6 مكونات SASE وتأثيرها على أمان الشبكة
تجمع SASE بين وظائف الشبكة والأمان في منصة سحابية واحدة متعددة المستأجرين تعمل على تحسين الأداء وتقوية الأمان.
إن Secure Access Service Edge (SASE) عبارة عن بنية شبكة تجمع بين إجراءات الشبكة والأمان في خدمة واحدة قائمة على السحابة تعمل على تحسين إمكانية الوصول والأمان والكفاءة. تساعد SASE في معالجة أوجه القصور، مما يضمن قدرة المؤسسات على توسيع نطاق قدرات الأمان والشبكات عبر جميع نقاط النهاية والمواقع من خلال نموذج التسليم السحابي الخاص بها.
تقليديًا، تدير الشبكات الموزعة تدفق حركة المرور بين مواقع الشبكة مثل المكاتب الفرعية ومركز البيانات المركزي. تم نشر بنية الأمان والتطبيقات في مركز البيانات، مع المكاتب الفرعية أو المواقع البعيدة التي تصل إليها عبر شبكة افتراضية خاصة (VPN).
بينما يكتسح التحول الرقمي العالم، سرعان ما تصبح هذه الشبكات بالية. بالإضافة إلى ذلك، تكافح الحلول الأمنية لمواكبة التعقيد المتزايد للشبكات الحديثة.
تستخدم الشبكات الحديثة العديد من الأصول، بما في ذلك الخدمات السحابية ومنتجات البرمجيات كخدمة (SaaS) والأجهزة المحمولة وأجهزة إنترنت الأشياء (IoT) ومحطات العمل البعيدة. تتطلب نقاط النهاية اتصالاً بالشبكة وأمانًا مناسبًا.
عندما تتصل نقاط النهاية هذه بشبكات الشركة، فإنها تولد كميات كبيرة من حركة المرور التي تتطلب الفحص. نتيجة لذلك، تواجه الشبكات مشكلات تتعلق بوقت الاستجابة تؤدي إلى تجربة سيئة للمستخدم. تساعد SASE في معالجة هذه المشكلات من خلال توفير الإمكانات اللازمة لضمان الرؤية والأمان والكفاءة.
المكونات الرئيسية لـ SASE
وسيط أمان الوصول إلى السحابة (CASB)
يعمل CASB كجسر بين المستخدمين أو الأجهزة والتطبيقات السحابية. إنه يمكّن المؤسسات من فرض سياسات الأمان، وتنفيذ المصادقة الثنائية، وتطبيق تسجيل الدخول الأحادي (SSO) على جميع تطبيقات السحابة. الهدف هو منع الأجهزة غير المصرح بها والمستخدمين من الأصول الهامة مع ضمان الوصول غير المنقطع إلى المستخدمين المصرح لهم.
الوصول إلى شبكة الثقة الصفرية (ZTNA)
تتطلب ZTNA من المستخدمين والأجهزة تقديم إذن صريح للوصول إلى الموارد. إنه يمكّن المؤسسات من إخفاء التطبيقات الخاصة الداخلية عن المستخدمين غير المصرح لهم مع الحفاظ على هذه الموارد مرئية وعملية للموظفين المصرح لهم. كما تقوم أيضًا بطبقات المصادقة للسماح بوصول أكبر عن بُعد.
شبكة واسعة النطاق معرّفة بالبرمجيات (SD-WAN)
SD-WAN هي بنية اتصال تفصل أجهزة الشبكات عن طبقة التحكم المادية التقليدية. يوفر حلاً مرنًا يعمل على تحسين وتبسيط إدارة وأداء WAN. تساعد SD-WAN المؤسسات على تحسين أداء الشبكة وتقليل التكاليف ودعم التطبيقات الجديدة المضافة أثناء التحول الرقمي.
بوابات الويب الآمنة (SWG)
تفرض SWGs سياسات لتصفية البرامج الضارة غير المرغوب فيها (البرامج الضارة) من حركة مرور الإنترنت التي يبدأها المستخدم. يمكن أن يعمل حل SASE الذي يستخدم SWG على توسيع نطاق الرؤية، مما يوفر تحكمًا دقيقًا في الوصول إلى الويب. كجزء من نظام SASE الأساسي، تحمي هذه السياسات المستخدمين من مواقع الويب الضارة. يتضمن ذلك العديد من التقنيات، بما في ذلك تصفية عناوين URL، والحماية من فقدان البيانات (DLP)، ومكافحة الفيروسات، وفحص SSL، ووضع الحماية.
