SASE, một mô hình được đưa ra bởi Gartner với mục đích truy nhập streamlining network, cải thiện security, tăng hiệu suất mạng, giảm số vendors (nhà cung cấp) và số lượng thiết bị mà các chuyên gia IT phải xử lý.
Secure Access Service Edge (SASE) là kiến trúc mạng thực hiện gom SD-WAN (Software Defined Wide Area Networking) và Security vào dịch vụ đám mây - cloud. Điều này hứa hẹn sẽ đơn giản hóa việc triển khai WAN, cải thiện hiệu suất và security, cung cấp băng thông thích hợp cho mỗi ứng dụng được dùng.
Là một dịch vụ đám mây, SASE (thường được đọc là “sassy”) có thể dễ dàng mở rộng hoặc thu nhỏ quy mô của việc tính phí dựa trên mức sử dụng. Vì vậy đây là một sự lựa chọn vô cùng hấp dẫn trong thời đại đang thay đổi nhanh chóng.
Một số vendors trong lĩnh vực này cung cấp các thiết bị để kết nối với nhân viên làm việc tại nhà và kết hợp data centers tới mạng SASE của họ. Các vendors còn lại thì chọn việc kiểm soát các kết nối thông qua phần mềm khách hoặc là thông qua các ứng dụng ảo.
Gartner đưa ra khái niệm SASE và mô tả trên giấy lần đầu vào năm 2019 về các mục tiêu và cách thức triển khai SASE như thế nào. SASE cũng được thông báo là vẫn đang trong giai đoạn phát triển và các tính năng của nó vẫn chưa hoàn toàn đầy đủ.
Hãy cùng tiếp tục tìm hiểu kĩ hơn về SASE!
Hiểu một cách đơn giản thì SASE là sự kết hợp Security vào các tính năng của SD-WAN và cung cấp chúng dưới một dịch vụ duy nhất. Các chính sách bảo mật thực được thi trên các phiên của người dùng và được điều chỉnh cho phù hợp với phiên đó dựa trên 4 yếu tố:
Phần WAN của SASE dựa trên các khả năng cung cấp của các đối tượng như các nhà cung cấp SD-WAN, nhà cung cấp dịch vụ mạng, mạng phân phối, các nhà cung cấp băng thông và thiết bị mạng.
Còn phần security thì dựa trên các cloud-access security brokers (các thành phần trung gian hỗ trợ bảo mật cho các ứng dụng cloud), zero-trust network access (mô hình bảo mật không tùy chọn tin cậy mặc định bất cứ thứ gì bên ngoài hoặc bên trong), firewall-as-a-service (dịch vụ Firewall trên cloud), web-API-protection-as-a-service, DNS và cách ly trình duyệt từ xa.
Một cách lý tưởng, SASE sẽ cung cấp tất cả các khả năng trên dưới dạng một thực thể duy nhất, theo Gartner.
Phần “biên” của SASE thường được phân phối qua PoPs hoặc data centers của các vendors gần các endpoints như data centers, con người, thiết bị - bất cứ đâu. Trong vài trường hợp, vendors SASE sẽ sở hữu PoPs, số khác thì dùng third-party (nhà cung cấp khác) hoặc mong khách hàng cung cấp kết nối cho chính họ.
Vì là một dịch vụ duy nhất, SASE sẽ giúp giảm sự phức tạp và giá thành. Các doanh nghiệp sẽ phải hợp đồng với ít vendors hơn, giảm số lượng hardware cần thiết cho các chi nhánh và các vùng ở xa, đồng thời còn giảm số lượng nhân viên cần thiết cho các thiết bị đầu cuối.
Các nhân viên IT có thể thiết lập được các chính sách tập trung thông qua các nền tảng quản lý trên cloud và thiết lập các chính sách thực thi trên các PoPs được phân phối gần end-users.
Người dùng thường không quan tâm tới tài nguyên cần thiết là gì và ở đâu khi họ thực hiện việc truy nhập. SASE sẽ giúp đơn giản tiến trình xác thực bằng cách áp dụng các chính sách thích hợp cho bất cứ tài nguyên nào người dùng tìm kiếm dựa trên lần đăng nhập đầu tiên.
Security được tăng lên bởi các chính sách được thực thi như nhau bất kể người dùng ở đâu. Khi có mối đe dọa phát sinh, nhà cung cấp dịch vụ sẽ chỉ ra cách chống lại chúng mà không cần yêu cầu thêm hardware từ người dùng.
SASE hỗ trợ zero-trust networking - dựa trên quyền truy nhập, thiết bị và ứng dụng mà không phải vị trí và địa chỉ IP.
