ขอบเครือข่ายอยู่ที่ไหน Where is the edge? 

โดยปกติแล้ว “ส่วนขอบ Edge” ของ SASE จะถูกส่งผ่าน PoP หรือศูนย์ข้อมูลของผู้จำหน่ายซึ่งจะอยู่ใกล้กับอุปกรณ์ปลายทาง (Endpoints)  – ซึ่งไม่ว่าจะเป็นศูนย์ข้อมูล ผู้คน และอุปกรณ์ต่างๆ – ไม่ว่าพวกเขาจะอยู่ที่ใด ในบางกรณีผู้จำหน่าย SASE มี PoP เป็นของตนเอง ในขณะที่กรณีอื่นๆ อาจใช้ PoP ของบุคคลที่สามหรือคาดหวังให้ลูกค้าจัดหา PoP เพื่อใช้ในการเชื่อมต่อเป็นของตนเอง

ประโยชน์ของ SASE 

ผู้บริหารด้านไอทีสามารถกำหนดนโยบายจากส่วนกลางผ่านแพลตฟอร์มการจัดการบนคลาวด์ และนโยบายจะถูกบังคับใช้ที่ PoP ที่กระจายไปอยู่ใกล้กับผู้ใช้ปลายทาง

ผู้ใช้ปลายทางจะได้รับประสบการณ์การเข้าถึงเป็นแบบเดียวกัน โดยไม่ว่าทรัพยากรที่พวกเขาต้องการเป็นอะไรและไม่ว่าที่อยู่ของพวกเขาและทรัพยากรจะอยู่ที่ไหนก็ตาม SASE ยังทำให้กระบวนการยืนยันตัวตน (authentication process) ง่ายขึ้นด้วยการใช้นโยบายที่เหมาะสมสำหรับทรัพยากรใดก็ตามที่ผู้ใช้งานต้องการค้นหาตามการลงชื่อเข้าใช้ครั้งแรก (initial sign-in)

ความปลอดภัยเพิ่มขึ้นเนื่องจากการบังคับใช้นโยบายอย่างเท่าเทียมกันไม่ว่าผู้ใช้จะอยู่ที่ใด เมื่อมีภัยคุกคามใหม่ๆ เกิดขึ้น ผู้ให้บริการจะหาวิธีในการป้องกันจากภัยนั้นๆ โดยไม่ต้องมีอุปกรณ์ ฮาร์ดแวร์ใหม่ๆ หรือข้อกำหนดใหม่ๆ เพิ่มเติมสำหรับอุปกรณ์ขององค์กรผู้ใช้บริการเลย

SASE รองรับเครือข่าย Zero-Trust ซึ่งอิงจากการเข้าถึงของผู้ใช้อุปกรณ์ และแอปพลิเคชั่น ไม่ใช่อิงกับตำแหน่งสถานที่และหมายเลข IP ของผู้ใช้งาน

ให้ผู้ใช้หลายประเภทมากขึ้น เช่น พนักงาน คู่ค้า ผู้รับเหมา ลูกค้า สามารถเข้าถึงได้โดยไม่ต้องเสี่ยงว่าการรักษาความปลอดภัยแบบเดิม เช่น VPN และ DMZ อาจถูกบุกรุกและกลายเป็นหัวหาดสำหรับการโจมตีในวงกว้างที่อาจเกิดขึ้นในองค์กร

ผู้ให้บริการ SASE สามารถให้บริการที่มีคุณภาพที่แตกต่างกันหลายระดับ เพื่อที่แต่ละแอปพลิเคชั่นจะได้รับ แบนด์วิดธ์และการตอบสนองของเครือข่ายตามที่ต้องการ

เมื่อใช้ SASE เจ้าหน้าที่ไอทีขององค์กรจะมีงานที่ต้องทำเกี่ยวข้องกับการปรับใช้ การเฝ้าติดตาม และการบำรุงรักษาน้อยลง และสามารถได้รับการมอบหมายงานในระดับที่สูงขึ้นอื่นๆ ได้

