ในแวดวงของการรักษาความปลอดภัยทางไซเบอร์ (Cybersecurity) ที่มีการพัฒนาอย่างต่อเนื่อง ระบบความปลอดภัยมากมายที่ถูกพัฒนาขึ้น ซึ่งมีหลายระบบที่ได้รับความนิยมอย่างมากในช่วงไม่กี่ปีที่ผ่านมา เช่น Zero Trust Network Access (ZTNA), Secure Access Service Edge (SASE), และ Security Service Edge (SSE) เมื่อมีระบบใหม่ ๆ เหล่านี้เกิดขึ้น ผู้ที่อยู่ในวงการไอทีไม่เพียงแต่จะต้องทำความเข้าใจถึงความหมาย แต่ยังต้องพิจารณาถึงความสำคัญและความเหมาะสมว่า ควรปรับเปลี่ยนกลยุทธ์ด้านความปลอดภัยขององค์กรด้วยเทคโนโลยีเหล่านี้ด้วยหรือไม่
ในปี 2019 Gartner พัฒนาระบบ SASE เพื่อช่วยให้องค์กรเสริมความปลอดภัยของเครือข่ายและยกระดับการควบคุมการเข้าถึง อย่างไรก็ตาม เพียงแค่สองปีต่อมา Gartner ก็ได้พัฒนาระบบ SSE ที่ดูคล้ายกันขึ้นมา ซึ่งอาจสร้างความสับสนและคำถามให้กับหลาย ๆ คนว่า SASE กับ SSE คืออะไร ถึงต้องคิดค้นทั้งสองระบบนี้ขึ้นด้วย
บทความนี้จะพามาสำรวจความแตกต่างระหว่าง SASE และ SSE โดยบอกถึงคุณสมบัติและประโยชน์ที่แตกต่างกัน เพื่อช่วยให้องค์กรกำหนดโซลูชันที่เหมาะสมที่สุด
SASE (Secure Access Service Edge) คืออะไร?
SASE (Secure Access Service Edge) นับเป็นแนวทางปฏิบัติ (Framework) มากกว่าที่จะเป็นเทคโนโลยีเฉพาะ โดยในสถาปัตยกรรมพื้นฐานแบบดั้งเดิมที่การรักษาความปลอดภัยและบริการเครือข่ายมักทำงานแยกจากกัน ระบบ SASE นั้นรวมเครือข่ายและความปลอดภัยเข้าด้วยกันเป็นบริการแบบ Cloud-Native แนวทางปฏิบัติดังกล่าวประกอบด้วยสององค์ประกอบหลัก ได้แก่ Network-as-a-Service (NaaS) และ Security-as-a-Service (SECaaS)
Network-as-a-Service (NaaS) เป็นส่วนของ SASE ที่มุ่งเน้นการปรับปรุงและรับรองการเข้าถึงที่ยืดหยุ่นระบบต่าง ๆ เช่น
- SD-WAN (Software-defined Wide Area Network)
- การปรับปรุง WAN
- คุณภาพของบริการ (Quality of Service: QoS)
ส่วน Security-as-a-Service (SECaaS) จะมุ่งเน้นการรักษาความปลอดภัยของทราฟฟิกเครือข่ายและแอปพลิเคชัน โดยผสานรวมเทคโนโลยีต่าง ๆ เช่น
- Secure Web Gateways (SWG) - รักษาความปลอดภัยในขณะท่องเว็บไซต์ด้วยคุณสมบัติต่าง ๆ เช่น การกรอง URL การควบคุมการเข้าถึงอินเทอร์เน็ต ระบบป้องกันการบุกรุก (IPS) และการป้องกันภัยคุกคามขั้นสูง
