Usługa Security Service Edge (SSE), znana również jako bezpieczeństwo SSE lub edge security, może wzmocnić cyberbezpieczeństwo startupów poprzez wzmocnienie ich obrony przed zagrożeniami cybernetycznymi, oferując kluczowe usługi, które opierają się na modelu Zero Trust. SSE to zestaw komponentów, które stanowią aspekt bezpieczeństwa usługi Secure Access Service Edge (SASE), wymawianej jako „sassy”, modelu architektury chmurowej, który łączy funkcje sieciowe i bezpieczeństwa-as-a-service, dostarczając je jako jednolitą usługę chmurową. SASE to połączenie usług sieciowych i bezpieczeństwa na dedykowanej platformie chmurowej. Głównym celem SSE, czyli edge security, jest po prostu to, co sugeruje jego akronim lub nazwa – bezpieczeństwo.

Model bezpieczeństwa Zero Trust

Bezpieczeństwo SSE opiera się na modelu bezpieczeństwa Zero Trust, który stosuje zasadę: „Nigdy nie ufaj, zawsze weryfikuj” i może wzmocnić cyberbezpieczeństwo startupów dzięki swojemu podejściu obronnemu. Zgodnie z danymi Narodowej Agencji Bezpieczeństwa USA (NSA), model bezpieczeństwa Zero Trust zakłada, że naruszenie bezpieczeństwa jest nieuniknione lub już miało miejsce. W związku z tym, model ten stale ogranicza dostęp tylko do tego, co jest niezbędne, i poszukuje anomalii lub złośliwej aktywności.

Model Zero Trust oferuje większe bezpieczeństwo i ochronę niż stary standard modelu bezpieczeństwa „zamek i fosa”, który kiedyś uważano za bezpieczny model, w którym nikt spoza sieci nie mógł uzyskać dostępu do danych wewnątrz, ale każdy wewnątrz sieci mógł. To przekonanie zostało obalone po odkryciu, że model „zamek i fosa” ma wbudowane luki bezpieczeństwa, które mogą pozwolić atakującym i insiderom wykorzystać je do uzyskania dostępu do danych w złych intencjach. Zero Trust jest teraz zaufanym wyborem dla przedsiębiorstw, rządów oraz cyberbezpieczeństwa dla startupów.

Cele bezpieczeństwa SSE

Bezpieczeństwo SSE dla startupów pozwala na egzekwowanie szczegółowych kontroli dostępu i polityk dla pracowników, aby pomóc w łagodzeniu ryzyka, gdy mają oni dostęp do treści, które mogą być szkodliwe zarówno w sieci, jak i poza nią. SSE skutecznie wykrywa i łagodzi zagrożenia cybernetyczne w Internecie, w sieci i usługach chmurowych, oferując szereg możliwości. Te możliwości mogą obejmować zaawansowaną prewencję zagrożeń, Firewall-as-a-Service (FWaaS), wykrywanie złośliwego oprogramowania oraz izolację przeglądarki zdalnej. Kolejnym przypadkiem użycia jest łączenie i zabezpieczanie pracowników zdalnych, co będzie rosło, ponieważ nowoczesna siła robocza coraz częściej przyjmuje politykę pracy zdalnej (WFH). Bezpieczeństwo SSE pozwala również na znajdowanie i kontrolowanie wrażliwych danych bez względu na to, gdzie się znajdują.

Co najważniejsze, bezpieczeństwo SSE zapewnia cyberbezpieczeństwo dla startupów, chroniąc je przed następującymi typowymi zagrożeniami:

Typowe zagrożenia, przed którymi chroni SSE:

• Złośliwe oprogramowanie
• Ataki DDoS
• Boty
• Phishing
• Inne

Anatomia Security Service Edge (SSE)

SSE to zestaw komponentów oferujących kilka możliwości, składający się z trzech podstawowych usług: bezpiecznej bramy internetowej (SWG), brokera zabezpieczeń dostępu do chmury (CASB) oraz dostępu do sieci Zero Trust (ZTNA).

Trzy podstawowe usługi bezpieczeństwa SSE to:

• Bezpieczna brama internetowa (SWG)
• Broker zabezpieczeń dostępu do chmury (CASB)
• Dostęp do sieci Zero Trust (ZTNA)

Inne komponenty to Firewall-as-a-Service (FWaaS), izolacja przeglądarki zdalnej (RBI) oraz ochrona przed utratą danych (DLP), które mogą należeć do bezpiecznej bramy internetowej.

Bezpieczna brama internetowa (SWG)

SWG to produkt, który znajduje się pomiędzy użytkownikami końcowymi (zdalnymi lub biurowymi) a internetem, egzekwuje szczegółowe zasady użytkowania oraz blokuje dostęp do lub złośliwe strony internetowe i linki w celu ochrony przed zagrożeniami i wyciekami danych. Działa jako „brama bezpieczeństwa” filtrując niebezpieczne treści internetowe i ruch sieciowy na poziomie aplikacji, aby powstrzymać zagrożenia cybernetyczne i łagodzić wycieki danych. SWG nie należy mylić z serwerem proxy, który filtruje, które połączenia są dozwolone, podczas gdy brama nie wykonuje żadnego filtrowania. Jednak SWG wykorzystuje proxy do egzekwowania blokowania kategorii stron internetowych oraz realizacji funkcji antywirusowych.

SWG mogą zawierać następujące technologie:

• Filtrowanie URL
• Wykrywanie i blokowanie złośliwego oprogramowania/antywirusów
• Izolacja zdalnej przeglądarki (RBI)
• Kontrola aplikacji
• Zapobieganie utracie danych (DLP)
• Filtrowanie treści

Konfigurowanie SWG dla filtrowania URL

Poniżej przedstawiono krótki przykład konfiguracji bezpiecznej bramy internetowej w celu zarządzania politykami filtrowania URL przy użyciu produktu Comodo Secure Web Gateway.

Jak skonfigurować polityki filtrowania URL za pomocą Comodo Secure Web Gateway:

1. Kliknij „Konfiguracja” > „Polityka treści internetowych” > „Filtrowanie URL”.

2. Wprowadź pełne lub częściowe parametry wyszukiwania w polu „Wyszukiwanie”, aby wykonać jedną z poniższych czynności:

• Utwórz nową politykę URL
• Edytuj politykę URL
• Usuń politykę URL

3. Kliknij „Nowa polityka URL” w prawym górnym rogu.

4. Utwórz etykietę dla profilu filtrowania URL (Nazwa polityki).

5. Dodaj pomocne komentarze dotyczące profilu (Uwagi).

6. Kliknij „Dalej” lub „Profil”, aby określić kategorie, które mają być blokowane lub dozwolone.

7. Możesz wybrać wiele kategorii (lub „Zaznacz wszystkie” dla wszystkich z nich), aby zablokować je jednocześnie. Przejrzyj i odznacz kategorie, które chcesz dopuścić.

8. Kliknij poza rozwijanym menu, aby dodać wybrane kategorie.

Izolacja przeglądarki zdalnej (RBI)

Izolacja przeglądarki zdalnej (RBI), znana również jako izolacja przeglądarki w skrócie, jest jednym z komponentów bezpiecznej bramy internetowej, która umożliwia bezpieczne przeglądanie internetu. Robi to poprzez fizyczne izolowanie lokalnego urządzenia od ryzyk i zagrożeń cybernetycznych w Internecie podczas przeglądania sieci, tak aby złośliwe oprogramowanie nie mogło wpłynąć na lokalne urządzenie końcowe. Inne funkcje mogą obejmować, między innymi, filtrowanie URL oraz różne mechanizmy izolacji (np. renderowanie, sesja, proces i połączenie). Izolacja przeglądarki w chmurze, która wykorzystuje rozproszoną, konteneryzowaną architekturę, wymaga mniej infrastruktury serwerowej niż wirtualizacja, co sprawia, że jest skalowalna i opłacalna.

Kilka produktów platform do izolacji przeglądarki oferuje płynne instalowanie na dowolnym serwerze chmurowym, wirtualnym lub fizycznym, umożliwiając użytkownikom łączenie się z internetem za pomocą dowolnej przeglądarki, na przykład Google Chrome, Microsoft Edge lub Firefox, pozwalając użytkownikom na rozpoczęcie przeglądania internetu w bezpieczny sposób. Może istnieć możliwość skonfigurowania lokalnej przeglądarki tak, aby cały ruch przechodził przez platformę izolacji przeglądarki, co zapewnia natywne doświadczenie.

