摘 要:进入算网融合时代,广域网产业面临更加广泛的安全性、移动性和算力分布挑战,现有网络架构和技术已经无法满足数字化企业所需的安全和访问控制需求,网络安全逐渐走向身份认证、弹性服务、融合业务的安全访问服务边缘新型安全架构。作为网络安全领域的创新性安全技术,安全访问服务边缘在工业互联网、5G 网络、云化电信网络等应用场景先后成熟,针对安全访问服务边缘的产业发展现状进行阐明,并分析安全访问服务边缘的未来发展趋势。
内容目录:
1 SASE 产业发展背景
1.1 数字化驱动 SASE 成为数字基础设施的重要内涵
1.2 SASE 已被视为新型信息通信网络的典型实现
2 SASE 的内涵和关键技术
2.1 SASE 的内涵
2.2 SASE 的关键技术
3 SASE 整体发展态势
3.1 战略态势:全球高度重视 SASE 发展机遇
3.2 产业态势:SASE 成为全球信息通信行业热点方案
3.3 技术态势:国际国内纷纷加速标准建设
3.4 应用态势:我国 SASE 市场处于探索期,网络与安全厂商占主导优势
4 SASE 的挑战与建议
4.1 SASE 面临多重挑战亟须破题
4.2 多层次建设 SASE 新格局
5 结 语
进入算网融合时代以来,随着企业数字化转型和业务上云成为趋势,传统的网络和安全体系架构已无法满足数字业务的动态安全访问需求,企业的数据中心不再是用户与设备访问需求的中心。数字化转型的企业需要随时随地访问位于云端的应用和服务,导致企业网络架构出现“内外翻转”的现象。基于此,安全访问服 务 边 缘(Secure Access Service Edge,SASE)在应对网络接入和安全融合挑战的需求下诞生。
本文将以 SASE 为主题,从其应用背景切入,归纳行业对于 SASE 的理解,整理 SASE 的技术体系和关键能力,研判全球和国内视角下,SASE 在战略、产业、技术和应用维度的发展态势,最后落脚于我国 SASE 的总体发展情况,分析相关挑战与未来发展建议。
1 SASE 产业发展背景
1.1 数字化驱动 SASE 成为数字基础设施的重要内涵
从需求层面来看,区别于以“烟囱化”业务部署需求为主要承载对象的传统基础设施,数字基础设施强调数字赋能,实现数据创新,其中,支持“计算和网络”全面融合的新型信息通信是数字基础设施的重要底座和核心载体。面向层出不穷的智能应用场景,如智能医疗、自动驾驶、智能电信、智能金融等,新的信息通信网络需要满足基础性、融合性和服务性 3个方面的能力要求。基础性是指新型网络需要满足“大连接”的业务需要,“大连接”不仅仅局限在“万物互联”时代的网络接入,还包括算力时代下,算力终端、算力中心、算力服务的全面接入;融合性是指新型网络需要与新型计算技术、存储技术、安全技术实现全面融合,在算力感知、异构计算、在网计算、算网安全等方面实现全面升级;服务性是指新型网络需要达到精细化、智能化、安全化的服务水平,支持弹性敏捷、按需服务和内生安全。
1.2 SASE 已被视为新型信息通信网络的典型实现
从 供 给 层 面 来 看, 融 合 创 新 是 当 前 技 术发 展 的 重 要 特 征, 在 信 息 技 术(Information Technology,IT)领域面临算力供需不平衡、全局利用效率低等主要瓶颈,因此,推动超算、智算、高性能计算、云计算等多种计算发展是网络朝着计算网络化方向演进的重要方向;在通信技术(Communication Technology,CT)领域存在网络与应用相分离、管道商服务价值低等行业通病,因此,打造支持智能化大连接的计算能力承载是网络朝着智能化方向全面演进的重要环节;在安全领域,传统安全模式无法满足数字化发展的需要,当前,网络安全技术与新兴技术融合创新成为创新发展的主要特征 。
SASE 作为一种满足基础性、融合性、服务性 3 个方面的能力要求的网络安全创新技术,全面融合了广域网功能与网络安全功能,统一云、网、算、安全资源智能化调度,持续增强网络安全性,切实满足企业数字化转型下日益增长的网络安全需求。
2 SASE 的内涵和关键技术
2.1 SASE 的内涵
从技术视角来看,SASE 集云、网、算、安于一体,是推动算网融合的重要环节,SASE 以业务与应用需要为导向,融合软件定义广域网络(Software Define Ware Area Network,SD-WAN)、零信任网络访问、云原生网络、网络安全即服务等多种技术能力,提供网络安全保障,是一种赋能数字化业务部署需要和应用需要的创新型网络安全新技术。
从服务视角来看,SASE 以“广域网 + 云安全 + 零信任”为内核,通过简化广域网(WareArea Network,WAN)部署方式及强化连接实体 /信息的安全合规,全面提升敏捷弹性、按需提供、全程管控等方面的能力,是一种助力算网融合全面发展的创新型网络安全新服务。
