SASE nedir?

Nizam-ı Alem · Çarşamba saat 21:43'de

SASE, ağ bağlantısını ve kapsamlı güvenlik işlevlerini tek bir birleşik hizmet platformunda birleştiren bulut tabanlı bir mimaridir.

SASE'nin benimsenmesinin temel faydaları, karmaşıklığı ve maliyeti önemli ölçüde azaltırken uzaktan çalışanlar için siber riski en aza indiren Sıfır Güven (Zero Trust) temelinden kaynaklanmaktadır.
SASE tedarikçilerini değerlendirmek, birleşik tek tedarikçi modeli veya birden fazla çift tedarikçi bileşenini entegre etme arasında seçim yapmayı içerir; bu da yönetim ve politika tutarlılığını etkiler.

Güvenli erişim hizmeti kenarı (SASE) nedir?

Güvenli erişim hizmeti kenarı (SASE), ağ bağlantısını ağ güvenliği işlevleriyle tek bir bulut tabanlı platformda birleştiren bir mimari modeldir. Geleneksel kurumsal ağ oluşturmanın aksine, modern SASE yaklaşımı, ağ kontrollerini kurumsal veri merkezi yerine bulut kenarına yerleştirir. Bu, işletmelerin herhangi bir kullanıcıdan herhangi bir uygulamaya - konumdan bağımsız olarak - daha basit, güvenli ve tutarlı erişim sağlamasına olanak tanır.

Başka bir deyişle, SASE, kuruluşlara daha önce birbirinden ayrı olan altyapıyı - ağ oluşturma ve erişim kontrolü - birlikte yönetmenin kolaylaştırılmış bir yolunu sunar.

SASE platformları, en az ayrıcalık ilkesini kullanan çoklu Sıfır Güven güvenlik hizmetleriyle ağ bağlantısını birleştirir. Sıfır Güven ile, başarılı bir şekilde kimlik doğrulaması yapan kullanıcılar yalnızca rollerine gerekli kaynaklara ve uygulamalara erişebilir.

SASE, internet üzerinden çalışan bulut hizmetlerine dayalı birleşik bir kurumsal ağ oluşturur. Bu, kuruluşların birçok mimari katmanı ve birbirinden farklı nokta çözümlerini yönetmekten uzaklaşmasını sağlar.

SASE neden önemlidir?

SASE mimarisi, modern kuruluşların iş gücünü bağlama ve koruma konusunda geleneksel BT güvenliğinden daha etkili olduğu için önemlidir.

'Eski dünya' modelinde (yani, "kale ve hendek" güvenlik mimarisinde), bir kuruluşun BT altyapısı oldukça homojendir ve bir güvenlik duvarı ile korunmaktadır. Ağ kaynaklarına erişmek için, ofiste olmayan çalışanlar (veya yükleniciler ve diğer üçüncü taraflar) sanal özel ağ (VPN) ve güvenlik duvarı aracılığıyla ağa bağlanır veya genel bir IP adresi üzerinden başka bir ağ yolu kullanır. Ardından, ağ "çevresi" içindeki herkes, o ağ içindeki uygulamalara ve verilere de erişebilir.

Ancak, daha fazla uygulama ve veri artık bulutta bulunduğundan, bu yaklaşımla ağ güvenliğini yönetmek daha riskli ve karmaşık hale gelmiştir. Örneğin, geleneksel güvenlik aşağıdaki trendlere ayak uydurmakta zorlanmaktadır:

Daha fazla mobil iş gücü: Birçok kuruluş uzaktan ve hibrit çalışmayı benimsemiş ve yönetilmeyen (şirket kontrolünde olmayan) cihazların kullanımını desteklemektedir. Bu nedenle, daha fazla insan ve işleri için ihtiyaç duydukları uygulamalar, deyim yerindeyse, "hendek"in dışında yer alıyor.

