Toimistolla, asiakaskohteessa, kotona, mökillä… Tietokoneen ääressä työskentelyn pitää olla tietoturvallista paikasta riippumatta. Kyberturvallisuuden vaatimukset kiristyvät jatkuvasti ja organisaatiot miettivät, miten etätyön tietoturvaa voisi vahvistaa.
VPN-yhteydet ovat pitkään olleet oletusratkaisu etäyhteyksien turvaamiseen. Hajautetuissa, pilvipohjaisissa ympäristöissä ne voivat olla riittämätön vaihtoehto tietojen turvaamiseen. Tarvitaan helposti skaalautuvaa tapaa tuoda uudet teknologiat yhteen.
SASE vastaa monien sijaintien tietoturvahaasteisiin
Secure Access Service Edge eli SASE tarkoittaa jatkuvaa palvelua, joka kehitettiin jo vuonna 2019 tietoturvallisen hybridityön järjestämiseksi. Gartnerin määritelmän mukaan SASE yhdistää useat eri verkko- ja tietoturvatoiminnot yhdeksi pilvipohjaiseksi palveluksi.
SASEsta voivat hyötyä myös organisaatiot, joiden maantieteellisesti hajautetut OT- ja IoT-ratkaisut vaativat kovennettua tietoturvaa, ja kuhunkin laitteeseen käsiksi pääsyä on valvottava tarkasti.
Käyttäjälle SASE näkyy ehkä vain uuden agentin ilmestymisenä työpöydän kulmalle. Se tunnistaa, kuka työntekijä on, mistä hän on tulossa ja mitä laitetta käyttää, sallii tai kieltää pääsyn ja valvoo sekä rajoittaa toimintaa laitteella.
Pinnan alla SASE yhdistää monia teknologioita, kuten SD-WAN-verkkoja, suojattuja yhdyskäytäviä (SWG, Secure Web Gateway), pilvipalvelujen tietoturvavalvontaa (CASB, Cloud Access Security Broker), moderneja palomuureja (NGFW, Next-Generation Firewall) sekä Zero Trust -pääsynhallintaa (ZTNA, Zero Trust Network Access).
SASE-arkkitehtuurissa riskin ja luottamuksen arviointi on jatkuvaa. Teknologia sallii tunnistettujen käyttäjien pääsyn heidän työssään tarvitsemaan tietoon ja samalla estää sen väärinkäyttöä.
Lyhyesti: Mikä on SASE ja kenelle se sopii?
- SASE on moderni tapa suojata yrityksen verkko, sovellukset ja data erityisesti etä- ja hybridityössä.
- Se yhdistää useat eri verkko- ja tietoturvatoiminnot yhdeksi pilvipohjaiseksi ratkaisuksi.
- SASE sopii pilvipalveluja hyödyntäville keskikokoisille ja suurille organisaatioille.
- Työntekijä pääsee omaan työympäristöönsä vahvan autentikoinnin kautta samalla tavalla työskentelypaikasta riippumatta, ilman VPN-yhteyttä.
- SSO eli single sign-on tekee SASEsta helppokäyttöisen. Pääsy SaaS-ympäristöön ja pilvipalveluihin, kuten Teams-sovelluksiin ja Salesforceen, onnistuu yhdellä kirjautumisella.
- SASE kykenee tunnistamaan arkaluontoisen datan ja haittaohjelmat, salaamaan sisältöä sekä valvomaan reaaliaikaisesti istuntojen riskejä ja luottamustasoja.
SASE lisää näkyvyyttä ja säästää kustannuksissa
Ennen töitä tehtiin yhdessä toimistoverkossa, jonka palomuuri suojasi tietoja kuin vartija toimistotalon ovella. Yhden sisäänkäynnin ympäristöä oli helppo valvoa.
Moneen paikkaan hajautunutta työtä voi turvata useilla erillisillä teknologioilla, mutta ongelmaksi tulee silloin hallinnan hajautuminen. Keskitetyt SASE-arkkitehtuurit on kehitetty ratkomaan tätä pulmaa: yhden alustan myötä näkyvyyden hallittavuus paranee radikaalisti. Tietoturvapoikkeamista tulee välittömästi tieto SASE:n hallinnoijille.
NIS2-direktiivi ja toimialakohtaisen regulaation kiristyminen (esim. finanssialan DORA) asettavat lisää painetta tietoturvan kontrollointiin ja raportointiin. Keskitetyn SASEn hyötynä on myös parempi valmius vastata näihin lainsäädännön vaatimuksiin.
SASE-ratkaisun hyötyihin lukeutuvat tietysti myös kustannussäästöt, kun siirrytään erillisratkaisuista yhteen alustaan, jonka kautta koko yritysten tietoturvaa hallinnoidaan.