Nhiều loại người dùng đầu cuối như nhân viên, đối tác, nhà thầu, khách hàng,.. truy nhập được mà không gặp phải các nguy cơ bảo mật mà các công cụ truyền thống như VPNs, DMZs có thể gặp phải với các cuộc tấn công tiềm tàng trên diện rộng tới doanh nghiệp.
Các nhà cung cấp SASE có thể cung cấp các chất lượng dịch vụ (QoS) khác nhau để mỗi ứng dụng có được băng thông và khả năng đáp ứng mạng mà ứng dụng cần.
Với SASE, nhân viên IT của doanh nghiệp ít phải làm các công việc liên quan tới triển khai, giám sát, bảo trì hơn trước mà có thể bổ nhiệm cho họ các nhiệm vụ ở cấp độ cao hơn.
Gartner liệt kê ra một số các trở ngại cho việc áp dụng SASE.
Đầu tiên là một vài dịch vụ có thể trở nên ngắn hơn vì chúng được triển khai bởi các nhà cung cấp có nền tảng về hoặc về mạng hoặc về bảo mật nhưng thiếu chuyên môn phần còn lại.
Dịch vụ SASE ban đầu có thể không được thiết kế với tư duy cloud-native, vì theo kinh nghiệm cũ của các vendors là bán các on-premises hardware (hardware cho phần mềm lưu trữ dữ liệu tại chỗ), vì vậy họ thường chọn các kiến trúc mà trong đó cơ sở hạ tầng được dành riêng cho mỗi khách hàng tại một thời điểm.
Tương tự như vậy, các vendors cung cấp hardware cũ có thể thiếu kinh nghiệp với các proxies in-line mà SASE cần, khiến cho họ gặp các vấn đề về hiệu suất và giá cả.
Một số vendors truyền thống cũng có thể thiếu kinh nghiệm trong việc đánh giá bối cảnh, điều này có thể hạn chế khả năng của họ trong việc đưa ra các quyết định theo bối cảnh tương ứng.
Vì tính phức tạp của SASE, nên quan trọng là các nhà cung cấp phải có các tính năng được tích hợp tốt chứ không phải chỉ kết hợp chúng với nhau.
Việc kết hợp PoP trên toàn cầu có thể gây tốn kém nhiều đối với một số nhà cung cấp SASE. Ngoài ra điều này còn có thể dẫn đến hiệu suất không đồng đều trên toàn phạm vi vì khoảng cách xa nhất giữa một PoP gần nhất và một PoP xa nhất sẽ sinh ra độ trễ.
Các SASE endpoint agents phải được tích hợp với các agents khác để đơn giản hóa việc triển khai.
Việc chuyển đổi SASE có thể tạo áp lực cho nhân sự. Các cuộc cạnh tranh lớn có thể xảy ra khi SASE ảnh hưởng tới các nhóm networking và security. Việc thay đổi vendors để áp dụng SASE có thể yêu cầu đào tạo lại nhân viên CNTT của công ty để đủ khả năng xử lý được công nghệ mới.
Gartner cho rằng nhiều chức năng data-center của các doanh nghiệp truyền thống hiện đang được lưu trữ bên ngoài data center doanh nghiệp hơn là bên trong clouds của các nhà cung cấp IaaS, các ứng dụng SaaS và cloud storage. Nhu cầu IoT và điện toán biên (edge computing) sẽ ngày càng làm tăng sự phụ thuộc vào các tài nguyên trên cloud, nhưng kiến trúc bảo mật WAN hiện nay vẫn tương thích với các data-center on-premises của doanh nghiệp.
Những người dùng từ xa thường kết nối qua VPN và yêu cầu firewalls tại các vị trí hoặc trên các thiết bị khác nhau. Các mô hình truyền thống thực hiện xác thực với bảo mật tập trung, cấp quyền truy cập và đồng thời cũng có thể định tuyến lưu lượng truy cập qua vị trí trung tâm đó. Các kiến trúc cũ này khá phức tạp và gây ra độ trễ cao.
Với SASE, người dùng và các thiết bị đầu cuối có thể được xác thực và cấp quyền truy cập an toàn vào tất cả các tài nguyên mà họ được phép tiếp cận và được bảo vệ bằng các security gần họ. Sau khi được xác thực, họ có quyền truy cập trực tiếp vào các tài nguyên, điều này giúp giải quyết các vấn đề về độ trễ mà kiến trúc cũ mắc phải.
