数字化转型颠覆了网络和安全服务的设计模式,它将业务的焦点从数据中心转移到用户或设备的身份上。安全和风险管理领导者们需要一个融合的、云交付的、边缘安全访问的解决方案。为了应对当代企业面临的数字化挑战,特别是在网络安全和数字化协作方面的需求日益增长的背景下,SASE的概念应运而生。2019年Gartner在其《网络安全的未来在云端》报告中指出,云计算和移动互联网的广泛应用彻底改变了网络和安全基础设施的建设方式,提出了一种全新的基于分布式云服务、融合了企业网络和安全服务的解决方案,即Secure Access Service Edge(安全访问服务边缘,简称SASE),并表示SASE将取代现有企业和组织的网络安全模型。
SASE是Gartner提出的一个技术理念。在2019年下半年,Gartner发布了2019年度网络技术成熟度曲线报告,报告中提到了一项新的技术Secure Access Service Edge(SASE)。根据Gartner的定义,SASE是一种新兴服务,它融合了网络即服务(Network-as-a-Service)和网络安全即服务(Network Security-as-a-Service)两大模型,作为一种新兴的网络安全框架,将软件定义广域网(Software Defined Wide Area Network, 简称SD-WAN)与网络安全功能(如SWG、CASB、FWaaS和ZTNA等)集成到一个统一的云原生的服务平台上。用户网络通过连接到最近的SASE 服务提供点(简称POP点)以访问业务资源,满足了企业的动态安全访问需求。
SASE的核心理念是将广域网(WAN)技术与网络安全服务结合起来,形成一个统一的、云原生的服务平台。这种结合不仅简化了网络管理和安全策略的实施,也为分散的用户和设备提供了灵活、高效的访问途径。随着云计算和数字化协作的持续增长, SASE将在未来的企业IT架构中扮演越来越重要的角色。如果您的数据知识存储在本地,存储中心就是数据中心。但是我们已进入了数字化转型的新纪元,现在越来越多企业把业务移到云上,传统意义上的数据中心已经不复存在。网络的边界已被无限扩展、数据无处不在。我们迫切需要一种全新的解决方案,既能为我们提供坚如磐石的安全保障,同时又拥有灵活高效的访问体验。这就是SASE的使命——Secure Access Service Edge。SASE不仅仅是一项技术,它是一场革命,是安全与高效连接的完美融合。它颠覆了传统安全架构的界限,将先进的安全措施和网络技术整合在一起,为我们的数据和应用创造了一个前所未有的防御堡垒。
SASE的出现代表了网络安全领域的一个重要转变,它不仅应对了日益复杂的网络环境和安全挑战,还为企业提供了更灵活、高效的网络管理方式。
在SASE的保护下,无论我们身处何方,无论我们的数据流向哪里,都能享受到最高级别的安全防护和最高效通畅的交互使用。
SASE是一种基于云的安全模型,它将软件定义的广域网与核心网络安全服务相结合,并在云边缘提供这些服务。SASE从概念提出到技术体系成熟完善,体现着网络与安全服务的不断融合。近年随着传统安全厂商、网络基础设施服务商开始提供各自的SASE解决方案,但是不是所有的“SASE”都能称之为SASE,真正的SASE必须具有五个功能模块:
1.SD-WAN:软件定义的广域网(SD-WAN)使组织能够在不借助硬件路由器或多协议标签交换(MPLS)电路的情况下建立私有企业网络。这种基于软件的虚拟体系结构为企业在创建和维护其网络基础设施时提供了更大的灵活性。2.SWG:安全网关(SWG)通过从网络流量中过滤不需要的内容、阻止未经授权的用户行为以及强制执行公司安全策略来防止网络威胁和数据泄露。它通常包括URL过滤、反恶意软件检测和阻止以及应用程序控制等功能。3.CASB:云访问安全代理(CASB)为云托管服务(如SaaS、IaaS和PaaS应用程序)执行多个安全功能。标准CASB通过访问控制和数据丢失防护来保护机密数据,揭示隐藏信息,并确保遵守数据隐私法规。4.ZTNA:零信任网络访问(ZTNA)要求对每个受保护应用程序的每个用户进行实时验证,以保护内部资源并防止潜在的数据泄露。使用“零信任”方法,在对实体的身份进行身份验证之前,不会自动信任任何实体,即使它们已经位于专用网络的外围。5.FWaaS:基于云的防火墙(FWaaS)通过一系列安全功能保护云基础设施和应用程序免受网络攻击,包括URL过滤、入侵预防和统一策略管理。
随着SASE的不断发展,不同供应商、不同组织的SASE实施可能会有差异。然而,与内部部署和混合网络安全配置相比,大多数SASE解决方案都有以下几个关键优势:1.保护在任何地方工作的人员免受高级威胁:SASE可以阻止恶意软件下载;对传输过程中的流量进行加密,提高网络安全性,一旦遭受攻击可以将损失降到最低;消除网络、云、私有应用程序的安全漏洞;根据不同设备和人员的风险,控制可以访问的资源。2.从客户端到云端,全程守护用户的数据安全:SASE平台基于统一的安全策略,使用企业级数据防泄漏技术,保护网络、云端、应用的数据安全传输和使用。3.提高访问效率:在SASE云服务模型下,可以根据用户的位置为每个用户提供最佳的访问路径,提高传输效率。