Röyhkeää verkkopalvelua

Lukuaika 3 min

Tämän hetken kuumin muotitermi tietoliikenne- ja tietoturvapalveluiden saralla on SASE (Secure Access Service Edge), joka lausutaan ”sassy”, joka taas voidaan kääntää sanoiksi ”röyhkeä, hävytön, julkea tai nenäkäs”. SASEn tavoitteena on mullistaa Internet-liikenteeseen liittyvä tietoturva- ja yhteysarkkitehtuuri vastaamaan modernin covid-aikakauden haasteisiin. Tässä taustalla on kaksi isompaa muutosta, joista kumpikin liittyy sijaintiin. Ensimmäinen on yrityksien käyttämisen sovellusten ja tietoteknisen kapasiteetin sijainti ja toinen niitä käyttävien työntekijöiden sijainti.

Murros yritysten sovellusten osalta liittyy kasvavaan trendiin hyödyntää Internetin kautta ohjelmisto palveluna -mallia (SaaS, Software as a Service). Sen sijaan, että yritys pyörittäisi valmisohjelmistoja omilla palvelimillaan, hankitaan niihin käyttöoikeudet ja käytetään niitä pilvestä. Tämä helpottaa IT-osaston toimintaa, koska pilvitarjoaja huolehtii operatiivisesta toiminnasta liittyen esimerkiksi tietoturvaan, kapasiteettiin ja käyttäjähallintaan. Toki käyttäjähallintaa tulee tehdä myös ostavan yrityksen taholta, koska tyypillisesti maksuperusteena on käyttäjä. Samoin monimutkaisemmissa palveluissa voi olla järkevää määrittää erilaisia rooleja, joilla on erilaisia oikeuksia järjestelmän osalta. SaaS-palveluiden käyttämisen myötä yhä suurempi osa yritysten tietoliikenteestä suuntautuu Internetiin sen sijaan, että käytettäisiin omissa konesaleissa sijaitsevia palveluita.

Murros käyttäjien sijainnin osalta liittyy koronaepidemian myötä syntyneeseen globaaliin etätyöilmiöön. Siinä missä aikaisemmin pääsääntöisesti vain tietotekniikkayritykset mahdollistivat etätyön tekemisen, on se nykyään normaali toimintamalli kaikissa organisaatioissa, joissa työn suorittamiseen ei tarvita läsnäoloa. Toki vieläkin on massiivinen määrä tehtäviä, joita on mahdotonta tehdä etänä, mutta se tehdään mitä voidaan. Organisaatiot ovat niin varmoja etätyöbuumin jatkumisesta, että jotkut ovat jo nyt alkaneet vähentää fyysisten toimipisteiden määrää. Nähtäväksi jää miten käy, mutta ainakin itse uskon, että etätyö laajassa mittakaavassa on tullut jäädäkseen.

Etätyö tarkoittaa työn tekemistä jossain muualla kuin yrityksen käyttöön varatussa toimipisteessä, johon on rakennettu yrityksen oma tietoliikenneinfrastruktuuri. Käytännössä ollaan himanetin, kahvilan vierailijaverkon tai mökin mobiiliyhteyden varassa. Yrityksen tehtäväksi jää pohtia, miten halutaan järjestää yhteydet käyttäjien tarvitsemiin sovelluksiin ja miten käyttäjien päätelaitteita (tyypillisesti läppäreitä) suojataan. Perinteisessä mallissa nämä tarpeet on toteutettu pakottamalla käyttäjän yhteydet kulkemaan yrityksen verkon kautta VPN-yhteyksien avulla ja huolehtimalla tarpeellisista tietoturva- ja muista toimenpiteistä tämän kautta. Tämä on edelleen ihan validi vaihtoehto, mutta sen rinnalle on siis nousemassa uusi, julkeampi vaihtoehto.

Alunperin SASEn ajatuksena oli yhdistää tehokas ja joustava tietoliikenne monipuoliseen tietoturvaan. Tietoliikenneosion osalta tämän hetken paras vaihtoehto on SD-WAN (Software Defined Wide Area Network), joka mahdollistaa esimerkiksi erilaisten tietoliikenneyhteyksien (Internet, MPLS L3 VPN) käyttämisen, sekä sovelluskohtaisen liikenteen ohjaamisen sopiville yhteyksille. Etätyöläisten käyttöön SD-WAN on toki liian raskas toimintamalli olkoonkin, että valmistajien pienimmät SD-WAN -purkit eivät paljoa maksa.

Etätyöläisen näkökulmasta tärkeämpi osa-alue SASEn osalta on tietoturva. Käytännössä tämä tarkoittaa pilviratkaisua, joka sisältää erilaisia tietoturvaelementtejä. Gartnerin SASE-määritelmän mukaisesti näihin kuuluvat esimerkiksi palomuuri, tunkeilijanhavainnointi, nimipalvelun suojaus, tietovuotojen ehkäisy, pilvipalveluiden suojaaminen, sekä web-liikenteen tarkastelu. Näiden ajatusten pohjalta eri valmistajat ovat sitten lähteneet luomaan omia SASE-tietoturvapilviä.

