So sánh SASE và VPN: Quản lý kết nối từ xa và VPN Site-to-Site

- Mạng riêng ảo (VPN) đã trở thành giải pháp bảo mật để giữ an toàn cho thông tin liên lạc giữa các mạng (networks) và thiết bị đầu cuối (enpoints). Xét cho cùng, VPN cung cấp một phương pháp đơn giản, an toàn để kết nối các đơn vị với nhau(VPN site-to-site) mà không cần chi trả thêm cho một dịch vụ MPLS cao cấp và chúng cho phép người dùng di động có được kết nối an toàn từ bất cứ đâu (mobile VPN). Triển khai nhanh, tính sẵn sàng cao, chỉ yêu cầu có thể truy cập Internet và chi phí cho mạng tương đối thấp do sử dụng dung lượng Internet hợp lý.

- Tuy nhiên, đối với tất cả những lợi ích đó, VPN vẫn có những hạn chế hoàn hảo. Vì nó yêu cầu bộ phận IT phải chi trả và triển khai các thiết bị VPN riêng biệt, làm tăng chi phí và phức tạp hóa việc bảo trì. Hầu hết các giải pháp VPN yêu cầu bản vá thường xuyên, cài đặt chính sách cho người dùng, cấu hình lại và giám sát. Tất cả những điều đó làm tăng thêm gánh nặng cho việc cố gắng duy trì an ninh mạng. Hơn nữa, VPN có thể gây ra độ trễ cho các kết nối di động, cũng như yêu cầu các bước đăng nhập bổ sung, thường gây nhầm lẫn cho người dùng cuối và tăng thêm gánh nặng lên bộ phận IT.

- Tất cả các vấn đề này đều đặt ra câu hỏi: Đã đến lúc bỏ VPN ra khỏi môi trường mạng của bạn và tìm ra giải pháp tốt hơn cho việc truy cập từ xa Site-to-Site và Trên thiết bị di động?

- Cho đến gần đây, câu trả lời cho câu hỏi của chúng ta ở trên sẽ là "không." Không có câu trả lời nào tốt hơn được đưa ra. Tuy nhiên, khi công nghệ mạng ngày càng phát triển, câu trả lời cho câu hỏi hóc búa về VPN có thể được tìm thấy trong Secure Access Service Edge (SASE), một cải tiến của SD-WAN và rất có thể là VPN. Và bài viết này chúng ta sẽ tìm hiểu lý do tại sao.

SASE HAY VPN: SỰ KHÁC NHAU GIỮA CẢ HAI LÀ GÌ?
- SASE bắt nguồn từ một đề xuất của gã khổng lồ về nghiên cứu Gartner, định nghĩa SASE là một mô hình kiến trúc đám mây kết hợp các chức năng của các giải pháp mạng và bảo mật khác nhau thành một nền tảng bảo mật đám mây thống nhất.

- SASE, như được Gartner hình dung, hoạt động như một dịch vụ đám mây thuần túy (cloud-naive service) kết nối tất cả các “egdes - cạnh” của tổ chức - bao gồm các site, người dùng di động (mobile user), thiết bị IoT và tài nguyên đám mây (cloud resource) - thành một mạng duy nhất, bảo mật toàn bộ. Có nghĩa là cloud-native là phần mềm có tất cả các lợi ích về khả năng mở rộng, tính đàn hồi và triển khai đăng ký của cloud.

- Và mạng được bảo mật. Chúng tôi không chỉ muốn nói đến an toàn như một mạng được mã hóa, giống như SD-WAN. Mà là nói đến một công nghệ hoàn chỉnh, kèm theo tính năng bảo mật nhằm bảo vệ hệ thống chống lại các mối đe dọa từ Internet. Cụ thể hơn như là: Next-Generation Firewall (NGFW), CASB, SWG, ZTNA, RBI và DNS đều là một phần của nền tảng SASE.

- Các thiết bị được chia thành các loại khác nhau để thiết lập các tunnel được mã hóa đến điểm SASE point of presence (PoP). Phần mềm trong SASE PoP xác thực người dùng đang kết nối và cấp quyền truy cập vào các tài nguyên đã xác định dựa trên danh tính user và các điều kiện ở thời gian thực, chẳng hạn như vị trí hoặc chủng loại thiết bị của người dùng.

​

- Lưu lượng đến được kiểm tra trong single-pass (cho phép đi qua một lần) với SASE áp dụng đầy đủ các chức năng bảo mật, được tối ưu hóa và chuyển tiếp dọc theo con đường tối ưu đến đích của nó.

