Obecna sytuacja z pewnością pozwala nam docenić rozwiązania VPN. Sam fakt ich posiadania to jednak za mało. Ilość połączeń, ich przepustowość i stabilność – te parametry często mogą stanowić o być albo nie być wielu firm.

Nie trzeba być wybitnym analitykiem IT, żeby skojarzyć jakość i moc urządzenia koncentrującego tunele zdalnego dostępu z jakością rozwiązania topologicznego VPN. Z kolei w świecie profesjonalnego IT każda nadmiarowość parametrów kosztuje konkretne pieniądze.

Rozsądny przedsiębiorca i zarządca zasobów informatycznych dobiera rozwiązania zapewniające komfortową pracę swej organizacji w warunkach normalnych; przeciętnych w statystycznie uzasadnionym okresie. I to jest całkowicie naturalne. Niespodziewane incydenty mają bowiem to do siebie, że są niespodziewane właśnie i nieprzewidywalne… Niewątpliwie planowanie rozwoju struktury IT i jego budżetowanie na podstawie obaw przed kataklizmem może okazać się rujnujące dla finansów organizacji.

CÓŻ ZATEM ROBIĆ, GDY ZASTANA RZECZYWISTOŚĆ DALECE WYMKNĘŁA SIĘ PRZEWIDYWANIOM? GDY NASZE ZASOBY POZWALAJĄ NA ZDALNĄ PRACĘ NP. 30% ZAŁOGI, A OKAZUJE SIĘ, ŻE W TRYBIE HOME OFFICE MUSZĄ PRACOWAĆ NIEMAL WSZYSCY?

Naturalnym rozwiązaniem wydaje się szybki zakup dodatkowego urządzenia – koncentratora VPN. A może ktoś był tak zapobiegliwy i posiada już taki sprzęt w swoim magazynie? Po zastanowieniu się nad tym krokiem można jednak dojść do wniosku, że takie postępowanie niczym nie różni się od „planowania na wszelki wypadek”. Owszem, jako reakcja na incydent – załatwia problem, ale tylko objawowo.

A MOŻE ZNALAZŁBY SIĘ SYSTEMOWY SPOSÓB REAKCJI NA SYTUACJĘ KRYZYSOWĄ, JAKĄ ROZPATRUJEMY W TYM ARTYKULE?

Od jakiegoś już czasu, na globalnym rynku IT funkcjonują podmioty, dla których posiadanie nadmiarowych zasobów, w celu ich udostępniania – jest niejako wpisane w ideę działalności. To oczywiście operatorzy chmur obliczeniowych. Rozwój tej dziedziny sprawił, że współczesna chmura oferuje już nie tylko usługi typu storage, ale i inne – dotychczas kojarzone wyłącznie z topologią „on premise”. Jedną z takich usług, na której się skupimy w dalszej części artykułu – jest Secure Access Service Edge (SASE).

CO TO JEST SASE?

Na to pytanie daje nam odpowiedź Gartner swoją publikacją z końca ubiegłego roku pt. ”The Future of Network Security is in the cloud”. Gartner definiuje SASE jako dwie składowe:

• Pierwszą jest usługa Network as a Service, która zapewnia, realizuje i optymalizuje proces podłączenia do sieci. To tutaj mieszczą się, chyba już dość znane terminy, takie jak: SD WAN, SDN, optymalizacja WAN, usługi QoS i inne.
• Drugą zaś składową, jest po prostu szeroko rozumiana usługa bezpieczeństwa, która powinna w sposób skalowalny i jednorodny ten dostęp sieciowy chronić. A więc SaaS (Security as a Service), lub nawet FWaaS (Firewall…). W tej nowatorskiej dziedzinie, tworzenie skrótów jeszcze nie jest procesem zamkniętym, więc akronim NSaaS, powstały od jednej z użytych na poniższym rysunku nazw – ma również szansę na popularność…

PRISMA ACCESS BY PALO ALTO NETWORKS®

Przykładową architekturą SASE jest rozwiązanie Prisma Access od Palo Alto Networks. W rozwiązaniu tym kluczowy nacisk kładziony jest na realizację zadań, zgodnie z omówioną wcześniej definicją SASE. Zatem mamy tu realizację funkcji sieciowych i bezpieczeństwa, które dostarczane są w całości w postaci usług. Oznacza to, że po naszej stronie, jako odbiorcy tej usługi, musimy posiadać absolutne minimum infrastruktury, którą należy samodzielnie utrzymywać. Przy czym osiągamy pełną, bezkompromisową operatywność, która pozwala na bezpieczne podłączenie oddziałów i użytkowników mobilnych do zasobów zgromadzonych w internecie, jak i do tych, które samodzielnie utrzymujemy w DC, czy w Centrali naszej organizacji.

JAK TO DZIAŁA?

Bardzo ważnym aspektem usługi SASE jest miejsce jej świadczenia. Oczywiście bardzo często mówi się o tzw. chmurze; ale co to praktycznie znaczy w kontekście SASE? Kluczową kwestią jest możliwość realizacji usługi SASE na całym świecie, jak najbliżej użytkownika, który będzie próbował uzyskać dostęp do danych. Jest to warunkiem eliminacji opóźnień. Nierzadko okazuje się, że poprawna topologia struktury SASE – wręcz optymalizuje doświadczenia korzystania z aplikacji… Dlatego architektura Prisma Access, oferuje aż ponad 100 punktów obsługi ruchu. Występują one w 76 różnych krajach, w tym w Polsce.

CO JEST POTRZEBNE?