Hızlandırılmış bulut benimseme: Kuruluşlar, daha fazla uygulamayı, veriyi ve altyapıyı şirket içi veri merkezlerinden genel veya özel bulut ortamlarına taşıdı. Üretken yapay zeka ve diğer dijital dönüşüm girişimleri de bulut dağıtımlarını artırdı.

Artan saldırı yüzeyleri: Dijital sistemlerin hepsinde saldırganların giriş noktası olarak kullanabileceği alanlar vardır. Daha fazla giriş noktası, istismar edilebilecek daha fazla potansiyel saldırı vektörü anlamına gelir; bu da yatay hareket riskini artırmıştır.

Operasyonel karmaşıklık: Hibrit çalışma ve uygulamaların öncelikle bulut üzerinden dağıtılmasıyla birlikte, ağ gereksinimleri değişti. Bu, yönetimsel karmaşıklığa ve güvenlik kontrollerinin nasıl uygulandığı konusunda tutarsızlığa yol açtı.

Daha yüksek ağ ile ilgili maliyetler: Geleneksel ağlarda, her bölgeyi desteklemek için daha fazla ekipman (güvenlik duvarları, yönlendiriciler ve anahtarlar gibi) sağlanmalı ve satın alınmalıdır. Daha fazla ekipmana ihtiyaç duyulması, abonelik ve bant genişliği maliyetlerini de artırabilir.

Veri gizliliği ve uyumluluk düzenlemeleri: Kuruluşların en son veri gizliliği ve uyumluluk standartlarına, sertifikalarına ve düzenleyici gerekliliklerine uyması zor olabilir. Veri koruma yasaları ülkeler ve hatta sektörler arasında büyük farklılıklar göstermekte ve GenAI'nin yaygınlaşmasıyla birlikte gelişmeye devam etmektedir.

SASE, bu tür zorlukların üstesinden gelmek için daha uygundur. SASE, iş gücü, iş yeri ve iş yükleri için güvenli, hızlı ve güvenilir bağlantı sağlar. Kuruluşlar, kendi modern ağlarını kurmak ve işletmek yerine, güvenlik ve bağlantı yönetimini basitleştirmek için küresel olarak dağıtılmış bulut tabanlı hizmetlere güvenebilirler.

SASE'nin En Önemli 5 Faydası
SASE mimarisi aracılığıyla güvenlik ve ağ yeteneklerini bir hizmet olarak birleştirmek, aşağıdakiler de dahil olmak üzere çeşitli faydalar sağlar:

Siber riskin azaltılması: SASE, sıfır güven güvenlik modeline büyük ölçüde dayanır; bu model, bir varlığın kimliği doğrulanana kadar -ağ sınırları içinde olsalar bile- uygulamalara ve verilere erişim izni vermez. Sıfır güven güvenliği, yalnızca bir varlığın kimliğini değil, coğrafi konum, cihaz duruşu, kurumsal güvenlik standartları ve ek bağlamsal sinyallere dayalı sürekli risk/güven değerlendirmesini de dikkate alır. Kullanıcılar yalnızca açıkça izin verilen kaynaklara erişir. Bu, tehditlerin tüm ağa yayılmasını önler ve yatay hareket riskini azaltır.

Maliyetlerin azaltılması: Ağ güvenlik duvarları ve güvenli web ağ geçidi (SWG) kutuları gibi güvenlik donanımları, etiket fiyatının ötesinde maliyetlere neden olur. Kurulum, garantiler, onarımlar ve yama yönetimi, ek harcamalar ve BT kaynakları gerektirir. Ağ güvenliğini buluta taşıyarak bu maliyetleri ortadan kaldırmak, toplam sahip olma maliyetini azaltmaya yardımcı olur.

