Новая аббревиатура по ИБ — SASE (произносится как «САСИ»)

Технологии
На последнем SOC Forum, под влиянием просмотра множества выступлений, родилось у меня четверостишье:
SOAR, SIEM, CASB и TIP
ГосСОПКА, ФСТЭК и IRP
Ты сокращенья должен знать
Иди учи их. Не тупи!

Не так давно Gartner порадовал нас новой, столь ласкающей слух русского человека, аббревиатурой — UEBA (User Entity Behavior Analytics) и многие отечественные производители ринулись осваивать новую нишу. И вот новый сюрприз от Gartner — они вводят в обиход новое сокращение — SASE (произносится как «sassy»), расшифровывающееся как Secure Access Service Edge. Однако в данном случае эта аббревиатура врядли станет распространенной в России, так как стоящие за ней технологии малоприменимы в российских реалиях, где государство думает о суверенном Интернете, а регуляторы блокируют применение облачных решений по ИБ. Зато Gartner угадал с русскоязычным произношением этой технологии, которая не будет применяться в России. Но чтобы не заканчивать на этой пессимистичной ноте, я все-таки расскажу что такое SASE и куда движется мысль прогрессивной ИБ.

Идея для новой аббревиатуры возникла не на пустом месте. Мир меняется и все чаще пользователи, а также приложения, устройства и данные находятся за пределами корпоративного периметра. При этом потребность в обеспечении их защиты меньше не становится, а даже возрастает.

Есть сценарии, когда весь внешний трафик заворачивается на корпоративный периметр, где и контролируется традиционными средствами ИБ — МСЭ, IPS, DLP и т.п. Но работает он далеко не всегда и в какой-то момент начинает мешать бизнес-процессам, который не может мириться со сложностью и задержками, вносимыми ИБ-решениями, неспособными подстроиться под дивный чудный мир без границ. Возникает идея объединить средства сетевой безопасности с сетевыми решениями и вынести их в облако, объединив концепции Network-as-a-Service и Network Security-as-a-Service.

Это и есть концепция SASE, которая объединяет SD-WAN и МСЭ, оптимизацию WAN и CASB, CDN и мониторинг DNS, управление полосой пропускания и SWG (Secure Web Gateway), маршрутизатор и VPN, Zero Trust и удаленную изоляцию браузеров. По сути речь идет о решении класса Secure Internet Gateway или SIG (да-да, еще одна аббревиатура), но наделенного расширенными сетевыми возможностями. Иногда, можно встретить и термин Firewall-as-a-Service, который применялся до очередного творческого порыва Gartner (а может быть будет применяться и после, так как более понятен). Но если посмотреть на картинку ниже становится понятно, почему FWaaS неполно отражает суть SASE — в последней гораздо больше разных защитных функций, чем даже в самых навороченных NGFW или UTM. И все это из облака и прозрачно для пользователя. Удобно.

Чтобы эта схема заработала в полную силу, точки присутствия SASE должны быть размещены по всему миру, ну или, в случае с нами, по всей России. Тогда можно будет говорить о низких задержках и повсеместном защищенном доступе. Учитывая наш телекоммуникационный рынок такое можно развернуть только на площадках нескольких операторов — Ростелеком, Orange и, может быть, у большой тройки мобильных операторов. Либо надо строить решение самостоятельно на базе различных IaaS-провайдеров, что будет непросто. Поэтому Gartner дает сдержанные прогнозы по применению SASE — в 2018-м году только 1% предприятий использовал подход SASE, а спустя 5 лет таких должно стать около 40% (это немного на фоне остальных прогнозов).

Однако если немного дистанцироваться от SASE, то почти все аналитики сходятся во мнении, что будущее сетевой безопасности — это облака, которые дают по сравнению с традиционной моделью сетевой ИБ много преимуществ:
  • снижение сложности и затрат
  • улучшение производительности и снижение задержек
  • прозрачность для пользователей
  • улучшенная безопасность
  • снижение операционных издержек
  • снижение зависимости от компетенций персонала
  • централизованное управление
  • возможности запуска новых цифровых сервисов.
Жаль, что в России это будущее пока туманно…
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.