خدمة SASE هي مزيج أو تقارب بين تقنيتين أساسيتين: الشبكات واسعة النطاق المحددة بالبرامج (SD-WAN) وحافة الخدمة الآمنة (SSE). وسيسهل فهم طريقة عمل SASE للغاية إذا فهمت أولًا المهام التي تؤديها هاتان التقنيتان.

SD-WAN

تُعدّ خدمة SD-WAN شبكة واسعة النطاق تم تحويلها إلى شبكة افتراضية، بالطريقة نفسها التي يتم بها تحويل الخوادم إلى خوادم افتراضية. وتعمل هذه التقنية على عزل وظائف الشبكة عن الأجهزة الأساسية -الوصلات، والمفاتيح، وأجهزة التوجيه، والبوابات- لإنشاء مجموعة من قدرات الشبكة وأمن الشبكات التي يمكن تقسيمها وتجميعها وتطبيقها على حركة الزيارات بموجب التحكم البرمجي.

تم تصميم الشبكات التقليدية واسعة النطاق (WANs) لربط المستخدمين في فروع الشركات بالتطبيقات في مركز بيانات الشركة المركزي، عادةً عبر اتصالات شبكة خطوط مستأجرة مخصصة وخاصة ومرتفعة التكلفة. تم تثبيت أجهزة التوجيه في كل فرع للتحكم في حركة الزيارات ومنحها الأولوية لضمان الأداء الأمثل للتطبيقات الأكثر أهمية. وتم تطبيق وظائف الأمان، مثل فحص الحزم وتشفير البيانات، في مركز البيانات المركزي.

تم تطوير SD-WAN في الأصل للسماح للمؤسسات بتكرار قدرات WAN الخاصة بها على البنية التحتية للإنترنت الأقل تكلفة والأكثر قابلية للتطوير. ولكن الطلب على شبكات SD-WAN تسارع مع بدء عدد متزايد من الشركات في اعتماد الخدمات السحابية قبل أن تصبح مستعدة تمامًا للثقة في أمان الإنترنت. واجه نموذج أمان شبكة WAN تحديات: حيث أدى توجيه أحجام متزايدة باستمرار من حركة الزيارات الموجهة إلى الإنترنت عبر مركز بيانات الشركة إلى حدوث عائق أدى لتدهور أداء الشبكة وتجربة المستخدم.

تعمل خدمة SD-WAN على التخلص من هذا العائق من خلال تمكين تطبيق الأمان على حركة الزيارات عند نقطة الاتصال، بدلًا من إجبار حركة الزيارات على التوجيه إلى الأمان. وتتيح للمؤسسات إنشاء اتصالات مباشرة وآمنة ومحسنة بين المستخدمين وكل ما يحتاجون إليه - تطبيقات SaaS (البرامج كخدمة)، أو الموارد السحابية، أو خدمات الإنترنت العامة.

حافة الخدمة الآمنة (SSE)

يوجد مصطلح آخر صاغته شركة Gartner، وهو حافة الخدمة الآمنة (SSE) ويُقصد به "النصف الأمني من مصطلح حافة خدمة الوصول الأمني (SASE). وحددت شركة Gartner أن SSE عبارة عن تقارب بين ثلاث تقنيات أمن سحابية رئيسية:

بوابات الويب الآمنة (SWGs). بوابة الويب الآمنة هي بمثابة حارس رقمي يراقب حركة الزيارات على الإنترنت. وتمنع حركة الزيارات الضارة من الوصول إلى موارد الشبكة، باستخدام تقنيات مثل تصفية حركة الزيارات وفحص استعلام نظام أسماء النطاقات(DNS) لتحديد البرامج الضارة وبرامج الفدية وغيرها من التهديدات الإلكترونية وحظرها. ويمنع المستخدمين المصرح لهم من الاتصال بمواقع الويب المشبوهة: فبدلًا من الاتصال مباشرةً بالإنترنت، يتصل المستخدمون ونقاط النهاية ببوابة الويب الآمنة (SWG)، والتي يمكنهم من خلالها الوصول إلى الموارد المعتمدة فقط (على سبيل المثال، مراكز البيانات المحلية، وتطبيقات الأعمال، والتطبيقات والخدمات السحابية).