SASE-tietoturvapilven toteutus vaihtelee hyvin paljon valmistajasta toiseen riippuen siitä, mikä on valmistajan oma tausta. Jos olet palomuurivalmistaja, SASE-pilvi näyttää palomuurilta. Jos olet palveluntarjoaja, SASE-pilvi voi olla erilaisista komponenteista rakennettu kokonaisuus. Jokaisella valmistajalla ja SASE-palveluntarjoajalla on oma näkemys, miksi heidän pilvensä on paras ja näin ollen miksi se tulisi valita. Arvotettaviin asioihin kuuluvat esimerkiksi; Missä pilvi pyörii? Miten pilvi pyörii? Mitä kaikkia palveluita pilvessä on? Mikä on pilven hinnoittelumalli?

Pilven sijainti on käyttäjien näkökulmasta mielenkiintoinen asia. Jos ajatellaan esimerkiksi suomalaista käyttäjää, joka haluaa käyttää suomalaisia palveluita, tuntuu erikoiselta, että hänen liikenteensä kierrätettäisiin vaikkapa Ranskassa sijaitsevan pilven kautta. Toisaalta – jos käyttäjä onkin vaikkapa Saksassa, ei ole hirveän suurta merkitystä sillä, onko SASE-pilvi Ranskassa tai vaikkapa Puolassa. SASE-palveluntarjoajat ovat kehittäneet tähän malleja, joissa SASE-pilviä pyöritetään esimerkiksi 50 eri sijainnissa ympäri maapalloa. Näin ostajayrityksen tulee vain huolehtia, että hänen käyttäjiensä osalta pilvi on ”tarpeeksi lähellä”.

Pilven pyöritysmalli on toinen mielenkiintoinen piirre. Toisilla valmistajilla pilvi on täysin virtualisoitu kokonaisuus, eli kaikki tietoturvakomponentit pyörivät geneerisellä x86-raudalla. Tämän hyvä puoli on skaalautuvuuden helppous – mikäli palvelinkapasiteettia on tarpeeksi (esimerkiksi julkisissa IaaS-pilvissä), käyttäjämäärän kasvaessa järjestelmän täytyy vaan potkia uusia palveluinstansseja pystyyn tarpeen mukaan. Toisilla valmistajilla taas on lähdetty siitä, että komponentit pyörivät tarkoitukseen kehitetyllä raudalla jolloin taas saadaan parempaa suorituskykyä, koska dedikoitu rauta on tyypillisesti tehokkaampaa kuin geneerinen alusta. Ja sitten on näistä erilaisia välimalleja.

Ostajayrityksen näkökulmasta myös hinnoittelumalli on mielenkiintoinen. Toisilla hinta riippuu ainoastaan käyttäjien määrästä, ei niinkään käytön määrästä. Toisessa ääripäässä on käytön eli kapasiteetin määrä riippumatta siitä, paljon käyttäjiä on lukumääräisesti. Ja sitten on näistä erilaisia välimalleja. Tämä tekee toki palveluiden vertailusta vaikeaa, mutta tässä kohtaa markkina on vielä kovin hajanainen.

Kun SASE-palvelu on valittu, täytyy pohtia, miten etätyöntekijän yhteydet kierrätetään sen kautta. Kuten aiemmin mainitsin, perusvaihtoehtona voi olla SD-WAN -ratkaisun tuominen käyttäjälle esimerkiksi kotiverkoksi. Tämä voidaan sitten dynaamisesti yhdistää osaksi SASE-pilveä. Yhtä lailla validi vaihtoehto on asentaa päätelaitteelle ohjelma, joka muodostaa VPN-yhteyden SASE-pilveen ja sitä kautta hyödyntää siellä sijaitsevia tietoturvapalveluita. Ja kolmas vaihtoehto on ”agentiton” malli, missä määritellään välityssäännöt suoraan käytettävässä sovellusohjelmistossa (esimerkiksi web-selain).

Yrityksen tietoliikenne- ja tietoturvavastaavan näkökulmasta SASE-pilven käyttäminen voi helpottaa elämää suurestikin. Tämä johtuu siitä, että kaikkea liikennettä ei tarvitse enää kierrättää keskuspaikan kautta ja sitä kautta käyttäjät ovat mahdollisesti tyytyväisempiä saamaansa palvelun laatuun. Keskuspaikan reunaelementtien (Internet-yhteydet, palomuuri, VPN-keskitin) skaalautuvuudesta ja kapasiteetista ei tarvitse enää huolehtia. Kunhan muistaa maksaa SASE-pilven käyttömaksut. Ja kuitenkin – kaikkeen liikenteeseen on olemassa kontrolli ja näkyvyys.

Röyhkeä verkkopalvelu on uusi tulokas kovaa vauhtia uudelleen muovautuvassa yritysten tietoteknisessä infrastruktuurissa. Gartnerin määritelmä aiheesta on ollut olemassa ainoastaan muutaman vuoden olkoonkin, että samaa ajattelutapaa edustavia palveluita on löytynyt markkinasta jo pidempään. On mielenkiintoista nähdä, miten laajasti SASE otetaan käyttöön tulevina vuosina, mutta ainakin tällä hetkellä kiinnostus sitä kohtaan tuntuu olevan kova. Jos aihe kiinnostaa, ota ihmeessä yhteyttä, niin katsotaan tarkemmin minkälainen SASE-pilvi olisi optimaalinen sinun käyttöösi.

Kirjoittanut

Aki Anttila työskentelee Elisa Santa Monicalla infrastruktuurievankelistana.