ความท้าทายของ SASE 

Gartner ระบุอุปสรรคหลายประการสำหรับการนำ SASE มาใช้ออกมา เช่น บริการบางอย่างอาจจะมีไม่เพียงพอในช่วงแรกเพราะการนำมาให้บริการโดยผู้ให้บริการที่มีภูมิหลังในด้านเครือข่ายหรือด้านความปลอดภัยอย่างใดอย่างหนึ่งและจะขาดความเชี่ยวชาญในส่วนที่เหลืออีกครึ่งหนึ่ง

ข้อเสนอ SASE ในช่วงแรกๆ อาจไม่ได้รับการออกแบบด้วยแนวคิดแบบที่เป็นคลาวด์ตั้งแต่แรก (Cloud-native mindset) เนื่องจากประสบการณ์แบบเดิมของผู้จำหน่ายคือการขายอุปกรณ์ที่ติดตั้งภายในองค์กร (on-premises) ดังนั้นพวกเขาจึงอาจเลือกใช้สถาปัตยกรรมที่มีโครงสร้างพื้นฐานสำหรับลูกค้ารายเดียวในแต่ละครั้ง (dedicated to one customer at a time) ในทำนองเดียวกัน ผู้จำหน่ายฮาร์ดแวร์รุ่นเก่าอาจขาดประสบการณ์เกี่ยวกับพร็อกซี่แบบอินไลน์ที่ SASE ต้องการ ดังนั้นพวกเขาจึงอาจประสบปัญหาด้านต้นทุนและประสิทธิภาพ

ผู้ค้าแบบดั้งเดิมบางรายอาจขาดประสบการณ์ในการประเมินบริบท ซึ่งอาจจำกัดความสามารถในการ ตัดสินใจเชิงรับรู้บริบทของพวกเขา (context-aware decisions)

เนื่องจากความซับซ้อนของ SASE มันสำคัญที่ผู้ให้บริการต้องมีคุณสมบัติแบบองค์รวม (have well integrated features) เป็นอย่างดี ไม่ใช่คุณลักษณะแบบแต่ละอย่างแยกเป็นส่วนๆ แล้วนำมาร้อยเรียงเข้าด้วยกัน

การสร้าง PoP แบบอย่างเดียวกันทั้งหมดในทุกสถานที่อาจมีค่าใช้จ่ายสูงเกินไปสำหรับผู้ให้บริการ SASE บางรายซึ่งอาจนำไปสู่ประสิทธิภาพที่ไม่สม่ำเสมอในทุกสถานที่ เนื่องจากบางไซต์อาจอยู่ห่างจาก PoP ที่ใกล้ที่สุด ซึ่งทำให้เกิดความหน่วงเวลา (introducing latency)

ซอฟท์แวร์เอเจ้นท์บนอุปกรณ์ปลายทาง (endpoint agent) ของ SASE จะต้องถูกรวมแบบองค์รวม (integrated with) กับซอฟท์แวร์เอเจ้นท์ตัวอื่นๆ เพื่อทำให้การปรับใช้ง่ายขึ้น (simplify deployments)

การเปลี่ยนมาใช้ SASE สามารถสร้างความเครียดให้กับบุคลากรได้ สงครามแย่งพื้นที่อาจปะทุขึ้นเพราะ SASE ตัดผ่านเครือข่ายและทีมรักษาความปลอดภัย การเปลี่ยนจากการซื้อจากผู้จำหน่ายมาใช้บริการ SASE อาจต้องมีการฝึกอบรมพนักงานไอทีขององค์กรใหม่เพื่อจัดการกับเทคโนโลยีใหม่

ทาไมถึงต้องมี SASE – Why is SASE necessary? 

