Dowody z wiedzą zerową a prywatność sesji P2P w dVPN

Czym właściwie jest SASE i dlaczego ma to znaczenie?

Czy zdarzyło Ci się kiedyś korzystać z ociężałego VPN-a w kawiarni, tylko po to, by patrzeć, jak transfer zwalnia do tempa ślimaka przy próbie otwarcia zwykłego arkusza kalkulacyjnego? To jedna z najbardziej frustrujących stron współczesnego modelu pracy zdalnej, ale to właśnie dlatego w branży tak głośno mówi się ostatnio o SASE.

Dawniej bezpieczeństwo sieciowe przypominało zamek z fosą – w biurze znajdował się potężny firewall i dopóki byłeś wewnątrz, czułeś się „bezpieczny”. Dziś jednak nasze dane są wszędzie. Korzystamy z Salesforce’a w kuchni, uzyskujemy dostęp do dokumentacji medycznej na tabletach czy sprawdzamy stany magazynowe bezpośrednio z hali produkcyjnej.

Zgodnie z opracowaniem przygotowanym przez IBM, SASE (wymawiane jako „sassy”) to skrót od Secure Access Service Edge. W uproszczeniu jest to sposób na połączenie funkcji sieciowych i bezpieczeństwa w jeden spójny pakiet dostarczany w chmurze. Dzięki temu nie musisz przesyłać całego ruchu z powrotem do zakurzonej serwerowni w centrali firmy tylko po to, by sprawdzić pocztę.

• SD-WAN (Sieć): To „mózg” operacji, który wyznacza najszybszą drogę dla Twoich danych, niezależnie od tego, czy korzystasz z 5G, domowego Wi-Fi, czy biurowego światłowodu.
• SSE (Bezpieczeństwo): To rola „bramkarza”. Skrót oznacza Security Service Edge – termin wprowadzony później jako wyspecjalizowany podzbiór szerszej architektury SASE, skupiający się wyłącznie na aspektach ochronnych.
• Brzeg sieci (The Edge): Zamiast jednego centralnego węzła, procesy bezpieczeństwa odbywają się w punktach obecności (PoP) znajdujących się blisko Twojej rzeczywistej lokalizacji.

Raport Gartnera z 2021 roku zdefiniował komponent bezpieczeństwa właśnie jako SSE. Jest to kluczowe, ponieważ eliminuje zjawisko „hairpinningu” – irytującego opóźnienia, w którym dane muszą pokonać setki kilometrów do centrum danych tylko po to, by wrócić do serwisu internetowego hostowanego tuż obok Ciebie.

Prowadząc sieć handlową lub małą placówkę medyczną, nie chcesz zarządzać dziesięcioma różnymi urządzeniami zabezpieczającymi. SASE upraszcza ten proces, przenosząc reguły zarządzania do chmury. Jak zauważa Microsoft, pomaga to egzekwować te same zasady bezpieczeństwa dla pracownika z laptopem w parku, jak i dla prezesa w sali konferencyjnej.

Nie chodzi tylko o prędkość, ale o to, by nie zostawiać otwartych cyfrowych tylnych drzwi. W dalszej części przyjrzymy się kluczowym komponentom, takim jak SD-WAN, oraz temu, jak w praktyce funkcjonuje warstwa bezpieczeństwa.

Rozkładamy komponenty SASE na czynniki pierwsze

Zastanawialiście się kiedyś, dlaczego sieć korporacyjna przypomina czasem wielki, splątany kłębek wełny, którego nikt nie chce dotykać? Szczerze mówiąc, dzieje się tak dlatego, że wciąż próbujemy rozwiązywać problemy z 2025 roku narzędziami z roku 2010. SASE to w zasadzie nożyczki, które w końcu pozwalają nam przeciąć ten bałagan.

Pomyślcie o SD-WAN jak o inteligentnym GPS-ie dla Waszych danych. Dawniej korzystaliśmy z linii MPLS – były to drogie, prywatne drogi płatne, które prowadziły wyłącznie do biura. Jeśli pracowaliście z domu, musieliście „jechać” aż do biura tylko po to, by wjechać na tę „bezpieczną” drogę do internetu. Było to powolne i, mówiąc wprost, mało opłacalne.

Zgodnie z artykułem na blogu CodiLime, SD-WAN oddziela sprzęt sieciowy od funkcji sterowania. Oznacza to, że nie jesteście uwiązani do jakiegokolwiek topornego routera w szafie serwerowej; to oprogramowanie decyduje, czy Wasza rozmowa na Zoomie powinna iść przez biurowy światłowód, połączenie 5G czy domowe łącze szerokopasmowe, bazując na tym, która opcja działa w danej chwili najlepiej.