Azaltılmış karmaşıklık: SASE, birden fazla, birbirinden bağımsız ağ ve güvenlik aracına olan ihtiyacı ortadan kaldırarak BT operasyonlarını basitleştirir. Tek bir arayüzden konumlar, kişiler, cihazlar ve uygulamalar genelinde merkezi politika uygulama ve izleme ile yönetimi kolaylaştırır. Örneğin, bir SASE mimarisi, kuruluşların çeşitli düzenlemeleri karşılamak için ihtiyaç duydukları güvenlik ayarlarını daha verimli bir şekilde yapılandırmalarına yardımcı olmak için görünürlük ve otomasyon araçları sağlayarak uyumluluğu basitleştirmeye yardımcı olabilir.

Tutarlı veri koruması: Bir SASE platformu, veri koruma politikalarının tutarlı bir şekilde uygulanmasını sağlayan birleşik bir şekilde web, SaaS ve özel uygulamalar genelinde veri görünürlüğünü ve kontrollerini birleştirir. Örneğin, hassas verilere erişimi koruyan, veri sızıntılarını önleyen, bulut uygulaması risklerini yöneten ve web taramasını güvenli hale getiren SASE hizmetleri, kuruluşların düzenleyici gereksinimleri karşılamasına yardımcı olur. SASE ayrıca merkezi günlük kaydı, şifreleme, gerçek zamanlı tehdit azaltma ve daha fazlasını destekleyerek güvenliği güçlendirir ve uyumluluğu basitleştirir.

Geliştirilmiş kullanıcı deneyimi: Daha güvenilir internet bağlantısı verimliliği artırır. SASE ile ağ yönlendirme optimizasyonları, trafiği kullanıcıya mümkün olduğunca yakın işleyerek performansı artırır ve gecikmeyi azaltır. Ayrıca SASE, BT ekiplerinin daha fazla iş akışını otomatikleştirmesine ve erişimle ilgili taleplere yanıt vermek için daha az zaman harcamasına yardımcı olur.

SASE'nin Tipik Teknoloji Bileşenleri
Bir SASE platformu tipik olarak şu temel teknoloji bileşenlerini içerir:

Sıfır Güven yaklaşımını güvenli erişime mümkün kılan ana teknoloji, Sıfır Güven Ağ Erişimi (ZTNA)'dır. ZTNA, kimlik ve cihaz durumu gibi ayrıntılı bağlamları kaynak bazında sürekli olarak kontrol ederek, herhangi bir kullanıcı ve uygulama arasında, herhangi bir cihazda, herhangi bir konumda basit ve güvenli erişim sağlar.
Güvenli bir web ağ geçidi (SWG), istenmeyen web trafiği içeriğini filtreleyerek ve çevrimiçi riskli veya yetkisiz davranışları engelleyerek tehditleri önler ve verileri korur. SWG'ler, web trafiğini her yerden filtreleyebilir, bu da onları hibrit iş gücü için ideal hale getirir.

Bulut ve SaaS uygulamalarının kullanımı, verilerin gizli ve güvenli kalmasını sağlamayı zorlaştırır. Bulut erişim güvenlik aracısı (CASB) bu zorluğa bir çözümdür: bir CASB, bir kuruluşun bulutta barındırılan hizmetleri ve uygulamaları üzerinde veri güvenliği kontrolleri (ve görünürlük) sağlar. Ayrıca, verilerin izinsiz olarak çalınmasını veya yok edilmesini önlemek için, veri kaybı önleme (DLP) teknolojileri, web, SaaS ve özel uygulamalarda hassas verilerin varlığını tespit eder. SWG ile birlikte kullanıldığında, DLP çözümleri iletim halindeki verileri (örneğin yüklenen veya indirilen dosyalar, sohbet mesajları, form doldurmaları) tarayabilir. CASB ile birlikte kullanıldığında ise DLP çözümleri bekleme halindeki verileri tarayabilir.