Gartner กล่าวว่าขณะนี้มีจำนวนฟังก์ชั่นที่เคยมีในศูนย์ข้อมูลองค์กรแบบดั้งเดิมมาติดตั้งใช้งาน (hosted) อยู่ภายนอกศูนย์ข้อมูลขององค์กรมากขึ้นมากกว่าจำนวนที่ hosted อยู่ในศูนย์ข้อมูลองค์กรด้วยซ้ำ เช่น ในคลาวด์ของผู้ให้บริการแบบ IaaS ในแอปพลิเคชั่นแบบ SaaS และในที่เก็บข้อมูลบนคลาวด์ ความต้องการของ IoT และ Edge Computing จะเพิ่มการพึ่งพาทรัพยากรบนคลาวด์เท่านั้น แต่สถาปัตยกรรมความปลอดภัย WAN ยังคงได้รับการปรับแต่งให้เหมาะกับแบบที่ติดตั้งในศูนย์ข้อมูล ภายในขององค์กร (on-premises)

ผู้ใช้งานระยะไกลมักเชื่อมต่อผ่าน VPN และต้องใช้ไฟร์วอลล์ที่ติดตั้งในสถานที่นั้นๆ หรือในอุปกรณ์แต่ละเครื่อง โมเดลดั้งเดิมทำให้พวกเขาต้องตรวจสอบสิทธิ์กับระบบรักษาความปลอดภัยแบบรวมศูนย์ที่ให้สิทธิ์การเข้าถึง แต่อาจกำหนดให้เส้นทางการรับส่งข้อมูลผ่านศูนย์กลางของระบบนั้นด้วย สถาปัตยกรรมดั้งเดิมนี้ถูก กีดกั้นระเกะระกะโดยความซับซ้อนและความล่าช้า

ด้วยการใช้ SASE ผู้ใช้งานและอุปกรณ์สามารถได้รับการตรวจสอบสิทธิ์และเข้าถึงทรัพยากรทั้งหมดที่ พวกเขาได้รับอนุญาตให้เข้าถึงได้อย่างปลอดภัยโดยระบบรักษาความปลอดภัยที่อยู่ใกล้พวกเขา เมื่อผ่านการตรวจสอบสิทธิ์แล้ว พวกเขาจะสามารถเข้าถึงทรัพยากรได้โดยตรง แก้ปัญหาเรื่องความหน่วงเวลา

Nat Smith นักวิเคราะห์ของ Gartner กล่าวว่า SASE เป็นแนวคิดเชิงปรัชญาและทิศทางของระบบมากกว่าการกำหนดเช็ครายการคุณสมบัติความสามารถ (checklist of features) แต่โดยทั่วไปแล้ว เขากล่าวว่า SASE ประกอบด้วยเทคโนโลยีหลักห้าอย่าง: SD-WAN, ไฟร์วอลล์แบบการให้บริการ (FWaaS), cloud access security broker (CASB), Secure web gateway (SWG) และ Zero-trust network access (การเข้าถึงเครือข่ายที่ไม่ไว้วางใจใครเลย)

SD-WAN แบบองค์รวม (Integrated SD-WAN) 

ตามประเพณีนิยมแล้ว WAN ประกอบด้วยโครงสร้างพื้นฐานแบบสแตนด์อโลน ซึ่งมักต้องใช้เงินลงทุนจำนวนมากในฮาร์ดแวร์

สำหรับ SASE นั้นเป็นการทำงานบนคลาวด์ทั้งหมด ถูกกำหนดและถูกจัดการโดยซอฟต์แวร์ และมีจุดของการให้บริการ (PoP) กระจายติดตั้งตามที่ต่างๆ อยู่ใกล้ศูนย์ข้อมูลขององค์กร สาขา อุปกรณ์ และพนักงานและ PoP จำนวนมากนี้มีความสำคัญต่อการทำหน้าที่ตรวจสอบเพื่อให้แน่ใจว่าทราฟฟิกขององค์กรจำนวนมากเท่าที่จะเป็นไปได้เข้าถึงเครือข่าย SASE โดยตรง หลีกเลี่ยงปัญหาการหน่วงเวลา และปัญหาความปลอดภัยของอินเทอร์เน็ตสาธารณะ