Pięć czołowych platform do izolacji przeglądarki:

1. Menlo Security
2. WEBGAP
3. Cloudflare
4. Broadcom (poprzednio Symantec)
5. ZScaler

Cloud Access Security Broker (CASB)

CASB (Cloud Access Security Broker) to pośrednik między użytkownikami, urządzeniami a dostawcami chmurowymi, który egzekwuje polityki bezpieczeństwa. Jest to firma, która pomaga chronić usługi hostowane w chmurze osób trzecich. Istnieje wiele technologii, które mieszczą się w ramach CASB i mogą być łączone w jednym pakiecie. CASB stanowi część SSE i zapewnia bezpieczeństwo dla korporacyjnych usług typu Software-as-a-Service (SaaS), Infrastructure-as-a-Service (IaaS) oraz Platform-as-a-Service (PaaS), chroniąc je przed zagrożeniami cybernetycznymi oraz naruszeniami danych.

Główne technologie CASB obejmują, ale nie ograniczają się do:

• Odkrywanie Shadow IT
• Kontrola dostępu
• Zapobieganie utracie danych (DLP)

Odkrywanie Shadow IT

Shadow IT odnosi się do nieautoryzowanego użycia oprogramowania, sprzętu lub innych systemów i usług. Może się ono zdarzyć w startupie lub przedsiębiorstwie, bez wiedzy działu IT. Dwa przykłady Shadow IT to: 1) Używanie niezatwierdzonego narzędzia do uzyskiwania dostępu, przechowywania lub udostępniania danych firmowych, 2) Uzyskiwanie dostępu do zatwierdzonego narzędzia bez autoryzacji.

Ryzyka związane z Shadow IT:

• Wrażliwe dane mogą zostać skompromitowane lub skradzione
• Organizacje mogą nieświadomie naruszyć przepisy dotyczące zgodności danych (np. przepisy RODO)

Kontrola dostępu

Kontrola dostępu odnosi się do zbioru polityk ograniczających dostęp do informacji, narzędzi i lokalizacji fizycznych. Uwierzytelnianie i autoryzacja są integralnymi elementami kontroli dostępu do informacji, w której oprogramowanie jest wykorzystywane do uwierzytelniania i przyznawania autoryzacji użytkownikom, którzy muszą uzyskać dostęp do informacji cyfrowych.

Przykłady fizycznej kontroli dostępu:

• Ochroniarze w barze
• Bramki w metrze
• Agenci celni na lotniskach

Przykłady kontroli dostępu do informacji:

• Logowanie do laptopa za pomocą hasła
• Odblokowywanie smartfona za pomocą skanu odcisku palca
• Zdalny dostęp do wewnętrznej sieci swojego szefa za pomocą VPN

Zapobieganie utracie danych (DLP)

Zapobieganie utracie danych (DLP) zapewnia, że użytkownicy nie wysyłają wrażliwych ani krytycznych informacji poza sieć firmową lub startupu. DLP odnosi się do produktów oprogramowania, które pomagają administratorowi kontrolować dane, które użytkownicy mogą transferować. Startupy mogą przyjąć tę technologię w celu zapobiegania zagrożeniom wewnętrznym oraz w celu spełniania przepisów o ochronie danych (np. RODO), które mają surowe wymagania dotyczące ochrony danych i dostępu.