• Rezygnacja ze sprzętu: Nie potrzebujecie miliona drogich skrzynek w każdym oddziale. „Mózg” całej operacji znajduje się w oprogramowaniu.
• Routing oparty na kondycji łącza: Jeśli główna linia internetowa zaczyna szwankować (jitter, opóźnienia – sami wiecie, jak to jest), SD-WAN automatycznie przenosi ruch na łącze zapasowe, a Wy nawet tego nie zauważacie.
• Cięcie kosztów: Możecie przestać płacić za „pozłacane” linie MPLS i po prostu korzystać ze zwykłego internetu, co z pewnością ucieszy dział finansowy.

Skoro SD-WAN to GPS, to SSE jest furgonetką opancerzoną. To ta bezpieczna strona medalu SASE. Jak wspominaliśmy wcześniej, Gartner ukuł ten termin, ponieważ niektóre firmy mają już ogarniętą kwestię sieci i potrzebują jedynie warstwy bezpieczeństwa.

SSE to przełom, ponieważ łączy w sobie takie narzędzia jak SWG (Secure Web Gateway – narzędzie filtrujące ruch sieciowy w celu blokowania złośliwych witryn), CASB (Cloud Access Security Broker – punkt kontrolny bezpieczeństwa między użytkownikami a aplikacjami w chmurze) oraz FWaaS (Firewall as a Service – zapora ogniowa w chmurze, która skaluje się wraz z ruchem) w jedną platformę. Raport Zscaler z 2024 roku dotyczący bezpieczeństwa AI zauważa, że SSE to podzbiór SASE, który koncentruje się wyłącznie na tych usługach bezpieczeństwa. (Zscaler 2024 AI Security Report). To idealne rozwiązanie dla firm typu „cloud-first”, które nie chcą zarządzać rozbudowaną infrastrukturą fizyczną w oddziałach.

SSE pomaga organizacjom uwolnić się od zjawiska „hairpinningu” – tej irytującej sytuacji, w której ruch musi trafić do centrum danych oddalonego o 500 kilometrów tylko po to, by zostać sprawdzonym przed przejściem na stronę internetową.

Możecie pomyśleć: „czy nie mogę po prostu kupić samej części dotyczącej bezpieczeństwa?”. Owszem, możecie. Ale SASE to wersja „lepiej razem”. Kiedy połączycie warstwę sieciową (SD-WAN) z bezpieczeństwem (SSE), otrzymujecie spójny system zarządzany z jednego poziomu (tzw. single pane of glass).

Weźmy na przykład sieć handlową, która wykorzystuje SASE do połączenia 500 sklepów. Zamiast instalować firewall i router w każdym punkcie, stosują jedną politykę SASE. Jeśli kasjer w Szczecinie spróbuje wejść na podejrzaną stronę, SWG natychmiast ją zablokuje, podczas gdy SD-WAN zadba o to, by transakcje kartą kredytową odbywały się najszybszą możliwą ścieżką.

W służbie zdrowia jest to jeszcze bardziej krytyczne. Lekarz prowadzący teleporadę z domu potrzebuje niskich opóźnień (dzięki SD-WAN), ale musi też zachować zgodność z przepisami o ochronie danych medycznych (dzięki SSE). Jeśli macie tylko połowę tej układanki, skończycie albo z klatkującym obrazem, albo z luką w bezpieczeństwie.

Widziałem to w praktyce w kilku branżach:

1. Finanse: Krajowa unia kredytowa wykorzystała SASE do skonsolidowania narzędzi bezpieczeństwa, ograniczając liczbę pulpitów nawigacyjnych, które ich zespół IT musiał monitorować.
2. Produkcja: Firma z zakładami na całym świecie wdrożyła to rozwiązanie, aby zabezpieczyć czujniki IoT bez konieczności wysyłania inżynierów do każdej lokalizacji w celu konfiguracji sprzętu.
3. Edukacja: Uniwersytety korzystają z SASE, aby umożliwić studentom dostęp do zasobów bibliotecznych z dowolnego miejsca, jednocześnie chroniąc główną sieć kampusu przed złośliwym oprogramowaniem, które ludzie nieuchronnie pobierają na swoje prywatne laptopy.

W SASE nie chodzi tylko o nowoczesną nazwę – chodzi o pewność, że osoba pracująca przy kuchennym stole ma taką samą ochronę, jak pracownicy w centrali firmy. W kolejnej części przyjrzymy się, dlaczego w świecie SASE „zaufanie” to brzydkie słowo.

