Er SASE en hypet døgnflue eller et godt svar på sikkerhed i skyen?

Læs om hvad SASE-løsningen er, hvordan det kan være svaret på jeres IT-sikkerhed i skyen

Vi er vidner til den største transformation siden industrialiseringen. Voldsomt meget IT er på vej i skyen. Vi har længe vænnet os til at sende alle mulige former for instanser i skyen, men hvis man for fem år siden havde forslået sin CISO, at sikkerhedskomponenterne skulle leve i skyen, var man næppe blevet taget seriøst.

Men hvor er vi så i dag?
Ikke alt .. men virkelig meget IT-sikkerhed er drevet fra eller lever i skyen. Fremtidsforskere som fx Gartner forventer, at den udvikling forsætter, og derfor bør løsninger som fx SASE leveres som en service fra skyen i følge selv samme Gartner.

 

SASE

Figurtekst: Sase – simplificeret beskrivelse

Hvornår kom SASE på banen?

SASE blev defineret af Gartner i 2019, og SASE peaker pt. Gartners Hype Cycle. Derfor har de fleste producenter også travlt med at få defineret og positioneret deres version af komplekset i markedet. Gartner deler SASE op i tre funktioner:

  • core
  • recommended
  • optionel

Producenterne understøtter typisk de fleste features eller dele af disse. Men man skal som potentiel SASE-køber være opmærksom på, at nogle producenter gradbøjer definitionerne for SASE, således netop deres løsning kan markedsføres som SASE.

Hvad er SASE?

SASE Arkitekturen består af en kombination af netværk, sikkerhed og identitet. Jeg har forsøgt at illustrere komponenterne nedenfor.

 

SASE

 

Lidt firkantet sagt er SASE-løsninger uden sikkerhedskomponenter ikke SASE, og ligeledes er der ingen SASE uden SD-WAN for begreberne hænger sammen.

SASE hypen er blevet accellereret af Coronapandemien. Selv om vi formodentlig er på den anden side af pandemien, er brugerne stadig placeret meget fragmenteret, man arbejder hjemme, på kontoret, på cafeen m.m.

SaaS-applikationer har i høj grad medvirket til, at vi kunne fungere arbejdsmæssigt under COVID, hvor skyen blev vores datacenter. Behovet for DIA (direkte internet access) er derfor blevet det nye normale for at sikre den gode brugeroplevelse.

Men der er et spørgsmål som presser sig på:

”Hvordan er vi stillet i forhold til IT-sikkerhed, når IT-sikkerhed bliver decentralt og en cloud ting” ?

SASE kan være et af svarene.

SASE reducerer kompleksitet og omkostninger

Som udgangspunkt bør man som virksomhed overveje at vælge en samlet løsning fra én leverandør. Det vil reducere antallet af versioner af hardware- og software-agenter og dermed medvirke til et enklere ”operations” setup.

Med et centralt administrationsværktøj kan virksomhedernes sikkerhedsteams fastlægge politikker, som distribueres og håndhæves tæt på slutbrugerne.

Slutbrugere bør få den samme oplevelse, uanset hvilke ressourcer de har brug for, og hvor de tilgår dem. Derfor er brugeroplevelsen afhængig af, hvor distribueret den enkelte SASE-provider er (Læs ”hvor mange POP’s og SASE gateways har de”). SD-WAN-løsningen skal nartuligvis kunne integreres med disse gateways. Hvis man er en virksomhed med en global tilstædeværelse, er det et punkt, man bør medtage i sin evaluering af SASE (PoC/PoV).

SASE introducerer som nævnt i indledningen cloudbaseret sikkerhed. De fire store kerneteknologier er FWaaS, CASB, ZTNA og SWG. Ud over disse findes der som nævnt både anbefalede og optionelle teknologier i Gartners definitioner. En af disse er DNS sikkerhed, som efter min mening er meget værdifuld.

 

SASE

 

SASE forenkler adgangsprocessen ved at påtrykke relevante sikkerhedspolitikker for de ressourcer, brugeren forsøger at få adgang til baseret på brugerens login. Denne model højner sikkerheden idet sikkerhedspolitikkerne håndhæves uanset, hvor brugeren befinder sig.

SASE baseres på Zero-Trust(ZTNA) adgang, således at adgange baseres på brugerniveau i stedet for IP adresse.

Hvordan kommer man igang – Et godt sted at starte for alle IT-projekter, er at identificere virksomhedens eller forretningsenhedens behov. Et eksempel kunne være at afdække, om behovet er en fuld SD-WAN-løsning, eller om man som virksomhed kan ”nøjes” men en lidt lettere udgave som fx Cisco Meraki.

Næste trin kunne være en assessment og transformationsplan. Få skabt overblikket over hvilke sikkerhedsløsninger man har on-prem, som kunne give mening at flytte i skyen i hvilken tidsramme.

Lav en leverandør PoC/PoV. Her får man ofte afdækket, hvilken løsning der passer bedst til den pågældende virksomhed, desuden bliver man klogere på, hvilke komponenter af SASE der give værdi at ”tænde” for.

Kompetencer, kompetencer, kompetencer

Opbyg kompetencer. Det kan ikke siges ofte nok. Vil man som virksomhed drage fordel af de sikkerhedsløsninger, der findes i skyen, er det væsentligt, at man har kompetencer, der proaktivt og reaktivt kan forstå og udnytte disse. For nogle virksomheder kan det imidlertid være svært og bekosteligt at opbygge et tilstrækkeligt kompetenceniveau in-house. Her kan mange virksomheder med fordel læne sig op af en Managed Service Partner og derved få hjælp udefra.

Conscia er har partnerskaber med Cisco, Palo-Alto og VMware som alle er seriøse omkring deres  SASE-portefølje, og vi står derfor i en god position til at vejlede vores kunder omkring løsningerne. Har du behov for en uddybende dialog, er du velkommen til at kontakte os.

Henrik Møll
CTO