1 يونيو، 2022
بقلم مايكل شنايدر - مدير أول، إدارة المنتجات، Skyhigh Security
"من الجيد امتلاك الميزات ، ولكن في نهاية اليوم ، كل ما يهمنا عندما يتعلق الأمر بأمان الويب والسحابة هو الهندسة المعمارية." - لم يقل أي عميل على الإطلاق.
الحقيقة هي أن لا أحد يحب التحدث عن الهندسة المعمارية عند التسوق للحصول على أحدث وأكبر تقنيات الأمن السيبراني ، وكانت معظم المؤسسات راضية عن الاستمرار في تركيب أدوات وقدرات أمنية جديدة في بنياتها التقليدية الحالية. ومع ذلك ، كشفت مشاريع التحول الرقمي بما في ذلك الترحيل السحابي والوصول إلى الأجهزة المحمولة في كل مكان عن شقوق معمارية ، وشهدت العديد من الشركات انفجار السد مع انفجار الطلب على الوصول عن بعد في الأشهر الأخيرة. نتيجة لذلك ، بدأت المؤسسات تدرك أن التحول الرقمي يتطلب تحولا معماريا مطابقا للشبكة والأمان.
يوفر إطار عمل Secure Access Service Edge (SASE) للمؤسسات نموذجا لتحقيق هذا التحول من خلال الجمع بين تقنية الشبكة والأمان معا في خدمة واحدة مقدمة عبر السحابة تضمن وصولا سريعا وآمنا وموثوقا وفعالا من حيث التكلفة إلى موارد الويب والسحابة. في هذه المدونة ، نركز على المكاتب البعيدة والجمع بين SD-WAN والجيل التالي Secure Web Gateway القدرات التي يمكن أن تتيحها Skyhigh SSE للتحول الرقمي.
السحابة والمعضلة المعمارية
في الماضي ، كانت المنظمات تتركز إلى حد كبير في عدد محدود من المواقع. تمت استضافة التطبيقات والبيانات على خوادم في موقع مركز بيانات مركزي على شبكة المنطقة المحلية - عادة في المقر الرئيسي أو بالقرب منه. يعمل المستخدمون عادة في المكتب ، لذلك سيكونون موجودين أيضا في المكتب ويصلون إلى موارد الشركة على نفس الشبكة. كان يحيط بهذه الشبكة محيط من الضوابط الأمنية التي يمكنها فحص كل حركة المرور الداخلة أو الخارجة من المؤسسة ، والحفاظ على أمان الموارد الموثوقة مع إبعاد الأشرار. تم توصيل المستخدمين عن بعد والمكاتب الفرعية منطقيا بهذه الشبكة المركزية عبر تقنيات مثل VPN و MPLS والخطوط المؤجرة ، لذلك يمكن الحفاظ على محيط الشبكة الآمن.
في حين أن هذا النهج كان كافيا لسنوات ، فقد خلق التحول الرقمي تحديات كبيرة. تم ترحيل التطبيقات وتخزين البيانات إلى السحابة ، لذلك لم تعد موجودة على شبكة الشركة. قد يملي المنطق أن النهج الأمثل هو أن يكون للمستخدمين والمكاتب عن بعد إمكانية الوصول المباشر إلى الموارد السحابية دون الحاجة إلى العودة عبر شبكة الشركة. ولكن هذا من شأنه أن يؤدي إلى التحايل تماما على محيط أمن تكنولوجيا المعلومات في المؤسسة ، مما يعني فقدان الرؤية والتحكم الأمني ، مما يؤدي إلى مخاطر أمنية وامتثال غير مقبولة.
يواجه مهندسو الشبكات والأمن في كل مكان نفس المعضلة: ما هي أفضل طريقة لتمكين التحول الرقمي دون أي تنازلات كبيرة؟ اتبعت المنظمات بشكل عام أحد الأساليب المعمارية الأربعة التالية بناء على استعدادها لاحتضان التقنيات الجديدة والجمع بينها.
