Apa itu Secure Access Service Edge (SASE)?

SASE adalah kombinasi, atau konvergensi, dari dua teknologi inti: Jaringan area luas yang ditentukan oleh perangkat lunak, atau SD-WAN, dan tepian layanan yang aman, atau SSE. Lebih mudah untuk memahami cara kerja SASE jika Anda terlebih dulu memahami apa yang dilakukan masing-masing teknologi ini.

SD-WAN

SD-WAN adalah jaringan area luas yang telah divirtualisasi, dengan cara yang sama seperti server divirtualisasi. Jaringan ini memisahkan fungsionalitas jaringan dari perangkat keras yang mendasarinya—koneksi, sakelar, router, gateway—untuk menciptakan kumpulan kapasitas jaringan dan kemampuan keamanan jaringan yang dapat dibagi, digabungkan, dan diterapkan pada lalu lintas di bawah kendali perangkat lunak.

Jaringan area luas tradisional (WAN) dirancang untuk menghubungkan pengguna di kantor cabang perusahaan ke aplikasi di pusat data perusahaan pusat, biasanya melalui koneksi jaringan jalur sewa yang khusus, privat, dan mahal. Router yang dipasang di setiap cabang mengontrol dan memprioritaskan lalu lintas untuk memastikan kinerja optimal untuk aplikasi yang paling penting. Fungsi keamanan, seperti inspeksi paket dan enkripsi data, diterapkan di pusat data pusat.

SD-WAN awalnya dikembangkan untuk memungkinkan organisasi menduplikasi kemampuan WAN mereka pada infrastruktur internet yang lebih murah dan lebih dapat diskalakan. Namun, permintaan untuk SD-WAN meningkat karena makin banyak bisnis mulai mengadopsi layanan cloud sebelum mereka siap mempercayai keamanan internet. Model keamanan WAN menghadapi tantangan: Pengalihan volume lalu lintas tujuan internet yang terus meningkat melalui pusat data perusahaan menciptakan kemacetan yang mahal, dan kinerja jaringan serta pengalaman pengguna pun menurun.

SD-WAN menghilangkan hambatan ini dengan memungkinkan keamanan diterapkan pada lalu lintas di titik koneksi, daripada memaksa lalu lintas untuk dialihkan ke keamanan. Ini memungkinkan organisasi membangun koneksi langsung, aman, dan dioptimalkan antara pengguna dan apa pun yang mereka butuhkan—aplikasiSaaS (software-as-a-service), sumber daya cloud, atau layanan internet publik.

SSE

Istilah lain yang diciptakan oleh Gartner, SSE adalah "setengah keamanan SASE." Gartner menetapkan SSE sebagai konvergensi dari tiga teknologi keamanan cloud-native utama:

Gateway web aman (SWG). SWG adalah polisi lalu lintas internet dua arah. Gateway mencegah lalu lintas berbahaya mencapai sumber daya jaringan, menggunakan teknik seperti pemfilteran lalu lintas dan pemeriksaan permintaan sistem nama domain(DNS) untuk mengidentifikasi dan memblokir malware, ransomware, dan ancaman dunia maya lainnya. Selain itu, gateway juga mencegah pengguna yang berwenang terhubung ke situs web yang mencurigakan: Alih-alih terhubung langsung ke internet, pengguna dan titik akhir terhubung ke SWG, yang melaluinya mereka dapat mengakses sumber daya yang disetujui saja (mis. pusat data on premises, aplikasi bisnis, dan aplikasi dan layanan cloud).

Broker keamanan akses cloud (CASB) CASB berada di antara pengguna dan aplikasi cloud dan sumber daya. CASB menegakkan kebijakan keamanan perusahaan seperti enkripsi, kontrol akses, dan deteksi malware saat pengguna mengakses cloud, di mana pun dan bagaimana pun pengguna terhubung—dan CASB dapat melakukannya tanpa menginstal perangkat lunak pada perangkat titik akhir, sehingga ideal untuk mengamankan BYOD (bring your own device) dan contoh penggunaan transformasi tenaga kerja lainnya. CASB lainnya juga dapat menerapkan kebijakan keamanan ketika pengguna terhubung ke aset cloud yang tidak dikenal.

