چگونه امنیت سرویس‌ها و تجهیزات لبه شبکه را تامین کنیم؟

SASE شبکه و امنیت را به یک سرویس ابرمحور تبدیل می‌کند تا دسترسی به منابع سازمانی به شکل ساده‌ای فراهم شود. مزیت‌های SASE تنها در دسترسی آسان به منابع خلاصه نمی‌شود، این فناوری با حذف پیچیدگی‌های مرسوم، قابلیت‌های مهم جدیدی در اختیار کارشناسان امنیت قرار می‌دهد تا بتوانند به الزامات دسترسی پویا که به دلیل تحول دیجیتال ایجاد می‌شود به درستی پاسخ دهند. علاوه بر این امکان دسترسی امن به خدمات ابرمحور را برای کاربرانی که در موقعیت‌های جغرافیایی مختلف قرار دارند فراهم می‌کند. پیش‌بینی می‌شود حدود 40 درصد مشتریان شبکه گسترده نرم‌افزارمحور تا سال 2024 به‌طور کامل از راه‌حل SASE استفاده کنند. این رقم در سال 2020 نزدیک به 35 درصد بود.» در این مطلب با کاربردها و الگوهای این معماری آشنا می‌شویم تا مدیران ارشد امنیت اطلاعات دقیقی در ارتباط با آن به‌دست آورند.

چگونه امنیت سرویس‌ها و تجهیزات لبه شبکه را تامین کنیم؟

• افزایش تعداد نقاط پایانی شبکه نظیر تجهیزات اینترنت اشیا و اینترنت اشیای پزشکی باعث شده تا مبحث امنیت تجهیزات مستقر در لبه شبکه مورد توجه قرار گیرد. شیوع ویروس کرونا باعث شد تا سازمان‌های بیشتری به سراغ راه‌حل‌های مبتنی بر معماری (SASE) سرنام Secure Access Service Edge بروند که ترکیبی از شبکه گسترده نرم‌افزارمحور و فناوری‌های امنیتی است. در معماری فوق به جای استفاده از اطلاعات موقعیتی نظیر مکان مرکز داده، ماشین مجازی یا آدرس آی‌پی اجازه دسترسی به برنامه‌های کاربردی، منابع داده‌ای یا کلاینت‌های تحت شبکه بر اساس هویت شخص، دستگاه یا برنامه کاربردی ارائه شود. موسسه گارتنر اواخر سال 2019 گزارشی تحت عنوان “آینده امنیت شبکه به زیرساخت ابر وابسته است” منتشر کرد و در آن گزارش SASE را این‌گونه توصیف کرد: «SASE معماری نوپا و ابرمحوری است که آینده روشنی پیش روی سازمان‌ها قرار می‌دهد. 
• قبل از سال 2020، مدیران ارشد امنیت اطلاعات به‌طور پیوسته دامنه سازوکارهای امنیتی خود را گسترش می‌دادند تا بتوانند همسو با توسعه تجهیزات سخت‌افزاری، ابرمحور شدن نرم‌افزارها و تولید حجم گسترده‌ای از داده‌ها که به دلیل گسترش روزافزون اینترنت اشیا و اینترنت اشیا پزشکی تولید می‌شوند پویایی سازمان را حفظ کنند. پس از شیوع ویروس کرونا، شرکت‌ها تلاش کردند تا امکان دورکاری را برای کارمندان فراهم کنند. شتاب در تسریع این اقدام باعث شد سازمان‌ها با تهدیدات سایبری جدیدی روبرو شوند؛ زیرا برخلاف شرایط کاری عادی دیگر زمان بررسی دقیق مباحث امنیتی فراهم نبود. زمانی که حملات بمب‌گذاری منطقی در زیرساخت زوم آغاز شد، بیشتر مدیران ارشد امنیت اطلاعات با نگرانی‌های جدیدی نظیر آسیب‌پذیری‌های شبکه وای‌فای خانگی، کلاهبرداری فیشینگ، باج‌افزار و سوء استفاده از لپ‌تاپ‌های کاری در منازل و استفاده مشترک از کامپیوترهای خانگی کارمندان با سایر اعضا خانواده روبرو شدند. در شرایطی که بیشتر سازمان‌ها به سرعت توانستند خط‌مشی‌های امنیتی مشخصی درباره کار در خانه آماده کنند، اما آمادگی کامل برای نظارت بر عملکرد کارمندان دورکار شیفت شب را نداشتند. بیشتر سازمان‌ها در سال 2020 مجبور شدند طرح‌های خودشان برای استفاده از خدمات ابری را گسترش دهند و از سرویس‌های اجاره‌ای (SaaS) برای فراهم کردن ارتباط از راه دور، تعامل با کارمندان، شرکا و مشتریان استفاده کنند. این شرایط برنامه‌ریزی نشده کارشناسان امنیتی را مجبور کرد به سراغ راه‌حل پیاده‌سازی زیرساخت مبتنی بر اعتماد صفر (Zero Trust) بروند که یک مدل امنیتی مدیریت و کنترل شبکه است که سازمان‌های فناوری‌محور از آن استفاده می‌کنند. در مدل امنیتی فوق به شکل پیش‌فرض به هیچ ماشین، سرویس یا کاربری اعتماد نمی‌شود و در تمام مراحل و هر زمان کاربران یا دستگاه‌ها نیازمند دسترسی به سرویس خاصی هستند باید احراز هویت و تایید شوند. علاوه بر این، دسترسی‌ کلاینت‌های تحت شبکه به شکل حداقل سطح دسترسی به منابع موردنیاز تعریف می‌شود. ارزیابی‌های انجام شده نشان می‌دهند که سازمان‌ها برای غلبه بر تهدیدات امنیتی و محافظت از داده‌ها، مالکیت معنوی و سایر منابع و دارایی‌های سازمانی باید از راه‌حل‌های جامع امنیتی در لبه‌های شبکه استفاده کنند. اگر کسب‌وکاری دارید که برای ادامه حیات باید از سرویس‌های ابرمحور استفاده کند یا در نظر دارید خدمات ابرمحوری در اختیار مشتریان یا کارمندان قرار دهید، باید از بهترین الگوهای امنیتی برای محافظت از زیرساخت‌های کسب‌وکار خود استفاده کنید. گارتنر معتقد است در آینده معماری SASE کلید حل مشکلات رایج امروزی سازمان‌ها است. 