Cztery filary Cloud Access Security Brokers (CASB)

Cztery filary określone przez Gartnera to podstawowe elementy każdego rozwiązania CASB. Wszystkie filary są niezbędne, aby CASB były skuteczne i udane. Cztery filary to:

• Widoczność: CASB pomagają odkrywać „Shadow IT”, które nie zostało udokumentowane i może wprowadzać nieznane zagrożenia bezpieczeństwa.
• Bezpieczeństwo danych: CASB zapobiegają wyciekowi poufnych danych z systemów kontrolowanych przez firmę, stosując kontrolę dostępu i zapobieganie utracie danych (DLP).
• Ochrona przed zagrożeniami: CASB blokują zewnętrzne zagrożenia i ataki oraz zapobiegają wyciekom danych, oferując takie funkcje jak: wykrywanie złośliwego oprogramowania, filtrowanie URL, piaskownice (sandboxing) lub nawet inspekcję pakietów.
• Zgodność: Firmom działającym w chmurze może być trudno spełniać rygorystyczne przepisy regulacyjne, takie jak RODO, SOC 2 lub HIPAA. Branże i regiony, które nie spełniają tych wymagań, mogą zostać ukarane grzywnami. CASB mogą pomóc startupom i przedsiębiorstwom wdrożyć kontrolki bezpieczeństwa, które spełniają standardy regulacyjne i wymagania dotyczące zgodności.

Zero Trust Network Access (ZTNA)

ZTNA, znane również jako oprogramowanie zdefiniowane perymetrem (SDP), to technologia, która implementuje model bezpieczeństwa Zero Trust i umożliwia bezpieczny dostęp do aplikacji wewnętrznych dla użytkowników zdalnych. ZTNA zapewnia zdalnym użytkownikom bezproblemową, bezpieczną łączność z aplikacjami prywatnymi, nigdy ich nie wprowadzając do sieci ani nie narażając aplikacji na dostęp z internetu.

ZTNA różni się od wirtualnych sieci prywatnych (VPN) poprzez udzielanie dostępu tylko do konkretnych usług lub aplikacji, w przeciwieństwie do VPN, które udzielają dostępu do całej sieci. Kiedy pracownik startupu korzysta z ZTNA, ma dostęp tylko do określonych aplikacji lub zasobów w firmie lub startupie, ale tylko po uwierzytelnieniu przez usługę ZTNA.

Po uwierzytelnieniu, ZTNA udziela użytkownikowi dostępu do określonej aplikacji, używając bezpiecznego, zaszyfrowanego tunelu, który zapewnia dodatkową warstwę ochrony, ukrywając aplikacje i usługi przed adresami IP, które normalnie byłyby widoczne.

VPNs vs. ZTNA

VPN-y kiedyś dobrze działały dla pracowników, którzy potrzebowali pracy zdalnej na krótkie okresy. Jednak po masowej adopcji polityki pracy zdalnej po COVID-19, VPN-y straciły na popularności z powodu braku skalowalności, wymagań dotyczących konserwacji i wysokich kosztów.

Innym problemem VPN-ów jest powierzchnia ataku, którą tworzą. Na przykład, atakujący, który posiada odpowiednie dane uwierzytelniające SSO pracownika, może zalogować się do VPN i poruszać się lateralnie w sieci firmy, uzyskując dostęp do zasobów i danych firmy, które VPN miał chronić. Ta podatność stanowi zagrożenie dla bezpieczeństwa.

ZTNA, z drugiej strony, zapewnia dostęp użytkownikowi, takim jak pracownik, udzielając dostępu na zasadzie najmniejszych uprawnień. Zamiast ufać na podstawie prawidłowych danych uwierzytelniających, Zero Trust uwierzytelnia tylko w odpowiednich okolicznościach, gdy szczegóły użytkownika, tożsamości, urządzenia i lokalizacji są zgodne.

Dodatkowo, ZTNA zapewnia precyzyjny dostęp zamiast dostępu do całej sieci. Użytkownicy są łączeni bezpośrednio i bezpiecznie z aplikacjami oraz danymi, które potrzebują, co zapobiega możliwości ruchu lateralnego ze strony złośliwych użytkowników. Ponadto, ponieważ połączenia użytkowników są bezpośrednie, doświadczenie korzystania z ZTNA jest znacznie lepsze.

Firewall jako usługa w chmurze (FWaaS)

Rozwiązanie zapory sieciowej, takie jak FWaaS, dostarczane jako usługa chmurowa, zapewnia funkcjonalności zapory nowej generacji (NGFW), takie jak zaawansowana ochrona przed zagrożeniami, filtrowanie stron internetowych, system zapobiegania włamaniom (IPS) oraz zabezpieczenia systemu DNS (Domain Name System). Jest to rozwiązanie podobne do zapory sprzętowej instalowanej lokalnie, z tą różnicą, że oferuje przewagę skalowalności, umożliwiając uruchamianie nowych usług dzięki chmurowemu charakterowi. Dodatkowo, FWaaS jest łatwe do wdrożenia, ponieważ wszystkie szczegóły konfiguracji mogą być obsługiwane przez zespół dostawcy FWaaS.