Theo một nhà phân tích tên Nat Smith của Gartner, SASE giống như một triết lý và định hướng hơn là một danh sách các tính năng. Nhưng theo ông, nhìn chung SASE bao gồm năm công nghệ chính: SD-WAN, dịch vụ tường lửa (FWaaS), môi giới bảo mật truy cập đám mây (CASB), Gateway web an toàn, và mô hình bảo mật Zero-trust network access.
Tích hợp SD-WAN
Theo truyền thống thì mạng WAN sẽ bao gồm cơ sở hạ tầng riêng và thường đòi hỏi phải đầu tư nhiều vào phần cứng. Còn SASE version là nền tảng dựa hoàn toàn vào cloud, được xác định và quản lý bằng phần mềm, có các PoP phân phối nằm một cách lý tưởng gần các trung tâm dữ liệu doanh nghiệp, chi nhánh, thiết bị và nhân viên. Số lượng lớn PoP là vấn đề rất quan trọng để đảm bảo rằng càng nhiều lưu lượng doanh nghiệp càng tốt truy cập trực tiếp vào mạng SASE, tránh delay và các vấn đề bảo mật của internet công cộng.
Thông qua dịch vụ, khách hàng có thể theo dõi tình trạng mạng và thiết lập các policy cho các nhu cầu hay yêu cầu cụ thể về lưu lượng mà họ dùng.
Vì lưu lượng truy cập từ internet trước tiên sẽ đi qua mạng của nhà cung cấp nên SASE có thể phát hiện ra lưu lượng nguy hiểm và can thiệp trước khi nó xâm nhập vào mạng của doanh nghiệp. Ví dụ, các cuộc tấn công DDoS có thể được giảm thiểu trong mạng SASE, giúp khách hàng tránh được các dòng traffic độc hại.
Tường lửa như một dịch vụ
Hiện tượng “phân tán” đang xuất hiện ngày một nhiều hơn trong môi trường mạng, cả người dùng lẫn tài nguyên máy tính đều nằm ở phần biên (edge) của mạng. Firewall linh hoạt, dựa trên cloud và được phân phối dưới dạng dịch vụ có thể giúp bảo vệ các biên này. Chức năng này sẽ ngày càng trở nên quan trọng khi điện toán biên (edge computing) phát triển cũng như khi các thiết bị IoT trở nên ngày càng thông minh và mạnh mẽ.
Việc cung cấp FWaaS như một phần nền tảng SASE sẽ giúp các doanh nghiệp dễ dàng quản lý và bảo mật mạng của họ, thiết lập các policy thống nhất, phát hiện các điểm bất thường và nhanh chóng thực hiện những thay đổi.
Bảo mật “môi giới” truy nhập đám mây
Khi ngày càng có nhiều hệ thống công ty chuyển sang các ứng dụng SaaS, việc xác thực và truy cập ngày càng trở nên quan trọng.
CASBs (Cloud-Access Security Brokers) được dùng bởi các doanh nghiệp để đảm bảo thực hiện các chính sách bảo mật, chúng được áp dụng nhất quán ngay cả khi bản thân các dịch vụ nằm ngoài phạm vi kiểm soát của người dùng.
Còn với SASE, cổng thông tin mà nhân viên sử dụng để truy cập vào hệ thống công ty họ - cũng là cổng dẫn đến tất cả các ứng dụng trên cloud mà họ có quyền truy cập, bao gồm cả CASB. Lưu lượng truy cập lúc này không cần phải được route ra bên ngoài hệ thống để tới dịch vụ CASB riêng nữa.
Web gateway an toàn
Trong doanh nghiệp ngày nay, lưu lượng mạng hiếm khi bị giới hạn trong một phạm vi nhất định. Các công việc hiện nay thường yêu cầu quyền truy cập vào các tài nguyên bên ngoài, tuy nhiên một số sites có thể ngăn chặn các quyền truy nhập này, các công ty muốn chặn nhân viên truy cập vào các trang web lừa đảo và các máy chủ điều khiển - kiểm soát mạng. Thậm chí ngay cả những trang web vô hại cũng có thể bị sử dụng với mục đích xấu, chẳng hạn như việc các nhân viên đang cố gắng lấy cắp dữ liệu nhạy cảm của công ty.
Web gateway an toàn (Secure Web GW) giúp bảo vệ công ty khỏi những mối đe dọa trên. Các SASE providers cung cấp tính năng này có thể kiểm tra traffic được mã hóa ở quy mô cloud. Kết hợp SWG cùng các dịch vụ bảo mật mạng khác giúp cải thiện khả năng quản lý và cho phép thiết lập các chính sách bảo mật một cách thống nhất hơn.
