ما المقصود بحافة خدمة الوصول الآمن (SASE)؟

خدمة SASE هي مزيج أو تقارب بين تقنيتين أساسيتين: الشبكات واسعة النطاق المحددة بالبرامج (SD-WAN) وحافة الخدمة الآمنة (SSE). وسيسهل فهم طريقة عمل SASE للغاية إذا فهمت أولًا المهام التي تؤديها هاتان التقنيتان.

SD-WAN

تُعدّ خدمة SD-WAN شبكة واسعة النطاق تم تحويلها إلى شبكة افتراضية، بالطريقة نفسها التي يتم بها تحويل الخوادم إلى خوادم افتراضية. وتعمل هذه التقنية على عزل وظائف الشبكة عن الأجهزة الأساسية -الوصلات، والمفاتيح، وأجهزة التوجيه، والبوابات- لإنشاء مجموعة من قدرات الشبكة وأمن الشبكات التي يمكن تقسيمها وتجميعها وتطبيقها على حركة الزيارات بموجب التحكم البرمجي.

تم تصميم الشبكات التقليدية واسعة النطاق (WANs) لربط المستخدمين في فروع الشركات بالتطبيقات في مركز بيانات الشركة المركزي، عادةً عبر اتصالات شبكة خطوط مستأجرة مخصصة وخاصة ومرتفعة التكلفة. تم تثبيت أجهزة التوجيه في كل فرع للتحكم في حركة الزيارات ومنحها الأولوية لضمان الأداء الأمثل للتطبيقات الأكثر أهمية. وتم تطبيق وظائف الأمان، مثل فحص الحزم وتشفير البيانات، في مركز البيانات المركزي.

تم تطوير SD-WAN في الأصل للسماح للمؤسسات بتكرار قدرات WAN الخاصة بها على البنية التحتية للإنترنت الأقل تكلفة والأكثر قابلية للتطوير. ولكن الطلب على شبكات SD-WAN تسارع مع بدء عدد متزايد من الشركات في اعتماد الخدمات السحابية قبل أن تصبح مستعدة تمامًا للثقة في أمان الإنترنت. واجه نموذج أمان شبكة WAN تحديات: حيث أدى توجيه أحجام متزايدة باستمرار من حركة الزيارات الموجهة إلى الإنترنت عبر مركز بيانات الشركة إلى حدوث عائق أدى لتدهور أداء الشبكة وتجربة المستخدم.

تعمل خدمة SD-WAN على التخلص من هذا العائق من خلال تمكين تطبيق الأمان على حركة الزيارات عند نقطة الاتصال، بدلًا من إجبار حركة الزيارات على التوجيه إلى الأمان. وتتيح للمؤسسات إنشاء اتصالات مباشرة وآمنة ومحسنة بين المستخدمين وكل ما يحتاجون إليه - تطبيقات SaaS (البرامج كخدمة)، أو الموارد السحابية، أو خدمات الإنترنت العامة.

حافة الخدمة الآمنة (SSE)

يوجد مصطلح آخر صاغته شركة Gartner، وهو حافة الخدمة الآمنة (SSE) ويُقصد به "النصف الأمني من مصطلح حافة خدمة الوصول الأمني (SASE). وحددت شركة Gartner أن SSE عبارة عن تقارب بين ثلاث تقنيات أمن سحابية رئيسية:

بوابات الويب الآمنة (SWGs). بوابة الويب الآمنة هي بمثابة حارس رقمي يراقب حركة الزيارات على الإنترنت. وتمنع حركة الزيارات الضارة من الوصول إلى موارد الشبكة، باستخدام تقنيات مثل تصفية حركة الزيارات وفحص استعلام نظام أسماء النطاقات(DNS) لتحديد البرامج الضارة وبرامج الفدية وغيرها من التهديدات الإلكترونية وحظرها. ويمنع المستخدمين المصرح لهم من الاتصال بمواقع الويب المشبوهة: فبدلًا من الاتصال مباشرةً بالإنترنت، يتصل المستخدمون ونقاط النهاية ببوابة الويب الآمنة (SWG)، والتي يمكنهم من خلالها الوصول إلى الموارد المعتمدة فقط (على سبيل المثال، مراكز البيانات المحلية، وتطبيقات الأعمال، والتطبيقات والخدمات السحابية).

وسطاء أمان الوصول إلى الخدمات السحابية (CASBs). يوجد وسطاء أمان الوصول إلى الخدمات السحابية (CASBs) بين المستخدمين والتطبيقات والموارد السحابية. ويقوم CASBs بفرض سياسات أمان الشركة مثل التشفير والتحكم في الوصول واكتشاف البرامج الضارة أثناء وصول المستخدمين إلى البيئة السحابية، بغض النظر عن مكان أو كيفية اتصال المستخدمين - ويمكنها القيام بذلك دون تثبيت برنامج على جهاز النهاية، ما يجعلها مثالية لتأمين نظام أحضر جهازك معك (BYOD) وحالات استخدام تحويل القوى العاملة الأخرى. وبعض CASBs يمكنها أن تفرض سياسات الأمان عند اتصال المستخدمين بالأصول السحابية غير المعروفة.

