SASE – mitä on hypen takana?

15.12.2023

Mitä sanoisit, jos nollaluottamusmallin mukainen parannettu tietoturva tuotaisiin etäkäyttäjille, mutta samalla käyttömukavuus ja helppous kasvaisi? Tämä on mahdollista SASE:n avulla.

Edellisessä blogitekstissäni kerroin modernista ja turvallisesta yritysverkosta, joten nyt keskityn ikään kuin jatkoksi SASE:n pilvitietoturvan komponenttiin SSE:hen, jota tässä myös SASE-yleisnimellä kutsutaan.

Etäyhteydet muutoksessa

Nykypäivän oletus on, että kaikki työ tehdään etänä. Perinteinen VPN-yhteys avaa tunnelin työasemasta yritysverkkoon verkkotasolla. Sen jälkeen väylä käyttäjän koneelta yrityksen verkkoon onkin laajasti auki. VPN-laitteet ovat viime vuosina olleet paljon esillä haavoittuvuuksineen ja osallisena monissa vakavissa tietomurroissa. Päivitysten asentaminen laitteisiin on monesti hankalaa ja viivästyy väistämättä. Siksipä VPN-etäyhteyksien riskit ovat kasvaneet roimasti, samalla kun niiden hallittavuus on entistä heikompaa.

Etäkäyttäjille tehtyjen VDI- tai etätyöpöytäratkaisujen käyttö on hankalaa, vähintään monivaiheista kirjautumiskikkailua ja ruutuhyppelyä. Eikä järjestelmien turvallisuuskaan päätä huimaa. IT-osaston ylläpidettävänä on monia erilaisia ja osittain päällekkäisiä järjestelmiä, mikä lisää kustannuksia ja hallinnan hankaluutta. Näkyvyys etäkäyttäjien liikenteeseen on olematonta, ja siksi myös etäkäytön riskit jäävät huomiotta ja käyttäjäongelmien selvittely on tuskallisen vaikeaa.

Kohtauspaikka pilvessä

Koska kaikki työntekijät ja entistä suurempi osa sovelluksista on internetissä ja pilvessä, on työntekijän ja yrityksen luonnollista kohdata pilven reunalla Security Service Edge (SSE) -palvelussa. SSE on SASE:n tietoturva- ja pääsynhallintapalvelu, kun SD-WAN on verkkopalvelu toimipisteiden yhdistämiseen. SASE sisältää monenlaista tietoturvapalvelua, kuten palomuurausta (FWaaS), webbisuojausta (SWG) ja SaaS-sovellusten käytön hallinnointia (CASB). SASE:n tappajasovellus on kuitenkin ZTNA (Zero Trust Network Access), jolla saadaan hienojakoisesti hallittu turvallinen pääsy joko yrityksen verkkoon ja palveluihin (Secure Private Access, SPA) tai internettiin (Secure Internet Access, SIA).

SASE:n hienous on se, että työntekijän koneelta ei ole suoraa yhteyttä kohteeseen. Lähde ja kohde ottavat yhteyden SASE-pilveen, jossa yhteydet välitetään toisiinsa. Ensin kuitenkin tunnistetaan käyttäjän identiteetti ja autentikoidaan ja autorisoidaan pääsy politiikan mukaisesti vain tiettyyn resurssiin. Siis vain yhteen sovellukseen ja tietyin hienojakoisin ehdoin, nollaluottamusmallin mukaisesti.

SASE-ratkaisu piilottaa ja sulkee yritysverkon reunan, oli se sitten omassa konesalissa tai pilvessä. Etäkäyttöjärjestelmien huolet ja ylläpito siirtyvät enemmän tuotevalmistajan harteille SaaS-palveluksi. IT-osaston tehtäväksi tulee määritellä käyttöpolitiikkaa. Se ei olekaan välttämättä helppo juttu. Siksi yrityksellä on oltava pohjalla kunnollinen omaisuudenhallintarekisteri ja keskitetty käyttäjähakemisto. Niiden pohjalta tiedetään mitä identiteettejä, laitteita ja resursseja on käytössä, ja käyttöpolitiikka voidaan ryhmitellä halutunlaiseksi.

Monipuolinen työkalu

SASE tekee sovellusten ja resurssien käytöstä näkyvää. Etäkäytön valvonnasta tulee nyt paljon kattavampaa, tarkempaa ja reaaliaikaisempaa. SASE-sovellus käyttäjän laitteella osaa raportoida sovellusten käyttökokemuksen käyttäjän näkökulmasta, ja kertoa missä kohdassa yhteyttä ja missä resursseissa mahdolliset ongelmat piilevät. Etäkäyttäjien kokemat epämääräiset ongelmat on nyt paljon helpompi selvittää, kun pystytään suoraan katsomaan, mikä on vialla ja missä kohdassa yhteysketjua. Parhaimmillaan ongelmat ratkaistaan jo ennen kuin käyttäjä edes niitä huomaa.

SASE:n ZTNA soveltuu moneen käyttöön. Ilmiselvä käyttökohde on yrityksen omat työntekijät, mutta yhtä hyvin myös yritykselle töitä tekevät ulkopuoliset kumppanit. Erityisesti OT-ympäristöissä etäyhteys tuotantoverkkoon muodostaa ison riskin, jota voi hallita ja pienentää mainiosti ZTNA-ratkaisulla. Internet-yhteydet kuljetetaan SASE-pilven kautta monipuolisesti tutkittuna ja suodatettuna internet- ja SaaS-palveluihin. Päätelaitteiden lisäksi SASE-ohjelmiston voi yleensä asentaa myös gateway-versiona koko toimipisteen käyttöön. Näin toimipisteistä voidaan turvallisesti ottaa yhteyksiä internettiin ja SaaS-palveluihin.

Uusia mahdollisuuksia

Tuotantoympäristöissä liiketoiminnoille avautuu uusia mahdollisuuksia hyödyntää pilvi- ja SaaS-palveluita sujuvasti ja turvallisesti. Toimistoympäristöissä on aika kysyä, tarvitaanko toimipisteessä enää mitään erityistä yritysverkkoa, vai voisiko verkkona olla internet, kuten etätöissä yleensäkin? Nyt SASE:n avulla työnteko sujuu mistä tahansa samalla tavalla helposti ja turvallisesti.

Blogin kirjoittaja

Antti Leimio

Network Security Architect

Kokenut tietoliikenneasiantuntija, joka on kiinnostunut ymmärtämään teknologiaa ja hyödyntämään sen mahdollisuuksia. Autan löytämään ja toteuttamaan liiketoimintatarpeisiin sopivia kyberturvallisia tietoliikenneratkaisuja.

SASE – mitä on hypen takana?

Etäyhteydet muutoksessa

Kohtauspaikka pilvessä

Monipuolinen työkalu

Uusia mahdollisuuksia

Blogin kirjoittaja

Antti Leimio

Voimmeko olla avuksi

Meille töihin

Ota yhteyttä

Loihde palvelut

SASE – mitä on hypen takana?

Etäyhteydet muutoksessa

Kohtauspaikka pilvessä

Monipuolinen työkalu

Uusia mahdollisuuksia

Blogin kirjoittaja

Antti Leimio

Lue lisää

Turvallisuutta pitää suunnitella sitä käyttävän ihmisen lähtökohdista

Muutosta pienissä askeleissa – kiitosta tarvitsevat muutkin kuin kissa

Ilman datan hallintaa tekoälystä tulee tekoääliö - tallenne

Voimmeko olla avuksi

Meille töihin

Ota yhteyttä

Loihde palvelut