Zero-trust network access
Zero-trust network access cho phép các doanh nghiệp hiển thị chi tiết, kiểm soát người dùng và hệ thống truy cập vào các ứng dụng, dịch vụ của công ty.
Zero-trust là một cách tiếp cận tương đối mới đối với an ninh mạng, việc chuyển sang nền tảng SASE cho phép các công ty có được các tính năng mà mạng Zero-trust có.
Yếu tố cốt lõi của Zero-trust là bảo mật dựa trên việc định danh thay vì dùng địa chỉ IP. Điều này sẽ giúp tương thích với các nguồn lực di động tốt hơn, nhưng yêu cầu về cấp độ xác thực sẽ cao hơn, chẳng hạn như xác thực đa yếu tố (multi-factor) và phân tích hành vi.
Một số công nghệ có thể tích hợp thêm vào SASE
Ngoài 5 tính năng cốt lõi như trên, Gartner cũng đề xuất một vài công nghệ khác mà các vendors SASE nên cấp cùng.
Chúng gồm ứng dụng web và bảo vệ API, cách ly trình duyệt từ xa và network sandboxes (môi trường cô lập trên mạng). Ngoài ra nên thực hiện bảo vệ quyền riêng tư và phân tán lưu lượng mạng để bảo vệ tài sản doanh nghiệp khỏi các tác nhân đe dọa như theo dõi địa chỉ IP hoặc nghe trộm các dòng traffic.
Một số tùy chọn khác như bảo vệ điểm phát sóng Wi-Fi, hỗ trợ các VPN cũ và bảo vệ cho các thiết bị hoặc các hệ thống điện toán biên ngoại tuyến.
Việc truy nhập tập trung vào mạng và security data có thể cho phép các công ty thực hiện phân tích tổng thể, từ đó phát hiện các mối đe dọa đến từ các hành vi bất thường và không rõ ràng trong các hệ thống được bảo mật. Do các số liệu phân tích này được phân phối dưới dạng dịch vụ dựa trên cloud, dữ liệu về các mối đe dọa để đối chiếu sẽ được sử dụng và cập nhập một cách thông minh từ nhiều nguồn khác nhau.
Mục tiêu cuối cùng của việc kết hợp tất cả các công nghệ này lại với nhau vào SASE là để mang đến cho doanh nghiệp sự bảo mật một cách bền vững và linh hoạt, hiệu suất tốt hơn và ít phức tạp hơn, tổng chi phí cho việc sở hữu tất cả các tính năng trên thấp hơn.
Doanh nghiệp có thể đạt được quy mô họ cần mà không cần phải thuê một số lượng lớn các quản trị viên network và security.
Các nhà cung cấp dịch vụ SASE
Gartner nói rằng do SASE là một khối hỗn hợp các dịch vụ nên sẽ có nhiều cách để kết hợp khác nhau. Kết quả là không thể đưa ra danh sách các nhà cung cấp một cách đầy đủ, nhưng họ tổng hợp được danh sách các nhà đã cấp hoặc đang mong sẽ cấp SASE như:
“Các nhà cung cấp IaaS lớn (AWS, Azure và GCP) vẫn chưa cạnh tranh trong thị trường SASE,” Gartner nói trong ấn phẩm giới thiệu SASE của mình. “Chúng tôi kỳ vọng sẽ có ít nhất một công ty giúp giải quyết phần lớn các yêu cầu thị trường về SASE … trong năm năm tới khi mà tất cả đều đã tăng nhiều sự hiện diện ở mạng biên (egde-networking) và khả năng bảo mật”.
Làm thế nào để áp dụng SASE?
Các doanh nghiệp có thể chuyển sang phương pháp tiếp cận bằng cách kết hợp trước. Hệ thống mạng và bảo mật truyền thống sẽ xử lý các kết nối đã có từ trước giữa các trung tâm dữ liệu và văn phòng chi nhánh, còn SASE sẽ được sử dụng để xử lý các kết nối, thiết bị, người dùng và vị trí mới.
SASE không phải là liều thuốc chữa trị cho các vấn đề về mạng và bảo mật hay là để ngăn chặn những sự gián đoạn trong tương lai, nhưng nó cho phép các công ty phản ứng nhanh hơn với sự gián đoạn hoặc khủng hoảng và nhờ đó sẽ làm giảm thiểu tác động của chúng tới doanh nghiệp. Ngoài ra, SASE sẽ cho phép các công ty có vị thế tốt hơn khi tận dụng các công nghệ mới, chẳng hạn như điện toán biên, 5G và mobile AI.