Akses jaringan zero trust (ZTNA). Pendekatan zero trust untuk akses jaringan adalah pendekatan yang tidak pernah mempercayai dan terus memvalidasi semua pengguna dan entitas, baik mereka berada di luar atau sudah di dalam jaringan. Pengguna dan entitas yang divalidasi diberikan akses paling tidak istimewa yang diperlukan untuk menyelesaikan tugas mereka. Semua pengguna dan entitas dipaksa untuk melakukan validasi ulang setiap kali konteks mereka berubah, dan setiap interaksi data diautentikasi berdasarkan paket per paket hingga sesi koneksi berakhir.

ZTNA bukanlah produk keamanan itu sendiri, tetapi pendekatan keamanan jaringan yang diimplementasikan menggunakan berbagai teknologi termasuk manajemen identitas dan akses (IAM), autentikasi multi-faktor (MFA), analisis perilaku pengguna dan entitas (UEBA), serta berbagai solusi deteksi dan respons terhadap ancaman.

Platform SASE dari masing-masing vendor dapat mencakup kemampuan pencegahan ancaman dan keamanan lainnya, termasuk firewall sebagai layanan (FWaaS), pencegahan kehilangan data (DLP), kontrol akses jaringan (NAC), dan platform perlindungan titik akhir (EPP).

Menyatukan semuanya

Solusi SASE menggunakan SD-WAN untuk memberikan layanan keamanan SSE kepada pengguna, perangkat, dan titik akhir lainnya di tempat atau dekat dengan tempat mereka terhubung, di tepian jaringan.

Secara khusus, alih-alih mengirim semua lalu lintas kembali ke pusat data pusat untuk diperiksa dan dienkripsi, arsitektur SASE mengarahkan lalu lintas ke titik-titik poin keberadaan (PoP) yang terdistribusi yang terletak dekat dengan pengguna akhir atau titik akhir. (POP dimiliki oleh penyedia layanan SASE atau didirikan di pusat data vendor pihak ketiga.) PoP mengamankan lalu lintas menggunakan layanan SSE yang dikirimkan cloud, dan kemudian pengguna atau titik akhir terhubung ke cloud publik dan pribadi, aplikasi software-as-a-service (SaaS), internet publik, atau sumber daya lainnya.

SASE memberikan manfaat bisnis penting bagi tim keamanan, staf TI, pengguna akhir, dan organisasi secara keseluruhan.

Penghematan biaya—khususnya, biaya modal yang lebih sedikit. SASE pada dasarnya adalah solusi keamanan SaaS: Pelanggan membeli akses ke perangkat lunak untuk mengatur dan mengendalikan SASE, dan mendapatkan manfaat penuh dari perangkat keras penyedia layanan cloud tempat SASE dikirimkan. Alih-alih merutekan lalu lintas dari router kantor cabang ke perangkat keras pusat data on premises untuk keamanan, pelanggan SASE merutekan lalu lintas ke cloud dari koneksi internet terdekat.

Perusahaan juga dapat menggunakan SASE sebagai solusi hybrid yang diberikan di cloud publik dan infrastruktur on-premises organisasi, yang mengintegrasikan perangkat keras jaringan fisik, peralatan keamanan, dan pusat data dengan rekan-rekan cloud-native mereka yang tervirtualisasi.

Manajemen dan operasi yang disederhanakan. Kerangka kerja SASE menyediakan solusi tunggal dan konsisten untuk mengamankan apa pun yang terhubung atau mencoba terhubung ke jaringan—tidak hanya pengguna tetapi juga perangkat internet of things (IoT), API, layanan mikro dalam kontainer atau aplikasi tanpa server, dan bahkan mesin virtual (VM) yang berputar sesuai permintaan. Hal ini juga menghilangkan kebutuhan untuk mengelola setumpuk solusi titik keamanan—router, firewall, dll.—pada setiap titik koneksi. Sebaliknya, tim TI atau keamanan bisa membuat satu kebijakan pusat untuk mengamankan semua koneksi dan sumber daya di jaringan, dan mereka bisa mengelola semuanya dari satu titik kontrol.

