Hej vi er et nyt firma (70 brugere), og al vores infrastruktur er i skyen. Vi bruger færdiglavede cloud apps og Google Workspace. Vi er hybride brugere uden noget på stedet. Da vores bygning blev lejet, havde jeg ikke kontrol over netværket, så jeg indførte en SASE kaldet P81. Brugerne brugte det stort set som en VPN, og jeg kunne tilføje firewall-regler. Ikke noget komplekst. Vi flytter nu kontorer, og vi vil have vores eget netværksudstyr, nemlig en Fortinet 90G, Meraki MS130 og MR46 AP’er. Skal jeg droppe SASE nu, hvis Fortinet giver os en sikker firewall og VPN-funktionalitet? Givet at brugerne, der arbejder hjemmefra, ikke skal connecte til kontoret for at få adgang til nogen services, da vi ikke hoster noget. De bruger deres egen hjemme-WiFi.
Du ved, hvad der er sjovt. Fejlfinding af VPN-problemer, når du er afhængig af den router, som hjemme-ISP’en giver dine brugere.
Personligt ville jeg beholde SASE-løsningen til remote adgang. SSL VPN er konstant målrettet nu.
Vil du stadigvæk ikke gerne have god internet-/app-sikkerhed for dine brugere, når de er hjemme på deres hjemmenetværk? Det er et case for god cloud/app-sikkerhed (SSE), i det mindste. Det ville ikke være en god strategi at bruge VPN til at backhaul dine brugeres trafik til Fortinet i dit kontor for inspektion, før adgang til dine cloud apps gives. Det ville heller ikke være godt blot at lade dem få adgang til internettet som vildt vesten. Det ville være et skridt i den forkerte retning, after my opinion.
Du har et enkelt kontor (ud fra hvad jeg forstod) med 100% af dine apps i skyen. Den eneste relevans for fuld SASE i sådan et miljø ville være at mindske risikoen for serviceafbrydelser, f.eks. ved UCaaS (realtids-voice/video-tjenester), mens dine brugere er på kontoret. Selv da kan kun visse SASE (SD-WAN) løsninger mindske denne risiko. Ikke alle har denne kapacitet (f.eks. Aryaka, Cato Networks og VMWare VeloCloud kan mindske risikoen).
Hvis det ikke er relevant, har du ikke rigtig en stærk sag for fuld SASE (ingen behov for SD-WAN), men du har stadig en stærk sag for SSE.
Hvis alle skal connecte til skyen på en måde, hvorfor gøre kontornetværket mere kompliceret?
En tredjeparts sikkerhedsrevision vil sandsynligvis anbefale en zero-trust/SASE-approach, så jeg vil være forsigtig med at implementere den ældre, Fortinet-baserede VPN. Du gør allerede det bedste løsning, som andre organisationer prøver at implementere. Hvis din SASE fungerer og budgettet tillader det, vil dit job være lettere uden et nyt Fortinet-VPN setup, nye klienter, forskellige kapaciteter, forskellige funktionsfejl osv.
Ikke at forglemme pålideligheden – hvorfor skabe en ny afhængighed af kontorets netværk for fjernarbejdere?
Har aldrig brugt p81. Har den webfiltrering, eller har du noget på medarbejdernes enheder, der filtrerer og logger webtrafik? Hvis p81 gør dette, ville jeg beholde den, da det er et godt værktøj til at beskytte endpoints og efterforske eventuelle kompromitteringer.
Hvis alt er i skyen, hvad har du så brug for VPN til?
Baseret på disse par sætninger er jeg ikke sikker på, hvad du egentlig bruger.
Du siger SASE (som er en hel suite af ting), men det lyder som om, du virkelig mener ZTNA?
SASE er mere end en firewall og VPN. Måske burde du opgradere din netværks- og sikkerhedsviden for bedre at kunne informere virksomheden om de beslutninger, de skal træffe.
Hvis al din infrastruktur er i skyen, er SASE den bedste cyber-teknologi for dig. Kontorbaseret udstyr (firewalls osv.) hæmmer din skyproduktivitet.
SASE-udbydere er dog meget forskellige. Jeg har arbejdet i en SASE-virksomhed i flere år og kan give dig casestudier om små virksomheder og hvorfor de valgte SASE frem for on-site udstyr. Send mig en DM.
“Jeg ved, hvordan man sparer 500 dollar”
“lad os købe en anden leverandør til kanten og indersidenheder, hvilket gør det hele lidt mere bøvlet”
“god idé”
Vi har Google Workspace, Slack, Shopify, cloud CRM, Aircall, LastPass, Monday.com og et par andre færdiglavede apps i skyen. Brugerne bruger Google Drive som deres netværksdrev til at dele filer. 80% Mac-brugere med Mosyle som MDM. På kontoret tilslutter de sig P81, som er et skybaseret netværk med firewall og webfilterregler som en del af SASE-løsningen. De bruger det hjemmefra eller under rejser. Hybrid arbejdsstyrke. Intet hostet lokalt. Vi har endda cloud-to-cloud Google Workspace backup.
Behold P81, fordi dine brugere ikke altid er på kontoret, og Fortinets ZTNA-produkt er møg.
Tidligt under covid havde jeg en bruger, hvis Spectrum-kabelmodem fuldstændig ødelagde hendes evne til at bruge software VPN. Jeg måtte installere en MX60, vi havde liggende, i hendes hus, så den kunne tunne til vores netværk, og hun havde lokal “arbejde” WiFi at tilslutte sig.
Endnu bedre: Når 2 brugere er på samme CGNAT-IP, og CGNAT-enheden ikke sender svar tilbage til den anden bruger, fordi IPSec-protokollen kun kan håndtere 1 IPSec via NAT-forbindelse, resulterer det i af og tilslutningsproblemer for begge brugere (en kan komme på, men den anden kan ikke, og omvendt, afhængigt af hvem der logger ind først!)
Meget gode pointer der, Shark, tak.
Det har webfiltrering mod merudgift, hvilket vi har, og jeg antog, at Fortinet måske også har dette.
P81 (perimeter 81) blev til Checkpoint, som nu hedder Harmony SASE.
Primært for folk, der arbejder hjemmefra - jeg har ingen kontrol over deres hjemmenetværk, når de tilslutter sig P81, ja.
Også for lidt tryghed, mens vi bruger andres internet i kontoret.