جدار الحماية كخدمة (FWaaS)
FWaaS هو حل جدار حماية قائم على السحابة يمكنك دمجه في نظام SASE الأساسي لتمكين ميزات أمان الشبكة الرئيسية المختلفة. وهو يشتمل عادةً على إمكانات جدار الحماية فائقة النطاقات والجيل التالي (NGFW) مثل تصفية الويب ونظام منع التطفل (IPS) والحماية المتقدمة من التهديدات (ATP) وأمن نظام اسم المجال (DNS).
إدارة مركزية وموحدة
تتمثل الميزة الرئيسية لحل SASE في أنه يمكّن المؤسسات من إدارة شبكاتها وحلولها الأمنية مركزيًا من خلال منصة إدارة موحدة. يسمح للمؤسسات بإدارة منتجات الشبكات والأمن مثل SD-WAN وCASB وSWG وZTNA وFWaaS من مكان واحد. ونتيجة لذلك، يتمتع أعضاء الفريق بحرية تركيز طاقتهم على المجالات الأكثر إلحاحًا، ويمكن للقوى العاملة المختلطة في المؤسسة الاستمتاع بتجربة مستخدم أفضل.
مزايا أمان SASE
الأمان من الحافة إلى الحافة
يمكن لـ SASE تأمين وتوصيل WAN الخاص بالمؤسسة ببساطة وبشكل شامل لتحسين الأداء. يجمع الحل بين وظائف الشبكة والأمان في منصة سحابية واحدة متعددة المستأجرين تعمل على تحسين الأداء وتقوية الأمان.
يعد SD-WAN جزءًا لا يتجزأ من حل SASE، حيث يقدم ميزات مثل تحسين WAN وتجاوز الفشل النشط لزيادة مرونة الشبكة وتحسين الأداء. عند تنفيذها كجزء من مكدس أمان شبكة كامل، تتضمن SASE أيضًا SWG وIPS وNGFW، مما يضمن أن نموذج السحابة الأصلي الخاص بك يمكنه حماية جميع الحواف وتحقيق رؤية مناسبة للشبكة.
نموذج أمان مبسط
تتطلب حلول الشبكات القديمة عادةً إضافات مستمرة لأنظمة وأجهزة الأمان لمواكبة المعايير والمتطلبات الأمنية المتطورة باستمرار. حتى مع وجود أدوات إضافية، لا تستطيع هذه الحلول القديمة عادةً تقديم وظائف أمان حديثة مثل NGFW وSWG وIPS. نتيجة لذلك، ليس أمام المؤسسات خيار سوى نشر المزيد من الحلول الأمنية لسد هذه الفجوة. لسوء الحظ، تؤدي إضافة الأدوات إلى تفاقم المشكلة.
تساعد SASE في حل هذه المشكلة من خلال استخدام FWaaS لإدخال ميزات الأمان مثل تصفية عناوين URL ومكافحة البرامج الضارة وجدار الحماية وIPS في البنية التحتية. يضمن تطبيق FWaaS كجزء من حل SASE أن تتمكن المؤسسات من إدارة أمان الشبكة بسهولة وتحديد سياسات موحدة وتحديد المخالفات وإجراء التغييرات بسرعة. يوفر الحل حماية موحدة لجميع الحواف، بما في ذلك المواقع المادية ومواقع الجوال والسحب.
حماية البيانات المتسقة
تقوم معظم الشركات بجمع ومعالجة وتوزيع كميات كبيرة من البيانات، بما في ذلك المعلومات التجارية السرية وبيانات العملاء والملكية الفكرية الحساسة. تعمل ميزة منع فقدان البيانات (DLP) على تمكين المؤسسات من حماية البيانات في المتاجر المختلفة من الضياع وسوء الاستخدام والسرقة. تقدم SASE DLP عبر السحابة، مع التركيز بشكل أساسي على البيانات.
عادةً ما يكون DLP أحد الحلول المضمنة في نقاط التحكم الحالية للمؤسسة. يمكن لحل SASE المستند إلى السحابة أتمتة عمليات DLP المتعددة، بما في ذلك اكتشاف البيانات الحساسة وتصنيفها. إنه يعمل عبر جميع مخازن البيانات، ويحدد ويحمي البيانات أثناء النقل والمستخدمة.