نموذج الوصول إلى الشبكة القائم على الثقة الصفرية (ZTNA). نهج الثقة الصفرية للوصول إلى الشبكة هو نموذج أمني مبني على عدم الثقة في جميع الكيانات والمستخدمين والتحقق منهم باستمرار، سواء أكانوا خارج الشبكة أو داخلها بالفعل. وهذا النموذج يمنح الكيانات والمستخدمين الذين تم التحقق منهم أدنى امتيازات الوصول اللازمة لإكمال مهامهم. وتلتزم كافة الكيانات وجميع المستخدمين بإعادة التحقق كلما تغير سياقهم، وتتم مصادقة كل تفاعل بيانات على أساس كل حزمة على حدة حتى انتهاء جلسة الاتصال.

لا يُعدّ ZTNA منتجًا أمنيًا في حد ذاته، بل هو نهج أمني للشبكة يتم تنفيذه باستخدام مجموعة متنوعة من التقنيات بما في ذلك إدارة الهوية والوصول (IAM)، والمصادقة متعددة العوامل (MFA)، وتحليلات سلوك المستخدم والكيان (UEBA)، وحلول اكتشاف التهديدات المختلفة والاستجابة لها.

وقد تشتمل أنظمة SASE الخاصة بالبائعين الفرديين على قدرات أخرى لمنع التهديدات والأمان، بما في ذلك جدار الحماية كخدمة (FWaaS)، ومنع فقدان البيانات (DLP)، والتحكم في الوصول إلى الشبكة (NAC)، وأنظمة حماية نقاط النهاية (EPPs).

دمج كافة الميزات

تقوم حلول SASE باستخدام SD-WAN لتقديم خدمات أمان SSE للمستخدمين والأجهزة ونقاط النهاية الأخرى في أماكن اتصالهم أو بالقرب منها، في حافة الشبكة.

وعلى وجه التحديد، بدلًا من إرسال كافة حركة الزيارات إلى مركز بيانات مركزي من أجل الفحص والتشفير، تعمل بنيات SASE على توجيه حركة الزيارات إلى نقاط موزعة من نقاط التواجد (PoPs) الموجودة بالقرب من المستخدم النهائي أو نقطة النهاية. (نقاط التواجد (PoPs) إما أن تكون مملوكة لمزود خدمة SASE أو يتم إنشاؤها في مركز بيانات تابع لمورد خارجي). وتقوم نقاط التواجد (PoPs) بتأمين حركة الزيارات باستخدام خدمات SSE مقدمة في بيئة سحابية، ثم يتم توصيل المستخدم أو نقطة النهاية بالخدمات السحابية العامة والخاصة، أو تطبيقات البرامج كخدمة (SaaS) أو الإنترنت العام أو أي موارد أخرى.

توفر SASE ميزة مهمة في مجال الأعمال لفِرق الأمن وموظفي تقنية المعلومات والمستخدمين النهائيين والمؤسسة ككل.

خفض التكاليف، وتحديدًا الحد من النفقات الرأسمالية. تُعتبر SASE في الأساس حلاً أمنيًا كخدمة (SaaS): يشتري العملاء إمكانية الوصول إلى البرنامج لإعداد SASE والتحكم فيها، ويحصلون على الاستفادة الكاملة من أجهزة مزود الخدمة السحابية التي يتم تقديمها عليها. وبدلًا من توجيه حركة الزيارات من جهاز توجيه المكتب الفرعي إلى أجهزة مركز البيانات المحلي من أجل الأمان، يقوم عملاء SASE بتوجيه حركة الزيارات إلى البيئة السحابية من أقرب اتصال بالإنترنت.

كما يمكن للشركات استخدام SASE كحل هجين يتم تقديمه عبر البيئة السحابية العامة والبنية التحتية المحلية للمؤسسة، من خلال دمج أجهزة الشبكات المادية وأجهزة الأمان ومركز البيانات مع نظيراتها السحابية الافتراضية الأصلية.

إدارة مبسطة وعمليات سهلة. توفر أطر عمل SASE حلًا واحدًا ومتسقًا لتأمين أي شيء يتصل بالشبكة أو يحاول الاتصال بها، ليس فقط المستخدمون ولكن أيضًا أجهزة إنترنت الأشياء (IoT)، أو واجهات برمجة التطبيقات (APIs)، أو حاويات الخدمة المصغرة أو التطبيقات دون خادم، وحتى الأجهزة الافتراضية (VMs) التي يتم تشغيلها عند الطلب. كما أنه يلغي الحاجة إلى إدارة مجموعة من حلول نقاط الأمان -أجهزة التوجيه، وجهاز حماية الشبكة وما إلى ذلك- في كل نقطة اتصال. وبدلًا من ذلك، يمكن لفِرَق تكنولوجيا المعلومات أو فِرَق الأمن صياغة سياسة مركزية واحدة لتأمين جميع الاتصالات والموارد على الشبكة، ويمكنهم إدارة كل شيء من نقطة تحكم واحدة.

