1 Juni 2022
Oleh Michael Schneider - Manajer Senior, Manajemen Produk, Skyhigh Security
"Fitur memang bagus untuk dimiliki, tetapi pada akhirnya, yang kami pedulikan dalam hal keamanan web dan cloud kami adalah arsitektur." - kata seorang pelanggan.
Faktanya adalah, tidak ada yang suka berbicara tentang arsitektur saat berbelanja teknologi keamanan cyber terbaru dan terhebat, dan sebagian besar organisasi merasa puas dengan terus menyesuaikan alat dan kemampuan keamanan baru ke dalam arsitektur tradisional mereka yang sudah ada. Namun, proyek transformasi digital termasuk migrasi cloud dan akses seluler di mana-mana telah mengungkap celah arsitektur, dan banyak perusahaan telah melihat bendungan meledak dengan ledakan permintaan akses jarak jauh dalam beberapa bulan terakhir. Akibatnya, perusahaan-perusahaan mulai menyadari bahwa transformasi digital menuntut transformasi arsitektur jaringan dan keamanan yang sesuai.
Kerangka kerja Secure Access Service Edge (SASE) menyediakan model bagi organisasi untuk mencapai transformasi ini dengan menyatukan teknologi jaringan dan keamanan ke dalam satu layanan tunggal yang disediakan oleh cloud yang memastikan akses yang cepat, aman, andal, dan hemat biaya ke sumber daya web dan cloud. Dalam blog ini, kami berfokus pada kantor jarak jauh dan kombinasi SD-WAN dan kemampuan Next-Generation Secure Web Gateway yang dapat diaktifkan oleh Skyhigh SSE untuk transformasi digital.
Cloud dan Dilema Arsitektur
Di masa lalu, organisasi sebagian besar terkonsentrasi di sejumlah lokasi yang terbatas. Aplikasi dan data dihosting di server di lokasi pusat data pusat di jaringan area lokal - biasanya di atau dekat kantor pusat. Pengguna biasanya bekerja di kantor, sehingga mereka juga akan berada di kantor dan mengakses sumber daya perusahaan di jaringan yang sama. Di sekeliling jaringan ini terdapat perimeter kontrol keamanan yang dapat memeriksa semua lalu lintas yang masuk atau keluar dari organisasi, menjaga sumber daya tepercaya tetap aman sekaligus mencegah orang jahat. Pengguna jarak jauh dan kantor cabang secara logis terhubung ke jaringan pusat ini melalui teknologi seperti VPN, MPLS, dan leased line, sehingga perimeter jaringan yang aman dapat dipertahankan.
Meskipun pendekatan ini sudah cukup memadai selama bertahun-tahun, transformasi digital telah menciptakan tantangan besar. Aplikasi dan penyimpanan data telah bermigrasi ke cloud, sehingga tidak lagi berada di jaringan perusahaan. Logikanya, pendekatan yang optimal adalah pengguna dan kantor jarak jauh memiliki akses langsung ke sumber daya cloud tanpa harus melalui jaringan perusahaan. Namun, hal ini akan mengakibatkan perimeter keamanan TI organisasi benar-benar dilewati, yang berarti hilangnya visibilitas dan kontrol keamanan, yang mengarah pada risiko keamanan dan kepatuhan yang tidak dapat diterima.
Para arsitek jaringan dan keamanan di mana pun menghadapi dilema yang sama: Apa cara terbaik untuk memungkinkan transformasi digital tanpa kompromi besar? Organisasi pada umumnya mengikuti salah satu dari empat pendekatan arsitektur berikut ini berdasarkan kesediaan mereka untuk merangkul teknologi baru dan menyatukannya.
Kami akan membahas keempat opsi ini di sini, dan mengevaluasinya berdasarkan empat faktor: keamanan, kecepatan, latensi, dan biaya. Hasilnya akan menunjukkan bahwa hanya ada satu cara untuk mencapai akses yang cepat, aman, dan hemat biaya ke sumber daya web dan cloud.
Pendekatan 1: STATUS QUO
Karena risiko kehilangan visibilitas dan kontrol keamanan, banyak organisasi yang menolak untuk mengizinkan perancangan ulang "langsung ke awan". Jadi, meskipun sambungan internet berkecepatan tinggi dapat menghubungkan pengguna secara langsung ke sumber daya cloud dan web, pendekatan ini mengharuskan semua lalu lintas tetap didorong melalui sambungan MPLS yang lebih lambat kembali ke jaringan perusahaan, dan kemudian keluar melalui satu pipa internet gabungan untuk mengakses sumber daya web dan cloud. Meskipun secara teoritis hal ini menjaga visibilitas dan kontrol keamanan, namun hal ini memerlukan biaya yang besar.
Sebagai permulaan, pengalaman pengguna sangat terhambat oleh kinerja yang buruk. Bandwidth menderita akibat lambatnya sambungan MPLS kembali ke kantor perusahaan, serta melalui koneksi internet perusahaan yang padat. Selain itu, lompatan jaringan ekstra dan peningkatan persaingan jaringan menyebabkan latensi yang tinggi - hal ini telah diperkuat secara drastis dalam beberapa bulan terakhir karena jumlah lalu lintas jarak jauh yang diangkut melalui jaringan perusahaan telah meledak jauh melebihi ekspektasi desain awal. Faktor-faktor ini bahkan tidak memperhitungkan dampak potensial dari gangguan layanan yang ditimbulkan oleh satu titik kegagalan ke dalam arsitektur jaringan.