SASE چیست؟

SASE فناوری نوظهوری در حوزه امنیت سایبری و به ویژه زیرساخت‌های ابر محور است که اولین بار در سال 2019 میلادی ارائه شد. SASE شبکه گسترده نرم‌افزارمحور و مکانیزم‌های امنیتی را با یکدیگر ترکیب می‌کند تا سازمان‌ها بتوانند امنیت لبه و تجهیزات مستقر در لبه شبکه را به شکل بهتری مدیریت کنند. موسسه گارتنر پیش‌بینی می‌کند تا سال 2024 میلادی حدود 40 درصد شرکت‌ها، برنامه‌های راهبردی مشخصی برای پیاده‌سازی SASE خواهند داشت. علاوه بر این میزان نقدینگی بازار SASE تا سال 2024 به رقم 11 میلیارد دلار خواهد رسید. البته به این نکته مهم دقت کنید که راه‌حل‌های SASE یکسان نیستند و هر شرکتی راه‌حل خاص خود را ارائه می‌کند، زیرا شرکت‌ها پیش‌زمینه‌های متفاوتی در ارتباط با شبکه گسترده نرم‌افزارمحور و مکانیزم‌های امنیتی دارند. با این‌حال، SASE مجموعه‌ای متشکل از مولفه‌های مختلف است که از مهم‌ترین آن‌ها به موارد زیر می‌توان اشاره کرد:

• کارگزاران امنیت دسترسی ابر (CASB) سرنام  Cloud Access Security Brokers
• دیوارآتش در قالب سرویس (FWaaS) سرنام Firewall As a Service
• سامانه پیشگیری از نفوذ (IPS)
• دروازه‌های وب امن (SWG) سرنام Secure Web Gateways
• دسترسی به شبکه با اعتماد صفر (ZTNA) Zero Trust Network Access

در سال 2020 میلادی، گارتنر قابلیت‌های دیگری نظیر جعبه شن، محافظت از واسط‌های برنامه‌نویسی کاربردی، تفکیک مرورگر از راه دور (RBI)، سامانه نام دامنه بازگشتی و شبکه خصوصی مجازی سنتی را از دیگر مولفه‌های راه‌حلSASE  برشمرد. 