ด้วยบริการนี้ ลูกค้าสามารถตรวจสอบสุขภาพของเครือข่ายและกำหนดนโยบายสำหรับข้อกำหนด การรับส่งข้อมูลเฉพาะของตนได้

เนื่องจากการรับส่งข้อมูลจากอินเทอร์เน็ตจะผ่านเครือข่ายของผู้ให้บริการก่อน ดังนั้น SASE สามารถตรวจจับการรับส่งข้อมูลที่เป็นอันตรายและเข้าแทรกแซงการรับส่งข้อมูลนั้นๆ ก่อนที่จะถึงเครือข่ายองค์กร ตัวอย่างเช่น การโจมตี DDoS สามารถทำให้บรรเทาลงได้ภายในเครือข่าย SASE ซึ่งช่วยให้ลูกค้าปลอดภัยจากการถาโถมเข้ามาของข้อมูลที่เป็นอันตรายจำนวนมาก

Firewall as a service (FWaaS) 

สภาพแวดล้อมแบบกระจายในปัจจุบัน มีทั้งผู้ใช้งานและทรัพยากรการคำนวณจะไปอยู่ที่บริเวณขอบของ เครือข่ายเพิ่มมากขึ้นเรื่อยๆ บริการไฟร์วอลล์บนคลาวด์ที่ยืดหยุ่นซึ่งถูกนำเสนอมาในรูปของการบริการ (as a service) สามารถปกป้องสิ่งที่อยู่บนขอบของเครือข่ายเหล่านี้ได้  ฟังก์ชันอย่างนี้จะมีความสำคัญมากขึ้นเรื่อยๆ เมื่อ Edge Computing เติบโตมีจำนวนมากขึ้นและอุปกรณ์ IoT ก็ฉลาดขึ้นและมีประสิทธิภาพมากขึ้น

การส่งมอบ FWaaS โดยเป็นส่วนหนึ่งของแพลตฟอร์ม SASE ทำให้องค์กรต่างๆ สามารถจัดการความปลอดภัยของเครือข่าย กำหนดนโยบายที่เหมือนกัน (uniform policies ตรวจจับความผิดปกติ (spot anomalies) และทำการเปลี่ยนแปลงได้อย่างรวดเร็วและได้ง่ายขึ้น

Cloud-access security broker (CASB) 

เมื่อระบบขององค์กรเปลี่ยนไปใช้บริการแอปพลิเคชัน Software as a Service (SaaS) มากขึ้นเรื่อยๆ การตรวจสอบสิทธิ์และการเข้าถึงจึงมีความสำคัญมากขึ้นเรื่อยๆ

องค์กรใช้ CASB เพื่อให้แน่ใจว่ามีการใช้นโยบายความปลอดภัยอย่างคงที่สม่ำเสมอ แม้ว่าการบริการนี้จะอยู่นอกเหนือการควบคุมก็ตาม

ด้วยการใช้ SASE พอร์ทัลเดียวกันที่พนักงานใช้เพื่อเข้าถึงระบบองค์กรของพวกเขายังเป็นพอร์ทัลเดียวกันที่ใช้สำหรับเข้าถึงแอปพลิเคชันระบบคลาวด์ทั้งหมด ซึ่งรวมถึง CASB ด้วยการจราจรของข้อมูลไม่จำเป็นต้องออกไปนอกระบบเพื่อไปเรียก CASB ที่แยกต่างหากจากระบบ

Secure web gateway (SWG) 

ในองค์กรปัจจุบัน การรับส่งข้อมูลเครือข่าย (การจราจร) แทบไม่ถูกจำกัดอยู่ที่ขอบเขตเครือข่ายที่กำหนดไว้ล่วงหน้าเลย ปริมาณงาน (workloads) สมัยใหม่มักต้องการการเข้าถึงทรัพยากรที่อยู่ภายนอก แต่อาจมีระเบียบปฏิบัติคอยบังคับไม่ให้พนักงานเข้าถึงไซต์บางแห่ง (compliances to deny employees access to certain sites) นอกจากนี้ บริษัทต่างๆ ต้องการบล็อกการเข้าถึงไซต์ฟิชชิ่งและเซิร์ฟเวอร์สั่งการและควบคุมของบ็อตเน็ต แม้แต่เว็บไซต์ที่ดูไม่มีพิษภัยก็อาจถูกใช้โดยมีประสงค์ร้าย เช่น การพนักงานที่พยายามล้วงข้อมูลที่อ่อนไหวขององค์กรออกไป

