Lépésről lépésre a SASE felé
A Cloudflare és a CDW szerint a sikeres SASE (Secure Access Service Edge) átállás nem lehet vak ugrás a sötétbe. A Cloudflare globális, Zero Trust-alapú platformját a CDW több évtizedes, komplex IT-telepítési tapasztalata egészíti ki. Közösen egy átgondolt, kockázatminimalizált stratégiát kínálnak: nemcsak átkötik a “csöveket”, hanem a meglévő elavult IT-t korszerű és rugalmas biztonsággá alakítják, szükségtelen leállások nélkül.
Tapasztalat: Ne csak “emeld-és-vidd” módszerrel migrálj!
A hagyományos migrációk gyakran azért fulladnak kudarcba, mert a hálózatokat túl egyszerűen kezelik – figyelmen kívül hagyva az egyes alkalmazások összefonódó, komplex kapcsolatrendszerét. Sokan beleesnek abba a csapdába, hogy egyszerre próbálják áthelyezni a teljes alkalmazásállományt, miközben nem veszik figyelembe azok rejtett függőségeit. Egy friss közszférás példa mutatja: több mint 500 alkalmazást tettek át egy időben, prioritizálás hiányában a 4000-es állományból – a végeredmény rendszerszintű szolgáltatásleállás lett.
A CDW a migrációs katasztrófák ellen szervezett főépítész szerepét vállalja. Elemzéseik során visszatérő hibamintákat találtak: a Zero Trust-bevezetés tipikus buktatóira egy ellenállóbb migrációs tervvel válaszolnak. Nem egyszerűen kapcsolatokat cserélnek, hanem alkalmazásmodernizációs projektté emelik az egész folyamatot, a biztonsági elvárásokat kezdettől beépítve, nemcsak utólag “ráncigálva rá”.
Az elavult alkalmazások megújítása Cloudflare Access-szel
A múltbeli, mindent-egyben jellegű kockázatok elkerülése érdekében a folyamatot a Cloudflare Access szolgáltatására alapozzák. Ez modern, Zero Trust-modellt vezet be a klasszikus, sebezhető VPN-ek helyett: minden kapcsolódási próbát valós időben, azonosítás, eszközállapot és egyéb környezeti feltételek szerint bírál el. Így csökken az elérhető támadási felület, megszűnnek a belső hálózaton belüli tovaterjedési lehetőségek – vagyis a rendszerszintű kimaradások is megelőzhetők.
A Cloudflare Access lehetővé teszi az elavult rendszerek “becsomagolását” – a meglévő kód újraírása nélkül tehetők biztonságosabbá a régi alkalmazások. Például, ha egy örökölt alkalmazásból hiányzik a többfaktoros azonosítás, akkor Cloudflare Tunnel-lel csak egyirányú, SSO-MFA-val védett kapcsolat jön létre, így az app eltűnik a publikus internetről, mivel nincs többé támadható IP-címe. Ezt a peremhálózaton érvényesített Cloudflare Access-szabályzat egészíti ki, amely hardveres MFA-t és eszközállapot-ellenőrzést kér már az első csomag érkezése előtt.
Előkészületek: Audit, felmérés, tesztelés
Bármiféle migráció előtt az IT-vezetőknek auditálniuk kell az infrastruktúrájukat – fel kell mérniük, mely régi rendszerek kompatibilisek a modern védelmi protokollokkal. Elsőként érdemes azonosítani, hogy egy adott alkalmazás központi azonosítási szolgáltatót (mint az Okta) használ-e, vagy még a régi helyi címtárban fut. Fontos feltérképezni az alkalmazások rejtett adatbázis- és API-függőségeit is – ezek azok, amelyek gyakran a háttérben hibásodnak meg és okoznak leállást, ha a kiszolgálók tunnelalapú kapcsolata nincs karbantartva.
A projekteket ketté kell osztani: az egyik csoport a stratégiai biztonsági kontrollokra, a másik a gyors telepítésre koncentrál. Így biztosítható, hogy a legfontosabb alapelvek (például az oldalirányú terjedés megakadályozása) ne menjenek a sebesség oltárán.
Az átállás során kiemelt figyelmet kapnak azok a régi alkalmazások, melyek állandó munkamenetet igényelnek – például mobilos toronyváltáskor. A Cloudflare dinamikus útvonal-optimalizációja (PMTUD) révén ezek zavartalanul folytatódnak IP-címváltás esetén is, így lépésről lépésre kiválthatók a drága, rugalmatlan vasak.
Tudatos tervezés: Alkalmazások kategorizálása és ütemezés
A migrációs munkát alkalmazásrétegekre bontják, így reális becslést kaphatnak a várható lefolyásról. A modernebb SaaS-alkalmazásokat – amelyek natív SAML-t vagy OIDC-t használnak – tipikusan 13 óra alatt lehet átállítani. A belső webalkalmazásoknál (Tier 1) ez átlagosan 36 órát igényel, mert már speciálisabb proxizás kell. A régebbi, nem webes kliens–szerveres programok (Tier 2) esetén már 48 óra az átlagos ráfordítás, hiszen mindkét oldalon Cloudflare One Clientet és Tunnelt kell bevetni. A legrégebbi, bonyolult infrastruktúrájú nagyvállalati appok (Tier 3) áthozása akár 13 napig is eltarthat, gyakran fejlesztési beavatkozást kíván.
A szakaszos áttérés receptje
A CDW és a Cloudflare nem hirtelen áttérést javasol, hanem szakaszokat: elsőként stratégiaalkotás és csapatszervezés (beleértve tapasztalt, volt IT-biztonsági vezetőket); majd pilot körben a Cloudflare One Client bevezetése egy kisebb dolgozói körben, itt kiszűrve minden “latency tax”-jellegű problémát. Ezután indítható az éles üzem felfuttatása: ekkor egy ideig párhuzamosan hagyják élni a régi VPN-t és az új Cloudflare Accesst, hogy mindenki zavartalanul szokhassa az új Zero Trust-modellt, és visszagurulási lehetőség is legyen, ha gond adódna.
Teljesítmény = biztonság
A Cloudflare egyszerre futtat minden biztonsági ellenőrzést, így a műveleti tempó is nő. Egyetlen központi irányítópulttal a biztonsági csapatok nem akadályozzák, hanem támogatják a céges működést. A posztkvantum titkosítás révén a rendszer készen áll a jövő kihívásaira is.
Migráció – kockázat és kompromisszum nélkül
A korszerűsítés – más szóval – fokozatos, jól tervezett hídépítés a régi és az új között. Ha prioritás az alkalmazásfejlesztés és a szakaszos átállás, felesleges többé szenvedni az elaprózódástól. A Cloudflare SASE platformjának és a CDW migrációs know-how-jának ötvözete biztonsági védőhálót ad. Így azonnal élvezheted az identitásalapú hozzáférés és az adathalászatnak ellenálló MFA előnyeit, nem kell lassulástól vagy leállástól tartanod.
Ebből adódóan a valódi cél nem “felhőbe költöztetni” az alkalmazást, hanem úgy odaérni, hogy közben a céges környezet átláthatóbb, biztonságosabb, nehezebben támadható. Ha készen állsz arra, hogy a Zero Trust útjára lépj – kezdd részletes környezetfelméréssel, és fordulj Cloudflare One-szakértőhöz a megvalósított, jól bevált tervekért.