ترکیب این قابلیت‌ها در قالب راه‌حلی واحد به‌نام SASE به میزان قابل توجهی باعث ساده‌تر شدن معماری پیچیده‌ای می‌شود که ترکیبی از راه‌حل‌های امنیتی مختلف است. این کاهش پیچیدگی مزیت بزرگ دیگری نیز دارد که زمان تاخیر را کاهش می‌دهد. با توجه به این‌که SASE ویژه محیط‌های ابری است، قابلیت‌ها و امکانات آن به شکل سرویس‌های ابری ارائه می‌شوند. گارتنر پیش‌بینی می‌کند بیست درصد شرکت‌ها تا سال 2023 برای استفاده از خدمات SWG ،FWaaS ،CASB و ZTNA به سراغ فروشندگانی می‌روند که خدمات فوق را در قالب یک راه‌حل واحد ارائه می‌کنند. یکی از ویژگی‌های مهم SASE امکان پیاده‌سازی امنیت به شیوه اعتماد صفر در لبه‌های شبکه است که اجازه می‌دهد دسترسی بر مبنای هویت اشخاص یا دستگاه‌ها انجام شود. SASE قابلیت‌های دسترسی پویایی نظیر اعمال خط‌مشی‌های امنیتی لحظه‌ای که سازمان‌های بزرگ به آن نیاز دارند را فراهم می‌کند.

 تاثیر شیوع ویروس کرونا  بر SASE

‌در سال‌های گذشته سازمان‌ها برنامه‌های راهبردی مرتبط با تحول دیجیتالی که شامل برنامه‌ریزی‌های تجاری و عرضه خدمات بودند را پیاده‌سازی کردند. به لحاظ سنتی بودجه امنیتی سازمان‌ها میان محیط ابر و زیرساخت‌های درون سازمانی توزیع می‌شود، اما تحولات چند وقت اخیر نشان داد که این سرمایه‌گذاری به سمت زیرساخت ابر عمومی متمایل خواهد شد. اتفاقات سال 2020 میلادی اختلال بزرگی در فعالیت‌های تجاری سازمان‌ها و زنجیره تامین به وجود آورد. در حالی که تلاش‌های مستمر کارشناسان فناوری اطلاعات با هدف آماده‌سازی زیرساختی برای انجام فعالیت‌ها از راه دور و ارائه راه‌حل‌های جدید در این زمینه موفقیت‌‌آمیز بودند، اما تیم‌های امنیت سایبری هنوز برنامه راهبردی جامع و دقیقی برای ایمن‌سازی زیرساخت‌های ابری تدوین نکرده‌اند. حوزه‌های مهمی که باید به آن‌ها رسیدگی شود، مدیریت هویت‌ها در محیط ابری، کنترل دسترسی، کنترل مجوزهای کار با داده‌ها و منابع و نظارت و مدیریت بر مخاطرات بستر ابری است. تغییر ناگهانی شبکه‌های سازمانی، باعث شد تا فرآیند هماهنگ‌سازی دسترسی امن به شبکه‌ها سخت‌تر شود. امروزه، به جای مراقبت از دفاتر یک شرکت که تعداد آن‌ها مشخص هستند، بخش فناوری‌اطلاعات و امنیت باید با صدها یا هزاران کارمندی که از منازل و وسایل مختلف کار می‌کنند و به سرویس‌های مختلف ابری متصل هستند در تعامل باشند. با توجه به این‌که بخش فناوری‌اطلاعات سازمان‌ها مجبور شدند در مدت زمان کوتاهی راه‌حل‌های موردنیاز را پیاده‌سازی کنند، برخی از خریدهای مرتبط با حوزه امنیت به جای آ‌ن‌که بر مبنای تحلیل نیازهای واقعی انجام شود، بر مبنای ضرورت انجام شد. سازمان‌ها در سال 2020 متوجه شدند که باید نسبت به گذشته چابک‌تر و مقاوم‌تر باشند. دو رویکردی که تحت عنوان امنیت چابک (Agile Security) و خودترمیمی/مقاومت امنیتی (Security Resiliency) از آن‌ها نام برده می‌شود. SASE راه‌حلی است که دستیابی به هر دو مفهوم را امکان‌پذیر می‌کند. یکی دیگر از گرایش‌های نوظهور سال 2020 تداوم کسب‌وکار (Business Continuity) بود. با وجود این‌که از دیدگاه مدیریت مخاطره بحث برنامه‌ریزی برای تداوم کسب‌وکار موضوع مهمی است، اما به‌طور معمول این برنامه‌ریزی‌ها برای رخداد‌هایی نظیر سیل یا قطعی برق انجام می‌شدند، با این‌حال شیوع ویروسی در مقیاس جهانی تاثیر منفی بر فعالیت تمامی صنایع بر جای گذاشت. فناوری SASE در مقایسه با راه‌حل‌های سنتی و درون سازمانی بهتر می‌تواند از ویژگی‌های دیجیتالی شدن کسب‌وکار‌ها حمایت کند. علاوه بر این، SASE با ارائه قابلیت‌های تشخیص بدافزار، پیشگیری از نفوذ و نظارت رفتاری با هدف کاهش احتمال اختلال در کار در اثر حوادث امنیتی به تداوم کسب‌وکارها کمک می‌کند. 