FWaaS oferuje następujące funkcje:

• Monitorowanie sieci
• Filtrowanie pakietów
• Zabezpieczenia protokołu internetowego (IPsec)
• Obsługa wirtualnej sieci prywatnej SSL (SSL VPN)
• Funkcje mapowania protokołów internetowych (IP)
• Głęboką inspekcję pakietów (DPI) w celu identyfikacji złośliwego oprogramowania i powiadamiania zespołów reagujących na zagrożenia o niebezpiecznych nagłówkach, które wydają się niewinne
• Narzędzia uczenia maszynowego dostępne w niektórych rozwiązaniach FWaaS, które pozwalają na identyfikację nowych zagrożeń typu zero-day poprzez analizowanie pakietów danych w celu wykrycia anomalii i potencjalnie niebezpiecznego zachowania

Jedną z kluczowych zalet FWaaS jest to, że pozwala na łatwą migrację postawy bezpieczeństwa każdego przedsiębiorstwa lub startupu do infrastruktury chmurowej. Ponieważ jest to rozwiązanie chmurowe, aktualizacje i dostosowania ustawień odbywają się bez większych trudności, co zwalnia zasoby startupu, czas i energię na projekty i zadania o wyższym priorytecie. Jego skalowalność i elastyczność to kolejne atrakcyjne zalety.

Podsumowanie

Bezpieczeństwo SSE, znane również jako bezpieczeństwo brzegowe, to jedno z najlepszych podejść do zapewnienia cyberbezpieczeństwa dla startupów, ponieważ jest oparte na chmurze, nowoczesne (zrywając z tradycyjnym bezpieczeństwem sieciowym) i opiera się na najbardziej bezpiecznym modelu – modelu Zero Trust. Pozwala na dostarczanie usług bezpieczeństwa w sposób zintegrowany w ramach jednej platformy lub stosu produktów, co zmniejsza ryzyko i poprawia widoczność. Ponieważ stosuje model Zero Trust, włącza dostęp o minimalnych uprawnieniach, zapewniając bezpieczne połączenia między pracownikami (zarówno lokalnymi, jak i zdalnymi) a aplikacjami lub zasobami, blokując ruch lateralny zagrożeń. Aplikacje nie są narażone na bezpośredni kontakt z internetem, co zmniejsza ryzyko i powierzchnię ataku. Jego rozproszona architektura zmniejsza opóźnienia i poprawia wydajność. Wiele usług bezpieczeństwa może być świadczonych na jednej platformie, co zmniejsza koszty i oferuje prostotę dzięki ich integracji. Podsumowując, bezpieczeństwo SSE zapewnia bezpieczny dostęp do usług w chmurze, wykrywa i blokuje zagrożenia, bezpiecznie łączy pracowników i zdalnych użytkowników oraz identyfikuje i chroni dane wrażliwe.

Źródła:

1. https://www.cloudflare.com/learning/access-management/what-is-a-secure-web-gateway/
2. https://www.zscaler.com/resources/security-terms-glossary/what-is-zero-trust-network-access
3. https://www.zscaler.com/resources/security-terms-glossary/what-is-security-service-edge
4. https://www.cloudflare.com/learning/access-management/what-is-a-casb/
5. https://help.comodo.com/topic-436-1-842-10788-.html
6. https://media.defense.gov/2021/Feb/25/2002588479/-1/-1/0/CSI_EMBRACING_ZT_SECURITY_MODEL_UOO115131-21.PDF
7. https://www.gartner.com/en/information-technology/glossary/cloud-access-security-brokers-casbs
8. https://www.fortinet.com/resources/cyberglossary/firewall-as-a-service-fwaas
9. https://webgap.io/learning/the-webgap-approach.html
10. https://www.zscaler.com/resources/security-terms-glossary/what-is-zero-trust-network-access