امنیت سازمانی به edgeمنتقل می‌شود

گاهی اوقات شرکت‌ها به نام امنیت، درگیر طراحی شبکه های ناکارآمد و پیچیده می شوند. افزایش خدمات ابری و طراحی ابر ترکیبی، همراه با تغییر کار در خانه  باعث شده است که شرکتها به این نتیجه برسند که باید امنیت را در لبه edge‌ مدیریت کنند. معماری ترکیبی به این معنی است که کاربران و نرم‌افزارها اغلب در دیتانستر و خارج از آن به هم متصل می‌شوند. گاهی اوقات از یک سرویس ابری به سرویس دیگر بدون نیاز به اتصال به دیتاسنتر به هم متصل می‌شوند. یک رویکرد برای این مشکل معماری کامل امنیت سازمانی است.

رویکردهای معماری مدرن برای امنیت لبه، چند تغییر استراتژیک را پیشنهاد می‌کند: به یک مدل امنیتی جدید به نام سرویس دسترسی امن (SASE) و تاکتیک مدیریت شبکه به نام شبکه های گسترده نرم‌افزاری (SD-WAN. SASE و SD-WAN درجه بالاتری از کنترل را در زمینه مدیریت ترافیک و محتوای شبکه ارائه می‌دهند. اما آنها به تعهدات مهمی از جمله WAN با معماری خوب نیاز دارند که سازمان‌ها باید بر اساس نیازها و آمادگی خود ارزیابی کنند. SASE، اصطلاحی که توسط گارتنر ابداع شد، ساختار فناوری اطلاعات یک سازمان را دوباره تعریف می‌کند. به جای اینکه دیتاسنتر در مرکز قرار گیرد و ارتباطات خود را با ابر و شرکای کسب وکار تقویت کند، SASE پیشنهاد می‌کند که یک ارائه دهنده خدمات شبکه امن (مانند Zscaler ، Cloudflare یا Netskope) در مرکز زیرساخت شبکه فناوری اطلاعات قرار گیرد.

کاربران و سرویس‌هایی که از طریق شبکه ارتباط برقرار می‌کنند، باید از تونل IPsec از طریق ارائه دهنده شبکه امن یا نرم افزار عامل ارائه دهنده برای احراز هویت و انجام سایر عملکردهای امنیتی استفاده کنند. در این مدل جدید، شبکه به لبه اتصال به ابر جدید تبدیل می‌شود. گارتنر این چشم‌انداز برنامه‌های کاربردی مبتنی بر شبکه  را دسترسی به شبکه بدون اعتماد zero trust network access (ZTNA) می‌نامد. SD-WAN تصمیمات مسیریابی را از سخت‌افزار شبکه و شبکه فیزیکی جدا می‌کند. که به مشتریان امکان می‌دهد مناطق امن منطقه‌ای ایجاد کرده و بر اساس سیاست‌های خودکار برای امنیت، هزینه، عملکرد و سایر شرایط شبکه ترافیک را به جایی که باید برود، هدایت کنند.

امنیت سازمانی به edge‌ منتقل می‌شود

چالش‌های امنیت لبه

در یک ابر مدرن و ترکیبی، دسترسی به لبه می‌تواند از هر نوع دستگاه در شبکه، در هر زمان و هر کجا توسط هر کسی انجام شود. تجزیه و تحلیل همه ویژگی‌های هر اتصال که انجام می‌شود برای تعیین خطر و سپس اقدامات یا محدودیت‌هایی که باید انجام شود به سطح قابل توجهی از هوش نیاز دارد. مشخصات خطرات دسترسی نباید فقط یکبار در نقطه اولیه دسترسی انجام ‌شود باید در طول عمر اتصال بطور مداوم بررسی شود. بسته به رفتار کاربر و سایر ویژگی‌هایی که در طول یک اتصال تغییر می‌کند، سطح خطر می‌تواند تغییر کند. پروفایل اولیه و نمایه شدن مداوم دید کاملی را در مورد آنچه کاربر انجام می‌دهد فراهم می‌کند و امکان تنظیمات را در هنگام کار کاربر فراهم می‌کند. با انتقال ارزیابی‌ها و تصمیمات امنیتی به فضای ابری، می‌توان قبل از دسترسی به هر چیزی تصمیم‌گیری کرد و همه تصمیمات بین هر نقطه پایانی را می توان در یک فرآیند در نظر گرفت.

این موضوع نحوه عملکرد شبکه و امنیت شرکت‌ها را تغییر می‌دهد. مدل SASE تصمیمات دسترسی حیاتی را در دستگاه نقطه پایانی و نقطه تماس حضور در ابر شبکه قرار می‌دهد. هنگامی که به نقطه پایانی اجازه ورود به مش متصل داده شود می‌توان تصمیمات دیگری در مورد مسیریابی درون ابر و سایر جزئیات اتصال اتخاذ کرد. همانطور که ترافیک در شبکه حرکت می‌کند یک سازمان می‌تواند قطعات آن را بر اساس اولویت محتوا، منبع، مقصد و سایر ویژگی‌ها مسیریابی کند. SASE، همراه با SD-WAN، سطح بالایی از کنترل و در دسترس بودن را ارائه می‌دهد. از نظر امنیتی فناوری اطلاعات می‌تواند قوانین پیچیده و اتوماسیون را اعمال کند که مسیرهای خاصی را تأیید و مسدود می‌کند. به عنوان مثال، ترافیک با شماره کارت اعتباری در آن می‌تواند اجازه داشته باشد مسیرهای خاصی را در مش دنبال کند، اما می‌تواند فقط از مکان‌های از پیش تأیید شده خارج شود. فناوری اطلاعات می‌تواند این سطح کنترل را از لایه 3 در مجموعه پروتکل شبکه تا سطح برنامه اعمال کند. SASE همچنین ارتباطات غیر ضروری را از طریق دیتاسنتر بین نهادهای خارج از آن حذف می‌کند. نکته این ارتباطات انجام بررسی های امنیتی است، اما SASE با انجام بررسی‌های مورد نیاز این فرآیند را ساده‌تر و کارآمدتر می‌کند.