يمكن لـ SASE DLP أيضًا مصادقة المستخدمين والأجهزة للتحكم في الوصول إلى التطبيقات والمعلومات. إنه يمكّن المؤسسات من تطبيق سياسات الحماية عبر الشبكة بالكامل، والتي تغطي السحابات المتعددة والأجهزة والتطبيقات المحمولة المتعددة ومراكز البيانات المحلية.
رؤية أكبر والتحكم في استخدام البيانات
تتطور بيئة المؤسسة الحديثة باستمرار مع اتصال التطبيقات والمستخدمين بالشبكة وفصلهم عنها، مما يجعل من الصعب تقييم المخاطر. يمكن للشركات تخفيف المخاطر فقط من خلال معرفة كيفية تفاعل مستخدمي الشبكة وتطبيقاتها وخدماتها وأجهزتها. ومع ذلك، تتطلب المؤسسات الرؤية لمراقبة الشبكة بشكل صحيح وتحديد نقاط الضعف الأمنية.
توفر ZTNA للمؤسسات الرؤية الدقيقة والتحكم في المستخدمين والأنظمة التي تصل إلى تطبيقات وخدمات الشبكة. توفر منصة SASE المدعومة من ZTNA إمكانات عدم الثقة لتحقيق الرؤية اللازمة لتقييم المخاطر بدقة. تقوم SASE بتكثيف العديد من الوظائف في وظيفة واحدة، مما يوفر مستوى عالٍ من شفافية الشبكة والأمان. يتطلب عددًا أقل من وكلاء البرامج لتقديم رؤية متسقة للشبكة والحفاظ عليها.
كيف ستؤثر SASE على الاستجابة للحوادث؟
تعمل الاستجابة للحوادث على توحيد الطريقة التي تتعامل بها المنظمة مع الهجمات الإلكترونية المحتملة. ويغطي جميع الخطوات المتضمنة، بما في ذلك التحقيق الأولي في الحادث، والقضاء على التهديد، واستعادة العمليات الطبيعية. تمكن معماريات SASE المؤسسات من الاستجابة بسرعة أكبر للسيناريوهات الجديدة وغير المتوقعة.
قارنت دراسة حديثة أجرتها شركة Cisco المنظمات ذات تطبيقات SASE الناضجة مع المؤسسات ذات SASE المحدود واكتشفت أن تلك التي لديها SASE الناضجة هي:
- ضعف احتمال أن يكون لديها استراتيجية تحديث تقني قوية تقريبًا مقارنة بالمنظمات ذات بنى SASE المحدودة. هذا لأن البنية التحتية التي تمت ترقيتها وSASE يسيران جنبًا إلى جنب.
- ما يقرب من 40٪ أكثر احتمالًا أن يكون لديهم اكتشاف قوي للتهديدات والاستجابة للحوادث.
- حقق مستويات نجاح أعلى للتعافي السريع من الكوارث والتكنولوجيا المتكاملة.
- ما يقرب من 40 ٪ أكثر احتمالا لتحقيق إمكانات قوية للتعافي من الكوارث من أولئك الذين لديهم استخدامات محدودة لـ SASE.
- ما يقرب من 40٪ هم أكثر عرضة لتطبيق تقنية أمنية متكاملة بشكل جيد.
خاتمة
في هذه المقالة، قمت بمراجعة المكونات الرئيسية لإطار عمل SASE وأوضحت عدة طرق ستحول عمليات أمان الشبكة:
- الأمان من الحافة إلى الحافة – ضمان تأمين الاتصالات من أي جهاز حافة عبر مركز البيانات الداخلي أو السحابة.
- نموذج أمان مبسط – يلغي الحاجة إلى دمج حلول أمان وشبكات متعددة.
- حماية متسقة للبيانات – تقوم SASE ببناء DLP في نسيج الشبكة، مما يضمن مراقبة أي تدفقات بيانات حساسة وحمايتها.
- رؤية وتحكم أكبر – إطار واحد متسق لمراقبة حركة مرور الشبكة والتحكم فيها.
- استجابة أكثر كفاءة للحوادث – من المرجح أن يكون لدى المنظمات التي لديها SASE عمليات أقوى للكشف عن التهديدات والتعافي من الكوارث والاستجابة للحوادث.
المصدر: networkcomputing
قد يهمك:
