ماذا تتوقع من الجيل التالي من بوابات الويب الآمنة

بعد أكثر من قرن من الابتكار التكنولوجي منذ أن انطلقت الوحدات الأولى من خطوط تجميع هنري فورد ، لا تشترك السيارات والنقل كثيرًا مع عصر الطراز T. سيستمر هذا التطور حيث يجد المجتمع طرقًا أفضل لتحقيق نتيجة نقل الأشخاص من النقطة أ إلى النقطة ب.

في حين بوابات الويب الآمنة (SWGs) عملت وفقًا لجدول زمني مضغوط بدرجة أكبر ، حدث تطور جذري مماثل. لا تزال مجموعات SWG تركز إلى حد كبير على ضمان حماية المستخدمين من زوايا الإنترنت غير الآمنة أو غير المتوافقة ، لكن الانتقال إلى عالم العمل السحابي وعالم العمل عن بُعد قد خلق تحديات أمنية جديدة لم تعد SWG التقليدية مجهزة للتعامل معها. حان الوقت للجيل القادم من SWGs التي يمكنها تمكين المستخدمين من الازدهار بأمان في عالم يتزايد فيه اللامركزية والخطورة.

كيف وصلنا إلى هنا

بدأ SWG في الواقع كحل لتصفية عناوين URL ومكّن المؤسسات من ضمان امتثال تصفح الويب للموظفين لسياسة الوصول إلى الإنترنت الخاصة بالشركة.

ثم تحولت تصفية عناوين URL إلى الخوادم الوكيلة الموجودة خلف جدران حماية الشركة. نظرًا لأن الوكلاء ينهون حركة المرور القادمة من المستخدمين ويكملون الاتصال بالمواقع المرغوبة ، فقد رأى خبراء الأمن بسرعة إمكانية إجراء فحص أكثر شمولاً من مجرد مقارنة عناوين URL بالقوائم السوداء الحالية. من خلال دمج قدرات الحماية من الفيروسات وغيرها من القدرات الأمنية ، أصبحت “بوابة الويب الآمنة” جزءًا هامًا من هياكل الأمان الحديثة. ومع ذلك ، لا يمكن لمجموعة SWG التقليدية أن تلعب هذا الدور إلا إذا كانت نقطة الاختناق لجميع حركات المرور على الإنترنت ، وتجلس على حافة كل محيط شبكة شركة ولديها المستخدمين البعيدين “منعطفًا حادًا” عبر تلك الشبكة عبر روابط VPN أو MPLS.

SWG من الجيل التالي

أدى الانتقال إلى عالم السحابة والعمل عن بُعد إلى وضع أعباء جديدة على SWG التقليدية القائمة على المحيط. يمكن للمستخدمين الآن الوصول مباشرة إلى البنية التحتية لتكنولوجيا المعلومات والموارد المتصلة من أي مكان تقريبًا من مجموعة متنوعة من الأجهزة المختلفة ، ولم يعد العديد من هذه الموارد موجودًا داخل محيط الشبكة على خوادم الشركة.

يعمل هذا التحول الملحوظ أيضًا على توسيع متطلبات حماية البيانات والتهديدات ، مما يترك فرق الأمان في مواجهة عدد من التهديدات المعقدة الجديدة وتحديات الامتثال. لسوء الحظ ، لم تتمكن مجموعات SWG التقليدية من مواكبة مشهد التهديد المتطور هذا.

يتضمن كل اختراق كبير الآن مكونات ويب معقدة ومتعددة المستويات لا يمكن إيقافها بواسطة محرك ثابت. كان نهج SWG التقليدي هو التنسيق مع أجزاء أخرى من البنية التحتية الأمنية ، بما في ذلك صناديق الحماية للبرامج الضارة. ولكن نظرًا لأن التهديدات أصبحت أكثر تقدمًا وتعقيدًا ، فقد أدى ذلك إلى إبطاء الأداء أو السماح بمرور التهديدات. هذا هو المكان الذي يجلب فيه Remote Browser Isolation (RBI) نقلة نوعية إلى الحماية المتقدمة من التهديدات. عندما يتم تنفيذ RBI كمكون أساسي لفحص حركة بيانات SWG ، وباستخدام التكنولوجيا المناسبة مثل تعيين البكسل ، فإنه يمكن أن يوفر حماية في الوقت الفعلي بدون يوم من برامج الفدية وهجمات التصيد والبرامج الضارة المتقدمة الأخرى مع عدم إعاقة تجربة التصفح.

