Secure Access Service Edge nie jest mirażem

Z Aleksandrą Rybak, Cybersecurity Sales Specialist w Cisco Poland, rozmawiamy o tym, jak działa model SASE (Secure Access Service Edge) oparty na platformach Cisco Umbrella i Duo oraz sieci SD-WAN.

Tradycyjna wizja cyberbezpieczeństwa organizacji – twierdzy o wyraźnych granicach – przestała odzwierciedlać obraz cyberbezpieczeństwa. Na co dzień wynika to z rozwoju pracy zdalnej i migracji biznesu do chmury. To zaś przekłada się na wzrost powierzchni ataków, poziomu ich zaawansowania i złożoności. Zastanówmy się więc, co otrzymujemy w zamian?

Rzeczywiście, granica pomiędzy bezpiecznym światem wewnętrznym i niebezpiecznym – poza firmową siecią – uległa zatarciu. W Cisco mówimy nawet, że internet to dzisiejsza sieć firmowa.

Tradycyjna architektura bezpieczeństwa okazuje się nieskuteczna i często bezradna wobec nowej sytuacji. Sieć, w której odbywa się ruch, jest zdecentralizowana. Pracownicy przekonali się do modelu pracy hybrydowej. Odbywa się komunikacja kanałem cyfrowym z wieloma dostawcami, kontraktorami i partnerami. Aplikacje są w chmurze, w różnych centrach danych. Użytkownik korzysta z różnych urządzeń – laptopa, smartfona, tabletu.

Każdy taki wyniesiony punkt, zdalny użytkownik, jego tożsamość, to nowy wektor ataku. Ponadto, niezależnie od tego, czy firma zatrudnia 10, 100 czy 10 000 osób, cyberbezpieczeństwo ma fundamentalne znaczenie dla możliwości prowadzenia konkurencyjnego biznesu. Doświadczamy także daleko posuniętej asymetrii na korzyść cyberprzestępców. Dziś są stale krok naprzód.

Dlatego musimy umacniać ochronę w każdym punkcie sieci, a w szczególności zapewnić odpowiedni poziom bezpieczeństwa użytkownika, jego stacji końcowej oraz bezpieczny dostęp do aplikacji. Mając to na uwadze, Gartner w 2019 roku sformułował koncepcję Secure Access Service Edge (SASE), łączącą SD-WAN i chmurowe platformy bezpieczeństwa. Dobrze wpisuje się ona w wieloletnią strategię Cisco, polegającą na integracji rozwiązań cybersecurity w ramach ekosystemu opartego na spójnej architekturze.

To kierunek, którym podąża też coraz więcej przedsiębiorstw w zakresie własnego zabezpieczenia. Odchodzą od koncepcji „Best of Breed” na rzecz środowisk opartych na integracji i natywnej korelacji zdarzeń z różnych klas narzędzi bezpieczeństwa.

Czy – z perspektywy Cisco – model SASE posiada już odzwierciedlenie w rozwiązaniach?

Warto podkreślić, że niewielu dostawców, poza Cisco, w ogóle ma ekosystem zintegrowanych rozwiązań odpowiadający koncepcji SASE. Być może dlatego zresztą zaczął na rynku funkcjonować pośredni model – SSE – bez komponentu „Access”.

W naszej realizacji modelu SASE, najważniejszym elementem – z punktu widzenia bezpieczeństwa – jest platforma Cisco Umbrella. To chmurowe rozwiązanie stanowi pierwszą linię ochrony przed zagrożeniami. Kontroluje wykorzystanie aplikacji w chmurze. Pozwala proaktywnie chronić pracowników, zabezpiecza przed infekcjami malware, atakami typu phishing czy komunikacją C2. Cisco Umbrella może pełnić funkcję m.in.: web proxy/Secure Internet Gateway, które nie tylko wykona inspekcję ruchu webowego, ale także deszyfrację SSL, chmurowego firewalla L3-L7 z silnikiem IPS Cisco SNORT, Cloud Access Security Broker.

Drugi element to platforma Cisco Duo, która dostarcza mechanizmów wieloskładnikowego weryfikowania tożsamości, utrzymania urządzeń na odpowiednim poziomie bezpieczeństwa, rozwiązań analizy behawioralnej i stałego uwierzytelniania.

