Если вы являетесь руководителем в области безопасности, сетей или ИТ, то вам, скорее всего, известны такие термины как нулевое доверие (Zero Trust), периферийный сервис безопасного доступа (Secure Access Service Edge (SASE)) и периферийный сервис безопасности (Secure Service Edge (SSE)), используемые для описания нового подхода к архитектуре корпоративной сети. Эти структуры формируют волну технологий, которые коренным образом изменят способ построения и эксплуатации корпоративных сетей, однако эти термины часто используются взаимозаменяемо и непоследовательно. Можно легко потеряться в море модных словечек и упустить из виду цель, стоящую за ними: более безопасное, быстрое и надежное решение для ваших конечных пользователей, приложений и сетей. Сегодня мы разберем каждую из этих концепций — Zero Trust, SASE и SSE — и наметим важнейшие компоненты, необходимые для достижения этих целей. Бессрочная версия этого контента доступна в нашем Учебном центре здесь.
Что такое Zero Trust?
Zero Trust — это модель ИТ-безопасности, которая требует строгой авторизации для каждого пользователя и устройства, пытающихся получить доступ к ресурсам в частной сети, независимо от того, находятся ли они внутри или за пределами периметра сети. Это контрастирует с традиционной моделью безопасности на основе периметра, при которой пользователи могут получить доступ к ресурсам после того, как им предоставлен доступ к сети. Данная модель также известна как архитектура «замок и ров».
Проще говоря, традиционная безопасность ИТ-сетей доверяет кому угодно и чему угодно внутри сети. Архитектура же Zero Trust не доверяет никому и ничему. Вы можете узнать больше о безопасности Zero Trust здесь.
Что собой представляет периферийный сервис безопасного доступа (Secure Access Service Edge, SASE)?
Gartner представила SASE в качестве основы для реализации архитектуры Zero Trust в любой организации. SASE сочетает программно-определяемые сетевые возможности с рядом функций сетевой безопасности, все из которых предоставляются через единую облачную платформу. Таким образом, SASE позволяет сотрудникам проходить аутентификацию и безопасно подключаться к внутренним ресурсам из любого места, а также предоставляет организациям лучший контроль над трафиком и данными, которые поступают и исходят из их внутренней сети.
Компонент «безопасный доступ» (Secure Access) SASE включает определение политик безопасности Zero Trust для пользовательских устройств и приложений, а также для филиалов, центров обработки данных и облачного трафика. Компонент «периферийный сервис» (Service Edge) позволяет всему трафику, независимо от его местоположения, проходить через средства управления Secure Access, не требуя обратной передачи в центральный «концентратор», в котором применяются эти элементы управления. Вы можете узнать больше о SASE здесь.
Что собой представляет периферийный сервис безопасности (Security Service Edge, SSE)?
SSE, также введенный в употребление Gartner, представляет собой подмножество функциональных возможностей SASE, специально ориентированных на возможности обеспечения безопасности. Это обычная промежуточная ступень к полному развертыванию SASE, которая расширяет средства контроля безопасности SSE до корпоративной глобальной сети (WAN) и включает программно-определяемые сетевые возможности, такие как формирование трафика и качество обслуживания. Вы можете узнать больше о SSE здесь.
Что входит в состав SASE?
В наиболее часто встречающихся определениях SASE перечислен ряд функций безопасности, такие как сетевой доступ с нулевым доверием (ZTNA) и брокер безопасности облачного доступа (Cloud Access Security Broker (CASB)), с акцентом на то, что должна выполнять платформа SASE. Функции безопасности являются критически важной частью истории, но эти определения неполные: в них отсутствует описание того, как эти функции достигаются, что не менее важно.
Полное определение SASE основано на этом списке функций безопасности и включает три отдельных аспекта: безопасный доступ, сетевые терминалы и периферийный сервис.
