Kaj je Security Service Edge (SSE)?

Gartner.News.Skyhigh Security

Security Service Edge (SSE), prvič predstavljen s strani Gartnerja v začetku 2021, je na oblak osredotočena konvergenčna rešitev enega ponudnika, ki z varovanjem dostopa do spleta, storitev v oblaku, SaaS in aplikacij, pospešuje digitalno transformacijo ter velja za ključno komponento rasti oblačne in mrežne varnosti ter se istočasno sproti prilagaja še rasti podjetja in povečuje učinkovitov internih procesov.

Po mnenju Gartnerja je #SSE primarno na voljo kot storitev v oblaku in lahko vključuje hibrid lokalnih ter na agentih baziranih komponent. SSE oblačne zmogljivosti in komponente vključujejo:

  • Nadzor dostopa.
  • Zaščita pred grožnjami.
  • Varnost podatkov.
  • Varnostni nadzor.
  • Nadzor mrežnih in API baziranih integracij.
No alt text provided for this image

Kaj je razlika med SASE in SSE?

Secure Access Service Edge (SASE), ki ga je Gartner predstavil leta 2019, je konvergenca omrežnih in varnostnih tehnologij v samostojni oblačni platformi, ki omogoča varno in hitro transformacijo v oblak. V novi, praktično evolucijski tehnologiji SASE, pa Gartner uvaja dvostranski pristop ponudnika, ki združuje visoko konvergenčno Wide Area Network (WAN) platformo z konvergirano varnostno platformo, znano kot Security Service Edge (SSE).

Security Service Edge (SSE) je varnostna komponenta SASE, ki združuje vse varnostne storitve, vključno s Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) in Zero Trust Network Access (ZTNA), da zaščiti dostop do spleta, storitev v oblaku in aplikacij. WAN Edge Infrastructure, omrežna komponenta v ogrodju SASE, pa se osredotoča na element omrežne povezljivosti s preoblikovanjem omrežnih arhitektur, da omogoči učinkovitejšo povezljivost neposredno v oblak.

Znotraj SASE sta omrežje in varnost v rabi na enoten način ter dostavljeni kot storitev v oblaku. SSE konvergira z WAN Edge Infrastructure, da doseže popolno platformo SASE.

Varnostne storitve SSE vključujejo:

1. Cloud Access Security Broker (CASB)

Ko podjetja selijo svoje občutljive podatke v oblak, CASB deluje kot posrednik med uporabniki in ponudniki storitev v oblak. S tem pomaga odpraviti vrzeli v vidnosti, varnosti in skladnosti podatkov, razširja varnostno politiko iz obstoječe lokalne infrastrukture in ustvarja novo politiko za oblak specifično vsebino. Integrirani CASB v modelu SSE samodejno odkrije in nadzoruje tveganja programske opreme kot storitve (SaaS) ter služi kot varnostni proces, ki temelji na API-ju. Skenira in nadzoruje aplikacije SaaS, zlonamerno programsko opremo ter kršitve politike, medtem ko izkorišča analizo vedenja uporabnikov in subjektov (UEBA) in zmogljivosti umetne inteligence (AI) za preprečevanje groženj v realnem času. 

2. Secure Web Gateway (SWG)

SWG je kibernetska ovira, ki deluje kot kontrolna točka, ki preprečuje nepooblaščenemu prometu vstop v omrežje podjetja. SWG omogoča uporabnikom dostop do odobrenih, varnih spletnih mest in jih ščiti pred spletnimi grožnjami, tako da poveže uporabnika s spletnim mestom, medtem ko izvaja zaščitne funkcije, kot so filtriranje URL-jev, vidnost spleta, pregled zlonamerne vsebine in nadzor spletnega dostopa.

3. Zero Trust Network Access (ZTNA)

ZTNA uveljavlja zrnate, prilagodljive in kontekstno ozaveščene politike za zagotavljanje varnega dostopa Zero Trust do aplikacij, ki gostujejo v oblakih in korporativnih podatkovnih centrih, in to s katere koli oddaljene lokacije ali naprave. ZTNA deluje kot ključni omogočevalec Secure Access Service Edge (SASE), ki preoblikuje varnostno območje v dinamično, na pravilniku temelječo robno enoto, ki jo za podporo zahtevam dostopa digitalne preobrazbe zagotavlja oblak. 

