szólva, a legtöbben így vannak ezzel; senki sem akar az lenni, aki egy kedd reggelen véletlenül leállítja a teljes vállalati hálózatot.

A SASE implementálása nem kell, hogy egy „mindent leborítani és újrakezdeni” típusú rémálom legyen. Valójában szakaszosan is haladhat, ami sokkal kíméletesebb a mentális egészségére és a költségvetésre nézve is.

A legokosabb módszer, ha a legnagyobb problémával kezdi – ez általában a nehézkes, elavult VPN. Ahogy korábban említettük, a VPN kiváltása ZTNA (Zero Trust Network Access) megoldással tökéletes első lépés: jobb sebességet és nagyságrendekkel nagyobb biztonságot nyújt a távmunkásoknak anélkül, hogy az irodai hardverekhez hozzá kellene nyúlni.

• Azonosítsa a „koronaékszereket”: Elsőként a legérzékenyebb alkalmazásokat helyezze a SASE „kidobóembere” mögé.
• Válasszon egy tesztcsoportot: Kérjen fel néhány technológiailag jártas kollégát a marketingről vagy az értékesítésről, hogy teszteljék az új hozzáférést, mielőtt a teljes cégnél bevezetné.
• Tegyen rendet a jogosultságok között: Használja ki ezt az átállást ürügyként arra, hogy törölje azokat a három éve inaktív felhasználói fiókokat, amik csak a helyet foglalják.

A Zscaler 2024-es jelentése kiemeli, hogy a digitális élményfigyelés (DEM) egyre inkább integrálódik a SASE platformokba, ami hatalmas előrelépés. Mivel a SASE közvetlenül a felhasználó és az alkalmazás között helyezkedik el, első kézből kapja meg a teljesítményadatokat. Ez azt jelenti, hogy pontosan látni fogja, miért lassú egy felhasználó kapcsolata – legyen szó a gyenge otthoni Wi-Fi-ről vagy valódi hálózati hibáról –, még mielőtt az illető felhívná a helpdesket.

Nem kötelező mindent egyetlen gyártótól beszereznie. Egyes cégek az egyszerűség kedvéért az „egygyártós” (single-vendor) megközelítést preferálják, míg mások a „kétgyártós” (dual-vendor) modellt választják, ahol megtartják a meglévő hálózati eszközeiket, de egy új, felhőalapú biztonsági réteggel egészítik ki azt.

A Microsoft korábban említett útmutatója azt javasolja, hogy a SASE bevezetése során kapcsolódjon a jelenlegi identitásszolgáltatóihoz. Ha már használ egyszeri bejelentkezést (SSO), győződjön meg róla, hogy a SASE eszköze tökéletesen kommunikál vele, így az alkalmazottaknak nem kell még egy újabb jelszót megjegyezniük.

Láttam már ezt a szakaszos megközelítést sikeresen működni különböző területeken:

1. Oktatás: Egy egyetemi hálózat azzal kezdte, hogy a könyvtári kutatási adatbázisokat ZTNA-val biztosította, majd fokozatosan helyezte át a kampusz Wi-Fi biztonságát a felhőbe.
2. Gyártás: Egy globális cég megtartotta a gyári hardvereit, de a külsős alvállalkozók hozzáférését SASE platformra költöztette, hogy a fő hálózat „láthatatlan” maradjon a kívülállók számára.
3. Kiskereskedelem: Egy üzletlánc először az új boltjaiba telepített felhőalapú tűzfalat (FWaaS), míg a régieket a hagyományos technológián hagyta, amíg a hardveres szerződéseik le nem jártak.

Végül is, a SASE egy utazás, nem pedig egy hétvégi projekt. Kezdje kicsiben, bizonyítsa be, hogy működik, majd skálázza fel. A hálózata – és az alvásminősége – hálás lesz érte.