SASE và sự phát triển của bảo mật WAN

Các doanh nghiệp không ngừng phát triển và công nghệ của họ cũng cần phát triển theo. Do các sáng kiến ​​chuyển đổi kỹ thuật số và nhu cầu hỗ trợ mở rộng cơ sở khách hàng, hầu hết các tổ chức đã giao dịch trong mạng cục bộ của công ty (LAN), bao gồm các máy chủ và máy trạm được kết nối trực tiếp với mạng doanh nghiệp, cho một mạng diện rộng toàn cầu (WAN ) bao gồm mạng LAN của nhiều trang web, lực lượng lao động từ xa đang mở rộng và cơ sở hạ tầng đám mây đang phát triển.

Theo thời gian, cách các tổ chức sử dụng mạng WAN của họ đã thay đổi đáng kể. Với những thay đổi này, đưa ra các giải pháp mới để tối ưu hóa hiệu suất và bảo mật của các mạng rộng lớn này. Khi công việc từ xa trở nên phổ biến hơn, các giải pháp bảo mật WAN kế thừa, chẳng hạn như mạng riêng ảo (VPN), không có khả năng cung cấp mức hiệu suất và bảo mật mà các công ty yêu cầu.

Cạnh dịch vụ truy cập an toàn (SASE) đại diện cho giai đoạn mới nhất trong quá trình phát triển của mạng WAN công ty. Sự hiểu biết về SASE là gì và cách nó cải thiện dựa trên các giải pháp bảo mật WAN trước đây là điều cần thiết khi các tổ chức khám phá các tùy chọn để sửa chữa những khiếm khuyết của cơ sở hạ tầng dựa trên VPN kế thừa.

Mạng riêng ảo kế thừa

VPN là giải pháp phổ biến nhất và được chấp nhận rộng rãi để triển khai mạng WAN an toàn. VPN cho phép kết nối điểm-điểm an toàn bằng cách tạo một đường hầm được mã hóa giữa điểm cuối VPN và máy khách VPN hoặc điểm cuối khác. Điều này cho phép các tổ chức liên kết an toàn các mạng cục bộ (LAN) của nhiều trang web hoặc kết nối nhân viên từ xa với mạng công ty.

Mặc dù VPN là giải pháp phổ biến nhất để tạo mạng WAN, nhưng chúng không phải là giải pháp lý tưởng. Bản chất điểm-điểm của các kết nối VPN có nghĩa là độ phức tạp của mạng VPN tăng lên theo cấp số nhân với số lượng các trang web.

Ngoài ra, VPN chỉ cung cấp các đảm bảo bảo mật có giới hạn cho tổ chức. Chúng được thiết kế để cung cấp trải nghiệm người dùng tương tự như trải nghiệm được kết nối trực tiếp với mạng nơi đặt điểm cuối VPN. Nếu tổ chức chưa triển khai bảo mật mạng nội bộ, chẳng hạn như phân đoạn mạng hoặc bảo mật không tin cậy, thì nội bộ độc hại hoặc điểm cuối bị xâm phạm được kết nối với mạng doanh nghiệp qua VPN có thể cung cấp quyền truy cập hoàn toàn vào mạng doanh nghiệp.

Cải thiện bảo mật với quyền truy cập mạng Zero-Trust

Trong quá khứ, nhiều tổ chức đã dựa vào mô hình bảo mật dựa trên chu vi. Theo mô hình này, bất kỳ thứ gì trong chu vi mạng được coi là “đáng tin cậy” trong khi bất kỳ thứ gì bên ngoài chu vi là “không đáng tin cậy”.

VPN được thiết kế để cho phép các tổ chức tiếp tục áp dụng mô hình này mặc dù thực tế là các nhân viên làm việc từ xa “đáng tin cậy” hoạt động bên ngoài phạm vi mạng. Tuy nhiên, sự phổ biến ngày càng tăng của mô hình bảo mật zero-trust đã thúc đẩy sự phát triển của các giải pháp bảo mật WAN mới.

Truy cập mạng không tin cậy (ZTNA) và chu vi được xác định bằng phần mềm (SDP) là hai tên gọi cho giai đoạn tiếp theo trong sự phát triển của bảo mật WAN. Thay vì áp dụng các biện pháp kiểm soát bảo mật ở chu vi mạng, ZTNA và SDP được thiết kế để thực thi bảo mật ở cấp ứng dụng.