أمن إلكتروني أكثر قوة.عند تنفيذها بشكل صحيح، تستطيع خدمة SASE تحسين جودة الأمن على عدد من المستويات. تعزز الإدارة المبسطة الأمن من خلال تقليل فرص حدوث أخطاء أو تكوينات خطأ. ولتأمين حركة زيارات المستخدمين عن بُعد، تستبدل SASE الأذونات الشاملة التي تناسب الجميع للوصول إلى الشبكة الخاصة الافتراضية (VPN) بالتحكم في الوصول الدقيق القائم على الهوية والسياق من ZTNA للتطبيقات والدلائل ومجموعات البيانات وأعباء العمل. 

تجربة مستخدم أفضل وأكثر اتساقًا. باستخدام SASE، يتصل المستخدمون بالشبكة بالطريقة نفسها سواء أكانوا يعملون في الموقع أو في مكتب فرعي أو من المنزل أو على الطريق، وسواء أكانوا يتصلون بالتطبيقات والموارد المستضافة في بيئة سحابية أو بيئة محلية. توجِّه خدمات SD-WAN حركة الزيارات تلقائيًا إلى أقرب نقطة اتصال، وبمجرد تطبيق سياسات الأمان، تعمل على تحسين الاتصالات للحصول على أفضل أداء ممكن.

توفر SASE ميزات لأي مؤسسة تبتعد عن نموذج مركز البيانات المركزي لتنفيذ التطبيقات. ولكن هناك عددًا قليلًا من حالات الاستخدام المحددة هي التي تحفز اعتمادها في الوقت الحالي.

تأمين القوى العاملة المختلطة دون عوائق ذات صلة بشبكة VPN. لقد أصبحت شبكات VPN الوسيلة السائدة لتأمين المستخدمين عن بُعد أو المستخدمين المتنقلين على مدى عِقدين من الزمن تقريبًا. لكن شبكات VPN لا يمكن توسيع نطاقها بسهولة أو بتكلفة بسيطة، وهو ما تعلمته العديد من المؤسسات بالطريقة الصعبة عندما تحولت قواها العاملة إلى العمل عن بُعد بالكامل بسبب جائحة كوفيد-19. وعلى النقيض، تستطيع SASE أن تتوسع ديناميكيًا لدعم متطلبات الأمان للعاملين عن بُعد بشكل خاص وللقوى العاملة المتطورة بشكل عام.

اعتماد التقنية السحابية الهجينة والترحيل السحابي. تجمع التقنية السحابية الهجينة بين التقنية السحابية العامة والتقنية السحابية الخاصة والبنية التحتية المحلية في بيئة حوسبة مرنة واحدة، حيث تتحرك أعباء العمل بحرية بين البنيات التحتية مع تغير الظروف. ولم تُصمم حلول أمان شبكات WAN لتلبية هذا النوع من التنقل لأعباء العمل، ولكن SASE، التي تجرد قدرات الأمان من البنية التحتية الأساسية، تعمل على تأمين حركة الزيارات أينما كانت. كما أنها تمنح المؤسسات المرونة اللازمة لنقل أعباء العمل إلى البيئة السحابية بأي سرعة تناسبها.

انتشار حوسبة الحافة وأجهزة إنترنت الأشياء/التقنية التشغيلية.حوسبة الحافة هي نموذج حوسبة موزع يضع التطبيقات وموارد الحوسبة خارج مركز البيانات المركزي وأقرب إلى مصادر البيانات مثل الهواتف المحمولة وأجهزة إنترنت الأشياء أو التقنية التشغيلية وخوادم البيانات. ويؤدي هذا التقارب إلى تحسين أوقات استجابة التطبيقات وتوفير رؤى أكثر سرعة، وخاصةً لتطبيقات الذكاء الاصطناعي والتعلم الآلي التي تعالج كميات هائلة من البيانات المتدفقة في الوقت الفعلي.

لتفعيل هذه التطبيقات، قامت المؤسسات أو بائعو الحلول بنشر آلاف أجهزة استشعار إنترنت الأشياء أو أجهزة التقنية التشغيلية، والعديد منها مزود بحماية قليلة أو معدومة. وهذا يجعل من هذه الأجهزة أهدافًا رئيسية للمتسللين، الذين يمكنهم اختطافها للوصول إلى مصادر بيانات حساسة، أو تعطيل العمليات، أو تنفيذ الهجمات الموزعة لحجب رفض الخدمة (DDoS). كما تستطيع SASE تطبيق سياسات الأمان على هذه الأجهزة أثناء اتصالها بالشبكة، وتوفير رؤية إدارية لجميع الأجهزة المتصلة من لوحة معلومات مركزية.