ما يمكن توقعه من الجيل القادم من بوابات الويب الآمنة

أبريل 29, 2022

بقلم مايكل شنايدر - مدير أول، إدارة المنتجات، Skyhigh Security

بعد أكثر من قرن من الابتكار التكنولوجي منذ خروج الوحدات الأولى من خطوط تجميع هنري فورد ، لا تحمل السيارات والنقل الكثير من القواسم المشتركة مع عصر الطراز T. سيستمر هذا التطور حيث يجد المجتمع طرقا أفضل لتحقيق نتيجة نقل الناس من النقطة أ إلى النقطة ب.

في حين أن بوابات الويب الآمنة (SWGs) تعمل وفقا لجدول زمني أكثر ضغطا ، فقد حدث تطور جذري مماثل. لا تزال SWGs تركز إلى حد كبير على ضمان حماية المستخدمين من زوايا الإنترنت غير الآمنة أو غير المتوافقة ، ولكن الانتقال إلى عالم السحابة والعمل عن بعد قد خلق تحديات أمنية جديدة لم تعد SWG التقليدية مجهزة للتعامل معها. لقد حان الوقت للجيل القادم من SWGs التي يمكنها تمكين المستخدمين من الازدهار بأمان في عالم يزداد لامركزية وخطورة.

كيف وصلنا إلى هنا

بدأت SWG بالفعل كحل لتصفية عناوين URL مكن المؤسسات من ضمان امتثال تصفح الويب للموظفين لسياسة الوصول إلى الإنترنت الخاصة بالشركة.

ثم انتقلت تصفية عناوين URL إلى خوادم بروكسي تجلس خلف جدران الحماية الخاصة بالشركة. نظرا لأن الوكلاء ينهون حركة المرور القادمة من المستخدمين ويكملون الاتصال بمواقع الويب المطلوبة ، فقد رأى خبراء الأمن بسرعة إمكانية إجراء فحص أكثر شمولا من مجرد مقارنة عناوين URL بالقوائم السوداء الحالية. من خلال دمج مكافحة الفيروسات والقدرات الأمنية الأخرى ، فإن "Secure Web Gateway" أصبح جزءا مهما من البنى الأمنية الحديثة. ومع ذلك ، لا يمكن ل SWG التقليدية أن تلعب هذا الدور إلا إذا كانت نقطة الاختناق لجميع حركة المرور على الإنترنت ، حيث تجلس على حافة محيط كل شبكة شركة ولديها "دبوس" للمستخدمين عن بعد من خلال تلك الشبكة عبر روابط VPN أو MPLS.

الجيل التالي من SWG

أدى الانتقال إلى عالم السحابة والعمل عن بعد إلى وضع أعباء جديدة على SWG التقليدية القائمة على المحيط. يمكن للمستخدمين الآن الوصول مباشرة إلى البنية التحتية لتكنولوجيا المعلومات والموارد المتصلة من أي مكان تقريبا من مجموعة متنوعة من الأجهزة المختلفة ، ولم يعد العديد من هذه الموارد موجودا داخل محيط الشبكة على خوادم الشركة.

كما يوسع هذا التحول الملحوظ متطلبات البيانات والحماية من التهديدات، تاركا فرق الأمن للتعامل مع عدد من التهديدات المعقدة الجديدة وتحديات الامتثال. لسوء الحظ ، لم تتمكن SWGs التقليدية من مواكبة مشهد التهديدات المتطور هذا ، مما أدى إلى بنية غير فعالة تفشل في توفير إمكانات القوى العاملة الموزعة.