Selain kinerja yang buruk, ada biaya finansial yang jauh lebih tinggi yang terkait dengan pendekatan ini. Beberapa jalur MPLS yang menghubungkan kantor cabang ke pusat data perusahaan jauh lebih mahal daripada konektivitas internet publik. Selain itu, untuk mengakomodasi perutean lalu lintas SEMUA pengguna, organisasi perlu secara dramatis meningkatkan investasi dalam jaringan pusat dan kapasitas infrastruktur perimeter keamanan, serta bandwidth pipa internet bersama.
Jadi, kita harus mencari jawaban jangka panjang untuk tantangan kecepatan, latensi, dan biaya. Pertimbangan-pertimbangan inilah yang membuat banyak arsitek jaringan melanjutkan untuk menerapkan SD-WAN.
Pendekatan 2a: LANGSUNG KE CLOUD DENGAN SD-WAN
Langkah pertama dalam menghadirkan arsitektur yang siap untuk cloud adalah menghilangkan hambatan yang terjadi dengan memaksa semua lalu lintas dialihkan melalui jalur MPLS yang lambat ke jaringan pusat dan kemudian kembali ke cloud. Teknologi SD-WAN dapat membantu dalam hal ini. Dengan menerapkan peralatan SD-WAN di tepi jaringan cabang, kebijakan lalu lintas yang dioptimalkan dapat dibuat yang merutekan lalu lintas langsung ke sumber daya web dan cloud menggunakan koneksi internet yang cepat dan terjangkau, sementara menggunakan koneksi internet yang sama untuk mengirim hanya lalu lintas yang terikat dengan pusat data yang langsung kembali ke jaringan perusahaan melalui seperangkat terowongan VPN yang dinamis. Pengoptimalan WAN dan QoS, serta berbagai fungsi jaringan dan keamanan tepi lainnya seperti pemfilteran firewall yang lebih cocok dilakukan di tepi jaringan, memberikan pengalaman pengguna tercepat dan paling dapat diandalkan, sambil meminimalkan beban lalu lintas di jaringan pusat.
Dengan menggunakan SD-WAN, arsitek jaringan dapat mencapai penghematan biaya yang substansial dengan menghilangkan sambungan MPLS yang mahal ke pusat data perusahaan. Selain itu, pengguna tidak dibatasi oleh bandwidth yang jauh lebih lambat dari jalur MPLS tersebut.
Namun, ada kekurangan utama pada model ini. Meskipun solusi SD-WAN memiliki sejumlah kemampuan kontrol aliran yang kuat yang dapat didistribusikan ke setiap situs jarak jauh - termasuk firewall, perlindungan DNS, dan pengaburan data - solusi ini tidak memiliki kemampuan perlindungan data dan ancaman yang sama kuatnya dengan yang dimiliki oleh organisasi yang telah dibangun ke dalam keamanan perimeter jaringan mereka. Oleh karena itu, para arsitek masih perlu melakukan backhaul semua lalu lintas melalui internet kembali ke pusat data, meskipun lalu lintas tersebut pada akhirnya ditakdirkan untuk kembali ke internet! Jadi, meskipun kecepatan dan efektivitas biaya dari koneksi ini sangat meningkat dibandingkan dengan model lama, kebutuhan untuk terus melakukan backhaul trafik menghadirkan tantangan latensi dan kemacetan yang sama.
Pendekatan 2b: Skyhigh Security Service Edge
Jadi, jika jalur lalu lintas perlu berjalan kembali ke pusat data perusahaan agar organisasi dapat mempertahankan visibilitas dan kontrol keamanan, tetapi sebagian besar sumber daya yang diakses pengguna ada di cloud, bukankah masuk akal jika menempatkan kontrol keamanan di cloud pada jalur lalu lintas yang lebih langsung dan aman? Masuk ke Skyhigh Security Service Edge.
Skyhigh SecurityNext-Gen Secure Web Gateway menyediakan keunggulan keamanan berskala hiper yang asli dari cloud, secepat kilat, 99,999% andal, dan berskala hiper. Dengan menggabungkan teknologi SWG, CASB, dan DLP, serta Remote Browser Isolation , Skyhigh SSE memastikan bahwa pengguna dan kantor jarak jauh menikmati tingkat perlindungan ancaman, data, dan aplikasi cloud yang paling canggih, serta kemampuan manajemen risiko proaktif yang unik yang bahkan melebihi apa yang mungkin dilakukan dalam kerangka kerja keamanan lokal tradisional.