SASE mimarisinde, kuruluşlar geniş mesafeler boyunca operasyonları (örneğin ofisler, perakende mağazaları, veri merkezleri) bağlamak ve ölçeklendirmek için yazılım tanımlı geniş alan ağı (SD-WAN) veya Hizmet Olarak Geniş Alan Ağı (WANaaS) kullanırlar. SD-WAN ve WANaaS farklı yaklaşımlar kullanır:

SD-WAN teknolojisi, geleneksel WAN mimarilerinin bazı sınırlamalarının üstesinden gelmek, operasyonları ve trafik yönlendirme kararlarını basitleştirmek için kurumsal sitelerde yazılım ve merkezi bir denetleyici kullanır.

WANaaS, fiziksel konumlarda minimum gerekli donanımı dağıtan ve en yakın "hizmet kenarı" konumuna ulaşmak için düşük maliyetli İnternet bağlantısı kullanan "hafif şube, ağır bulut" yaklaşımını benimseyerek SD-WAN'ın avantajlarından yararlanır. Bu, toplam maliyetleri düşürebilir, daha entegre güvenlik sunabilir, orta mesafe performansını iyileştirebilir ve bulut altyapısına daha iyi hizmet verebilir.

Yeni nesil güvenlik duvarı (NGFW), geleneksel bir güvenlik duvarından daha derin bir seviyede veriyi inceler. NGFW'ler, uygulama farkındalığı ve kontrolü, izinsiz giriş önleme ve tehdit istihbaratı sunabilir; bu da normal görünen trafikte gizlenmiş olabilecek tehditleri belirlemelerine ve engellemelerine olanak tanır. Bulutta konuşlandırılabilen NGFW'lere bulut güvenlik duvarları veya hizmet olarak güvenlik duvarı (FWaaS) denir.

Uzaktan tarayıcı izolasyonu (RBI), hiçbir web sitesi kodunun varsayılan olarak çalışmasına güvenilmemesi gerektiğini varsayarak Sıfır Güven ilkesini web taramasına uygular. RBI, web sayfalarını yükler ve ilgili tüm kodları bulutta, kullanıcıların yerel cihazlarından uzakta yürütür. Bu ayrım, kötü amaçlı yazılım indirmelerini önlemeye, sıfır gün tarayıcı güvenlik açıklarının riskini en aza indirmeye ve diğer tarayıcı kaynaklı tehditlere karşı savunmaya yardımcı olur. RBI ayrıca, yönetilmeyen cihaz erişimini güvence altına almak için yararlı olan tarayıcı tabanlı kaynaklara veri koruma kontrolleri uygulayabilir.

Tüm hizmetler arasında entegre olan merkezi yönetim, yöneticilerin daha sonra tüm bağlı hizmetlere uygulanan politikalar tanımlamasına olanak tanır.
Satıcının yeteneklerine bağlı olarak, SASE platformları ayrıca şunları da içerebilir:

Bulut e-posta güvenliği
Uygulama katmanı güvenliği
DNS güvenliği
Sürekli uyarlanabilir risk puanlaması
Dijital deneyim izleme (DEM)
İçerik dağıtım ağı (CDN)
Diğer gelişmiş ağ işlevleri
Aşağıdaki diyagram, bir SASE platformunun tüm bu işlevleri nasıl bir araya getirerek tüm özel uygulamalara, hizmetlere ve ağlara güvenli bağlantı sağlayabileceğini ve ayrıca çalışanların internet erişiminin güvenliğini nasıl sağlayabileceğini göstermektedir.

SASE kullanım örnekleri
SASE uygulaması genellikle aşamalıdır (aylar hatta yıllar sürebilir). Uygulama planları büyük ölçüde değişir ve aşağıdaki gibi benzersiz faktörlere bağlıdır:

Bir kuruluşun kısa ve uzun vadeli büyüme stratejisi
Hangi roller ve uygulamalar siber saldırılara karşı daha büyük risk altındadır
Bireysel ekiplerin esnekliği ve değişime açıklığı
Geçişin potansiyel hızı, karmaşıklığı ve maliyetleri
Her kuruluşun durumu farklı olduğundan, SASE dağıtımına "tek beden herkese uyar" yaklaşımı yoktur. Ancak, SASE'yi etkinleştirmenin kullanım durumları genellikle şu beş BT önceliğinin altında yer alır:

1. Sıfır Güvenin Benimsenmesi
Sıfır Güven ilkelerinin (daha geniş SASE yolculuğunun bir ilkesi olarak) uygulanması, Sıfır Güven Ağ Erişimi ile başlayarak, aşağıdaki gibi kullanım durumlarını mümkün kılar:

Riskli VPN'lerin ve diğer geleneksel donanım tabanlı güvenlik çözümlerinin yerini alma
Üçüncü taraf ve BYOD erişimini basitleştirme
Fidye yazılımı saldırılarını azaltma
SaaS uygulamaları ve bulut depolama genelinde veri maruziyetini sınırlama
2. Saldırı yüzeyini koruma
Bir SASE mimarisi, hem ağ içi hem de ağ dışı tehditlere karşı tutarlı görünürlük ve koruma ile "her yerden çalışma" yaklaşımını destekler. Örnek kullanım durumları şunlardır:

E-posta, sosyal medya, iş birliği uygulamaları ve diğer kanallarda kimlik avını durdurma
Uzaktan çalışanlar için bağlantıyı güvence altına alma
Herhangi bir bulut veya İnternet hedefine giden trafiği koruma ve optimize etme
Geniş alan ağlarını (WAN'lar) güvence altına alma
3. Ağı modernize etme
Kuruluşlar, eski kurumsal ağları sürdürmek yerine, dağıtılmış ve bulut tabanlı SASE hizmetlerinden yararlanabilirler. Bu, aşağıdaki gibi kullanım durumlarını mümkün kılar:

MPLS ve geleneksel SD-WAN'a kıyasla şube bağlantısını basitleştirme
DMZ güvenliğini buluta taşıma
Yerel alan ağında (LAN) artan güveni ortadan kaldırma
Birleşme ve devralmalar (M&A) için BT riskini azaltma ve bağlantıyı hızlandırma
4. Verileri koruma
Hassas veriler, izinsiz olarak kullanılan üretken yapay zeka ve gölge BT yoluyla açığa çıkabilir ve bu da düzeltilmesi maliyetli olabilecek ihlallere veya güvenlik açıklarına yol açabilir. Bununla birlikte, bir SASE mimarisi aşağıdaki gibi kullanım durumlarını mümkün kılar:

Veri güvenliği düzenlemelerine uyumu basitleştirme
Gölge BT'yi yönetme
Üretken yapay zeka kullanımını koruma
Hassas verileri tespit etme ve kontrol etme
5. Uygulamaları modernize etme
Uygulamaların son kullanıcılar için güvenli, dayanıklı ve yüksek performanslı olması gerekir; veri yönetişimi gereksinimlerini karşılarken veri artışını yönetebilecek ölçeklenebilirliğe sahip olmalıdır. Bir SASE mimarisi, uygulama modernizasyon sürecinin çeşitli aşamalarını basitleştirmeye ve güvence altına almaya yardımcı olabilir; Örneğin:

Kritik altyapıya ayrıcalıklı (geliştirici/BT) erişimi korumak
Geliştirici kodunun sızmasını ve çalınmasını önlemek
DevOps iş akışlarını güvence altına almak
Buluta geçiş yapan uygulamaları güvence altına almak

SASE ve diğer ağ yaklaşımları
SASE ve geleneksel ağ oluşturma
Geleneksel bir ağ modelinde, veriler ve uygulamalar bir ana veri merkezinde bulunur. Kullanıcılar, şube ofisleri ve uygulamalar, yerelleştirilmiş özel bir ağdan veya ikincil bir ağdan (genellikle güvenli bir kiralık hat veya VPN aracılığıyla birincil ağa bağlanır) veri merkezine bağlanır. Bir kuruluş SaaS uygulamalarını ve verilerini bulutta barındırıyorsa, bu süreç riskli ve verimsiz olabilir.

