Mi az a három téma, ami leggyakrabban előkerül a CEO és a CIO között egy megbeszélésen? Hosszú évek óta ugyanaz a műsor. Hogyan segíthetné az IT a költségek csökkentését? Hogyan tehetné agilisabbá a vállalati működést az IT új technológiák gyors bevezetésével? Hogyan javíthatna az IT a biztonságon és megfelelésen?

De mi másért is lenne az informatika, mint hogy ezt a három területet segítse?! Ennek ellenére könnyen belátható: nehéz elképzelni olyan konstellációt, amelyben egyszerre érvényesülhet mindhárom szempont. Az új technológiák gyors bevezetését ritkán lehet olcsón megúszni, és akkor a biztonsági és egyéb, pl. üzleti kockázatok kezelésének nehézségeiről még nem is beszéltünk. A biztonság (és compliance) jellegű beruházásoknál szintén nem jellemző, hogy olcsón lehetne jól csinálni.

Nem véletlen, hogy az elmúlt bő másfél évtized azoknak a technológiáknak az előretörését hozta, melyek a három fő igény összebékíthetőségét ígéreték. Ilyen nagy általánosságban a cloud computing, amely kkv-s szintig vitte le a nagyvállalati szintű infrastruktúra használatának lehetőségét, és ilyen a hálózatok terén az SD-WAN, amelynek felemelkedése nem független a felhőétől.

Arról, hogy az SD-WAN milyen eszközöket ad a CIO kezébe az üzlet támogatásához, sorozatunk előző részében írtunk. De a szoftveresen definiált WAN a hálózati biztonságban is komoly változásokat hozott. Az alábbiakban összefoglaljuk, milyennek látszik a technológia a CISO székéből.

Csak emlékeztetőül: az SD-WAN nem kis részben köszönheti népszerűségét az IT-biztonság felértékelődésének. Jó alapot ad ugyanis a SASE (Secure Access Service Edge) keretrendszer bevezetéséhez. Ez a felhő-natív keretrendszer olyan biztonsági funkciókat integrál az SD-WAN-ba, mint a Secure Web Gateway, a CASB (Cloud Access Security Broker), sőt hozhatja magával a tűzfalszolgáltatásokat és a zero trust hálózati hozzáférést is.

Mit jelent ez a gyakorlatban?

A több telephellyel (site) rendelkező szervezetek az SD-WAN bevezetésével optimalizálhatják a belső és a felhős szolgáltatásokkal történő adatkapcsolataikat azáltal, hogy minden egyes site-juk közvetlenül csatlakozhat az internethez és a felhőhöz. Így ugyanis nem kell az összes adatforgalmat átvezetni egy fő adatközponton. Csakhogy hirtelenjében a néhány tűzfal, webproxy és IDS/IPS (behatolásdetektáló/behatolásmegelőző) rendszer helyett kellene mondjuk több tucat vagy akár több száz is, amiket menedzselni is kellene.

Ehhez azonban nincs elég szakember. Nemcsak a vállalatoknál nincs, a piacon sem hemzsegnek a (hálózat)biztonsági szakemberek. A Cisco egy kutatása szerint 2015-ben egymillió IT-biztonsági szakember hiányzott a globális munkaerőpiacról. Két év múlva a Frost and Sullivan már kétmilliós hiányt mért, és a helyzet az elmúlt években sem javult.

Az SD-WAN válasza erre a központi, a kiberbiztonságot is lefedő, szabályalapú menedzselhetőség. Egyes biztonsági szakértők szerint ezzel körültekintő tervezés mellett mind a CAPEX, mind pedig az OPEX csökkenthető.

De talán a pénznél is fontosabbak a biztonságot érintő változások. Mindenekelőtt javul a teljes hálózat átláthatósága. Az SD-WAN láthatóvá teszi a WAN-forgalom áramlására vonatkozó információkat, melyek integrálhatók az SD-WAN biztonsági stacknaplóival. Ez javítja a detektálási képességeket – azaz minimalizálja a támadók tartózkodási idejét és ezáltal károkozási képességét is.