Założeniem SASE jest połączenie funkcji tych platform z siecią sterowaną, czyli SD-WAN. Cisco jest w tym obszarze pionierem i liderem. Dzieje się tak m.in.: dzięki funkcjom Application Based Routing; dynamicznego benchmarku łączy, na podstawie którego dostosowuje się komunikację; łatwości zarządzania poprzez kokpit vManage; nie wspominając o szybkiej, prostej, niekiedy zdalnej instalacji i uruchomieniu. SD-WAN jest przy tym dynamiczną strukturą, również w rozumieniu podejścia Zero Trust. Potwierdzanie zaufania do urządzenia czy użytkownika dokonuje się nieustannie.

Jakie są podstawowe scenariusze zastosowania SASE?

Możemy spojrzeć na to z perspektywy zdalnego pracownika oraz z punktu widzenia bezpieczeństwa brzegu sieci. W pierwszym wypadku oczywiście celem jest płynny dostęp do zasobów potrzebnych do pracy z dowolnego miejsca i urządzenia. Urządzenie końcowe musi być bezpieczne, nawet jeśli użytkownik korzysta z aplikacji w chmurze lub ogólnie z dostępu do internetu. Niezbędne jest jego uwierzytelnienie i zarządzanie poziomem zabezpieczeń, ale oprócz bezpieczeństwa SASE musi realizować postulat wydajności, a więc jakości połączenia i korzystania z aplikacji w sieci. W tym przypadku bardzo dobrze widać współdziałanie rozwiązań z platform Umbrella i Duo – bezpieczeństwa ruchu i dostępu oraz uwierzytelnienia, wydajnego działania w trybie Zero Trust.

W drugim wypadku możemy ten schemat – „dwugłosu” platform Cisco Umbrella i Duo – poszerzyć o rolę, jaką odgrywa sieć SD-WAN. Przede wszystkim w automatycznej orkiestracji zarządzania ruchem poprzez dostępną infrastrukturę z myślą o zestawieniu najszybszych i najbezpieczniejszych połączeń. Ten scenariusz operuje już w kategoriach skali. Mówimy o zapewnieniu na bieżąco płynnego, efektywnego dostępu dla wielooddziałowych struktur organizacji, operujących na skomplikowanych, różnorodnych połączeniach, jakich wymaga realizacja procesów biznesowych, więcej nawet – modelu biznesowego firmy. I to zarówno w kontekście bezpieczeństwa własnych użytkowników oraz urządzeń, jak i integracji oraz np. rozwiązywania problemów w siatce wielu różnych dostawców sieci, usług chmurowych, twórców aplikacji, wszelkich zasobów zewnętrznych, które w pracy są wykorzystywane.

SASE dąży do bezpieczeństwa i transparentności, możliwości zarządzania poprzez zintegrowane wskaźniki i kokpity. Jaką rolę w modelu SASE odgrywać mogą rozwiązania XDR, które kierują się podobną logiką?

Platforma XDR z założenia podnosi wydajność całego środowiska bezpieczeństwa, więc w tym sensie wspiera model SASE. Właściciele dowolnego rozwiązania z portfolio Cisco Secure mogą zarejestrować się na platformie SecureX, która jest rozwiązaniem XDR/SOAR. Celem SecureX jest rzeczywiście zmniejszenie złożoności, jaka wiąże się z dużą liczbą naszych rozwiązań pracujących w sieci. SecureX zawiera komponent orkiestracji, który pozwala budować z gotowych elementów zautomatyzowane procesy.

Automatyzacja zwiększa wydajność i skuteczność SecOps. Jak każdy XDR, usprawnia też procesy inwestygacji. Moduł SecureX Threat Response pozwala zespołom SOC/CSIRT zwizualizować skalę ataku, ustalić kto był pacjentem zero, jak zagrożenie rozprzestrzeniało się w organizacji, a także umożliwia szybką odpowiedź na zagrożenie.

Jest to zarazem platforma integracji otwarta na innych dostawców. Cisco tworzy gotowe elementy procesów i udostępnia je na GitHub. Złożoność i bezpieczeństwo wydają się zawsze iść w parze, ale udowadniamy, że nie musi tak być zawsze.

W jakiej perspektywie czasowej należy spodziewać się, że model SASE się upowszechni?

Gartner przyjmuje, że do 2025 roku 60% firm na świecie będzie miało jasne strategie przyjęcia SASE.

