新冠病毒全球化,导致很多公司开始大规模的居家办公,同时也带来了员工工作模式的变化。传统的网络安全架构基于边界防御,通过将路由器、交换机、防火墙、IPS 设备和各种安全解决方案进行结合,来实现对进出边界的网络流量的保护。这样既增加了成本和复杂性,又给用户留下安全缺口。当前的网络安全技术与解决方案已经无法满足现在的企业对网络安全等级以及安全控制的需求,企业需要的是针对用户的、快速的,不间断的服务,不管用户在什么地方。伴随着远程办公以及 SaaS 的不断发展,应用与数据也在不断的从数据中心迁往云端,尤其是公有云服务,这些需求催生了全新的网络安全解决方案。
SASE(Secure Access Service Edge 安全访问服务边缘)是Gartner在2019年底提出的一个技术理念。它融合了广域网和网络安全功能,以支持数字化企业需求的新兴技术。从技术而言,SASE其实是一种基于实体的身份,结合实时上下文、企业安全/合规策略,在整个会话中持续评估风险/信任的服务。Gartner预计,随着数字业务和边缘计算的不断发展,越来越多的企业将拥抱SASE。到2024年,预估至少有40%的企业将采用SASE。
1. 什么SASE?
接下来,让我们简单了解一下SASE的发展历程和它所依托的主要技术:
SASE 可以看做是广域网与网络安全服务融合的产物,它是一个单一的,基于云端的新的服务模式。根据 Gartner 的描述: SASE 的能力体系基于云端的服务系统,构建于如下几个大的功能,包括实体的身份识别,实时的上下文处理,企业的自定义安全策略,针对流量的不间断的风险评估等。实体的身份识别可以包括人、组织、设备、应用、服务、IOT 系统或者边缘计算位置等等。
图片来源于Gartner文章《The Future of Network Security Is in the Cloud》
1.1 广域网:
传统的数据访问模式
图片来源于Gartner文章《The Future of Network Security Is in the Cloud》
在过去,绝大多数企业都在提倡“数据中心即宇宙中心”,即数据访问模式基于数据中心。员工要访问某个业务数据,流量将引导至数据中心,由数据服务中心安全设备统一完成检测判断。
但现在越来越多企业把业务移到云上,传统的数据中心将不复存在。数据无处不在,安全访问服务无处不在,数据可以存储在终端,也可以是应用内部,因此当用户需要的信息大多并不存储在企业数据中心时,将流量传导至数据中心不再合理。
SASE架构下的数据访问模式
图片来源于Gartner文章《The Future of Network Security Is in the Cloud》
与其强迫将各种实体的流量引导至数据中心的检查引擎,不如采用合适的算法将流量引导至距离最终实体位置最近的POP ① 点(接入点)上。这样大量节省了安全设备的投入和维护的费用。在SASE模式下,通过每个POP点进行安全能力化、服务化,实现策略统一管理,管理难度降低,购买成本和运维成本都大幅降低。
在SASE模型下,SD-WAN ②(软件定义广域网)成为SASE平台的关键组件,它将分支机构和数据中心连接到SASE云服务。其理念就是利用SD-WAN构建的虚拟架构去数据集中化,将核心能力附加到接入边缘,为每个访问提供最佳的路径,通过端到端的访问方式提高传输效率,以满足当前和未来云上和移动业务的动态需求。传统的网络和SD-WAN 性能相比就如同火车和飞机,从北京到广州,坐火车要9个小时,而乘飞机只需要3个小时。
1.2 安全:
图片来源于Gartner文章《The Future of Network Security Is in the Cloud》
SASE的核心是身份(包括 登录账户、所在的位置、设备、时间等多个因素),即身份是访问决策的中心,而不再是企业数据中心。其最终目标就是使得企业能够更加容易实现安全的云环境。通过将所有的安全设备包括Web 安全网关(SWG)、云访问安全代理(CASB)、DNS、零信任网络访问(ZTNA)、防火墙即服务(FWaaS)和远程浏览器隔离(RBI)等部署在云端,以一个安全的全球SD-WAN服务进行统一管理,统一运维,从而降低网络安全的复杂性。
2. 天空卫士对于SASE的布局
SASE 架构的目标是更容易地实现安全的云环境。基于SASE的模型,天空卫士已经推出基于多租户的GatorCloud云安全平台,可帮助减少企业各种类型的安全设备复杂的维护现状,并提供最高级别的集中安全管控。
天空卫士GatorCloud产品,其旨在为公有云IaaS和SaaS的企业客户的云上储存、流转、和使用的数据提供定制化的安全服务,包括访问控制、数据保护、云安全访问代理、威胁预防和基于上下文的内容分析技术,同时天空卫士已经将基于人工智能的内部威胁防护( ITP )技术体系成功拓展到云应用环境,无论用户数据分布在哪里,无论内部还是外部人员或合作伙伴,无论使用何种设备以何种方式访问企业或个人数据资产,均可受到天空卫士云安全解决方案的有效保护。
注释:
① POP: Points of Presence接入点,原是互联网服务提供商(ISP)的本地接入点,主要是允许远程用户连接到业务数据的基础设施。它可以包括路由器、交换机、服务器、数据通信设备和安全控制设备。
② SD-WAN: 即软件定义广域网,是将SDN技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。这种服务的典型特征是将网络控制能力通过软件方式‘云化’,支持应用可感知的网络能力开放。