Secure web gateways (SGW) ปกป้องบริษัทจากภัยคุกคามเหล่านี้ ผู้จำหน่าย SASE ที่นำเสนอ ความสามารถนี้จะตรวจสอบจราจรข้อมูลที่เข้ารหัสไว้ด้วยบริการที่อยู่บนคลาวด์ได้ การรวม SWG เข้ากับบริการรักษาความปลอดภัยเครือข่ายอื่นๆ จะช่วยปรับปรุงความสามารถในการจัดการและช่วยให้มีชุดนโยบายความปลอดภัยที่มีรูปแบบเป็นชุดที่เหมือนกันมากขึ้น (uniform set of security policies)

Zero-trust network access 

การเข้าถึงเครือข่ายแบบ Zero-trust ช่วยให้องค์กรสามารถมองเห็นและควบคุมผู้ใช้งานและระบบที่เข้าถึง แอปพลิเคชั่นและบริการขององค์กรได้อย่างละเอียด

Zero-trust เป็นแนวทางที่ค่อนข้างใหม่ในการรักษาความปลอดภัยเครือข่าย และการย้ายไปใช้แพลตฟอร์ม SASE อาจทำให้บริษัทต่างๆ ได้รับความสามารถ Zero-trust เหล่านั้น

องค์ประกอบหลักของ Zero Trust (ไม่ไว้วางใจใครทั้งสิ้น) คือการรักษาความปลอดภัยขึ้นอยู่กับข้อมูล ประจำตัว (identity) หมายเลขไอพี (IP Address) สิ่งนี้สามารถปรับเปลี่ยนให้เหมาะกับพนักงานที่ทำงานนอกสถานที่ได้มากขึ้น แต่ต้องมีระดับการตรวจสอบสิทธิ์เพิ่มเติม เช่น การตรวจสอบสิทธิ์แบบหลายปัจจัยและตรวจสอบด้วยการวิเคราะห์เชิงพฤติกรรม

เทคโนโลยีอื่นๆ ที่อาจเป็นส่วนหนึ่งของ SASE 

นอกเหนือจากความสามารถหลัก 5 ประการแล้ว Gartner ยังแนะนำเทคโนโลยีอื่นๆ อีกสองสามอย่างที่ผู้จำหน่าย SASE ควรนำเสนอ

ซึ่งรวมถึงการป้องกันเว็บแอปพลิเคชั่นและ API การทำ remote browser isolation  และ network sandboxes และยังแนะนำเพิ่มเติมอีกเช่น :

การป้องกันความเป็นส่วนตัวของเครือข่ายและการกระจายการรับส่งข้อมูล (network privacy protection and traffic dispersion) ซึ่งทำให้ผู้คุกคามค้นหาสินทรัพย์ขององค์กรโดยการติดตามด้วย IP Address หรือดักฟังสตรีมการรับส่งข้อมูลได้ยากขึ้น

ความสามารถเสริมอื่นๆ ได้แก่ การป้องกัน Wi-Fi-ฮอตสปอต การรองรับ VPN รุ่นเก่า และการป้องกันสำหรับอุปกรณ์หรือระบบ Edge-computing ที่ทำงานแบบออฟไลน์