To dość długo. SASE wspiera takie aktualne trendy, jak passwordless, operuje tą samą logiką, paradygmatem cyberbezpieczeństwa, co rozwiązania XDR i architektura Zero Trust. Czy to przyspieszy jego budowę w firmach?

Dodałabym jeszcze ważny trend Managed Security Services, czyli usług bezpieczeństwa, określany również niekiedy jako Security-as-a-Service. Elementy SASE są w przypadku platform Cisco oraz SD-WAN dostarczane zarówno on-premise, jak i jako usługi. To w wielu wypadkach bardzo dobry scenariusz, szczególnie tam, gdzie nie ma obostrzeń regulacyjnych, a zarazem jest wiele potrzeb pozyskiwania nowoczesnych rozwiązań cyberbezpieczeństwa, przybliżający do bezpieczeństwa IT, jakiego wszyscy oczekujemy.

Niewątpliwie także idea passwordless działa jak silny magnes na klientów. Czy to funkcjonuje w komunikacji?

W systemie zabezpieczeń firm i użytkowników hasło jest bezsprzecznie słabym ogniwem. Od słabego hasła, które zostało złamane, zaczęło się ok. 80% skutecznych ataków. W reakcji na to przybywa lawinowo wdrożeń uwierzytelniania wieloskładnikowego (MFA). Musi jednak mieć ono charakter uniwersalny, niezależny od rodzaju aplikacji czy środowiska.

Dlatego nasza platforma MFA – dostępna w ramach Cisco Duo – daje pełną dowolność wyboru drugiego składnika, zarówno jeśli chodzi o format, jak i dostawcę aplikacji. Bardzo obiecująco wygląda zwłaszcza adaptacja przez klientów, która realizuje prosty, przyjazny proces dostarczania drugiego elementu uwierzytelnienia. Oczywiście MFA musi uwzględniać całe środowisko aplikacyjne. Musi też zapewniać elastyczność, ten sam poziom UX, niezależnie od złożonej integracji w tle. W tę właśnie stronę zmierza rozwój Duo.

Sądzę, że docelowo decydujące znaczenie będzie miała transparentność mechanizmów integracji, a więc relacje pomiędzy dostawcami. Wówczas wizja passwordless przestanie być „buzzwordem”, a stanie się rzeczywistością. W wypadku Cisco jest to wizja realna. Jesteśmy użytkownikiem naszych rozwiązań i widzę, jak obecnie z powodzeniem powstają i działają kolejne elementy bezhasłowej struktury.

W tym nurcie upraszczania środowiska bezpieczeństwa Duo Network Gateway umożliwia zdalny dostęp do aplikacji w oparciu o Zero Trust, bez konieczności korzystania z VPN lub bezpośredniego udostępniania tych aplikacji w internecie. Daje to każdemu użytkownikowi końcowemu możliwość elastycznego korzystania z wybranych aplikacji z dowolnego urządzenia i z dowolnego miejsca, nakładając kontekstowe polityki dostępowe.

Wrócę jeszcze na koniec do kwestii przyspieszenia. Czy należy szukać możliwości skokowego podniesienia jakości, poziomu bezpieczeństwa?

W odniesieniu do cyberbezpieczeństwa bardzo bym unikała dróg na skróty. Jest to podróż, która ma doprowadzić do tego, aby pewniej w cyfrowym świecie funkcjonować. Ale tak jak przed skokiem ze spadochronem, najważniejszy jest etap składania spadochronu. Potrzeba dokładności, spokoju, wiedzy. W cyberbezpieczeństwie niezbędne jest jego świadome budowanie, uzupełnianie, rozwijanie.

Jeśli wszystkie te zmiany są pewnymi etapami w podróży do Zero Trust – skoro obieramy tę koncepcję architektury za nadrzędną, i za najbardziej uniwersalne podejście w cyberbezpieczeństwie – to musimy przejść wszystkie etapy. Dlatego w drodze do świata passworldess mamy w niej np. stopniowo MFA, potem punkt SSO, nałożenie do każdej aplikacji polityki w oparciu o kontekst użytkownika, urządzenia, lokalizacji, zachowania itd., przenoszenie kontroli dostępu bliżej aplikacji, wreszcie przygotowanie środowiska VPN-less. Każdy z tych etapów wzmacnia poziom zaufania. Cyberbezpieczeństwo jest drogą.