Cloudflare One: комплексная платформа SASE
Cloudflare One — это полноценная платформа SASE, которая сочетает в себе комплексный набор функций безопасного доступа с гибкими сетевыми терминалами для подключения любого источника и пункта назначения трафика. Все это предоставляется в глобальной сети Cloudflare, которая действует как молниеносно быстрый и надежный периферийный сервис. Для организаций, которые хотят начать с использования SSE в качестве промежуточной ступени к SASE, Cloudflare One также будет незаменимым решением. Оно является полностью компонуемым, поэтому компоненты можно развертывать по отдельности для решения непосредственных вариантов использования и построения полной архитектуры SASE в своем собственном темпе.
Давайте разберем каждый из компонентов архитектуры SASE более подробно и объясним, как Cloudflare One их обеспечивает.
Безопасный доступ: функции безопасности
Функции безопасного доступа (Secure Access) обрабатывают весь ваш трафик, обеспечивая безопасность ваших пользователей, приложений, сети и данных. В рамках модели ввод/процесс/вывод (input/process/output (IPO)), вы можете рассматривать безопасный доступ как процессы, которые осуществляют мониторинг и выполняют действия с вашим трафиком.
Сетевой доступ с нулевым доверием (ZTNA)
Сетевой доступ с нулевым доверием (Zero Trust) — это технология, которая позволяет реализовать модель безопасности с нулевым доверием (Zero Trust), требуя строгой проверки для каждого пользователя и каждого устройства, прежде чем разрешить им доступ к внутренним ресурсам. По сравнению с традиционными виртуальными частными сетями (VPN), которые предоставляют доступ сразу ко всей локальной сети, ZTNA предоставляет доступ только к запрошенному конкретному приложению и по умолчанию запрещает доступ к приложениям и данным.
ZTNA может работать вместе с другими функциями безопасности приложений, такими как межсетевые экраны веб-приложений, защита от DDoS-атак, а также управление ботами, чтобы обеспечить комплексную защиту приложений в публичном Интернете. Подробнее о ZTNA здесь.
Cloudflare One включает в себя решение ZTNA, Cloudflare Access, которое работает в клиентском или бесклиентском режимах для предоставления доступа к приложениям, размещаемым на собственных серверах, а также SaaS-приложениям.
Защищенный веб-шлюз (SWG)
Безопасный веб-шлюз работает между корпоративной сетью и Интернетом для обеспечения соблюдения политик безопасности и защиты данных компании. Независимо от того, исходит ли трафик от пользовательского устройства, филиала или приложения, SWG обеспечивают уровни защиты, включая фильтрацию URL-адресов, обнаружение и блокировку вредоносных программ, а также контроль приложений. По мере того как все больший и больший процент корпоративного сетевого трафика перемещается из частных сетей в Интернет, развертывание SWG становится критически важным для защиты устройств, сетей и данных компании от различных угроз безопасности.
SWG могут работать вместе с другими инструментами, включая межсетевые экраны веб-приложений и межсетевые экраны сетевого уровня для защиты потоков входящего и исходящего трафика в корпоративной сети. Они могут также интегрироваться с удаленной изоляцией браузера (Remote Browser Isolation (RBI)) для предотвращения воздействия вредоносных программ и других атак на корпоративные устройства и сети без полной блокировки доступа пользователей к интернет-ресурсам. Подробнее о SWG здесь.
Cloudflare One включает решение SWG, Cloudflare Gateway, которое обеспечивает DNS, HTTP и сетевую фильтрацию для трафика, поступающего с пользовательских устройств и сетевых локаций.
Удаленная изоляция браузера (RBI)
Изоляция браузера — это технология, которая обеспечивает безопасность просмотра веб-страниц, отделяя процесс загрузки веб-страниц от пользовательских устройств, отображающих веб-страницы. Таким образом, потенциально вредоносный код веб-страницы не запускается на устройстве пользователя, что предотвращает воздействие вредоносных программ и других кибератак как на пользовательские устройства, так и на внутренние сети.
RBI работает вместе с другими функциями безопасного доступа — например, группы безопасности могут настроить политики защищенного веб-шлюза (Secure Web Gateway) для автоматической изоляции трафика на известные или потенциально подозрительные веб-сайты. Подробнее об изоляции браузера здесь.