- Zero Trust Network Access (ZTNA) - ให้การเข้าถึงแอปพลิเคชันส่วนตัวที่โฮสต์ในศูนย์ข้อมูลหรือบริการคลาวด์ เช่น AWS มีความปลอดภัยมากขึ้น ซึ่งแตกต่างจาก VPN ระบบ ZTNA จะทำงานตามทฤษฎีความปลอดภัย “Least Privilege” โดยมอบสิทธิ์การเข้าถึงแอปพลิเคชันตามบริบท หรือก็คือเฉพาะเมื่ออัตลักษณ์ของผู้ใช้ อุปกรณ์ และตำแหน่งที่ตั้งเป็นไปตามข้อกำหนดด้านความปลอดภัย
- Firewall-as-a-Service (FWaaS) - มอบไฟร์วอลล์ (Firewall) ในทุก ๆ พอร์ตเชื่อมต่อและโปรโตคอล โดยไม่จำเป็นต้องใช้อุปกรณ์ทางกายภาพหรือเสมือน อีกทั้ง ผู้ให้บริการบางรายอาจนำเสนอ Next-Generation Firewall (NGFW) ที่มอบความปลอดภัยที่รัดกุมยิ่งขึ้น
- Cloud Access Security Broker (CASB) - ระบบรักษาความปลอดภัยทรัพยากรบนคลาวด์และแอปพลิเคชัน SaaS โดยบังคับใช้นโยบายความปลอดภัยขององค์กร ซึ่ง CASB สามารถทำงานร่วมกับแอป SaaS ผ่าน API เพื่อสแกนหาการตั้งค่าที่ไม่ถูกต้อง ตรวจหาข้อมูลที่ละเอียดอ่อนหรือมัลแวร์ เช่น Ransomware ในไฟล์ต่าง ๆ และเพิกถอนสิทธิ์การแชร์ไฟล์ที่มีความเสี่ยงหรือการส่งออกสู่ภายนอก
- Data Loss Prevention (DLP) - ระบบป้องกันข้อมูลภายในเครือข่ายขององค์กร โดยจะระบุข้อมูลที่มีความอ่อนไหว และบังคับใช้นโยบายต่าง ๆ เพื่อป้องกันการเปิดเผยโดยที่ไม่ได้รับอนุญาต หรือกรณีข้อมูลรั่วไหล ไม่ว่าจะตั้งใจหรือไม่ก็ตาม
SSE (Security Service Edge) คืออะไร?
SSE (Security Service Edge) ถูกพัฒนาขึ้นโดย Gartner ในปี 2021 ซึ่งเป็นสองปีหลังจากที่ได้เปิดตัว SASE เพื่อตอบสนองต่อความจริงที่ว่า หลายองค์กรยังไม่พร้อมที่ใช้งาน SASE เนื่องจากต้องมีการปรับเปลี่ยนมาตรการความปลอดภัยและการเชื่อมต่อระบบต่าง ๆ ใหม่เกือบทั้งหมด ซึ่งหลายองค์กรต้องการเริ่มต้นด้วยการเปลี่ยนแปลงการรักษาความปลอดภัยแบบค่อยเป็นค่อยไปมากกว่า
ดังนั้น SSE จึงเป็นระบบที่ถูกพัฒนาขึ้นเพื่อรวบรวมและให้บริการด้านความปลอดภัยโดยเฉพาะ ซึ่งทำการรวม SWG, ZTNA, FWaaS, CASB, และ DLP เข้าด้วยกันเป็นแพลตฟอร์มที่ให้บริการบนคลาวด์เดียว จึงช่วยให้การเข้าถึงอินเทอร์เน็ต แอปพลิเคชัน SaaS คลาวด์ และแอปพลิเคชันภายในได้อย่างปลอดภัยมากขึ้น โดยไม่จำเป็นต้องจัดการเครือข่าย WAN หรือการเชื่อมต่อระหว่างไซต์
โดยสรุป SSE เป็นส่วนย่อยของ SASE ซึ่งองค์ประกอบด้านความปลอดภัยภายใน SSE อยู่ภายใต้กรอบการทำงานของ SASE ที่กว้างขวางและครอบคลุมมากกว่านั่นเอง
SASE หรือ SSE องค์กรควรเลือกอย่างไร?
