编者注:Gartner 在 2019 年企业网络领域技术成熟度曲线中首次加入了“安全访问服务边缘(SASE)”的云服务,并且认为这类型的服务顺应了当前计算环境的变化,正在快速演进。虽然国内政府、大型央企、中小型商业公司对面向公众和面向互联网的公共云计算服务的接受程度相比 Gartner 主要关注的美国市场有所不同,但 Gartner通过采用云原生技术构建以身份为中心的安全架构,使策略决策尽可能靠近实体所在的位置,简化安全架构的思想非常值得我们参考。

当前体系架构的不足

随着虚拟化和云计算的发展,企业的计算环境已经产生了非常显著的变化。同时由于业务对 IT的依赖度越来越高,当前的网络和网络安全体系的不足已经逐渐凸显出来。需要在云计算更加普及的数字化转型时代在整体架构层面上进行设计和优化。

  • 防护机制碎片化且过于复杂

安全和企业计算环境已经产生全方位的联系,在各个层面都需要有良好的网络可见性(Visibility)以及有效的安全策略执行点(PEP)。因为历史原因或者技术原因,当前企业环境的网络和网络安全策略大部分都保存并且作用于“硬件盒子”中。这些“硬件盒子”因为功能分散、厂商众多且缺乏标准和约定,导致之间既有互相有重叠,又缺乏整合。这样不但带来了额外的成本,还会使得配置往往非常复杂。

例如在企业计算环境中,防火墙往往保存了上千条规则。而这些规则通常是基于网络拓扑、网络地址或物理端口进行配置的。无论是用户网络位置还是业务发生变化,都需要经过非常复杂的配置和验证流程来进行规则的调整和修改。而这种规则调整和修改的复杂度一般会导致两种后果:为及时响应变化,降低配置和验证,甚至降低安全策略;为了维持安全策略,付出大量的时间代价。无论是哪种情况,本质上都会带来负面的安全影响。

  • 暴露面控制不足

当前网络及网络安全体系对暴露面的控制是非常不足的。从被保护对象来看,现有体系更强调“边界”,对于横向移动几乎没有控制力。同时,从历次网络攻防实战以及公开的网络安全研究来看,当前的网络和网络安全体系自身的控制平面的暴露面控制和保护也非常不足。网络设备,甚至 VPN 这样的网络安全设备都经常成为攻击者入侵的“立足点”。

  • 网络调度和处理灵活性不足

构建良好的网络安全体系,需要良好的网络可见性(Visibility)来保证对网络中发生的事件进行有效地监测,也需要广泛的安全策略执行点(PEP)对暴露面和威胁在网络层面进行管控。目前体系中能够提供给安全团队的流量调度能力是非常非常非常有限的。例如为了控制云计算环境中东西向流量,经常用户不得不改变原有的流量模型,把分散的均衡流量牵引到集中的控制点,从而实现对网络流量的检测或防护。而各类形式的汇聚都会形成事实上的“边界”,一旦攻击者绕过这个边界,就能够不受限制地展开攻击。云 WAF 把网站流量引导到云端汇聚点上才能进行有效的防护。如果攻击者绕过云 WAF 或直接从内部网络进行攻击,那云 WAF 就无法提供任何安全能力。因此,安全团队迫切需要有更灵活的流量调度和处理能力,才能更好的应对数字化转型时代计算环境的变化。

Gartner对网络安全架构的思考

Gartner 认为当前网络和网络安全体系架构是针对一个正在逝去的时代而设计的,很难满足数字化转型企业对移动设备、云计算、边缘计算、物联网环境中动态安全访问的需求。数字化转型企业往往在业务中大量使用了基于云计算和新兴的边缘计算平台的 SaaS 服务,因此需要随时随地访问应用和服务。虽然企业数据中心将在未来几年内还将继续存在,但进出企业数据中心的流量在企业总的流量的占比将持续下降。

随着 5G 的到来,这种趋势会越来越明显。而传统模式在这种环境中会带来非常复杂的管理配置问题,而通过把广域网能力(如:SD-WAN)和安全能力(如:SWG、CASB、FWaaS、……)融合在一起,从而很好的控制复杂度。这样既能提供一个可无限可调节的弹性网络,还能提供基于策略的“软件定义”安全访问。这个弹性网络为数字化转型企业的安全团队提供了前所未有的能力 —— 可以根据身份和上下文精确地指定每个网络会话的性能、可靠性、安全性和成本水平,从而使安全团队能够为各种分布式用户、场所和基于云的服务提供安全访问,从而安全地实现数字化转型所需要的动态访问。Gartner 认为新的企业网络安全架构需要具备以下特点:

  • 身份为中心:安全访问服务边缘(SASE)使用身份来作为访问决策的新中心,而不是企业数据中心。因此网络访问基于用户、设备和应用的身份,而不仅仅基于设备的 IP 地址或物理位置。正是这种逻辑层面定义策略的转换极大地简化了策略管理。

  • 云原生架构:安全访问服务边缘(SASE)在架构上充分利用了云计算几个主要的特性,例如:弹性、自适应性、自动化、自恢复能力和自维护等。除此之外,通过平台支持多租户,从而实现随时满足新兴业务的需求。