Cloudflare One включает Browser Isolation. В отличие от традиционных подходов к удаленному браузеру, которые отправляют пользователю медленную и неудобную версию веб-страницы, Cloudflare Browser Isolation (изоляция браузера) воспроизводит точную копию страницы на устройстве пользователя, а затем доставляет эту копию настолько быстро, что создается ощущение обычного браузера.
Брокер безопасности облачного доступа (CASB)
Брокер безопасности облачного доступа (CASB) сканирует, обнаруживает и постоянно отслеживает проблемы безопасности в SaaS-приложениях. Организации используют CASB для следующих целей:
- Безопасность данных – например, обеспечение того, чтобы неправильный файл или папка не были опубликованы в Dropbox.
- Активность пользователя – например, оповещение о подозрительном изменении разрешений пользователя в рабочий день в 02:00.
- Неправильные конфигурации – например, предотвращение попадания записей Zoom в открытый доступ.
- Соответствие требованиям – например, отслеживание и отчетность о том, кто изменил права доступа к ветке Bitbucket.
- Теневые ИТ-приложения – например, обнаружение пользователей, которые подписались на неодобренное приложение, используя свою рабочую эл. почту.
Управляемые API CASB используют интеграцию API с различными приложениями SaaS, и подключение к ним занимает всего несколько минут. CASB также может использоваться в паре с RBI для обнаружения и последующего предотвращения нежелательного поведения как одобренных, так и несанкционированных приложений SaaS, таких как отключение возможности загрузки файлов или копирования текста из документов. Подробнее о CASB здесь.
Cloudflare One включает управляемый API CASB который обеспечивает комплексный мониторинг и контроль над приложениями SaaS, поэтому вы можете легко предотвратить утечку данных и нарушения соответствия требованиям.
Предотвращение утечек данных (Data Loss Prevention, DLP)
Средства предотвращения утечек данных обнаруживают и предотвращают эксфильтрацию данных (перемещение данных без разрешения компании) или уничтожение данных. Многие решения DLP анализируют сетевой трафик и внутренние «конечные» устройства для выявления утечки или потери конфиденциальной информации, такой как номера кредитных карт или персональная идентифицирующая информация (PII). DLP использует ряд методов для обнаружения конфиденциальных данных, включая получение цифровых отпечатков данных, сопоставление ключевых слов, сопоставление шаблонов и сопоставление файлов. Подробнее о DLP здесь.
Функциональные возможности DLP для Cloudflare One появятся в ближайшее время. Они будут включать в себя возможность сверять данные с общими шаблонами, такими как PII, маркировать и индексировать конкретные данные, которые необходимо защитить, а также комбинировать правила DLP с другими политиками Zero Trust.
Межсетевой экран как услуга
Межсетевой экран как услуга, также называемый облачным межсетевым экраном, отфильтровывает потенциально вредоносный трафик, не требуя присутствия физических аппаратных средств в сети клиента. Подробнее о межсетевом экране как услуге здесь.
Cloudflare One включает Magic Firewall, межсетевой экран как услугу, который позволяет фильтровать любой IP-трафик из единой плоскости управления и (новинка!) применять политики IDS к вашему трафику.
Защита электронной почты
Безопасность электронной почты — это процесс предотвращения кибератак на основе электронной почты и нежелательных сообщений. Она охватывает защиту почтовых ящиков от захвата, защиту доменов от спуфинга, нейтрализацию фишинговых атак, предотвращение мошенничества, блокировку доставки вредоносного ПО, фильтрацию спама и использование шифрования для защиты содержимого электронных писем от посторонних лиц.
Инструменты безопасности электронной почты можно использовать в сочетании с другими функциями безопасного доступа, включая DLP и RBI — например, потенциально подозрительные ссылки в электронных письмах можно запускать в изолированном браузере без блокировки ложных срабатываний. Подробнее о безопасности электронной почты здесь.