وسطاء أمان الوصول إلى الخدمات السحابية (CASBs). يوجد وسطاء أمان الوصول إلى الخدمات السحابية (CASBs) بين المستخدمين والتطبيقات والموارد السحابية. ويقوم CASBs بفرض سياسات أمان الشركة مثل التشفير والتحكم في الوصول واكتشاف البرامج الضارة أثناء وصول المستخدمين إلى البيئة السحابية، بغض النظر عن مكان أو كيفية اتصال المستخدمين - ويمكنها القيام بذلك دون تثبيت برنامج على جهاز النهاية، ما يجعلها مثالية لتأمين نظام أحضر جهازك معك (BYOD) وحالات استخدام تحويل القوى العاملة الأخرى. وبعض CASBs يمكنها أن تفرض سياسات الأمان عند اتصال المستخدمين بالأصول السحابية غير المعروفة.

نموذج الوصول إلى الشبكة القائم على الثقة الصفرية (ZTNA). نهج الثقة الصفرية للوصول إلى الشبكة هو نموذج أمني مبني على عدم الثقة في جميع الكيانات والمستخدمين والتحقق منهم باستمرار، سواء أكانوا خارج الشبكة أو داخلها بالفعل. وهذا النموذج يمنح الكيانات والمستخدمين الذين تم التحقق منهم أدنى امتيازات الوصول اللازمة لإكمال مهامهم. وتلتزم كافة الكيانات وجميع المستخدمين بإعادة التحقق كلما تغير سياقهم، وتتم مصادقة كل تفاعل بيانات على أساس كل حزمة على حدة حتى انتهاء جلسة الاتصال.

لا يُعدّ ZTNA منتجًا أمنيًا في حد ذاته، بل هو نهج أمني للشبكة يتم تنفيذه باستخدام مجموعة متنوعة من التقنيات بما في ذلك إدارة الهوية والوصول (IAM)، والمصادقة متعددة العوامل (MFA)، وتحليلات سلوك المستخدم والكيان (UEBA)، وحلول اكتشاف التهديدات المختلفة والاستجابة لها.

وقد تشتمل أنظمة SASE الخاصة بالبائعين الفرديين على قدرات أخرى لمنع التهديدات والأمان، بما في ذلك جدار الحماية كخدمة (FWaaS)، ومنع فقدان البيانات (DLP)، والتحكم في الوصول إلى الشبكة (NAC)، وأنظمة حماية نقاط النهاية (EPPs).

دمج كافة الميزات

تقوم حلول SASE باستخدام SD-WAN لتقديم خدمات أمان SSE للمستخدمين والأجهزة ونقاط النهاية الأخرى في أماكن اتصالهم أو بالقرب منها، في حافة الشبكة.

وعلى وجه التحديد، بدلًا من إرسال كافة حركة الزيارات إلى مركز بيانات مركزي من أجل الفحص والتشفير، تعمل بنيات SASE على توجيه حركة الزيارات إلى نقاط موزعة من نقاط التواجد (PoPs) الموجودة بالقرب من المستخدم النهائي أو نقطة النهاية. (نقاط التواجد (PoPs) إما أن تكون مملوكة لمزود خدمة SASE أو يتم إنشاؤها في مركز بيانات تابع لمورد خارجي). وتقوم نقاط التواجد (PoPs) بتأمين حركة الزيارات باستخدام خدمات SSE مقدمة في بيئة سحابية، ثم يتم توصيل المستخدم أو نقطة النهاية بالخدمات السحابية العامة والخاصة، أو تطبيقات البرامج كخدمة (SaaS) أو الإنترنت العام أو أي موارد أخرى.