4. Data Loss Prevention (DLP)

DLP omogoča klasifikacijo vsebine na podlagi določenega pravilnika, ki jo vsebuje nek objekt (običajno je to datoteka) med shranjevanjem, uporabo ali premikanjem po omrežju. Orodja DLP se uporabljajo kot izvrševalec teh pravilnikov v realnem času, za razširitev potrebne zaščite na občutljive podatkovne elemente ter za omejitev dostopa in pretoka teh informacij, zlasti zunaj organizacije, kot to zahtevajo interni pravilniki. 

5. Remote Browser Isolation (RBI)

RBI je močna oblika zaščite pred spletnimi grožnjami, ki vsebuje dejavnost brskanja po spletu znotraj izoliranega okolja v oblaku. RBI ščiti uporabnike pred zlonamerno programsko opremo ali kodo, ki je morda skrita na spletnem mestu, in odpravlja možnost, da bi se ta koda dotaknila naprave uporabnika.

6. Firewall as a Service (FWaaS)

FWaaS je rešitev požarnega zidu v oblaku, ki varuje podatke in aplikacije v internetu. SSE uporablja FWaaS za združevanje prometa iz različnih virov, vključno z lokalnimi podatkovnimi centri, infrastrukturo v oblaku, svojimi podružnicami in mobilnimi uporabniki. FWaaS prav tako zagotavlja dosledno uporabo in varnostno uveljavljanje pravilnikov na vseh lokacijah in med vsemi uporabniki, hkrati pa zagotavlja popolno vidljivost in nadzor omrežja.

No alt text provided for this image

Kako namestiti in upravljati SASE?

Podjetje lahko ubere dve smeri, da ustvari učinkovito rešitev SASE:

1.      Pristop enega ponudnika.

Angažirajte in ocenite ponudbo enega samega proizvajalca, ki združuje WAN Edge Infrastructure in SSE. Čeprav tak pristop poenostavitve operacij lahko zadovolji SASE zahteve določene organizacije, lahko vključuje opustitev naprednih varnostnih funkcij, ki jih lahko zagotovi le ponudnik SSE. Na dolgi rok se lahko pomanjkanje naprednih varnostnih funkcij izkaže za dražje, posebej, če bo treba za zapolnitev vrzeli pridobiti dodatne varnostne rešitve ponudnika.

2.    Pristop dveh ponudnikov.

Angažirajte in ocenite ločeni rešitvi dveh različnih ponudnikov, ki vsak za sebe zagotavljata najboljšo rešitev WAN Edge Infrastructure in SSE, ki združuje komponente CASB, SWG, ZTNA, RBI in FWaaS integrirane znotraj rešitve. Tak pristop dveh ponudnikov dolgoročno poenostavlja in racionalizira namestitev, upravljanje in vzdrževanje sistema.

Kaj so koristi SSE?

Ker so se zahteve zaposlenih na daljavo, kot tudi baze strank povečale, so se podjetja borila z izzivom zmanjšanja kompleksnosti svoje varnostne strategije, ob hkratnem izboljšanju varnosti in uporabniške izkušnje. Konsolidirane tehnologije Security Service Edge (SSE) so se izkazale za učinkovite pri zmanjševanju kompleksnosti zaščite, hkrati pa povečujejo varnost storitev v oblaku v celotnem podjetju.

Popolna strategija SSE ponuja podjetjem celovit nabor varnostnih rešitev, ki zagotavljajo koristi zaposlenim in vsem zainteresiranim stranem – lokalno in na daljavo:

  • Neposreden in varen dostop do aplikacij, orodij, podatkov in virov, od kjerkoli na svetu. Zmanjšanje prometa obdelave nepooblaščenih dostopov, podatkov, tveganj in groženj, izboljšanje procesiranja prometa za nepooblaščen dostop, tveganje izgube podatkov in grožnej ter odprava potrebe po usmerjanju prometa nazaj skozi podatkovno središče.
  • Hitrejša, varnejša in učinkovitejša povezljivost s spletom, oblakom in zasebnimi aplikacijami pri dostopu do aplikacijskih virov od katerega koli uporabnika, katere koli naprave in od kjerkoli.
  • Spremljanje in sledenje obnašanja uporabnikov, ki dostopajo do omrežja.
  • Zaščita pred grožnjami v oblaku in s katerega koli spletnega mesta, zaznavanje tako napadov v oblaku, kot napredne zlonamerne programske opreme.
  • Zaščita podatkov prek interneta, v oblaku in pri prehodu iz oblaka v oblak.
  • Omogočanje varnega dostopa Zero Trust do podatkov in aplikacij na podlagi identitete uporabnika, konteksta in najmanj privilegiranega dostopa.
No alt text provided for this image

Kateri so največji izzivi, s katerimi se SSE ukvarja?