พอทราบถึงความแตกต่างระหว่าง SASE และ SSE ไปแล้ว การพิจารณาตัดสินใจเลือกระหว่าง SASE หรือ SSE นั้นก็ขึ้นอยู่กับความต้องการปัจจุบันขององค์กร โครงสร้างพื้นฐานที่มีอยู่ และเป้าหมายในอนาคต
SASE
องค์กรที่มีผู้ใช้งานบริการแอปพลิเคชันและอุปกรณ์กระจายตัวอยู่ตามพื้นที่ต่าง ๆ และบนคลาวด์ อาจต้องการโซลูชัน SASE ที่เชื่อมต่อผู้ใช้ปลายทางอย่างมีประสิทธิภาพและปลอดภัย เนื่องจากสถาปัตยกรรมความปลอดภัยแบบดั้งเดิม มักอ้างอิงตามขอบเขตที่สร้างขึ้นด้วยอุปกรณ์ความปลอดภัยในองค์กรหลายอย่างที่แยกจากกัน และโซลูชันความปลอดภัยบนคลาวด์ที่ไม่ครอบคลุมอาจนำไปสู่ช่องโหว่ด้านความปลอดภัยได้ เช่น ความซับซ้อนในการจัดการ ต้นทุนที่สูง และ Productivity ของผู้ใช้งานที่ลดต่ำลง
ในกรณีดังกล่าว SASE มอบโซลูชันที่เหมาะสมสำหรับองค์กร ด้วย SD-WAN ที่ขยายขอบเขตเครือข่ายแบบดั้งเดิมให้ครอบคลุมถึงจุด Access Point ทั้งหมด และส่วนประกอบของ SSE ที่ช่วยให้ผู้ใช้งานหรือบุคลากรที่ทำงานระยะไกลสามารถเข้าถึงเครือข่ายองค์กรได้อย่างปลอดภัยและมีประสิทธิภาพ อีกทั้งการทำงานแบบรวมศูนย์ของ SASE ยังช่วยเพิ่มความปลอดภัยทั่วทั้งระบบนิเวศไอที ในขณะที่ลดความซับซ้อนและประหยัดเวลาของผู้ดูแลระบบไปพร้อมกันด้วย
SSE
ในอีกมุมหนึ่ง SASE เป็นระบบที่จะกำหนดเส้นทางทราฟฟิกของเครือข่ายผ่านแพลตฟอร์มบริการแบบ Cloud-Native ที่รวมคุณลักษณะด้านความปลอดภัยและเครือข่ายเข้าไว้ด้วยกัน ซึ่ง SSE จะมุ่งเน้นเฉพาะการรักษาความปลอดภัยของขอบเครือข่าย ดังนั้น SSE จึงเหมาะสำหรับองค์กรที่อาศัยการเข้าถึงอินเทอร์เน็ตโดยตรง หรือใช้งานแอปพลิเคชันบนคลาวด์เป็นหลัก แต่ไม่ต้องการการปรับปรุงเครือข่ายเพิ่มเติมด้วย SD-WAN โดยคุณสมบัติด้านความปลอดภัยแบบส่งมอบผ่านคลาวด์ของ SSE นั้นอาจมีประสิทธิภาพและคุ้มค่าต่อองค์กรในลักษณะนี้มากกว่านั่นเอง
ขั้นตอนต่อไป
สำหรับองค์กรต่าง ๆ โดยเฉพาะองค์กรที่มีสาขากระจายทั่วโลกหรือมีพนักงานที่ทำงานจากระยะไกล ขอแนะนำให้เลือกใช้แพลตฟอร์ม SASE จากผู้ให้บริการที่มีประสบการณ์และน่าเชื่อถือ เช่น Sangfor Access Secure ที่เป็นโซลูชันที่มอบความยืดหยุ่นในเปลี่ยนแปลงสู่การใช้งาน SASE เต็มรูปแบบ หรือจะเลือกใช้เฉพาะองค์ประกอบ SSE ใน Framework ของ SASE ก็ทำได้เช่นกัน ซึ่งแนวทางนี้เปิดช่องทางสำหรับการเปลี่ยนแปลงเครือข่ายและการรวบรวมสถาปัตยกรรมในอนาคต ช่วยเพิ่มความคล่องตัวทางธุรกิจ ทำให้การดำเนินงานง่ายขึ้น และลดต้นทุน TCO (Total Cost of Ownership)
Sangfor Access Secure นำเสนอทั้ง SSE และ SASE โดยมอบความยืดหยุ่นในการปรับปรุงสถาปัตยกรรมเครือข่ายและความปลอดภัยขององค์กร อีกทั้ง Sangfor ยังก้าวไปไกลกว่าคำจำกัดความของ SSE และ SASE ของ Gartner โดยอนุญาตให้ลูกค้าปรับการนำไปใช้ตามความต้องการได้ องค์กรสามารถเลือกเทคโนโลยีเฉพาะ เช่น ZTNA, Secure Web Gateway และอื่นๆ ตามความต้องการ ซึ่งเป็นการวางแนวทางที่ชัดเจนสู่การเปลี่ยนแปลงสู่ SASE ผ่านการนำไปใช้อย่างค่อยเป็นค่อยไป โดยไม่รบกวนขั้นตอนการทำงานที่มีอยู่
เยี่ยมชมเว็บเพจ Sangfor Access Secure เพื่อศึกษาคุณสมบัติและประโยชน์ต่าง ๆ ที่มีต่อองค์กรของคุณได้แล้ววันนี้ หรือติดต่อผู้เชี่ยวชาญของเราเพื่อขอรับคำปรึกษาเพิ่มเติม
