Архитектура Cybersecurity Mesh оказалась неэффективной из-за сложной интеграции. Security Service Edge предлагает практичный подход с немедленными эксплуатационными преимуществами.

В 2021 году компания Gartner объявила архитектуру Cybersecurity Mesh Architecture (CSMA) определяющим трендом в кибербезопасности, назвав её перспективным подходом к защите современных ИТ-сред. Однако сегодня эта концепция практически исчезла из отраслевого дискурса: отсутствуют истории успеха, масштабные внедрения и свидетельства измеримого эффекта. Тем временем Gartner и вся индустрия кибербезопасности переориентировались на Secure Service Edge (SSE) как на следующее обязательное решение. 

Для операторов центров обработки данных, управляющих все более сложными инфраструктурными средами, понимание этого изменения имеет решающее значение для принятия обоснованных решений об инвестициях в безопасность.

Реальность этого отраслевого сдвига стала мне ясна лишь недавно, когда меня пригласили выступить с докладом о кибербезопасности. Мне предложили на выбор обсудить шифрование или CSMA, и я, естественно, выбрал CSMA. Эта тема казалась прогрессивной, она позволяет архитектору безопасности быть на шаг впереди. Но когда я начал готовиться, что-то пошло не так. Где же реальные примеры внедрения, задокументированные истории успеха или примеры практического применения? Ничего подобного я не нашёл. 

Я всё равно выступил с презентацией, и она прошла отлично. Что ещё важнее, этот опыт дал ценные знания о стратегиях использования инструментов кибербезопасности , которые заслуживают внимания специалистов по безопасности и операторов центров обработки данных.

Стратегическое обещание CSMA

Первоначальная предпосылка Gartner для CSMA была одновременно блестящей и предельно честной: мечта о единой, унифицированной платформе кибербезопасности – пресловутом «едином окне» – недостижима. Вместо этого организациям приходится смириться с реальностью управления целым зоопарком инструментов . Эта оценка глубоко затронула меня и побудила подсчитать количество инструментов, которыми я и мои коллеги регулярно пользуемся. Их число быстро выросло до 30 или 40, и я подозреваю, что более крупные предприятия могут легко приблизиться к 100. Но почему так происходит? Можно выделить две причины:

1. Сложность современных ИТ-систем

Современные ИТ-среды невероятно разнообразны и включают в себя ноутбуки с Windows и macOS, серверы Linux и Windows, контейнеризированные рабочие нагрузки различных конфигураций, мобильные устройства на разных платформах, операционные технологические системы и даже мэйнфреймы, которые старше некоторых сотрудников. Распространение множества облаков – одних стратегических, других – созданных незаметно, а третьих – унаследованных в результате слияний – ещё больше усугубляет эту сложность. Каждая среда предъявляет уникальные требования, которые исключают возможность универсального охвата инструментов.

2. Необходимость специализированных инструментов безопасности

Информационная безопасность охватывает широкий спектр функций, каждая из которых требует специализированных инструментов. К ним относятся управление уязвимостями, обнаружение угроз, ведение журнала, корреляция событий, обнаружение и классификация данных, предотвращение потери данных (DLP) , прокси-серверы, межсетевые экраны и другие меры безопасности. Ни один инструмент не может эффективно охватить все среды или функции. Например, AWS GuardDuty и GCP Security Center обслуживают различные облачные среды с различными наборами функций, в то время как сторонние инструменты защиты от вредоносного ПО могут поддерживать виртуальные машины, но испытывать трудности с бессерверными облачными рабочими нагрузками. Немногие инструменты действительно являются «лучшими в своем классе»; большинство из них предназначены для устранения пробелов и предотвращения «слепых зон». 

Такая фрагментация особенно ярко выражена в сфере информационной безопасности, в отличие от других организационных областей, таких как аудит, соответствие требованиям и физическая безопасность , которые обычно работают с более оптимизированными наборами инструментов.

Почему CSMA не оправдала ожиданий на практике

Концепция CSMA была амбициозной попыткой Gartner навести порядок в хаосе разрозненных инструментов безопасности. Концепция предполагала, что взаимосвязанные инструменты безопасности будут обмениваться контекстной информацией для достижения двух основных целей. 

1. Улучшенное обнаружение угроз посредством кроссплатформенной корреляции

Архитектура была направлена ​​на корреляцию сигналов на всех уровнях — оповещений межсетевого экрана, телеметрии конечных точек, облачных журналов и т. д. — для более раннего и точного выявления угроз. Такой комплексный подход теоретически должен был бы сократить «слепые зоны» безопасности и ускорить реагирование на инциденты.

2. Единое управление политикой и ее применение

CSMA предложила централизованное определение политики с единообразным применением в гетерогенных системах. Например, организации могли бы установить политику, например, «не допускать утечки документов по подготовке патентных заявок со следующей структурой», и применять её единообразно к электронной почте, общим папкам, SaaS-приложениям и облачным рабочим нагрузкам .

Несмотря на кажущуюся теоретическую обоснованность, реализация CSMA сопряжена со значительными практическими трудностями:

Эти барьеры при внедрении помешали широкому внедрению CSMA, несмотря на его концептуальную привлекательность.

SSE: Целенаправленная консолидация периметра сети

Представляем Security Service Edge (SSE) — текущее стратегическое направление индустрии кибербезопасности, использующее более узкий подход, чем комплексное видение CSMA. SSE специализируется на защите периметра сети, объединяя межсетевые экраны, прокси-серверы, защищенные веб-шлюзы, сетевой доступ с нулевым доверием и DLP на унифицированных платформах. 

Критики могут охарактеризовать SSE как продуманный ребрендинг, по сути, предоставляющий унифицированные интерфейсы для существующих функций безопасности. Эта оценка обоснована. Однако унифицированные интерфейсы создают основу для более глубокой интеграции, поскольку общие аналитические системы, согласованная логика политик и гармонизированные механизмы обеспечения соблюдения требований создают условия для постепенного, но значимого прогресса. 

SSE не решит всех проблем. Он не охватывает управление уязвимостями, управление состоянием безопасности в облаке или безопасные методы разработки. Тем не менее, он обеспечивает ощутимую согласованность сетевого периметра, не требуя при этом масштабных усилий по организационной интеграции, которые требует CSMA.

Стратегические рекомендации по безопасности центров обработки данных

Эволюция от CMSA к SSE предлагает стратегические идеи безопасности:

Рассматривайте CSMA как философию — долгосрочное видение унификации вашей архитектуры безопасности, — а SSE — как немедленный и действенный шаг. Для операторов центров обработки данных, управляющих сложными многопользовательскими средами, принятие этого подхода позволяет более эффективно управлять сложными инструментами безопасности, создавая масштабируемые и управляемые архитектуры безопасности, соответствующие требованиям инфраструктуры.