سنناقش هذه الخيارات الأربعة هنا ، ونقيمها بناء على أربعة عوامل: الأمان والسرعة والكمون والتكلفة. ستظهر النتائج أن هناك طريقة واحدة فقط لتحقيق وصول سريع وآمن وفعال من حيث التكلفة إلى موارد الويب والسحابة.
النهج 1: الوضع الراهن
نظرا لخطر فقدان الرؤية الأمنية والتحكم ، رفضت العديد من المؤسسات السماح بإعادة الهندسة "المباشرة إلى السحابة". لذلك حتى عندما يمكن لروابط الإنترنت عالية السرعة ربط المستخدمين مباشرة بموارد السحابة والويب ، فإن هذا النهج يستلزم أن يتم دفع كل حركة المرور من خلال روابط MPLS الأبطأ إلى شبكة الشركة ، ثم العودة من خلال أنبوب إنترنت واحد مجمع للوصول إلى موارد الويب والسحابة. في حين أن هذا يحافظ نظريا على الرؤية الأمنية والتحكم ، إلا أنه يأتي بتكلفة كبيرة.
بالنسبة للمبتدئين ، يتم إعاقة تجربة المستخدم بشكل كبير بسبب الأداء الضعيف. يعاني النطاق الترددي من بطء ارتباط MPLS بمكتب الشركة ، وكذلك من خلال اتصال الإنترنت المزدحم للشركة. بالإضافة إلى ذلك ، تؤدي قفزات الشبكة الإضافية وزيادة التنافس على الشبكة إلى زمن انتقال مرتفع - وقد تم تضخيم هذا بشكل كبير في الأشهر الأخيرة حيث أن مقدار حركة المرور عن بعد التي يتم نقلها عبر شبكة الشركة قد انفجر بما يتجاوز توقعات التصميم الأصلي. لا تأخذ هذه العوامل في الاعتبار التأثير المحتمل لاضطرابات الخدمة الناتجة عن إدخال نقطة فشل واحدة في بنية الشبكة.
بالإضافة إلى الأداء الضعيف ، هناك تكلفة مالية أعلى بشكل ملموس مرتبطة بهذا النهج. تعد خطوط MPLS المتعددة التي تربط المكاتب الفرعية بمركز بيانات الشركة أغلى بكثير من اتصال الإنترنت العام. بالإضافة إلى ذلك ، من أجل استيعاب توجيه جميع حركة مرور المستخدمين ، تحتاج المؤسسات إلى زيادة الاستثمار بشكل كبير في شبكتها المركزية وسعة البنية التحتية لمحيط الأمان ، بالإضافة إلى عرض النطاق الترددي لأنبوب الإنترنت المشترك.
لذلك تركنا بحاجة إلى إيجاد إجابة طويلة الأجل لتحديات السرعة والكمون والتكلفة. هذه الاعتبارات هي التي دفعت العديد من مهندسي الشبكات إلى المضي قدما في نشر SD-WAN.
النهج 2 أ: الانتقال مباشرة إلى السحابة باستخدام SD-WAN
تتمثل الخطوة الأولى في تقديم بنية جاهزة للسحابة في إزالة عنق الزجاجة الذي يحدث عن طريق إجبار كل حركة المرور على توجيهها عبر خطوط MPLS البطيئة إلى الشبكة المركزية ثم العودة إلى السحابة. يمكن أن تساعد تقنية SD-WAN في هذا الصدد. من خلال نشر معدات SD-WAN على حافة الشبكة الفرعية ، يمكن إنشاء سياسات حركة مرور محسنة توجه حركة المرور مباشرة إلى موارد الويب والسحابة باستخدام اتصالات إنترنت سريعة وبأسعار معقولة ، مع استخدام نفس اتصال الإنترنت لإرسال حركة المرور المرتبطة بمركز البيانات فقط مباشرة إلى شبكة الشركة عبر مجموعة ديناميكية من أنفاق VPN. يوفر تحسين WAN وجودة الخدمة ، بالإضافة إلى العديد من وظائف شبكة الحافة والأمان الأخرى مثل تصفية جدار الحماية الأكثر ملاءمة للتنفيذ على حافة الشبكة ، تجربة المستخدم الأسرع والأكثر موثوقية ، مع تقليل عبء حركة المرور على الشبكة المركزية.