Cloudflare One включает средство обеспечения безопасности электронной почты Area 1, которое сканирует Интернет для предотвращения фишинга, компрометации корпоративной электронной почты (BEC), а также почтовых атак на цепочку поставок на самых ранних этапах цикла атаки. Area 1 усиливает встроенную безопасность от провайдеров облачной электронной почты благодаря глубокой интеграции со средами и рабочими процессами Microsoft и Google.
Сетевые терминалы: обеспечьте подключение
Чтобы применить функции безопасного доступа к вашему трафику, вам необходимы механизмы для передачи трафика от его источника (будь то удаленное пользовательское устройство, филиал, центр обработки данных или облако) к периферийному сервису (см. ниже), где работают эти функции. Сетевые терминалы — это те механизмы, которые являются вводами и выводами в модели IPO, или, другими словами, способами, которыми ваш трафик попадает из точки A в точку B после применения фильтров.
Обратный прокси (для приложений)
Обратный прокси находится перед веб-серверами и пересылает запросы клиента (например, веб-браузера) на эти веб-серверы. Обратные прокси, как правило, внедряются для повышения безопасности, производительности и надежности. При использовании совместно с поставщиками удостоверений и безопасности конечных точек обратный прокси может использоваться для предоставления сетевого доступа к веб-приложениям.
Cloudflare One включает один из наиболее используемых в мире обратных прокси, который ежедневно обрабатывает более 1,39 млрд DNS-запросов.
Соединитель приложений (для приложений)
Для частных приложений или не-веб приложений ИТ-специалисты могут установить облегченную управляющую программу в своей инфраструктуре и создать только исходящее подключение к периферийному сервису. Эти соединители приложений обеспечивают подключение к веб-серверам HTTP, SSH-серверам, удаленным рабочим столам и другим приложениям/протоколам, не открывая приложения для потенциальных атак.
Cloudflare One включает Cloudflare Tunnel. Пользователи могут установить облегченную управляющую программу, которая создает зашифрованный туннель между их веб-сервером-источником и ближайшим центром обработки данных Cloudflare, не открывая общедоступные входящие порты.
Клиентское устройство (для пользователей)
Для того чтобы получать трафик с устройств, включая ноутбуки и телефоны, на периферийный сервис для фильтрации и доступа к частной сети, пользователи могут установить клиент. Такой клиент, или «агент роуминга», действует как прямой прокси для направления части или всего трафика с устройства на периферийный сервис.
Cloudflare One включает клиентское устройство WARP, которое используется миллионами пользователей по всему миру и доступно для iOS, Android, ChromeOS, Mac, Linux и Windows.
Собственные или арендуемые IP-адреса (для филиалов, центров обработки данных и облаков)
В зависимости от возможностей сети/периферийного сервиса поставщика SASE организации могут использовать свои собственные IP-адреса или арендовать IP-адреса, чтобы обеспечить подключение всей сети через объявление BGP.
Cloudflare One включает варианты BYOIP и арендованных IP-адресов, оба из которых включают рекламные линейки в масштабах всей нашей сети Anycast.
Сетевые туннели (для филиалов, центров обработки данных и облаков)
Большинство аппаратных или виртуальных аппаратных устройств, расположенных по периметру физической сети, способны поддерживать один или несколько типов стандартных отраслевых механизмов туннелирования, таких как GRE и IPsec. Эти туннели могут быть установлены на периферийном сервисе по периметру из филиалов, центров обработки данных и общедоступных облаков, чтобы обеспечить подключение на сетевом уровне.
Cloudflare One включает возможности туннелей Anycast GRE и IPsec, которые настраиваются как традиционные туннели «точка-точка», но при этом обеспечивают автоматическое подключение ко всей сети Anycast Cloudflare для простоты управления и резервирования. Эти возможности также обеспечивают простое подключение с существующих устройств SD-WAN, что может обеспечить простую в управлении или полностью автоматическую настройку туннеля.
Прямое соединение (для филиалов и центров обработки данных)
Окончательной возможностью сетевого подключения для сетей с высокой надежностью и пропускной способностью является прямое подключение к периферийному сервису либо с помощью физического прямого соединения/соединения «последней мили», либо с помощью виртуального межсетевого соединения через поставщика технологии Virtual Fabric.