Jak SASE wspiera wykrywanie zagrożeń

Zastanawialiście się kiedyś, dlaczego sieć „zabezpieczona” przez Waszą firmę sprawia wrażenie, jakby trzymała się na taśmie klejącej i słowie honoru? Zazwyczaj wynika to z faktu, że wciąż próbujemy ufać ludziom na podstawie tego, gdzie aktualnie siedzą – co, szczerze mówiąc, jest fatalnym podejściem do bezpieczeństwa w 2025 roku.

Sercem mechanizmu, dzięki któremu SASE faktycznie wyłapuje cyberprzestępców, jest koncepcja Zero Trust (brak zaufania). W dawnych czasach, jeśli byłeś w biurze, sieć z góry zakładała, że jesteś „tym dobrym”. Zero Trust wywraca to podejście do góry nogami – zakłada, że każdy jest potencjalnym zagrożeniem, dopóki nie udowodni, że jest inaczej.

Jak wspomniano we wcześniejszej części przewodnika opracowanego przez Microsoft, nie chodzi tu o jednorazowe logowanie. Kluczem jest dostęp oparty na tożsamości (identity-driven access). System nieustannie weryfikuje: Czy to na pewno CEO? Dlaczego loguje się z tabletu w innym kraju o 3 rano?

• Kontekst jest najważniejszy: Platforma SASE analizuje stan techniczny Twojego urządzenia, lokalizację oraz to, do czego próbujesz uzyskać dostęp, zanim w ogóle wpuści Cię do środka.
• Mikrosegmentacja: Zamiast dawać Ci klucze do całego zamku, otrzymujesz dostęp wyłącznie do konkretnej aplikacji, której potrzebujesz. Jeśli haker ukradnie Twoje hasło, zostanie uwięziony w jednym pokoju, zamiast swobodnie poruszać się po całym budynku.
• Kontrola stanu urządzenia (Device Health Check): Narzędzia ochrony punktów końcowych sprawdzają, czy Twój laptop ma włączony firewall i zaktualizowane oprogramowanie, zanim interfejs API w ogóle pozwoli na połączenie.

Jedną z najciekawszych cech SASE w zakresie wykrywania zagrożeń jest to, że czyni Twoje aplikacje „niewidzialnymi” (dark). W standardowej konfiguracji Twoja brama VPN jest po prostu widoczna w Internecie, niemalże machając flagą do hakerów.

Według raportu Trend Micro z 2024 roku, ZTNA (Zero Trust Network Access) zastępuje te ociężałe systemy VPN i ukrywa Twoje zasoby przed publiczną siecią Web. Jeśli haker przeskanuje Internet w poszukiwaniu firmowej aplikacji płacowej, po prostu jej nie znajdzie. Dla niego ona nie istnieje, ponieważ „bramkarz” SASE pokazuje drzwi tylko tym, którzy zostali już pomyślnie zweryfikowani.

Ponieważ cały Twój ruch przepływa przez chmurę SASE, system może wykorzystać sztuczną inteligencję (AI) do wyłapywania dziwnych wzorców, których człowiek mógłby nie zauważyć. To jak posiadanie ochroniarza, który na pamięć zna sposób chodzenia i mówienia każdego pracownika.

Analiza Zscaler z 2024 roku (wspomniana wcześniej) wyjaśnia, że ponieważ SSE (Security Service Edge) jest rozwiązaniem natywnie chmurowym, może przeprowadzać głęboką inspekcję zaszyfrowanego ruchu bez spowalniania Internetu do poziomu starego modemu.

Większość dzisiejszego złośliwego oprogramowania ukrywa się wewnątrz zaszyfrowanego ruchu. Tradycyjne zapory ogniowe (firewalle) mają problem z „zajrzeniem” do tych pakietów, ponieważ wymaga to ogromnej mocy obliczeniowej. Jednak SASE, działając na brzegu sieci (Edge), może błyskawicznie otwierać te pakiety, sprawdzać je pod kątem wirusów przy użyciu uczenia maszynowego i zamykać z powrotem w ciągu milisekund.