SASE چه مزایایی برای کسب‌وکارها دارد؟

SASE با ارائه یک راه‌حل‌ امنیتی نوین واحد به میزان قابل توجهی پیچیدگی‌های رایج و زمان تاخیر شبکه را کم می‌کند. با این‌حال، فناوری فوق مزایای دیگری نیز دارد که از آن جمله می‌توان به موارد زیر اشاره کرد:

•  قدرت تطبیق با تغییرات کسب‌وکارها.
•  عملکرد بیشتر و تاخیر کمتر.
•  گسترش‌پذیری زیاد.
•  ارائه یک سازوکار مدیریتی ساده که اجازه می‌دهد کارشناسان امنیتی به شکل ساده‌تری به مدیریت قابلیت‌های امنیتی بپردازند. 
•  نظارت پیوسته بر ارتباطات، رفتار کاربران، نشست‌ها و داده‌ها.
•  اعمال خط‌مشی‌های پویا.
•  عدم بروز تداخل در فعالیت‌‌های روزمره کارمندان.
•  خدمت‌رسانی خودکار.

کاربردهای SASE

از مهم‌ترین کاربردهای SASE به موارد زیر می‌توان اشاره کرد:

• کاربرانی که به‌طور دائم در سفر هستند و از وای‌فای کافی‌شاپ یا هتل‌ها استفاده می‌کنند، از اینترنت عمومی برای دسترسی به منابع سازمانی استفاده می‌کنند. SASE می‌تواند همزمان با کاهش مخاطره وای‌فای عمومی، امکان دسترسی محدود به داده‌ها و برنامه‌های کاربردی را ارائه کند. در این زمینه عملکرد SASE هوشمندانه‌تر از راه‌حل‌های سنتی است.  
• سناریوهای دورکاری و کار در منزل که تجهیزات شبکه و کامپیوترها توسط سایر اعضا خانواده به شکل مشترک استفاده می‌شود، ممکن است باعث بروز رخنه‌های امنیتی شود. SASE می‌تواند برای کنترل دسترسی به منابع و برنامه‌های کاربردی راه‌حل جامعی ارائه کند. شعب مختلف یک سازمان می‌توانند از منابع سازمانی استفاده کنند، بدون آن‌که نیاز به راه‌حل‌های محلی اختصاصی ضرورتی داشته باشد. علاوه بر این، شعب می‌توانند به‌طور همزمان از سرعت بالای دسترسی محلی بهره‌مند شوند. 
• SASE این امکان را فراهم می‌کند تا مجوزهای دسترسی گروه‌های کاری مختلف را بر مبنای تغییرات انجام شده در گروه‌ها ویرایش کرد. به‌طور مثال، برخی از کارمندان فقط برای مدتی محدود قرارداد همکاری با یک تیم را دارند. در این حالت، می‌توان دسترسی موقتی به افراد داد تا پس از اتمام پروژه دسترسی آن‌ها به‌طور خودکار قطع شود. 
• SASE یک مکانیزم نرم‌افزاری واحد برای امن‌سازی لبه‌های شبکه، مراکز داده و خدمات ابری محاسباتی لبه، اینترنت اشیا و اینترنت اشیای صنعتی فراهم می‌کند. 

چه شرکت‌هایی راه‌حل SASE را ارائه می‌کنند؟

با توجه به این‌که فناوری فوق تقریبا نوظهور است، نباید انتظار داشته باشید در زمان نگارش این مقاله در ایران شرکتی چنین راه‌حلی را ارائه کند. با این‌حال، در خارج از ایران، شرکت‌های ارائه‌دهنده سرویس‌های SASE ترکیبی از شرکت‌های فعال در حوزه امنیت شبکه و شبکه‌های گسترده نرم‌افزارمحور هستند. علاوه بر این، تعدادی شرکت جدید قصد حضور در این بازار را دارند. از مهم‌ترین شرکت‌های فعال در زمینه ارائه خدمات SASE می‌توان به سیسکو، مک‌آفی، مایکروسافت، سیمانتک، ورسا، وی‌ام‌ویر، Akamai، Axis Security، CATO Networks، ForcePoint، Fortinet، Netskope، Palo Alto Networks، Proofpoint، Perimeter 81 و Zscaler اشاره کرد. 

آیا شرکت‌ها با روی گشاده از SASE استقبال می‌کنند؟

گارتنر دلایل مختلفی را برای عدم پذیرش این فناوری از سوی سازمان‌ها ارائه کرده که از مهم‌ترین آن‌ها به موارد زیر می‌توان اشاره کرد:

فروشندگان: این احتمال وجود دارد که فروشندگان به اندازه‌ای روی فروش محصول متمرکز شوند که به جای بازاریابی محتوایی دقیق در ارتباط با این فناوری از اصطلاحات قدیمی مرتبط با محصولات قدیمی استفاده کنند. علاوه بر این اگر رسانه‌ها در تشریح مزایای این فناوری بزرگ‌نمایی کنند باعث می‌شوند تا سازمان‌ها انتظارات غیرواقع‌گرایانه‌ای نسبت به این فناوری پیدا کنند. 

ابزارهای موجود: به‌طور معمول سازمان‌ها ترجیح می‌دهند مجموعه‌ای از ابزارهای متعلق به شرکت‌های مختلف را تهیه کنند که برخی از آن‌ها هنوز جایگزینی ندارند. 

فروشندگان فعلی: به‌طور معمول، کسب‌وکارها و مدیران امنیت و فناوری‌اطلاعات ترجیح می‌دهند با شرکت‌های خاصی کار کنند. با این‌حال، تمامی شرکت‌ها نمی‌توانند از فرصت‌های نوظهور دنیای فناوری به سرعت پشتیبانی کنند. 

دیدگاه‌های سنتی: حرکت از امنیت متمرکز و درون سازمانی به سمت امنیت ابرمحور، روندی جدید و رو به گسترش است، اما سازمان‌هایی که دیدگاه سنتی دارند، SASE را یک تهدید در نظر می‌گیرند. به همین دلیل، شرکت‌هایی که محصولات سنتی ارائه می‌کنند، SASE را تهدیدی برای خودشان می‌دانند و بر ضد آن تبلیغ خواهند کرد. 