如果拿交通工具来比喻,传统的网络如果是火车,那么SD-WAN 就是飞机,从上海到北京,坐火车需要6个小时,而乘飞机只需要2个小时。4.降低用户的成本:在SASE云服务模型下,用户购买安全设备的投入和运维的费用将大幅降低。比如,某公司有10个分公司,50个门店。传统模式下,每个门店需要购买一套安全设备,包含防火墙,IPS,安全网关等等。在SASE云服务模式下,只需要在每个POP点部署一套设备。SASE不仅仅是一项技术,它是一场革命,是安全与高效连接的完美融合。它颠覆了传统安全架构的界限,将先进的安全措施和网络技术整合在一起,为我们的数据和应用创造了一个前所未有的防御堡垒。在SASE的保护下,无论用户身处何方,无论数据流向哪里,都能享受到最高级别的安全防护和最高效通畅的交互使用。SASE从概念提出到技术体系成熟完善,体现着网络与安全服务的不断融合。近年随着传统安全厂商、网络基础设施服务商开始宣称提供SASE解决方案,不断“重新定义”甚至背离SASE的本质与标准,让企业用户在SASE真正价值鉴别与选型过程中变得愈发困难。我们将举例说明哪些方案不符合SASE标准,以及与传统网络及安全服务的核心差异。
(1)SASE≠SD-WAN网络接入与服务
SASE 架构的网络即服务具备基础网络连接能力,但只是SASE的重要组成部分。传统SD-WAN网络服务商会提供网络组件自身安全、网络服务接入安全,包括防火墙、攻击检测、接入鉴权、网络性能优化等能力,但通常不具备以用户和数据为中心的安全架构。其本质上依然还是Gartner定义的网络服务,安全能力特别是数据安全能力无法达到SASE的要求。(2)SASE≠云化上网行为管理或接入代理
远程协作与分支机构的安全访问接入是用户选择SASE一体化方案的重要业务驱动因素。这也使得Web过滤、代理网关与上网行为管理等产品通过云化、虚拟化改造后能部分满足用户的接入与安全控制需求。但此类服务云化与多租户化不能等同于SASE,SASE定义的服务边缘是以用户身份为中心、基于上下文的架构,安全服务范围包括了Web安全、云应用安全、零信任、数据防泄露、用户行为分析、邮件安全等一系列服务组件或能力。仅提供远程访问代理或导流服务既欠缺Web高级威胁防护能力,也缺少对于数据与上下文的识别与理解能力,本质上只是SASE提供的网络安全能力中的一种,而非一体化的SASE解决方案。(3)SASE≠网络服务与安全能力组件堆叠
在SASE体系中,安全边界已不再位于部署在数据中心边缘的硬件设备中,而是存在于企业需要的任何地方。SASE是支持动态创建的、基于策略的安全边界,它包括SD-WAN、FWaaS、SWG、SEG、ZTNA、DLP等安全功能,然而只有将这些设备和解决方案完整地融合在一起,才能真正称之为SASE,而非功能组件的堆叠或者众多供应商产品能力的简单整合。SASE提供商需要为客户提供多租户、云原生平台交付服务,核心特点包括云原生架构、安全服务集成、身份驱动的访问控制、简化的管理和操作以及支持远程数字化协作。对于那些已经投入大量时间、资源和资金进行复杂的内部设置、管理复杂的基于云的安全服务网络,或者仍在适应远程工作未来的企业来说,SASE的采用可能会让人感到望而却步——但这不一定非得如此。以下是开始使用SASE的五个实际步骤:
1.保护远程员工的安全:实施零信任(ZTNA)解决方案替代VPN,保护公司数据和资源免受内部和外部威胁,并改善用户体验。通过将安全的web网关和基于云的防火墙置于边缘,您可以检查和过滤流量,而无需通过中央数据中心进行回送。
2.将分支机构放置在云层周围:将零信任体系结构应用于分支机构,这将消除对现场安全设备(硬件防火墙、DDoS防护等)的需求,这些设备的维护成本可能会很高,而且在快速变化的威胁环境中效率低下。
3.将DDoS保护移动到边缘:摆脱硬件DDoS设备,通过基于云的网络层DDoS保护企业网络免受攻击,该保护可以实时检测和缓解威胁。
4.将应用程序迁移到云端:随着组织规模的扩大,将应用程序从本地数据中心移动到云端,并确保在所有流量中应用一致的云安全策略。
5.用统一的、基于云的策略实施取代本地安全设备:通过将策略实施转移到边缘,降低维护网络硬件设备的成本和复杂性。在边缘,您可以从单个窗口监视和管理所有流量、攻击模式和安全策略。
近几年Gartner所提的新兴技术大多都涵盖到SASE架构中。Gartner预计,到2024年,将有40%的企业采用SASE基础架构。SASE的出现,颠覆了以往的网络和网络安全体系架构,未来的安全是厂商合作为主,相互补足,最后形成一个集成大多数厂商安全能力的整体安全防护平台,从而为数据安全提供更加坚实、全面的保障。
(本文作者:北京天空卫士网络安全技术有限公司 张文礼)
CCIA数据安全工作委员会单位介绍 |
北京天空卫士成立于 2015 年,总部设立在北京经济技术开发区。作为中国数据安全治理技术的倡导者和引领者,天空卫士致力于发展以人和数据为核心的新一代数据安全技术,融合统一内容安全技术(UCS)和内部威胁管理技术(ITM)为基础,创立了内部威胁防护技术体系(ITP)。公司分别在北京、成都和上海设有大型研发创新中心,并在上海、广州、深圳、长沙、福州、成都、济南、南京、沈阳、杭州、苏州、武汉、郑州、青岛、西安等地设立办事处。 |
还没有评论,来说两句吧...