يتضمن كل خرق كبير تقريبا الآن مكونات ويب متطورة متعددة المستويات لا يمكن إيقافها بواسطة محرك ثابت. كان نهج SWG التقليدي هو التنسيق مع أجزاء أخرى من البنية التحتية الأمنية ، بما في ذلك صناديق الحماية للبرامج الضارة. ولكن نظرا لأن التهديدات أصبحت أكثر تقدما وتعقيدا ، فقد أدى القيام بذلك إلى إبطاء الأداء أو السماح للتهديدات بالمرور. هذا هو المكان Remote Browser Isolation (RBI) يجلب نقلة نوعية إلى الحماية المتقدمة من التهديدات. عندما يتم تنفيذ RBI كجزء لا يتجزأ من فحص حركة مرور SWG ، يمكنه توفير حماية في الوقت الفعلي في يوم الصفر ضد برامج الفدية وهجمات التصيد الاحتيالي والبرامج الضارة المتقدمة الأخرى بحيث لا يمكن حتى للتهديدات الأكثر تعقيدا الوصول إليها ، دون إعاقة تجربة التصفح.

هناك مشكلة أخرى في معظم SWGs التقليدية وهي أنها غير قادرة على حماية البيانات بشكل كاف أثناء تدفقها من المستخدمين الموزعين إلى التطبيقات السحابية ، نظرا لافتقارها إلى حماية البيانات المتقدمة وذكاء التطبيقات السحابية. بدون Data Loss Prevention تقنية (DLP) المتقدمة بما يكفي لفهم طبيعة التطبيقات السحابية ومواكبة متطلبات السلامة المتطورة، يمكن للمؤسسات العثور على ثغرات حماية البيانات في حلول SWG الخاصة بها والتي تبقيها عرضة للمخاطر.

أخيرا ، هناك مسألة التطبيقات السحابية. بينما تعمل التطبيقات السحابية على نفس الإنترنت مثل مواقع الويب التقليدية ، فإنها تعمل بطريقة مختلفة اختلافا جوهريا لا تستطيع SWGs التقليدية فهمها ببساطة. تم تصميم Cloud Access Security Brokers (CASBs) لتوفير الرؤية والتحكم في التطبيقات السحابية ، وإذا لم يكن لدى SWG إمكانية الوصول إلى قاعدة بيانات شاملة لتطبيق CASB وعناصر تحكم CASB متطورة ، فهي عمياء بشكل فعال عن السحابة. إنها فقط SWG مدركة للسحابة مع وظائف CASB متكاملة يمكنها توسيع حماية البيانات لتشمل جميع مواقع الويب والتطبيقات السحابية ، مما يمكن المؤسسات ومستخدميها من الحماية بشكل أفضل ضد التهديدات المتقدمة.

ما نحتاجه من الجيل التالي من SWGs

يجب أن يساعد الجيل التالي من SWG في تبسيط تنفيذ Security Service Edge البنية والمساعدة في تسريع اعتماد السحابة الآمنة. في الوقت نفسه ، تحتاج إلى توفير حماية متقدمة من التهديدات ، والتحكم الموحد في البيانات ، وتمكين القوى العاملة عن بعد والموزعة بكفاءة.

فيما يلي بعض حالات الاستخدام:

• قم بتمكين القوى العاملة عن بعد من خلال بنية مباشرة إلى السحابة توفر توفر 99.999٪. مع خروج البلدان والدول ببطء من أوامر المأوى في المكان ، أشارت العديد من المنظمات إلى أن دعم القوى العاملة عن بعد والموزعة من المرجح أن يكون المعيار الجديد. قد يكون الحفاظ على إنتاجية العاملين عن بعد وتأمين البيانات وحماية نقاط النهاية أمرا مربكا في بعض الأحيان. يجب أن يوفر الجيل التالي من SWG للمؤسسات قابلية التوسع والأمان لدعم القوى العاملة عن بعد اليوم والنظام البيئي الرقمي الموزع. تساعد البنية السحابية الأصلية على ضمان التوافر وتقليل زمن الوصول والحفاظ على إنتاجية المستخدم من أي مكان يعمل فيه فريقك. يجب أن توفر الخدمة الحقيقية من الدرجة السحابية توفر خمسة تسعات (99.999٪) باستمرار.
• تقليل التعقيد الإداري وانخفاض التكلفة - اليوم ، مع زيادة اعتماد السحابة ، يتم توجيه أكثر من 80٪ من حركة المرور إلى الإنترنت. يمكن أن يكون نقل حركة مرور الإنترنت إلى بنية "Hub and Spoke" التقليدية التي تتطلب روابط MPLS باهظة الثمن مكلفة للغاية. تتباطأ الشبكة إلى التوقف مع ارتفاع حركة المرور ، وقد أثبتت VPN للعاملين عن بعد أنها غير فعالة. يجب أن يدعم الجيل التالي من SWG إطار عمل SASE ويوفر بنية مباشرة إلى السحابة تقلل من إجمالي تكاليف التشغيل عن طريق تقليل الحاجة إلى روابط MPLS باهظة الثمن. باستخدام نموذج تسليم SaaS، تزيل مجموعات SWG من الجيل التالي الحاجة إلى نشر البنية التحتية للأجهزة وصيانتها مما يقلل من تكاليف الأجهزة والتشغيل، مع زيادة الأداء والموثوقية وقابلية التوسع.
• تأمين بياناتك ، وليس عملك - تستخدم أكثر من 95٪ من الشركات اليوم الخدمات السحابية ، ومع ذلك يمكن ل 36٪ فقط من الشركات فرض قواعد DLP في السحابة على الإطلاق. بالإضافة إلى ذلك ، فإن معظم SWGs التقليدية غير قادرة على حماية البيانات بشكل كاف لأنها تتدفق من المستخدمين الموزعين إلى التطبيقات السحابية ، بسبب نقص حماية البيانات المتقدمة وذكاء التطبيقات السحابية. يجب أن يوفر الجيل التالي من SWG طريقة أكثر فاعلية لفرض الحماية باستخدام المدمج Data Loss Prevention القوالب ومهام سير عمل حماية البيانات المضمنة لمنع تدفق البيانات المقيدة خارج المؤسسة. توفر حماية البيانات من جهاز إلى سحابة رؤية شاملة للبيانات وعناصر تحكم متسقة عبر نقاط النهاية والمستخدمين والبيئات السحابية والشبكات. مع تقنية DLP المدمجة ، تضمن SWGs من الجيل التالي أن تظل المؤسسات متوافقة مع سياسات أمان الشركة ، فضلا عن اللوائح الصناعية والحكومية.
• الدفاع ضد التهديدات المعروفة وغير المعروفة - مع استمرار نمو الويب وتطوره ، تنمو هجمات البرامج الضارة على الويب وتتطور أيضا ، بما يتجاوز الحماية التي يمكن أن توفرها SWGs التقليدية. تعرض برامج الفدية والتصيد الاحتيالي والتهديدات المتقدمة الأخرى المستندة إلى الويب المستخدمين ونقاط النهاية للخطر. يجب أن يتميز الجيل التالي من SWG بعناصر التحكم الأمنية المتكاملة الأكثر تقدما ، بما في ذلك استخبارات التهديدات العالمية ووضع الحماية ، بحيث لا يمكن حتى للتهديدات الأكثر تعقيدا المرور. الجيل التالي من SWG مع حلول الحماية من التهديدات التي تعمل معا قادر على ضمان سياسات متسقة وحماية البيانات والرؤية عبر حركة المرور المعزولة وغير المعزولة. يجب أن يشتمل الجيل التالي من SWG أيضا على تكامل Remote Browser Isolation لمنع التهديدات غير المعروفة من الوصول إلى نقاط النهاية.

من الواضح أن SWGs قد قطعت شوطا طويلا من كونها مجرد أجهزة تصفية عناوين URL إلى النقطة التي تكون فيها ضرورية لتعزيز الاعتماد الآمن والمتسارع للسحابة. لكننا بحاجة إلى دفع الظرف الذي يضرب به المثل إلى أبعد من ذلك بكثير. التحول الرقمي لا يتطلب أقل من ذلك.