هناك قضية أخرى تدور حول الطبيعة المشفرة للإنترنت. تستخدم غالبية حركة مرور الويب وجميع التطبيقات السحابية تقريبًا SSL أو TLS لحماية الاتصالات والبيانات. بدون القدرة على فك تشفير وفحص وإعادة تشفير حركة المرور بطريقة متوافقة مع الحفاظ على الخصوصية ، فإن SWG التقليدية ببساطة غير قادرة على التعامل مع عالم اليوم.

أخيرًا ، هناك مسألة التطبيقات السحابية. بينما تعمل التطبيقات السحابية على نفس الإنترنت مثل مواقع الويب التقليدية ، فإنها تعمل بطريقة مختلفة تمامًا لا تستطيع مجموعات SWG التقليدية فهمها. تم تصميم Cloud Access Security Brokers (CASBs) لتوفير الرؤية والتحكم في التطبيقات السحابية ، وإذا لم يكن لدى SWG إمكانية الوصول إلى قاعدة بيانات شاملة لتطبيق CASB وعناصر تحكم CASB المتطورة ، فإنها تكون عمياء بشكل فعال عن السحابة.

ما نحتاجه من مجموعات SWG من الجيل التالي

يجب أن يساعد الجيل التالي من SWG في تبسيط تنفيذ حافة خدمة الوصول الآمن (SASE) الهندسة المعمارية والمساعدة في تسريع اعتماد السحابة الآمنة. في الوقت نفسه ، تحتاج إلى توفير حماية متقدمة من التهديدات ، وتحكم موحد في البيانات ، وتمكين قوة عاملة عن بُعد وموزعة بكفاءة.

فيما يلي بعض حالات الاستخدام:

• تمكين قوة العمل عن بعد مع بنية مباشرة إلى السحابة توفر توفرًا بنسبة 99.999٪ – نظرًا لأن البلدان والدول خرجت ببطء من طلبات توفير المأوى في مكانه ، أشارت العديد من المنظمات إلى أن دعم القوى العاملة عن بُعد والموزعة سيكون على الأرجح القاعدة الجديدة. قد يكون الحفاظ على إنتاجية العاملين عن بُعد وتأمين البيانات وحماية نقاط النهاية أمرًا مرهقًا في بعض الأحيان. يجب أن يوفر SWG من الجيل التالي للمؤسسات قابلية التوسع والأمان لدعم القوى العاملة عن بُعد اليوم والنظام البيئي الرقمي الموزع. تساعد بنية السحابة الأصلية في ضمان التوافر ، وخفض زمن الوصول ، والحفاظ على إنتاجية المستخدم من أي مكان يعمل فيه فريقك. يجب أن توفر الخدمة الحقيقية على مستوى السحابة خمسة تسعة (99.999٪) توفرًا متسقًا.

• تقليل التعقيد الإداري وخفض التكلفة – اليوم ، مع زيادة اعتماد السحابة ، يتم توجيه أكثر من ثمانين بالمائة من حركة المرور إلى الإنترنت. إن إعادة ربط حركة مرور الإنترنت إلى بنية “Hub and Spoke” التقليدية التي تتطلب روابط MPLS باهظة الثمن يمكن أن تكون مكلفة للغاية. تتباطأ الشبكة حتى تتوقف مع تصاعد حركة المرور ، وأثبت VPN للعاملين عن بُعد عدم فعاليتهم. يجب أن يدعم SWG من الجيل التالي إطار عمل SASE ويوفر بنية مباشرة إلى السحابة تقلل من إجمالي تكاليف التشغيل عن طريق تقليل الحاجة إلى روابط MPLS. باستخدام نموذج توصيل SaaS ، يزيل الجيل التالي من SWG الحاجة إلى نشر البنية التحتية للأجهزة وصيانتها مما يقلل من تكاليف الأجهزة والتشغيل. وفقًا لتقرير SASE من Gartner ، يمكن للمؤسسات “تقليل التعقيد الآن على جانب أمان الشبكة من خلال الانتقال إلى مورد واحد مثالي لبوابة الويب الآمنة (SWG) ووسيط أمان الوصول إلى السحابة (CASB) …” من خلال توحيد CASB و SWG ، يمكن للمؤسسات الاستفادة من توحيد إدارة السياسات والحوادث ، وتبادل الرؤى حول مخاطر الأعمال وقاعدة بيانات التهديدات ، وتقليل التعقيد الإداري.