من خلال استخدام SD-WAN ، يمكن لمهندسي الشبكات تحقيق وفورات كبيرة في التكاليف من خلال التخلص من روابط MPLS باهظة الثمن مرة أخرى إلى مركز بيانات الشركة. بالإضافة إلى ذلك ، لا يتم تقييد المستخدمين بعرض النطاق الترددي الأبطأ بكثير لخطوط MPLS هذه.
ومع ذلك ، هناك عيوب كبيرة لهذا النموذج. بينما تتميز حلول SD-WAN بعدد من إمكانات التحكم في التدفق القوية التي يمكن توزيعها على كل موقع بعيد - بما في ذلك جدار الحماية وحماية DNS وتشويش البيانات - إلا أنها لا تتمتع بنفس إمكانات البيانات والحماية من التهديدات القوية التي قامت المؤسسات بتضمينها في أمان محيط الشبكة الخاص بها. لذلك ، لا يزال المهندسون المعماريون بحاجة إلى إعادة كل حركة المرور عبر الإنترنت إلى مركز البيانات ، حتى لو كان من المقرر أن تعود حركة المرور هذه في النهاية إلى الإنترنت! لذلك في حين أن سرعة هذا الاتصال وفعاليته من حيث التكلفة قد تحسنت بشكل كبير مقارنة بالنموذج القديم ، فإن الحاجة إلى مواصلة نقل حركة المرور تمثل نفس تحديات الكمون والازدحام.
النهج 2 ب: السماء العالية Security Service Edge
لذلك إذا كانت مسارات حركة المرور بحاجة إلى العودة إلى مركز بيانات الشركة للمؤسسات للحفاظ على الرؤية الأمنية والتحكم ، ولكن غالبية الموارد التي يصل إليها المستخدمون موجودة في السحابة ، أليس من المنطقي وضع عناصر التحكم الأمنية في السحابة مسار حركة مرور أكثر مباشرة وأمانا؟ أدخل سكاي هاي Security Service Edge.
Skyhigh Securityالجيل القادم Secure Web Gateway يوفر حافة سحابية أصلية وسريعة للغاية وموثوقة بنسبة 99.999٪ وآمنة على نطاق واسع. من خلال تقارب SWG و CASB و DLP ، و Remote Browser Isolation ، تضمن Skyhigh SSE تمتع المستخدمين والمكاتب عن بعد بأكثر المستويات تطورا من التهديدات والبيانات وحماية التطبيقات السحابية ، بالإضافة إلى إمكانات إدارة المخاطر الاستباقية الفريدة التي تتجاوز حتى ما هو ممكن في إطار الأمان المحلي التقليدي.
لا تقل أهمية عن القدرات الأمنية المتقدمة حقيقة أن Skyhigh SSE مبني على أساس سريع وموثوق وقابل للتطوير. بفضل شبكة نقطة التواجد العالمية (POP) وعلاقات التناظر الفريدة ، يمكن ل Skyhigh SSE توسيع حافة آمنة فائقة النطاق أينما احتاجها المستخدمون. على الرغم من زيادة حركة المرور بنسبة 240٪ خلال ربيع عام 2020 ، Skyhigh Security تمكنت من الحفاظ على توافر 99.999٪ واستوفت جميع متطلبات زمن الوصول المنصوص عليها في اتفاقيات مستوى الخدمة الخاصة بنا. يمكن للمؤسسات الاعتماد على بنيتنا التحتية في أصعب الأوقات ، ويمكنها الاستمرار في القيام بذلك في المستقبل.
من خلال الاشتراك في اتصال إنترنت عام ميسور التكلفة في موقع الفرع والاتصال ب Skyhigh SSE ، يمكن للعملاء تحقيق العديد من الفوائد المرجوة. إن إمكانات حماية البيانات والتهديدات والتطبيقات السحابية الشاملة أكثر من تلبية متطلبات الأمان. وبالنسبة لغالبية حركة مرور المستخدمين المخصصة للويب أو السحابة ، يضمن الاتصال المباشر بالإنترنت وصولا سريعا ومنخفض الكمون.