Cloudflare One включает Cloudflare Network Interconnect (CNI), который позволяет подключаться к сети Cloudflare посредством прямого физического соединения или виртуального соединения через партнера. Cloudflare for Offices (Cloudflare для организаций) доставляет CNI непосредственно в ваше физическое помещение, обеспечивая еще более простое подключение.
Периферийный сервис: сеть, которая обеспечивает работу всей инфраструктуры
Функции безопасного доступа должны иметь пространство для работы. В традиционной модели архитектуры периметра таким местом была стойка с аппаратными блоками в корпоративном офисе или центре обработки данных; с SASE же это распределенная сеть, расположенная как можно ближе к пользователям и приложениям, где бы они ни находились в мире. Но не все периферийные сервисы созданы равными: чтобы платформа SASE обеспечивала надлежащее взаимодействие для ваших пользователей, приложений и сетей, базовая сеть должна быть быстрой, интеллектуальной, совместимой, программируемой и прозрачной. Давайте разберем каждую из этих возможностей платформы более подробно.
Производительность: местоположение, межсетевые соединения, скорость, пропускная способность
Исторически сложилось так, что ИТ-командам приходилось принимать жесткие решения в отношении компромисса между безопасностью и производительностью. Такие решения могут включать в себя то, следует ли перенаправлять трафик в центральное расположение для фильтрации безопасности, и какой именно трафик, а также то, какие функции безопасности следует активировать, чтобы сбалансировать пропускную способность с накладными расходами на обработку. С SASE такие компромиссы больше не требуются, поскольку периферийный сервис:
- Географически рассредоточен: важно, чтобы местоположения периферийного сервиса располагались как можно ближе к местам нахождения пользователей и приложений, что все чаще означает потенциально любую точку мира.
- Подключен через межсетевое соединение: ваш периферийный сервис должен быть подключен через межсетевое соединение с другими сетями, включая крупных транзитных, облачных и поставщиков SaaS, чтобы обеспечить надежное и быстрое подключение к пунктам назначения, в которые вы в конечном итоге направляете трафик.
- Быстрый: поскольку требования пользователей к удобству использования продолжают расти, ваш периферийный сервис должен идти в ногу со временем. На реальную производительность приложений влияет множество факторов, от наличия быстрого подключения к Интернету на «последней миле» до влияния фильтров безопасности и этапов шифрования/дешифрования, поэтому поставщикам SASE необходимо применять комплексный подход к измерению и повышению производительности сети.
- Высокая пропускная способность: с моделью архитектуры SASE вам никогда не придется задумываться о планировании пропускной способности для ваших функций безопасности. Вопрос «какой размер следует приобрести?» более не актуален. Это означает, что ваш периферийный сервис должен иметь достаточную пропускную способность в каждом местоположении, в которое может попасть ваш сетевой трафик, а также способность интеллектуально выполнять балансировку нагрузку трафика для эффективного использования этой пропускной способности на всем периферийном сервисе.
Cloudflare One построен на основе глобальной сети Cloudflare, которая охватывает более 270 городов в более чем 100 странах, 10 500+ сетей, подключенных через межсетевые соединения, а также имеет пропускную способность 140+ Тбит/с.
Интеллектуальный анализ трафика: формирование, качество обслуживания (QoS), маршрутизация на основе телеметрии
Помимо неотъемлемых атрибутов производительности периферии сети/периферийного сервиса, также важно иметь возможность влиять на трафик на основе характеристик вашей отдельной сети. Такие методы, как управление скоростью обработки трафика, качество обслуживания (QoS) и маршрутизация на основе телеметрии, могут дополнительно повысить производительность трафика на границе службы безопасности за счет приоритезации пропускной способности для критически важных приложений и маршрутизации с учетом перегрузок, сетевых задержек и других проблем на промежуточных путях.
Cloudflare One включает Argo Smart Routing, который оптимизирует трафик уровней с 3 по 7 для интеллектуальной маршрутизации в обход перегрузок, потери пакетов и других проблем в Интернете. Дополнительные возможности управления скоростью обработки трафика и QoS включены в план разработки Cloudflare One.