การเข้าถึงอย่างรวมศูนย์ (Centralized access)  ไปยังเครือข่ายและข้อมูลความปลอดภัยสามารถช่วยให้ บริษัทต่างๆ เรียกใช้การวิเคราะห์พฤติกรรมแบบองค์รวม (run holistic behavior analytics) และตรวจจับภัยคุกคามและความผิดปกติซึ่งความสามารถลักษณะนี้จะไม่ปรากฏให้เห็นในระบบแบบแยกส่วน (siloed system) เมื่อการวิเคราะห์เหล่านี้ถูกส่งมอบในลักษณะบริการบนคลาวด์ซึ่งจะทำให้ง่ายขึ้นที่จะรวมการให้ข้อมูลภัยคุกคามที่อัปเดต(updated threat data) และข้อมูลข่าวกรองภายนอกอื่นๆ (other external intelligence) เข้ามาด้วย

เป้าหมายสุดท้ายในการนำเทคโนโลยีเหล่านี้มารวมกันภายใต้ระบบ SASE คือการช่วยให้องค์กรมีระบบความปลอดภัยที่ยืดหยุ่นและสม่ำเสมอ ประสิทธิภาพที่ดีขึ้น และความซับซ้อนน้อยลง – ทั้งหมดนี้ด้วยต้นทุนการเป็นเจ้าของที่ต่ำกว่า

องค์กรควรได้รับสิ่งที่ต้องการในขนาดที่คาดหวังโดยไม่ต้องจ้างผู้ดูแลระบบเครือข่ายและความปลอดภัยจำนวนมาก

SASE service providers 

Gartner กล่าวว่า เนื่องจาก SASE เป็นบริการที่ผสมผสานกัน ผลที่ได้ของการผสมผสานนั้นจะแตกต่างกันไป ซึ่งผลที่ได้พวกเขาจะกล่าวว่า พวกเขาไม่สามารถหารายชื่อผู้ให้บริการได้อย่างครอบคลุมได้ แต่ได้รวบรวมรายชื่อผู้ขายที่ได้ทำไปแล้วหรือคาดว่าจะเสนอ SASE ออกมา ซึ่งยกตัวอย่างได้แก่:

• Akamai 
• Cato Networks 
• Cisco 
• Cloudflare 
• Forcepoint 
• Fortinet 
• McAfee 
• Netskope 
• Palo Alto Networks 
• Proofpoint 
• Symantec 
• Versa 
• VMware 
• Zscaler

 “ผู้ให้บริการ IaaS รายใหญ่ (AWS, Azure และ GCP) ยังไม่มีการแข่งขันในตลาด SASE” Gartner กล่าวในเอกสารเผยแพร่แนะนำ SASE “เราคาดว่าอย่างน้อยหนึ่งรายจะย้ายไปตอบสนองความต้องการของตลาดส่วนใหญ่สำหรับ SASE … ในอีกห้าปีข้างหน้า เนื่องจากพวกเขาทั้งหมดได้ขยายสถานะขอบเครือข่ายและความสามารถด้านความปลอดภัย”

วิธีการนำ SASE มาใช้ – How to adopt SASE 

องค์กรต่างๆ มีแนวโน้มที่จะเปลี่ยนไปใช้แบบไฮบริดก่อน โดยให้ระบบเครือข่ายและระบบรักษาความปลอดภัยแบบเดิมจัดการกับการเชื่อมต่อระหว่างศูนย์ข้อมูลและสำนักงานสาขาที่มีอยู่ก่อนแล้ว ส่วน SASE จะถูกใช้เพื่อจัดการการเชื่อมต่ออุปกรณ์ ผู้ใช้ และสถานที่ใหม่ๆ

SASE ไม่ใช่วิธีแก้ปัญหาเครือข่ายและความปลอดภัย และจะไม่ใช่วิธีป้องกันการถูกแทนที่ด้วยสิ่งใหม่ๆ (future disruptions) แต่จะช่วยให้บริษัทต่างๆ ตอบสนองต่อ disruptions หรือวิกฤตได้เร็วขึ้น และลดผลกระทบที่มีต่อองค์กร นอกจากนี้ SASE จะช่วยให้บริษัทอยู่ในตำแหน่งที่ดีขึ้นเพื่อใช้ประโยชน์ จากเทคโนโลยีใหม่ เช่น edge computing, 5G และ AI บนมือถือ