Widziałem, jak to rozwiązanie ratowało firmy z różnych branż:

1. Opieka zdrowotna: Lekarz korzysta z prywatnego iPada, aby sprawdzić kartę pacjenta. System SASE wykrywa, że urządzenie nie jest zaszyfrowane i blokuje dostęp do danych medycznych, pozwalając mu jednak na sprawdzenie służbowej poczty.
2. Handel detaliczny: Kierownik sklepu w galerii handlowej próbuje pobrać podejrzany załącznik. SWG (Secure Web Gateway) wyłapuje sygnaturę złośliwego oprogramowania w chmurze, zanim w ogóle trafi ono do lokalnej sieci sklepu.
3. Finanse: Krajowa spółdzielnia kredytowa wykorzystuje SASE, aby mieć pewność, że nawet jeśli fizyczne łącze internetowe oddziału zostanie naruszone, dane pozostaną zaszyfrowane, a połączenia typu „inside-out” uniemożliwią napastnikom poruszanie się wewnątrz struktury sieci.

Wszystko sprowadza się do maksymalnego zmniejszenia powierzchni ataku. Jeśli przestępcy nie widzą Twoich aplikacji, a AI monitoruje każdy nietypowy ruch, jesteś na znacznie wygranej pozycji.

W następnej części omówimy, jak cała ta architektura SASE ułatwia życie – i sprawia, że zarządzanie infrastrukturą staje się po prostu tańsze.

Realne korzyści dla Twojego biznesu

Bądźmy szczerymi – nikt nie budzi się rano z ekscytacją na myśl o zarządzaniu sieciowym firewallem. To zazwyczaj niewdzięczna praca, o której przypominasz sobie tylko wtedy, gdy internet zwalnia lub VPN odmawia posłuszeństwa. SASE (Secure Access Service Edge) realnie to zmienia, sprawiając, że cały ten chaos staje się znacznie prostszy w obsłudze, a przy okazji pozwala zaoszczędzić konkretne pieniądze.

Jednym z największych problemów w branży IT jest „zmęczenie konsolami”. Masz jeden ekran do routerów, drugi do firewalli i być może trzeci do bezpieczeństwa w chmurze. To wykańczające. Według danych Zscaler, SSE (czyli komponent bezpieczeństwa w modelu SASE) pozwala skonsolidować wszystkie te punktowe rozwiązania w jedną platformę. To naturalnie obniża koszty operacyjne i sprawia, że dział finansowy przestaje patrzeć Ci na ręce.

• Koniec z „mentalnością pudełkową”: Nie musisz już kupować drogiego sprzętu za każdym razem, gdy otwierasz nowy oddział firmy. Ponieważ bezpieczeństwo przenosi się do chmury, wystarczy podłączyć zwykłe łącze internetowe i gotowe.
• Redukcja kosztów MPLS: Jak wspomnieliśmy wcześniej, możesz przestać płacić za te przepłacone linie prywatne. SASE wykorzystuje publiczny internet, ale sprawia, że działa on jak sieć prywatna – co dla budżetu jest absolutnym przełomem.
• Skalowanie bez dramatów: Jeśli jutro zatrudnisz 50 nowych osób, nie musisz zamawiać 50 nowych tokenów sprzętowych ani szukać większego koncentratora VPN. Po prostu aktualizujesz licencję w chmurze i działasz dalej.

Wszyscy to znamy – próbujesz dołączyć do rozmowy na Zoomie, podczas gdy VPN „zapętla” (hairpinning) Twój ruch przez centrum danych na drugim końcu kraju. Opóźnienia są tak duże, że masz ochotę wyrzucić laptopa przez okno. Dzięki temu, że SASE korzysta z punktów obecności (PoP – Points of Presence), o których mówiliśmy, weryfikacja bezpieczeństwa odbywa się blisko użytkownika.

Raport Zscaler z 2024 roku wyjaśnia, że ta rozproszona architektura oznacza, iż pracownik w kawiarni cieszy się taką samą prędkością łącza, jak osoby siedzące w biurze głównym.

Widziałem, jak sprawdza się to w praktyce w różnych branżach:

1. Handel detaliczny: Kierownik sklepu musi sprawdzić stan magazynowy na tablecie. Zamiast czekać na powolne połączenie z zapleczem, SASE bezpiecznie kieruje go bezpośrednio do aplikacji w chmurze.
2. Finanse: Doradca kredytowy pracujący z domu może uzyskać dostęp do wrażliwych baz danych bez oglądania „kręcącego się kółka ładowania VPN” przy każdym kliknięciu przycisku „zapisz”.
3. Produkcja: Zdalne zakłady mogą podłączać swoje czujniki IoT do chmury bez konieczności wysyłania na miejsce informatyka za każdym razem, gdy fizyczny firewall złapie zawieszenie.

