Kwestie dotyczące suwerenności danych, prywatności i zgodności z prawem są szczególnie ważne dla podmiotów z branż ściśle regulowanych, jak ochrona zdrowia czy obronność. Nie wystarczy, że zabezpieczą zasoby – muszą także dokładnie wiedzieć, gdzie się one znajdują, kto ma do nich dostęp i w jaki sposób są przetwarzane. Sovereign SASE odpowiada na te potrzeby dzięki mechanizmowi uzyskiwania dostępu do cyfrowych środowisk, który nie tylko chroni użytkowników i zasoby, ale też umożliwia pełną kontrolę nad danymi, bez konieczności przekazywania ich podmiotom zewnętrznym.
W erze chmury i rozproszonych środowisk pracy przedsiębiorstwa coraz częściej muszą wybierać pomiędzy elastycznością, a możliwością sprawowania kontroli nad przetwarzanymi danymi. Nawet 72% firm w Europie priorytetowo traktuje kwestię kontroli nad zasobami .
Mechanizmy bezpiecznego dostępu do aplikacji i zasobów z dowolnego miejsca już od kilku lat zapewniane są przez model SASE (Secure Access Service Edge). Łączy on funkcje bezpieczeństwa sieciowego (takie jak zapory sieciowe, ochrona przed zagrożeniami czy filtrowanie treści) z bezpiecznym dostępem do zasobów IT. Jednak standardowe implementacje tego mechanizmu bazują na chmurze publicznej, a dane są przesyłane do tzw. punktów obecności dostawcy usług (PoP, Point of Presence), gdzie są analizowane i zabezpieczane. Dla firm działających w regulowanych branżach, takich jak finanse, ochrona zdrowia, administracja publiczna czy obronność, które muszą zachować pełną kontrolę nad lokalizacją danych i ich przetwarzaniem, może to stanowić poważny problem z punktu widzenia przepisów o ochronie informacji.
Nowym sposobem na zapewnienie pełnego bezpieczeństwa w ramach własnej infrastruktury jest koncepcja „suwerennego” SASE (sovereign SASE). Wszystkie funkcje SASE – w tym bezpieczny dostęp do aplikacji (Zero-Trust Network Access, ZTNA), filtr treści WWW (Secure Web Gateway, SWG), monitorowanie i kontrola dostępu do aplikacji w chmurze (Cloud Access Security Broker, CASB), zapora sieciowa jako usługa (Firewall-as-a-Service, FWaaS) oraz bezpieczna sieć rozległa SD-WAN – są w niej utrzymywane lokalnie. Oznacza to, że ruch użytkowników, logi, dane inspekcyjne i konfiguracje reguł polityki bezpieczeństwa nie opuszczają infrastruktury przedsiębiorstwa.
Suwerenność danych – nowa waluta zaufania
U podstawy modelu sovereign SASE leży suwerenność danych, zapewniana przez możliwość sprawowania pełnej kontroli nad tym, gdzie są one przechowywane i kto może je analizować. Wszystkie procesy bezpieczeństwa, w tym inspekcja i egzekwowanie polityki ochrony informacji odbywają się w obrębie zaufanej infrastruktury – w należącym do firmy centrum danych czy wynajmowanym przez nią środowisku kolokacyjnym. Zapewniona jest też autonomia usług.
– To administratorzy IT przedsiębiorstwa samodzielnie decydują, jak i gdzie wdrażają usługi SASE – tak, aby były dopasowane do wewnętrznych polityk i wymagań. Obejmuje to kontrolę nad rozmieszczeniem infrastruktury, skalowaniem oraz projektowaniem usług. Znacząco ograniczane jest dzięki temu ryzyko naruszeń bezpieczeństwa. Model ten ułatwia również zapewnienie zgodności z przepisami i pozwala na zachowanie pełnej autonomii operacyjnej oraz przejrzystości działań – wskazuje Robert Dąbrowski, szef zespołu inżynierów w firmie Fortinet.
Architektura suwerennego SASE bazuje na trzech zintegrowanych ze sobą warstwach. Pierwsza to centrum zarządzania (control plane), w którym administratorzy definiują reguły polityki bezpieczeństwa oraz przekazują je do odpowiednich punktów egzekwowania. Druga to warstwa danych (data plane), gdzie przetwarzany jest ruch sieciowy i stosowane są reguły bezpieczeństwa. Obejmuje ona wszystkie główne komponenty SASE, takie jak zapora sieciowa nowej generacji (NGFW), ZTNA, SWG czy CASB. Trzecia to warstwa użytkowników, którzy łączą się z lokalnymi punktami egzekwowania bezpieczeństwa, a agent końcowy na ich urządzeniu weryfikuje uprawnienia i stosuje reguły polityki w czasie rzeczywistym.
Takie podejście zapewnia spójną i przewidywalną ochronę, bez potrzeby korzystania z zewnętrznych usług. Co więcej, sovereign SASE to nie tylko produkt – to pełna platforma, która łączy wszystkie potrzebne komponenty: od agentów końcowych, przez zapory i bramy bezpieczeństwa, aż po narzędzia do zarządzania i monitorowania. Wszystko to działa jako jeden, zintegrowany system.
Technologia, która stanie się standardem?
Wdrożenie pełnej funkcjonalności suwerennego SASE w środowisku lokalnym pozwala firmom zachować suwerenność danych, zoptymalizować wydajność dzięki lokalnemu przetwarzaniu ruchu oraz ujednolicić reguły polityki bezpieczeństwa we wszystkich lokalizacjach i urządzeniach. Dzięki temu użytkownicy mogą korzystać z pełnej ochrony niezależnie od miejsca, z którego łączą się z firmową infrastrukturą, a administratorzy nie muszą martwić się zagrożeniami związanymi z przetwarzaniem danych poza ich kontrolą.
– Pojawienie się modelu sovereign SASE to odpowiedź na rosnące potrzeby rynku. Szpitale, które przechowują dane medyczne pacjentów, nie mogą pozwolić sobie na przekazywanie ich do chmury publicznej. Podobnie instytucje finansowe czy podmioty administracji publicznej muszą mieć pewność, że ich zasoby nie opuszczają kraju. W świecie, w którym granica między lokalnym a zdalnym dostępem coraz bardziej się zaciera, rozwiązanie to pozwala przedsiębiorstwom nie tylko przetrwać, ale też rozwijać się w zgodzie z przepisami, wymaganiami klientów i własną strategią. Model Sovereign SASE wkrótce może stać się standardem w sektorach regulowanych, podobnie jak RODO kilka lat temu całkowicie zmieniło podejście do ochrony danych osobowych – podkreśla Robert Dąbrowski.
Rozwiązania tego typu oferuje m.in. Fortinet w ramach platformy FortiSASE Sovereign, wspierając organizacje w budowie bezpiecznej i zgodnej z regulacjami sieci dostępowej.