SSE obravnava temeljne varnostne izzive dela na daljavo, omogočanja digitalnega poslovanja in preobrazbe v oblaku. Ker sprejemanje SaaS, PaaS in IaaS narašča, je več podatkov zunaj podatkovnega centra. Uporabniki vse pogosteje delajo na daljavo, VPN-ji pa so počasni in jih je pogosto enostavno izkoristiti. Vse to je težko zavarovati z uporabo starih omrežnih arhitektur.

SSE pomaga organizacijam pri reševanju ključnih primerov uporabe:

1. Poenostavitev administracije in upravljanja varnostnih kontrol.

Organizacije morajo skrbeti za upravljanje lokalne in oblačne infrastrukture in to s kombinacijo različnih ter neskladnih varnostnih kontrol, ki se med ponudniki oblaka in lokalne infrastrukture seveda razlikujejo. SSE pomaga zmanjšati stroške in zapletenost ter omogoča poenostavljeno sprejemanje in uvajanje pravil v lokalnih, oblačnih in oddaljenih delovnih okoljih.

2. Zamenjava VPN-jev za zaščito oddaljenih delavcev pri dostopu do aplikacij.

Podjetja morajo uvesti varnejšo rešitev za zaščito hitro naraščujočega števila oddaljenih delavcev, ki do aplikacij dostopajo v zelo ranljivih okoljih. Ko je pristnost enkrat potrjena, VPN-ji predstavljajo naravno varnostno tveganje, saj samo na podlagi zaupanja dovolijo implicitno neomejen dostop do celotnega omrežja podjetja. Zmogljivost ZTNA SSE pomaga zagotoviti razdrobljen dostop do virov, kar omogoča ustrezne ravni dostopa za katerega koli uporabnika kjerkoli.

3. Preprečevanje napredne zlonamerne in izsiljevalske programske opreme za zaščito spletnih uporabnikov.

Podjetja potrebujejo rešitve za odkrivanje in ublažitev napredne zlonamerne programske opreme ter drugih groženj. Številni sodobni napadi uporabljajo tehnike, kot je socialni inženiring, da izkoristijo funkcije ponudnikov oblaka in posnemajo vedenje uporabnikov z zakonitimi poverilnicami. Zmogljivost SWG SSE pri tem pomaga z zagotavljanjem vgrajene kibernetske ovire, odgovorne za spremljanje spletnega in preprečevanje nepooblaščenega prometa.

4. Zagotavljanje vidnosti in nadzora nad aplikacijami SaaS.

Organizacije potrebujejo vidnost in nadzor nad v oblaku shranjenimi podatki, do katerih dostopajo, jih hkrati ščitijo ter zaustavljajo grožnje v oblaku iz ene same izvorne točke izvrševanja. Zmogljivost SSE CASB zagotavlja podporo na več načinov z uveljavljanjem podrobnih pravil za spremljanje in urejanje dostopa do odobrenih in nedovoljenih storitev v oblaku.

5. Zaščita občutljivih podatkov na kateri koli lokaciji.

Organizacije zahtevajo zaščito podatkov, ki se nahajajo znotraj internega varnostnega perimetra ali pa se v celoti premaknejo izven njega z namenom uporabe, delitve in dostopa na varen način. Zmogljivost DLP SSE zagotavlja centraliziran in poenoten pristop za zaščito podatkov, s katerim se klasifikacije podatkov nastavijo enkrat in uporablajo v spletu, oblaku in končnih točkah.

V vednost:

Trenutno je po vseh raziskavah (analitične in tehnične) najboljša izbira Skyhigh Security (Ex. McAfee Enterprise).

Dodatne informacije?

Leave a Reply

Your email address will not be published. Required fields are marked *