Thông qua việc sử dụng phân đoạn vi mô, ZTNA cung cấp cho người dùng bên ngoài quyền truy cập vào một ứng dụng cụ thể hơn là quyền truy cập vào toàn bộ mạng. Điều này cho phép một tổ chức thực thi đặc quyền ít nhất, nơi người dùng chỉ yêu cầu quyền truy cập vào các ứng dụng mà họ yêu cầu để thực hiện các vai trò công việc và có quyền tối thiểu có thể cho các ứng dụng này. Phương pháp tiếp cận bảo mật tập trung vào ứng dụng này cũng cho phép ZTNA thu thập thông tin chi tiết hơn về người dùng so với VPN, cho phép phát hiện và phản hồi các mối đe dọa được nhắm mục tiêu hơn.

Ngoài ra, ZTNA sử dụng mô hình truy cập “từ trong ra ngoài”, nơi các địa chỉ IP nội bộ không được tiết lộ công khai. Không giống như các VPN để lộ các điểm cuối VPN là mục tiêu tấn công tiềm ẩn, ZTNA không phát bất kỳ thông tin nào ra bên ngoài mạng. Điều này cho phép họ giới hạn thông tin có sẵn về cơ sở hạ tầng mạng của tổ chức và các ứng dụng mà tổ chức đó chứa cho người dùng bên ngoài (có khả năng độc hại).

Mặc dù có nhiều ưu điểm hơn VPN, ZTNA không phải là một giải pháp hoàn hảo. ZTNA được thiết kế chủ yếu như một giải pháp bảo mật và không giải quyết các mối quan tâm về mạng, chẳng hạn như khả năng mở rộng và hiệu suất. Do đó, ZTNA phải được kết hợp với các giải pháp khác để triển khai một mạng WAN chức năng và an toàn.

Tích hợp mạng và bảo mật với Edge dịch vụ truy cập an toàn

SASE được thiết kế để giải quyết các hạn chế của cả VPN và ZTNA. Nó cung cấp tích hợp mạng và bảo mật đầy đủ trong một giải pháp có khả năng mở rộng để đáp ứng nhu cầu của doanh nghiệp. Khái niệm tích hợp mạng và bảo mật không phải là một khái niệm mới. Các giải pháp mạng bảo mật do phần mềm xác định (SD-WAN) là các công cụ được thiết kế để cung cấp cả việc định tuyến tối ưu lưu lượng mạng qua nhiều phương tiện truyền tải và một ngăn xếp bảo mật tích hợp bao gồm các giải pháp như tường lửa thế hệ tiếp theo (NGFW) và cổng web an toàn (SWG) . Mặc dù có những ưu điểm này, nhưng SD-WAN bị hạn chế bởi thực tế là nó thường phụ thuộc vào các thiết bị vật lý.

SASE giải quyết vấn đề này bằng cách lưu trữ các giải pháp SD-WAN an toàn nguyên bản trên đám mây. Bằng cách xác định các điểm hiện diện (PoP) của SASE dựa trên đám mây và kết nối chúng với các liên kết mạng chuyên dụng, hiệu suất cao, SASE cung cấp độ tin cậy, khả năng mở rộng và đảm bảo hiệu suất theo yêu cầu của doanh nghiệp hiện đại. Vì mỗi PoP chứa chức năng định tuyến và bảo mật mạng tích hợp, SASE chuyển bảo mật sang biên mạng, giảm thiểu độ trễ và tác động đến hiệu suất liên quan đến việc cung cấp khả năng hiển thị đầy đủ và kiểm tra bảo mật đối với tất cả lưu lượng mạng WAN của tổ chức.

Xây dựng An ninh cho Doanh nghiệp Hiện đại

Khi các doanh nghiệp phát triển và phát triển, các yêu cầu về mạng của họ cũng thay đổi theo. Theo thời gian, các giải pháp kế thừa để triển khai mạng WAN an toàn đã được chứng minh là không có khả năng đáp ứng nhu cầu kinh doanh. Hiện đại trong bảo mật mạng WAN không ngừng phát triển, và, theo Gartner, “Tương lai của an ninh mạng là trên đám mây”.