SASE CÓ NHỮNG LỢI ÍCH MÀ KHÔNG CÓ NHỮNG NHƯỢC ĐIỂM CỦA MẠNG VPN.
- Giống như VPN, SASE có thể hoạt động an toàn qua Internet, làm cho nó có giá cả phải chăng và khả dụng ở bất cứ đâu. Nhưng SASE có một vài lợi điểm so với bất kỳ giải pháp VPN hiện đại nào, mang lại các loại hiệu suất và tính dễ sử dụng mà trước đây chỉ dành cho các site. Chung quy, SASE làm cho các site, người dùng di động, thiết bị IoT và tài nguyên đám mây trở nên ngang hàng của mạng WAN mới.

- SASE đơn giản hóa việc triển khai và bảo trì bằng cách bỏ qua việc phải thêm phần cứng và bộ tập trung VPN chuyên dụng. Thay vào đó, các site và người dùng di động kết nối trực tiếp với SASE PoP. Các site thông qua dịch vụ SD-WAN toàn cầu của SASE; người dùng di động kết nối thông qua máy khách hoặc truy cập không cần máy khách.

​

- Và bằng cách thiết lập các tunnel tới PoP gần nhất chứ không phải với nhau, SASE tránh được các vấn đề triển khai chéo và khôi phục sự có lại toàn bộ mạng, VPN site-to-site. Trong các mạng đó, nơi các site duy trì các tunnel trực tiếp với mọi đơn vị khác trong mạng, trước tiên nhân viên IT dành thời gian để cấu hình các tunnel và sau đó là thiết bị VPN thiết lập lại các tunnel sau khi mạng bị lỗi. Với SASE, các site chỉ thiết lập một hoặc hai tunnel tới PoP cục bộ. Điều này được thực hiện tự động, làm cho việc triển khai ban đầu rất dễ dàng và với rất ít tunnel, việc khôi phục sau sự cố mạng có thể chỉ trong một phần nhỏ thời gian ngay cả đối với mạng lưới rất lớn, được mesh với nhau.

- SASE cũng giải quyết vấn đề về hiệu suất mà VPN gặp phải. Tối ưu hóa cho WAN và tuyến đường định tuyến được tích hợp trong SASE để cải thiện hiệu suất lưu lượng cho tất cả các edge. Còn với VPN, những công nghệ đó không thể thực hiện được (trong trường hợp người dùng di động) hoặc sẽ yêu cầu phải được đầu tư thêm (trong trường hợp VPN site-to-site).

- Thêm nữa SASE giúp loại bỏ sự cố làm suy yếu hiệu suất VPN trên thiết bị di động. Thay vì đẩy lưu lượng truy cập Internet và Cloud về điểm kết nối trung tâm, như trường hợp của VPN, SASE mang kiểm tra bảo mật đến PoP cục bộ. Lưu lượng truy cập đến PoP gần nhất, được kiểm tra và được chuyển tiếp trực tiếp đến điểm đến của nó.

SASE GIÚP BẢO MẬT DỄ DÀNG HƠN
- SASE không chỉ giải quyết các vấn đề hạn chế về mạng của VPN mà còn có một công cụ bảo mật duy nhất cho lưu lượng truy cập từ mọi khía cạnh giúp đơn giản hóa đáng kể việc quản lý và thực thi chính sách bảo mật.

- Access control - kiểm soát truy cập chặt chẽ hơn nhiều. Thay vì cho người dùng từ xa quyền truy cập vào toàn bộ mạng, SASE sử dụng Software Defined Perimeter (SDP) trên nền tảng đám mây hoặc Zero Trust Network Access(ZTNA), hạn chế quyền truy cập mạng vào các tài nguyên được phép. Người dùng chỉ nhìn thấy tài nguyên mạng, có thể là ứng dụng hoặc máy chủ, được chính sách của họ cho phép. Không có cơ hội để họ “PING” hoặc sử dụng các công cụ IP khác để điều tra mạng và khám phá các tài nguyên không được bảo vệ. SDP sử dụng xác thực mạnh mẽ khi truy cập và kiểm tra lưu lượng liên tục, giúp bảo mật hơn nữa các endpoint.

- Security management - quản lý bảo mật cũng dễ dàng hơn nhiều, đặc biệt khi kết hợp VPN với SD-WAN. Thay vì duy trì các chính sách bảo mật riêng biệt cho người dùng di động được kết nối bởi VPN và người dùng tại văn phòng truy cập ở sau thiết bị SD-WAN, SASE tạo một bộ chính sách bảo mật duy nhất cho tất cả người dùng và tài nguyên.

SASE TRẢ LỜI CÁC THẮC MẮC CHO VPN
- SASE với SDP dựa trên đám mây được chứng minh là nhanh hơn, an toàn hơn và dễ quản lý hơn các hệ thống VPN cũ. Đó là sự lựa chọn rõ ràng cho những ai đang tìm kiếm một giải pháp VPN hiện đại hoặc tìm ra lợi ích từ sự kết hợp giữa VPN và SD-WAN.