Keamanan siber yang lebih kuat. Diimplementasikan dengan benar, SASE dapat meningkatkan keamanan pada sejumlah tingkatan. Manajemen yang disederhanakan memperkuat keamanan dengan mengurangi kemungkinan kesalahan atau kesalahan konfigurasi. Untuk mengamankan lalu lintas dari pengguna jarak jauh, SASE menggantikan perizinan akses jaringan pribadi virtual (VPN) yang bersifat umum dan menyeluruh dengan kontrol akses berbasis identitas dan konteks yang halus dari ZTNA terhadap aplikasi, direktori, kumpulan data, dan beban kerja.

Pengalaman pengguna yang lebih baik dan lebih konsisten. Dengan SASE, pengguna terhubung ke jaringan dengan cara yang sama baik saat bekerja di kantor, di kantor cabang, dari rumah, atau di perjalanan—dan baik saat mereka terhubung ke aplikasi dan sumber daya yang dihosting di cloud atau on premises. Layanan SD-WAN secara otomatis mengarahkan lalu lintas ke PoP terdekat dan, setelah kebijakan keamanan diterapkan, mengoptimalkan koneksi untuk kinerja terbaik.

SASE menawarkan keuntungan bagi organisasi mana pun yang berevolusi dari model pusat data pusat untuk pengiriman aplikasi. Namun, beberapa contoh penggunaan khusus mendorong adopsinya saat ini.

Mengamankan tenaga kerja hybrid tanpa hambatan VPN. VPN telah menjadi sarana utama untuk mengamankan pengguna jarak jauh atau seluler selama hampir dua dekade. Namun, VPN tidak mudah diskalakan atau tidak murah—sesuatu yang dipelajari oleh banyak organisasi dari pengalaman pahit ketika tenaga kerja mereka bekerja secara jarak jauh karena pandemi COVID-19. Sebaliknya, SASE dapat meningkatkan skala secara dinamis untuk mendukung persyaratan keamanan pekerja jarak jauh pada khususnya dan tenaga kerja yang terus berkembang pada umumnya.

Adopsi cloud hybrid dan migrasi cloud. Hybrid cloud menggabungkan cloud publik, cloud private , dan infrastruktur on-premises ke dalam satu lingkungan komputasi yang fleksibel, di mana beban kerja bergerak bebas di antara infrastruktur seiring dengan perubahan keadaan. Solusi keamanan WAN tidak dirancang untuk mobilitas beban kerja seperti ini, tetapi SASE, yang mengabstraksikan kemampuan keamanan dari infrastruktur yang mendasarinya, mengamankan lalu lintas ke mana pun ia bergerak. Hal ini juga memberi organisasi fleksibilitas untuk memigrasikan beban kerja ke cloud dengan kecepatan apa pun yang berhasil.

Komputasi edge dan proliferasi perangkat IoT/OT. Komputasi edge adalah model komputasi terdistribusi yang menempatkan aplikasi dan sumber daya komputasi keluar dari pusat data terpusat dan lebih dekat ke sumber data seperti ponsel, IoT atau perangkat teknologi operasional (OT), dan server data. Kedekatan ini menghasilkan peningkatan waktu respons aplikasi dan insight yang lebih cepat, terutama untuk kecerdasan buatan (AI) dan aplikasi machine learning yang memproses volume besar data streaming secara real time.

Untuk mengaktifkan aplikasi ini, organisasi atau vendor solusi telah menerapkan ribuan sensor IoT atau perangkat OT, banyak di antaranya yang dikonfigurasi dengan sedikit atau tanpa keamanan. Hal ini membuat perangkat ini menjadi target utama bagi peretas, yang dapat membajak mereka untuk mengakses sumber data sensitif, mengganggu operasi, atau melakukan serangan DDoS (Distributed Denial of Service). SASE dapat menerapkan kebijakan keamanan pada perangkat-perangkat ini ketika mereka terhubung ke jaringan, dan memberikan visibilitas manajemen ke semua perangkat yang terhubung dari dasbor pusat.