Geleneksel ağ oluşturmanın aksine, SASE ağ kontrollerini kurumsal veri merkezine değil, bulutun kenarına yerleştirir. Ayrı yapılandırma ve yönetim gerektiren hizmetleri katmanlamak yerine, SASE ağ ve güvenlik hizmetlerini tek bir kontrol düzlemi kullanarak birleştirir. Kenar ağında kimlik tabanlı, Sıfır Güven güvenlik politikaları uygulayarak, SASE kuruluşların ağ erişimini herhangi bir uzak kullanıcıya, şube ofisine, cihaza veya uygulamaya genişletmesine olanak tanır.

SASE ve MPLS
Çok protokollü etiket anahtarlama (MPLS), ağ paketlerini önceden belirlenmiş ağ yolları boyunca gönderir. İdeal olarak, MPLS ile sonuç, paketlerin her seferinde aynı yolu izlemesidir. Bu, MPLS'nin genellikle güvenilir ancak esnek olmayan bir çözüm olarak kabul edilmesinin nedenlerinden biridir. Örneğin, MPLS'de güvenlik kontrolleri merkezi "çıkış" noktaları üzerinden uygulanır; tüm giden ve gelen trafik merkez ofis üzerinden yönlendirilir. Bu, güvenlik fonksiyonlarına ulaşmak için trafiğin geri taşınmasını gerektirir.

SASE ise MPLS'nin özel ağ yolları yerine düşük maliyetli internet bağlantısı kullanır. Bu, daha düşük maliyetlerle ağ verimliliği arayan kuruluşlar için uygundur. Bir SASE platformu, esnek ve uygulama odaklı akıllı yönlendirme, entegre güvenlik ve ayrıntılı ağ görünürlüğü sağlar.

SASE ve SSE Karşılaştırması
SASE, kullanıcının güvenli erişimini ağ mimarisinin bir parçası olarak içerir. Ancak, tüm kuruluşlar BT, ağ güvenliği ve ağ ekipleri arasında zaten tutarlı bir yaklaşıma sahip değildir. Bu kuruluşlar, iç kullanıcıların web'e, bulut hizmetlerine ve özel uygulamalara erişimini güvence altına almaya odaklanan SASE işlevselliğinin bir alt kümesi olan güvenlik hizmeti kenarını (SSE) önceliklendirebilir.

SSE, tam bir SASE dağıtımına giden yaygın bir basamaktır. Belki de aşırı basitleştirme olsa da, bazı kuruluşlar SASE'yi "SSE artı SD-WAN" olarak düşünebilir.

Tek Tedarikçili SASE vs. Çift Tedarikçili SASE
SASE'de, çift tedarikçili yaklaşım, ZTNA, SWG, CASB, SD-WAN/WANaaS ve FWaaS için iki veya daha fazla sağlayıcıya sahip olmak anlamına gelir - genellikle biri güvenlik, diğeri ağ iletişimi için. Bu, kuruluşların teknoloji yığınlarını özelleştirmelerine ve her bir tedarikçinin güçlü yönlerinden yararlanmalarına olanak tanır. Ayrıca, kuruluşların farklı hizmetleri düzenlemek ve entegre etmek için zamana ve iç kaynaklara sahip olmaları gerektiği anlamına gelir.

Kuruluşlar bunun yerine tek tedarikçili SASE'yi (SV-SASE) de tercih edebilirler. Bu, farklı güvenlik ve ağ teknolojilerini tek bir bulut tabanlı platformda birleştirir. SV-SASE, nokta ürünlerini birleştirmek, toplam sahip olma maliyetini (TCO) düşürmek ve daha az çabayla tutarlı politika uygulaması sağlamak isteyen kuruluşlar için idealdir.

Her iki yaklaşımda da, bir SASE platformu, ağ girişleri, kimlik yönetimi, uç nokta güvenliği, günlük depolama ve diğer ağ güvenliği bileşenleri için mevcut araçları destekleyebilmeli veya bunlarla entegre olabilmelidir.