Megoldható az automatikus, üzem közbeni hálózatszegmentálás, ami szintén csökkentheti egy esetleges támadás hatását. Ez ma, amikor a zsarolóvírus-támadások szinte mindennaposakká váltak, kiemelten fontos terület. A ransomware-ek ugyanis hajlamosak arra, hogy miután megfertőzték valamelyik helyi hálózatot (LAN), a WAN-on továbbterjedve újabb helyi hálózatokat is támadjanak. Ez ellen az automatikus szegmentálás lehetősége hatékony védelmet nyújt, mert időben elszigeteli a fertőzött LAN forgalmát.

Az SD-WAN-ben eleve adott, hogy a forgalmat a hálózati házirendek és alkalmazások alapján lehessen szegmentálni. A kevésbé biztonságos területekről érkező forgalom letiltható, korlátozható, miáltal csökkenthető a rosszindulatú kódok terjedésének valószínűsége. Akár mikroszegmentációs tervek is készülhetnek még hatékonyabbá téve a zero trust elvén alapuló biztonságot.

Szintén alap a titkosított kommunikáció. Ez reakció arra, hogy egyre több felhasználó csatlakozik külső eszközzel a munkahelyi hálózatokhoz. Ezért sok szoftveresen definiált hálózati rendszer előretelepített IPsec-alapú VPN, valamint a 128 vagy 256 bites AES titkosítás segítségével hoz létre biztonságos információtovábbítási csatornákat. Ez bizonyos szektorokban compliance-követelmény is.

Komplex újratervezés eredményez erős védelmet

De mint minden technológiára, az SD-WAN-ra is igaz: miközben megoldást ad számos problémára, generál újakat. Ami konkrétan a biztonságot illeti, inkább úgy fogalmazhatnánk, hogy áthelyez bizonyos súlypontokat a hálózatbiztonság területén.

Újra kell tervezni a teljes hálózati vizibilitást. Az SD-WAN ugyanis mindig az elérhető legjobb útvonalat választja a kommunikációra, azaz nem biztos, hogy érinti a szervezet jelenlegi hálózatmonitorozó eszközeit. A feladat nem triviális: az egyes telephelyeknek eltérhetnek a biztonsági követelményeik, és ennek megfelelően más és más biztonsági megoldásokat használhatnak. Ezt át kell vinni az SD-WAN-ba is, azaz minden site biztonságát testre kell szabni a saját igényeinek megfelelően. Ugyanez igaz a házirendekre: bár központilag lehet őket hangszerelni, folyamatosan figyelni kell az egyes site-ok eltérő követelményeire – és képességeit. A hatékony biztonság alapfeltétele ugyanis, hogy a biztonsági szabályzat érvénye jusson, és a biztonsági intézkedések mindig következetesek legyenek.

Nagyobb vállalatoknál, ahol elkülönülten működik a szervezeten belül biztonsági műveleti központ (SOC, security operations center) és hálózati műveleti központ (NOC, network operations center), össze kell hangolni a két terület feladatát, hogy elkerülhetők legyenek a két csapat eltérő feladataiból és céljaiból eredő konfliktusok.

Ezeket a potenciális buktatókat némileg lehet csökkenteni azzal, ha egy cég a saját megvalósítás helyett ’as a Service’ modellben kezdi el használni az SD-WAN-t. Azaz az első kérdés a bevezetés előtt: van-e belső tudás és emberi erőforrás a felmerülő problémák kezeléséhez. És ha nincs, akkor a szolgáltatás felé érdemes mozdulni a belső fejlesztés helyett (lásd sorozatunk előző részét).

Ez a cikk független szerkesztőségi tartalom, mely a Yettel támogatásával készült. Részletek »