Sama pentingnya dengan kemampuan keamanan tingkat lanjut adalah fakta bahwa Skyhigh SSE dibangun di atas fondasi yang cepat, andal, dan dapat diskalakan. Berkat jaringan Point of Presence (POP) global dan hubungan peer-to-peer yang unik, Skyhigh SSE dapat memperluas keamanan berskala tinggi di mana pun pengguna membutuhkannya. Meskipun terjadi lonjakan trafik sebesar 240% selama musim semi tahun 2020, Skyhigh Security mampu mempertahankan ketersediaan 99,999% dan memenuhi semua persyaratan latensi yang ditetapkan dalam SLA kami. Organisasi dapat mengandalkan infrastruktur kami di saat-saat terberat, dan dapat terus melakukannya di masa mendatang.
Dengan berlangganan koneksi internet publik yang terjangkau di lokasi cabang dan terhubung ke Skyhigh SSE, pelanggan dapat memperoleh banyak manfaat yang diinginkan. Kemampuan perlindungan data, ancaman, dan aplikasi cloud yang komprehensif lebih dari sekadar memenuhi persyaratan keamanan. Dan untuk sebagian besar lalu lintas pengguna yang ditujukan untuk web atau cloud, koneksi internet langsung memastikan akses yang cepat dan latensi rendah.
Namun, tanpa menerapkan SD-WAN bersama dengan Skyhigh SSE, organisasi masih perlu memiliki sambungan MPLS yang lambat dan mahal untuk mempertahankan konektivitas ke aplikasi dan sumber daya pusat data lama mereka. Oleh karena itu, pelanggan tidak akan dapat merealisasikan penghematan biaya, dan koneksi ke sumber daya pusat data akan mengalami tantangan kecepatan dan latensi yang sama. Dan di situlah kami akhirnya sampai pada arsitektur keamanan cloud yang ideal, menyatukan Skyhigh SSE dengan SD-WAN.
Pendekatan 3: Skyhigh Security SSE + SD-WAN = SASE
Dengan menyatukan Skyhigh SSE dengan SD-WAN dalam sebuah solusi yang terintegrasi dengan mulus, organisasi dapat menghadirkan SASE dan membangun arsitektur keamanan jaringan yang sesuai untuk era cloud. Skyhigh Security memungkinkan pelanggan untuk dengan mudah menyatukan Skyhigh SSE dengan hampir semua solusi SD-WAN melalui dukungan asli yang kuat untuk konektivitas SD-WAN, dengan memanfaatkan protokol Dynamic IPSec dan GRE standar industri. Melalui integrasi ini, pelanggan mendapatkan keuntungan dari rangkaian lengkap kemampuan SASE yang penting, dengan SD-WAN menyediakan fungsionalitas jaringan yang terintegrasi dan SSE memberikan kemampuan keamanan. Skyhigh Security telah mendukung para mitra salurannya dalam memberikan proyek SWG SD-WAN-cloud bersama dengan banyak vendor SD-WAN utama di pasar, dan telah menjalin aliansi yang erat dengan para pemimpin industri melalui program mitra integrasinya.
Jadi, bagaimana solusi gabungan UCE-SD-WAN memenuhi keempat persyaratan arsitektur tersebut? Keamanan jelas ditangani oleh kemampuan perlindungan ancaman, data, dan aplikasi cloud dari Skyhigh Security, serta kemampuan firewall terdistribusi yang diberikan oleh SD-WAN. Dengan menggunakan satu koneksi internet cepat, SD-WAN mampu merutekan lalu lintas secara cerdas dan efisien langsung ke sumber daya cloud atau kembali ke pusat data perusahaan. Dengan Skyhigh SSE yang menyediakan keamanan langsung di cloud, SD-WAN dapat meneruskan lalu lintas web dan cloud secara langsung, tanpa latensi yang berlebihan. Penghematan biaya berasal dari penghapusan jalur MPLS yang mahal, dan karena sebagian besar lalu lintas tidak perlu lagi melakukan backhaul melalui pusat data perusahaan, penghematan tambahan dapat dicapai dengan mengurangi bandwidth jaringan pusat dan kapasitas infrastruktur.
Bangun Arsitektur Keamanan Jaringan yang Siap untuk Cloud Sekarang Juga
Transformasi Digital mewakili revolusi teknologi besar berikutnya, dan kemampuan organisasi untuk beralih ke cloud dan memberdayakan tenaga kerja terdistribusi mereka dengan akses yang cepat, aman, sederhana, dan dapat diandalkan kemungkinan akan menentukan seberapa sukses mereka di era baru ini. SASE merupakan cara terbaik untuk mencapai arsitektur direct-to-cloud yang tidak mengorbankan visibilitas & kontrol keamanan, kinerja, kompleksitas, atau biaya. Dengan mengintegrasikan solusi Skyhigh SSE kami dengan SD-WAN secara mulus, tidak pernah semudah ini bagi organisasi untuk menghadirkan SASE ke kantor-kantor yang jauh. Hasilnya, pengguna akan mendapatkan keuntungan dari produktivitas yang lebih besar, personil TI akan menikmati efisiensi operasional yang lebih besar, dan perusahaan akan menikmati penghematan biaya yang luar biasa sebagai hasil dari infrastruktur yang terkonsolidasi dan lalu lintas jaringan yang dioptimalkan.
Kembali ke Blog