نقاط قوت فروشنده مربوطه: برخی فروشندگان راه‌حل‌های SASE، بر مبحث شبکه گسترده نرم‌افزارمحور و برخی دیگر بر امنیت شبکه متمرکز هستند. به همین دلیل ممکن است عملکرد آن‌ها در ارتباط با راه‌حل‌های سنتی و قدیمی بهتر از حوزه‌های جدید باشد. 

اعتقاد به وجود یک راه‌حل کلی: شرکت‌های مختلف، ساختار امنیتی متفاوتی دارند و محصولات مختلفی را عرضه می‌کنند. به همین دلیل سطح بلوغ و رشد هر سازمانی متفاوت است. بر همین اساس راه‌حل‌های به‌کارگیری SASE به نقطه شروع و اهداف سازمان بستگی دارد. در نتیجه شاید یک راه‌حل برای تمامی سازمان‌ها مناسب نباشد.

پرسش‌های مهمی که مدیران ارشد امنیت اطلاعات مطرح می‌کنند

عناصر تشکیل دهنده SASE سال‌ها است که وجود دارند، اما برای اولین بار است که عناصر پراکنده در قالب محصول جدیدی به بازار عرضه شده‌اند. به همین دلیل، مدیران ارشد امنیت اطلاعات قبل از آن‌که محصول ارائه شده توسط یک فروشنده‌ راه‌حل SASE را خریداری کنند، ابتدا باید به دنبال پاسخی از فروشنده برای پرسش‌های زیر باشند:

1. آیا محصول SASE شما با ابزارهای موجود در زیرساخت شبکه فعلی قابل ادغام است؟
2. اگر راه‌حل فوق با ابزارهای فعلی قابل ادغام است، چه نوع اطلاعاتی باید به‌اشتراک قرار گیرند؟
3. آیا گزینه خاصی دارید که برای بهینه‌سازی عملکرد شبکه راهگشا باشد، توافق‌نامه سطح خدمات و هزینه‌های وابسته به آن‌ها به چه صورت هستند؟
4. بهترین راه کاهش هزینه‌ها و مخاطرات در بلندمدت و کوتاه‌مدت چیست و چه مزایا و معایبی دارند؟
5. آیا راه‌حل SASE شما قابلیت‌های خودکارسازی دارد و محدودیت‌های آن چیست؟
6. استراتژی شما برای SASE چیست، برای 12 تا 14 ماه آینده چه نقشه راهی دارید؟
7. برای تضمین موفقیت پیاده‌سازی SASE چه کارهایی انجام می‌دهید؟
8. آیا راه‌حل‌های شما عملکرد راه‌حل‌های محلی را کاهش می‌دهد؟

کلام آخر

‌قبل از شیوع کووید 19، تحول دیجیتال فرصت جدیدی برای SASE پدید آورد. در چند سال گذشته، شرکت‌ها به شکل جدی روی پیاده‌سازی راهبردهای تحویل دیجیتال خود متمرکز شده‌اند. پس از شیوع ویروس کرونا، بحث تداوم کسب‌وکار با خودکارسازی فرآیندها ترکیب شد و باعث شتاب گرفتن پیاد‌ه‌سازی راه‌حل‌های ابری نظیر IaaS، PaaS و SaaS شد. با تغییر ماهیت کسب‌وکارها، تیم‌ها و مدیران امنیت با تهدیدهای جدیدی روبرو شدند که ناشی از دورکاری و راه‌حل‌های دیجیتالی جدیدی بودند که برای کمک به توسعه و رونق کسب‌وکارها در زمان شیوع کرونا طراحی شده بودند. با این‌حال، به این نکته مهم دقت کنید که با رشد و توسعه زیرساخت‌های فناوری‌اطلاعات، مکانیزم‌های امنیتی باید توسعه پیدا کنند. در چند سال آینده سازمان‌های زیادی از SASE استفاده خواهند کرد، زیرا SASE به امنیت، چابکی و آستانه تحمل کسب‌وکارها کمک فراوانی می‌کند.