Chociaż Prisma Access jest usługą autorstwa znanego i cenionego producenta firewalli nowej generacji do jej uruchomienia nie są wymagane urządzenia Palo Alto Networks. Każdy dostęp stacjonarny do chmury Prisma Access, może być realizowany przez dowolne urządzenie brzegowe z obsługą IPSec. Dostęp mobilny uzyskuje się poprzez klienta VPN – Global Protect. Oprogramowanie to jest darmowe, do pozyskania z portalu skonfigurowanej usługi Prisma Access. Całością usług w chmurze zarządza się interfejsem Panorama, produkcji Palo Alto Networks, który jest wliczony w cenę rozwiązania i może być dostarczony w postaci wirtualnej maszyny. Logi z pracy struktury zbierane i przetwarzane są w zasobach Cortex Data Lake – usłudze Palo Alto Networks temu dedykowanej. Zatem dostęp do internetu, poprzez chmurę Prisma Access, można by zabezpieczać dopiero w tej usłudze.

Całkowicie bezpiecznym w tej topologii rozwiązaniem jest brak jakichkolwiek zabezpieczeń brzegowych. Oczywiście – pod warunkiem poprawnej dla tego stanu konfiguracji urządzeń brzegowych, w pozostałym zakresie… Dostęp do wskazanych zasobów własnych odbywa się dwuetapowo. Urządzenie mobilne (laptop lub smartfon), wyposażone w klienta Global Protect zestawia szyfrowany tunel SSL do dedykowanej bramy (Gateway) w chmurze Prisma Access. Jest to zatem typowe połączenie VPN klasy c2s. Ośrodki odległe – oddziały firmy, do rzeczonej chmury łączą się klasycznymi tunelami IPSec – zatem mówimy tu o VPN s2s. Datacenter, lub główna siedziba firmy, niejako po drugiej stronie chmury – do naszej usługi przypięte są tunelami IPSec. Jak na poniższym obrazku.

”Regularna” architektura systemu Prisma Access

A CO NA „CIĘŻKIE CZASY”?

Palo Alto Networks, w celu szybkiego zwiększenia możliwości i wydajności struktury zdalnego dostępu, oferuje uproszczoną, zredukowaną wyłącznie do dostępów mobilnych wersję swojej usługi Prisma Access.

Architektura systemu Prisma Access dla dostępów mobilnych

DLA NOWYCH KLIENTÓW PRISMA ACCESS PALO ALTO NETWORKS OFERUJE:

• PoC Prisma Access for Mobile na 45 dni dla 1000 użytkowników. Standardowo, PoC na Prisma Access jest maksymalnie na 200 użytkowników. Mamy tu zatem półtoramiesięczną opcję, całkowicie bezpłatnego zwiększenia wydajności naszej struktury dostępowej VPN c2s!

Co nie bez znaczenia – jeżeli po zakończonym okresie próbnym okaże się, że z Prisma Access nam nie po drodze – nie zostaje nam żaden niepotrzebny już sprzęt.

• Zakup Prisma Access w opcji Full na 3 miesiące z możliwością przedłużenia. Oczywiście, w cenie proporcjonalnie mniejszej do regularnych cen rocznych. Standardowo, najkrótszymi licencjami Prisma Access są licencje roczne. W celu maksymalnego usprawnienia instalacji i jak najszybszego uruchomienia zakupionej usługi – Palo Alto Networks odciąża firmy integratorskie i oferuje bezpłatne wdrożenie swoimi specjalistycznymi siłami.
• Zakup Prisma Access w opcji Full na rok, lub 3 lata z darmowym wdrożeniem przez Palo Alto Networks.

DLA POSIADACZY PRISMA ACCESS:

• Brak opłat za podłączenie 200-300% użytkowników mobilnych więcej niż przewidziane w zakupionej licencji. Zniesienie ograniczenia działa przez 90 dni od momentu stwierdzenia nadmiarowych połączeń.

PODSUMOWANIE

Prisma Access oferuje wszystkie dostępne funkcje firewalla nowej generacji i pozwala chronić oddziały oraz wdrożenia SD-WAN. Rozszerzenie zapory NGFW na oddziały i pracowników mobilnych zapewnia większą przejrzystość, większy stopień ochrony przed złośliwym oprogramowaniem i exploitacją, programami typu ransomware oraz atakami typu phishing. By zapewnić spójną ochronę, rozwiązanie pozwala także objąć regułami bezpieczeństwa całą sieć i chmurę oraz wszystkie punkty końcowe, bez względu na ich lokalizację.

Wdrożenie usługi Prisma Access w przedsiębiorstwie pozwala zapewnić większe bezpieczeństwo, bazując na całej platformie Security Operating Platform. Wykorzystuje ona składnik Cortex HUB do wprowadzania innowacji z zakresu zabezpieczeń opracowanych przez firmę Palo Alto Networks i firmy zewnętrzne, a wszystko to przy jednoczesnym rozszerzaniu scentralizowanego zarządzania regułami bezpieczeństwa sieci w ramach ochrony brzegu sieci kampusu, centrali, oddziału, dostępu do centrum danych lub kontroli sieci wewnętrznej.

Elastyczność, wydajność, skalowalność i dostępność chmury obliczeniowej firmowanej przez Palo Alto Networks, niewątpliwie skłania do zastanowienia się nad korzyściami płynącymi z jej użytkowania. Doprawdy uzasadnionym byłoby zestawienie tych profitów, z raczej iluzorycznymi obawami o bezpieczeństwo danych firmowych w środowiskach chmurowych.

Tradycyjnie zapraszając do kontaktu, życzymy Państwu i sobie, aby rozwiązanie Prisma Access mogło zagościć w naszych strukturach sieciowych, już nie jako „rozwiązanie na trudne czasy”.