  • 简化的架构:通过集成来自单个提供商的安全访问服务,将减少供应商的总数量,减少分支中的物理和/或虚拟设备的数量,并且减少用户终端设备上所需代理的数量。同时,单一供应商将有机会使用“单次通过(single pass)”架构进行网络报文的检查。在这种架构下,业务会话被打开(可能被解密)并使用多个策略引擎并行地检查一次,而不是多个检查引擎进行串行检查。这将为用户提供一致的访问体验,无论用户在哪里、在访问什么、以及位于何处。

  • 使策略决策尽可能靠近实体所在的位置:无论是将用户连接到内部应用、基于云的应用、SaaS 或互联网,这些都存在相同的安全访问问题。这些实体需要访问越来越多的基于云的服务,但是它们的连接方式和应用的网络安全策略类型将根据监管需求、企业策略和特定业务领导者的风险偏好而有所不同。企业安全团队应该基于策略动态提供安全访问,而不管请求这些能的实体所处位置以及它们请求访问的网络功能所处的位置。这就要求企业安全团队不再将安全边界隐藏在企业数据中心边缘的硬件盒子中,而是在企业需要它的任何地方 —— 一个动态创建的、基于策略的安全访问服务边缘。

安全访问服务边缘(SASE)将重新定义企业网络和网络安全体系架构

今年 8 月份,Gartner 三位知名 VP 级分析师 Neil MacDonald、Lawrence Orans 和 Joe Skorupa 联合提出并发布了《网络安全的未来在云端》的报告。在报告中详细介绍了 7 月份首次出现在 2019 年企业网络领域技术成熟度曲线中的“安全访问服务边缘(SASE)”。安全访问服务边缘(SASE)能够满足数字化转型企业对混合计算环境中动态网络访问控制的需求,而数字转型企业对基于云的安全访问服务边缘(SASE)能力的需求、市场竞争与整合,将重新定义企业网络和网络安全体系架构,并重塑竞争格局。在这份报告里面,Gartner 定义了名为“安全访问服务边缘(SASE)”,安全访问服务边缘(SASE)是一种融合广域网和网络安全的云服务。这种云服务能充分满足数字化转型企业对动态安全访问需求。

SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。

安全访问服务边缘(SASE)带来的价值

安全访问服务边缘(SASE)能够使安全团队能够以一致和集成的方式提供一组丰富的安全网络安全服务,从而支持数字化转型、边缘计算和员工移动性的需求。通过 SASE 将获得以下的效益:

  • 降低复杂度和成本。通过集成来自单个提供商的安全访问服务,将减少供应商的总数量,减少分支中的物理和/或虚拟设备的数量,并且减少用户终端设备上所需代理的数量。随着更多的 SASE 服务被启用,长期来看成本会降低。同时通过缩减供应商和技术堆栈也会节省费用。

  • 激活新的数字化业务场景。SASE 服务将使企业的合作伙伴和承包商可以安全地访问其应用、服务、API 和数据,而无需担心暴露传统架构中的 VPN 和 DMZ(非军事区)而带来的大量风险。

  • 改善性能/延时。SASE 的领导厂家会通过全球部署的 POP 提供基于延时优化的路由。这对于延时敏感的业务非常关键,例如:协同、视频、VoIP 和 WEB 会议。基于策略,用户可以通过 SASE 提供商(及其对等连接合作伙伴)的高带宽骨干路由。

  • 用户的易用性/透明度。如果正确实现,SASE 会把设备上所需代理的数量(或一个分支的客户场所的 CPE 设备的数量)减少到单个代理或设备。它减少了代理和设备膨胀,应该自动应用访问策略而不需要用户交互。这为用户提供了一致的访问体验,无论用户在哪里、在访问什么、以及位于何处。

  • 得到改善的安全性。对于支持内容检查(识别敏感数据和恶意软件)的 SASE 供应商,可以检查任何访问会话并应用相同的策略集。举例而言,无论是 salesforce、facebook,还是云托管应用中的敏感数据,无论用户/设备位于何处,所应用的策略都是一致的。

  • 较低的运营费用。随着威胁的发展和新的检查机制的需要,企业不再受到硬件容量和多年硬件刷新速率的限制,可以随时增加新的功能。在基于云的 SASE 产品中,更新威胁和策略不需要在企业部署新的硬件或软件,这样会更快享受到新的服务。

  • 启用零信任网络访问。零信任网络方法的原理之一是,网络访问基于用户、设备和应用的身份,而不仅仅基于设备的 IP 地址或物理位置。这种逻辑层面定义策略的转换极大地简化了策略管理。此外,假设网络环境是恶意的,SASE 产品会提供整个会话端到端的加密和可选的 WAAP(WEB 应用和 API 保护)服务。SASE 供应商中的领导者会通过建立端点设备到最近 POP 节点的隧道,从而为用户提供公共 Wi-Fi 网络保护(咖啡店、机场等)。

  • 提高网络和网络安全人员的效能。网络安全专业人员可以专注于理解业务、法规和应用的访问需求,并将这些需求映射到 SASE 功能,而不是陷入到基础设施的常规配置任务中。

  • 集中管理、本地生效的策略。SASE 具有基于云的集中管理策略,以及临近实体的分布式执行点,还包括在需要时可用的本地决策点。例如,使用本地分支机构的 CPE 设备;使用托管设备上的本地代理软件进行本地决策。

声明:本文来自奇安信战略咨询规划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。