• الدفاع ضد التهديدات المعروفة وغير المعروفة – مع استمرار نمو الويب وتطوره ، تنمو هجمات البرامج الضارة المنقولة عبر الويب وتتطور أيضًا. تعمل برامج الفدية والتصيد الاحتيالي والتهديدات الأخرى المستندة إلى الويب على تعريض المستخدمين ونقاط النهاية للخطر. يجب أن يوفر الجيل التالي من SWG البرامج الضارة في الوقت الفعلي Zero-day وحماية متقدمة من التصيد الاحتيالي عبر نهج متعدد الطبقات يدمج ذكاء التهديد الديناميكي لعناوين URL وعناوين IP وتجزئة الملفات والحماية في الوقت الفعلي ضد التهديدات غير المعروفة من خلال التعلم الآلي والمحاكاة- وضع الحماية القائم. يجب أن يشتمل SWG من الجيل التالي أيضًا على عزل متكامل عن بعد للمتصفح لمنع التهديدات غير المعروفة من الوصول إلى نقاط النهاية. علاوة على ذلك ، يجب أن يوفر الجيل التالي من SWG القدرة على فك تشفير وفحص وإعادة تشفير حركة مرور SSL / TLS بحيث لا يمكن إخفاء التهديدات والبيانات الحساسة في حركة المرور المشفرة. أخيرًا ، يجب أن يكون SWG من الجيل التالي XDR- متكامل لتحسين كفاءة SOC. لدى فرق SOC الكثير للتعامل معه بالفعل ولا ينبغي عليهم قبول أدوات الأمان المعزولة.

• تأمين البيانات الخاصة بك ، وليس عملك – أكثر من 95٪ من الشركات اليوم تستخدم الخدمات السحابية ، لكن 36٪ فقط من الشركات تستطيع ذلك فرض قواعد منع فقدان البيانات (DLP) في السحابة على الاطلاق. يجب أن يوفر SWG من الجيل التالي طريقة أكثر فاعلية لفرض الحماية باستخدام قوالب منع فقدان البيانات المضمنة وسير عمل حماية البيانات المضمنة لمساعدة المؤسسات على الامتثال للوائح. توفر حماية البيانات من الجهاز إلى السحابة رؤية شاملة للبيانات وعناصر تحكم متسقة عبر نقاط النهاية والمستخدمين والسحابة والشبكات. عند وقوع الحوادث ، يجب أن يكون المسؤولون قادرين على إدارة التحقيقات ومهام سير العمل وإعداد التقارير من وحدة تحكم واحدة. يجب أن تدمج مجموعات SWG من الجيل التالي أيضًا تحليلات سلوك المستخدم والكيان (UEBA) لزيادة حماية البيانات الحساسة للأعمال عن طريق اكتشاف وفصل المستخدمين العاديين عن المستخدمين الضارين أو المخترقين.

من الواضح أن SWGs قطعت شوطًا طويلاً من كونها مجرد أجهزة لتصفية عناوين URL إلى النقطة التي تكون فيها ضرورية لتعزيز الاعتماد الآمن والمتسارع للسحابة. لكننا نحتاج إلى دفع الظرف الذي يضرب به المثل كثيرًا إلى أبعد من ذلك. لا يتطلب التحول الرقمي أقل من ذلك.