W skrócie chodzi o to, aby bezpieczeństwo stało się niewidoczne. Gdy wszystko działa poprawnie, Twoi pracownicy nawet nie wiedzą o jego istnieniu – widzą po prostu, że ich aplikacje działają błyskawicznie. W kolejnej części podsumujemy, jak zacząć wdrażać tę technologię, nie niszcząc przy tym infrastruktury, którą już zbudowałeś.

Wdrażanie SASE bez zbędnych komplikacji

Zdecydowałeś się na przejście na model SASE, ale obawiasz się, że przy okazji „rozłożysz” całą istniejącą infrastrukturę? Szczerze mówiąc, większość osób ma podobne obawy – nikt nie chce być tym gościem, który przez przypadek wyłączy sieć firmową we wtorek rano.

Wdrożenie SASE nie musi być koszmarem typu „wyrywamy wszystko i budujemy od zera”. Możesz robić to etapami, co jest znacznie lepsze zarówno dla Twojego spokoju ducha, jak i dla budżetu.

Najrozsądniejszym sposobem na start jest zajęcie się tym, co sprawia najwięcej problemów – zazwyczaj jest to przestarzały, ociężały VPN. Jak wspominaliśmy wcześniej, zastąpienie klasycznego VPN-a rozwiązaniem ZTNA (Zero Trust Network Access) to idealny pierwszy krok. Zapewnia ono pracownikom zdalnym większą prędkość i znacznie lepsze bezpieczeństwo, a wszystko to bez konieczności ingerencji w sprzęt biurowy.

• Zidentyfikuj swoje „klejnoty koronne”: Zacznij od umieszczenia najbardziej wrażliwych aplikacji pod ochroną „bramkarza” SASE.
• Wybierz grupę pilotażową: Zaangażuj kilku biegłych technicznie pracowników z działu marketingu lub sprzedaży, aby przetestowali nowy dostęp przed wdrożeniem go w całej firmie.
• Uporządkuj polityki: Wykorzystaj tę zmianę jako pretekst do usunięcia starych kont użytkowników, które wiszą w systemie od trzech lat.

Raport Zscaler z 2024 roku wskazuje, że monitorowanie doświadczeń cyfrowych (Digital Experience Monitoring) staje się integralną częścią platform SASE, co jest przełomowe. Dzieje się tak, ponieważ SASE znajduje się bezpośrednio między użytkownikiem a aplikacją, mając wgląd w dane o wydajności w czasie rzeczywistym. Oznacza to, że możesz precyzyjnie określić, dlaczego połączenie użytkownika jest wolne – czy to wina słabego Wi-Fi w jego domu, czy realny problem z siecią – zanim jeszcze zadzwoni on do działu wsparcia.

Nie musisz kupować wszystkiego od jednego dostawcy, jeśli nie chcesz. Niektóre firmy preferują model „single-vendor” dla maksymalnej prostoty, podczas gdy inne wybierają model „dual-vendor”, zachowując istniejącą infrastrukturę sieciową i nakładając na nią nową warstwę bezpieczeństwa w chmurze.

Wspomniany wcześniej poradnik Microsoftu sugeruje, aby wdrożenie SASE było zintegrowane z Twoimi obecnymi dostawcami tożsamości. Jeśli korzystasz już z logowania jednokrotnego (SSO), upewnij się, że Twoje narzędzie SASE idealnie z nim współpracuje, aby pracownicy nie musieli zapamiętywać kolejnego hasła.

Widziałem, jak to etapowe podejście sprawdziło się w różnych scenariuszach:

1. Edukacja: System uniwersytecki zaczął od zabezpieczenia baz danych bibliotecznych za pomocą ZTNA, a następnie stopniowo przeniósł bezpieczeństwo sieci Wi-Fi na kampusie do chmury.
2. Produkcja: Globalna firma zachowała swój sprzęt fabryczny, ale przeniosła cały dostęp dla kontrahentów na platformę SASE, aby utrzymać główną sieć w trybie „dark” (niewidoczną dla osób z zewnątrz).
3. Handel detaliczny: Sieć sklepów najpierw dodała zapory ogniowe w chmurze (FWaaS) w swoich nowych placówkach, pozostawiając starsze punkty przy tradycyjnej technologii do czasu wygaśnięcia umów na serwis sprzętu.

Podsumowując, SASE to podróż, a nie projekt na jeden weekend. Zacznij od małych kroków, udowodnij, że to działa, a potem skaluj rozwiązanie. Twoja sieć – i Twój harmonogram snu – z pewnością Ci za to podziękują.