Yıllarca trafiği bulut proxy'ler üzerinden yönlendirmek yeterliydi. Ancak işler tarayıcıya taşındı, yapay zeka iş akışlarına girdi ve denetim modeli artık ayak uyduramıyor. Kurumsal iş akışları artık SaaS uygulamaları, tarayıcılar ve genişleyen bir üretken yapay zeka araçları, izinsiz tarayıcı eklentileri ve otonom ajanlar ekosistemi üzerinde yaşıyor. Çalışanlar, kod optimizasyonu için fikri mülkiyeti halka açık LLM'lere yapıştırırken, otomatik ajanlar makine hızında sistemler arasında veri taşıyor. Sorun SASE'in başarısız olması değil; veri etkileşimlerinin, ağ merkezli mimarilerin asla görmek üzere tasarlanmadığı bir katman olan sunum katmanına kaymasıdır.
Geleneksel SASE, trafiği şifre çözme, denetleme ve politika uygulama için bulut proxy'lerine yönlendirmeye dayanır. Ancak modern internet protokolleri, özellikle TLS 1.3, HTTP/3 ve sertifika sabitleme, bu tür adam-ortada saldırıları engellemek için tasarlandı. Bir bulut proxy, TLS 1.3 oturumunda şifre çözmeye zorladığında, istemci uygulaması bağlantıyı keser. İş açısından kritik hizmetlerin kesintisini önlemek için ağ ekipleri istisnalar yazmak zorunda kalır. Bu da yapısal bir sorun yaratır: Kuruluşlar, araçları çalışır durumda tutmak için uygulama uygulama güvenlik çevrelerini sessizce küçülterek büyük muafiyet listeleri oluşturur.
Güvenlik açığının ötesinde, bu model iş gücüne ağır bir performans cezası getirir. Oturumları uzak bulut denetim yollarına yönlendirmek, uygulama gecikmesi ve kesintili video görüşmeleriyle bir 'sapma vergisi' oluşturur. Güvenlik altyapısı kritik araçları yavaş veya dengesiz hale getirdiğinde, kullanıcılar üretkenliği korumak için gölge geçici çözümler arar ve BT'nin korumaya çalıştığı saldırı yüzeyini genişletir.
Uzmanların Görüşleri
Yapay zeka ve ajan tabanlı iş akışları bu mimari boşluğu görmezden gelinemez hale getirdi. Geleneksel bir ağ proxy'si, bir LLM sağlayıcısına geçerli, şifreli bir HTTPS bağlantısı görür. Ancak yükün amacını göremez; örneğin, otonom bir yapay zeka ajanının model bağlam protokolü (MCP) araç çağrılarıyla özel kod veya dahili belgeleri çekmesi gibi. Veri bir ağ denetim noktasına ulaştığında, etkileşim çoktan gerçekleşmiş olur. Niyet anı geçmiştir. Bu, güvenlik ekiplerini ikili bir ikileme sıkıştırır: AI'yı tamamen engelleyip kullanıcıları gölge BT'ye itmek ya da kısıtlama olmadan izin verip tam veri opaklığını kabul etmek.
Sonuç ve Değerlendirme
AI ve modern SaaS'i yönetmek için politika uygulama, etkileşim noktasında, yani cihazda: tarayıcıda ve uç noktada gerçekleşmelidir. Ağ düzeyinde güvenlik veya yönlendirme gerektiğinde, trafik en yakın uç altyapısına dinamik olarak yönlendirilmeli, gereksiz atlamalar ve performansı öldüren sapmalar ortadan kaldırılmalıdır. Son adımda politikayı değerlendirmek, uygulama modelini tamamen değiştirir: Bağlamsal veri koruma ile kopyala, yapıştır ve istem içeriği, veri cihazı terk etmeden önce yerel olarak denetlenir. Protokol uyumlu çalışma ile modern şifreleme protokolleri, müdahaleci şifre çözme iş akışları olmadan doğal olarak işlev görür. Doğrudan yol performansı sayesinde güvenilir trafiğin %90'a kadarı hedefine doğrudan giderek proxy sapma vergisini ortadan kaldırır ve son kullanıcı için yerel uygulama hızını geri kazandırır.
Sistem Güvenliği
Bu değişim, 'Perfect Packet' mimarisinin benimsenmesini tetikliyor. Bu model, yönlendirmeden önce uç noktada bağlamı değerlendirir ve yalnızca ek doğrulama gerektiren oturumlar için bulut denetimini çağırır. Ağ merkezli politika uygulama, bir uygulama sekmesinin veya AI iş akışının içinde olanı yönetemez. Modern mimarilerin proxy görünürlük açığını nasıl kapattığını ve yerel uygulama performansını nasıl geri kazandırdığını öğrenmek için 'Perfect Packet: Modern SASE Mimarisi Rehberi'ni inceleyin.
Kaynak: thehackernews.com