Аналитическая информация об угрозах
Для обеспечения функций безопасного доступа ваш периферийный сервис требуется поступление постоянно обновляемой аналитической информации, включающей известные и новые типы атак на всех уровнях стека OSI. Возможность интеграции сторонних аналитических каналов угроз — хорошее начало, но собственная аналитика угроз на основе трафика, проходящего через периферийный сервис, еще более эффективна.
Cloudflare One включает сбор и анализ информации об угрозах, собранный из более чем 20 млн интернет-ресурсов в сети Cloudflare, и который постоянно используется в наших политиках безопасного доступа, с тем, чтобы защитить клиентов от новых угроз.
Интероперабельность: интеграции, стандарты и компонуемость
Ваша платформа SASE заменит многие компоненты вашей устаревшей сетевой архитектуры, но вы можете сохранить некоторые из существующих инструментов и внедрить новые в будущем. Ваш периферийный сервис должен быть совместим с вашими существующими поставщиками подключения, аппаратными средствами и инструментами, чтобы обеспечить плавный переход на SASE.
В то же время периферийный сервис также должен помочь вам опережать новые технологии и стандарты безопасности, такие как TLS 1.3 и HTTP3. Кроме того, он должен быть полностью компонуемым, чтобы каждый сервис работал в комплексе для достижения более высоких результатов, чем стек точечных решений по отдельности.
Cloudflare One интегрируется с такими платформами, как Identity Provider (Сервис авторизации) и решениями Endpoint Protection (Защита конечных точек), устройствами SD-WAN, поставщиками межсетевых соединений, а также инструментами управления инцидентами и событиями безопасности (SIEM-системы). Существующие средства безопасности и ИТ-инструменты можно использовать вместе с Cloudflare One с минимальным объемом работ по интеграции.
Cloudflare также является лидером в продвижении стандартов Интернета и сетей. Любые новые веб-стандарты и протоколы, как правило, создавались под влиянием нашей исследовательской группы.
Cloudflare One также является полностью компонуемым решением, что позволяет вам начать с одного варианта использования и добавить дополнительную функциональность, чтобы создать эффект “1+1=3” для вашей сети.
Координация: автоматизация и программируемость
Развертывание и управление вашей конфигурацией SASE может оказаться сложной задачей после масштабирования за пределы нескольких пользователей, приложений и местоположений. Ваш периферийный сервис должен обеспечивать полную автоматизацию и программируемость, включая возможность управлять своей инфраструктурой как кодом с помощью таких инструментов, как Terraform.
Cloudflare One включает полную поддержку API и Terraform для простого развертывания и управления конфигурацией.
Возможности мониторинга: аналитика и журналирование
У вашей команды должны иметься комплексные возможности мониторинга всего трафика, проходящего через периферийный сервис. В классической модели защиты периметра ИТ-специалисты и эксперты по безопасности могли обеспечивать возможности мониторинга, настроив перехватчики сетевого трафика в нескольких точках, в которых трафик поступал в корпоративную сеть и исходил из нее. По мере того как приложения покидали центр обработки данных, а пользователи покидали офис, получить доступ к этим данным становилось все сложнее. Благодаря архитектуре SASE, поскольку весь ваш трафик маршрутизируется через периферийный сервис с единой плоскостью управления, вы можете вернуть эту возможность мониторинга — как с помощью привычных форматов, таких как анализ потока и данные захвата пакетов, так и с помощью расширенного журналирования и аналитики.
Все компоненты безопасного доступа Cloudflare One генерируют обширную аналитику и журналы, которые можно оценить непосредственно на информационной панели Cloudflare One или передать в инструменты SIEM для расширенной аналитики.
Начните свой путь к SASE с Cloudflare One
На следующей неделе мы объявим о новых функциях, которые еще больше расширят возможности платформы Cloudflare One, чтобы вашей команде было еще проще реализовать концепцию SASE. Вы можете следить за нашей домашней страницей Недели инноваций здесь или связаться с нами, чтобы начать работу сегодня.