Työympäristön tietoturvan valvonta on myös työntekijöiden etu
Usein etätyöympäristössä käyttäjät suhtautuvat tietoturvaan rennommin ja klikkaavat kevyemmin perustein esimerkiksi haittaohjelmia sisältäviä linkkejä ja lataavat erilaisia sovelluksia. Ongelmallista on, jos yrityksillä ei ole näihin näkyvyyttä ja vahinko ehtii tapahtua.
Näkyvyys käyttäjien toimintaan on sekä yrityksen että työntekijän etu. SASE-ratkaisu tarjoaa monenlaisia kontrolleja käyttäjien ja tietoturvapoikkeamien tunnistamiseen, esimerkiksi sijainnin, kellonajan ja epätavallisen käyttäytymisen huomioiden.
SASElla voidaan rajoittaa tiedostojen ja sovellusten latausta verkosta, haitallisia verkkosisältöjä ja sensitiivisen datan päätymistä vääriin käsiin.
Työntekijän ei tarvitse pohtia, onko jokin hänen käyttämänsä sovellus tietoturvallinen, kun latauksia valvotaan keskitetysti.
Hänen ei myöskään tarvitse esimerkiksi stressata, tuleeko lähettäneeksi henkilökohtaisen sähköpostinsa liitetiedostossa dataa vastoin ohjeistuksia, koska SASE tunnistaa sisällön luottamukselliseksi ja estää lähetyksen.
Onko SASE-alustoissa eroja?
Varteenotettavia SASE-alustoja on globaalisti tusinan verran. Eroja on hallintakäyttöliitymissä ja Point of Presencessä eli missä päin maailmaa palveluntarjoajalla on omaa infraa eli palvelimia ja verkkoa. Myös tuen taso, määrä ja laatu vaihtelevat. Osalla on toisia enemmän omaa tietoturvateknologiaa, jota SASEen voidaan kytkeä ja hyödyntää.
Riippuu kunkin organisaation tietoturvavaatimuksista ja toimintamalleista, mikä vaihtoehto istuu käyttöön parhaiten.
Vaikka SASEsta puhutaankin yleisesti ottaen pilvinatiivina palveluna, niin osa tarjolla olevista ratkaisuista kuitenkin mahdollistaa on premises -palveluiden käytön jatkamisen ZTNA-ratkaisun avulla ilman erillisiä VPN-ohjelmistoja.
Monelle SASEn käyttöönotto ajoittuu kuitenkin luontevasti IT-infran muutoksen yhteyteen. Silloin useista vanhoista järjestelmistä ja työtavoista kannattaa luopua kerralla.
SASEn käyttöönotto vaihe vaiheelta
Käyttöönottoprojektin laajuus riippuu siitä, miten laajasti SASE-ratkaisun ominaisuuksia otetaan käyttöön. Avainasemassa ovat käyttäjien tunnistautuminen palveluun sekä mahdollisesti toteutettavat vahvan tunnistautumisen mekanismit.
Moni yritys lähtee ottamaan käyttöön SASEa palanen kerrallaan. SASEn asteittainen käyttöönotto voi edetä esimerkiksi näin:
1. Liitetään käyttäjät SASE-palveluun sekä mahdollistetaan kertakirjautuminen eri pilvisovelluksiin
2. Liitetään organisaation omat sovellukset tai palvelimet palveluun ZTNA- eli Zero Trust Network Access -tekniikalla
3. Suodatetaan loppukäyttäjien verkkoliikennettä määriteltyjen kriteerien mukaan ja
4. Otetaan käyttöön DLP- eli Data Loss Prevention -käytännöt, jotta yritys ei menettäisi tietojaan.
Käyttöönoton ensihetkillä kannattaa varmistua myös hyvästä tiedonkulusta palvelun käyttäjien suuntaan. Esimerkiksi jos otat käyttöön verkkoliikenteen suodatusta, niin it-tukiorganisaation on syytä olla valmiina vastaamaan riittävän nopeasti mahdollisiin suodatukseen liittyviin kysymyksiin.
Varmista asetusten hienosäätö kuntoon
SASEn voi ottaa käyttöön joko kumppanin kanssa tai itse. On muistettava, että kyse ei ole yksittäisestä kaikki ongelmat ratkaisevasta teknologiasta, vaan SASE-ratkaisu pitää rakentaa jokaisen yrityksen IT-arkkitehtuuriin ja tarpeisiin sopivaksi. Moderni tietoturva on hienosäätöä, jossa kaikki asetukset pitää saada kohdilleen. Tässä kohdassa on hyvä pysähtyä hetki ja miettiä, kenen aikaa ja osaamista SASEn rakennusprojektiin kannattaa käyttää.
Vastaatko IT-ympäristöjen tai liiketoiminnan johtamisesta ja kehittämisestä? Tilaa Kyberturvassa-uutiskirje!