ومع ذلك ، بدون نشر SD-WAN بالتزامن مع Skyhigh SSE ، لا تزال المؤسسات بحاجة إلى روابط MPLS البطيئة والمكلفة للحفاظ على الاتصال بتطبيقات وموارد مركز البيانات القديمة. لذلك ، لن يتمكن العملاء من تحقيق وفورات في التكاليف ، وستعاني هذه الاتصالات بموارد مركز البيانات من نفس تحديات السرعة والكمون. وهذا هو المكان الذي نصل فيه أخيرا إلى بنية الأمان السحابية المثالية ، حيث نجمع Skyhigh SSE مع SD-WAN.
النهج 3: Skyhigh Security SSE + SD-WAN = SASE
من خلال الجمع بين Skyhigh SSE و SD-WAN في حل متكامل بسلاسة ، يمكن للمؤسسات تقديم SASE وبناء بنية أمان شبكة مناسبة لعصر السحابة. Skyhigh Security يجعل من الممكن للعملاء التقارب بسهولة Skyhigh SSE مع أي حل SD-WAN تقريبا عبر دعم أصلي قوي لاتصال SD-WAN ، والاستفادة من بروتوكولات IPSec و GRE الديناميكية القياسية في الصناعة. من خلال هذا التكامل ، يستفيد العملاء من مجموعة كاملة من إمكانات SASE الأساسية ، حيث توفر SD-WAN وظائف الشبكات المتكاملة وتوفر SSE إمكانات الأمان. Skyhigh Security دعمت شركائها في القنوات في تقديم مشاريع SWG مشتركة SD-WAN السحابية بنجاح مع العديد من بائعي SD-WAN الرئيسيين في السوق ، وأقامت تحالفات وثيقة مع قادة الصناعة من خلال برنامج شركاء التكامل.
إذن كيف يلبي حل UCE-SD-WAN المشترك المتطلبات المعمارية الأربعة؟ يتم التعامل مع الأمن بوضوح من خلال Skyhigh Securityقدرات حماية التهديدات والبيانات والتطبيقات السحابية ، بالإضافة إلى إمكانات جدار الحماية الموزعة التي توفرها SD-WAN. باستخدام اتصال إنترنت سريع واحد ، فإن SD-WAN قادرة على توجيه حركة المرور بذكاء وكفاءة مباشرة إلى الموارد السحابية أو العودة إلى مركز بيانات الشركة. مع توفير Skyhigh SSE للأمان مباشرة في السحابة ، يمكن ل SD-WAN إعادة توجيه حركة المرور المرتبطة بالويب والسحابة مباشرة ، دون أي زمن انتقال مفرط. تأتي وفورات التكلفة من إزالة خطوط MPLS باهظة الثمن ، وبما أن غالبية حركة المرور لم تعد بحاجة إلى التوصيل من خلال مركز بيانات الشركة ، يمكن تحقيق وفورات إضافية عن طريق تقليل عرض النطاق الترددي للشبكة المركزية وسعة البنية التحتية.
بناء بنية أمان شبكة جاهزة للسحابة اليوم
يمثل التحول الرقمي الثورة التكنولوجية العظيمة التالية ، ومن المرجح أن تحدد قدرة المؤسسات على الانتقال إلى السحابة وتمكين القوى العاملة الموزعة من خلال الوصول السريع والآمن والبسيط والموثوق مدى نجاحها في العصر الجديد. تمثل SASE أفضل طريقة لتحقيق بنية مباشرة إلى السحابة لا تتنازل عن الرؤية الأمنية والتحكم أو الأداء أو التعقيد أو التكلفة. من خلال دمج حل Skyhigh SSE الخاص بنا بسلاسة مع SD-WAN ، لم يكن من السهل على المؤسسات تقديم SASE إلى المكاتب البعيدة. ونتيجة لذلك، سيستفيد المستخدمون من زيادة الإنتاجية، وسيتمتع موظفو تكنولوجيا المعلومات بكفاءة تشغيلية أكبر، وستتمتع الشركات بوفورات استثنائية في التكاليف نتيجة للبنية التحتية الموحدة وحركة مرور الشبكة المحسنة.
العودة إلى المدونات