SASE 参考架构如图 1 所示,在基础设施层,SASE 通过一系列的安全接入锚点,拉通了边缘基础设施、云安全资源池、算力资源池等系统设施;在平台层,SASE 通过资源统一编排、调度与管控、零信任网络访问等能力,实现了SASE 服务的“瘦腰”;在应用层,通过设施和平台能力的支撑,SASE 服务可以在云、网、算、安等方面提供一体化的 SaaS 类型服务。
图 1 SASE 参考架构
2.2 SASE 的关键技术
2.2.1 网络安全即服务
网络安全即服务是 SASE 的 SaaS 安全服务接口,网络安全即服务代表了 SaaS 化的网络安全功能池,其中既包含网元级别的安全功能,例 如, 安 全 Web 网 关(Secure Web Gateway,SWG)、云访问安全代理(Cloud Access Security Broker,CASB)、 防 火 墙 即 服 务(Firewall as a Service,FWaaS),又包含端到端的整体安全服务能力(如业务功能链),通过这种服务方式,网络安全即服务重点解决了传统安全方案在部署、运维、更新等方面的问题,打造了 SaaS 化的安全服务接口。
2.2.2 SD-WAN 网络底座
SD-WAN 作 为 软 件 定 义 网 络(Software Defined Network,SDN)技术与广域网应用全面融合的重要场景,在弹性服务、按需部署方面展现了极大的技术优越性,同时,在多个创新型网络应用场景里成为技术底座。对于 SASE 而言,SD-WAN 能够提供软件定义、按需服务、弹性部署、算力随享的能力支持,打造了良好的网络连接底座。
2.2.3 网络服务微化 / 云化
云原生网络提供了网络服务微化 / 云化支撑,云原生网络对于 SASE 将网络安全能力、云安全能力和云资源无缝融合的意义重大,借助轻量级虚拟化、微服务和服务网格,云原生网络能够实现网络资源的弹性部署和云、网、安服务一体化协同,进而形成轻量级的服务网格,提高服务管控的精细度和颗粒度。
2.2.4 零信任网络访问
零信任网络访问构筑了 SASE 的安全防护新体系,其为 SASE 提供了全新的安全访问框架,基于零信任“持续监督,永不信任”的安全理念,SASE 具备一整套端到端的面向服务的安全管控机制,保障无边界、自适应、可持续的安全增强服务。
3 SASE 整体发展态势
3.1 战略态势:全球高度重视 SASE 发展机遇
从国际层面上看,加拿大、美国等国家纷纷以国家级项目为先导,加紧开展 SASE 的战略布局。2021 年,加拿大政府在《国家网络安全战略》中,提出把 SASE 作为远程办公场景下替代虚 拟 专 用 网 络(Virtual Private Network,VPN)的重点技术。2022 年,美国国防部将 56 亿美元经费投入到网络创新技术和安全技术融合研究中,深入推进零信任 /SASE 原型项目“雷穹”(Thunderdome),将 SASE 作为联合区域安全栈(Joint Regional Security Stacks,JRSS)保护网络中间层安全更理想的替代方案。同年,美国联邦调查局启动“网络企业重新设计计划”(Network Enterprise Redesign Initiative,NERI),重点引入SD-WAN、SASE 等新型网络安全技术。
从头部机构 / 企业层面上看,战略性产业布局已经是各方的一个基本共识。2020 年,城域以太网论坛(Metro Ethernet Forum,MEF)发布《SASE 服务框架》白皮书,进一步明确给出MEF 视角下的 SASE 架构;2022 年,MEF 联合微软、Verizon 等全球龙头企业,共同组织开展国际化的 SASE 标准体系的研制,计划孵化全球通用的 SASE 服务评估项目;而主要头部企业,也在 2020 年开始陆续推出一系列的 SASE 试用方案,加大 SASE 方向的商业布局,抢占产业链的上游位置。
3.2 产业态势:SASE 成为全球信息通信行业热点方案
在市场规模方面,SASE 市场呈现了快速上升的发展趋势。2021 年,Gartner 将 SASE 列入 云 安 全 成 熟 度 曲 线;2022 年,Gartner 统 计显示 SASE 市场已经达到 66 亿美元。预计未来5 年其市场规模将以 36% 的复合年增长率增长,到 2026 年将达到 210 亿美元规模。
在产品应用方面,SASE 的产品将趋于整合服务方向演进。SASE 服务形式多样,涉及 SD WAN、防火墙、SWG、CASB、零信任网络访问(Zero-Trust Network Access,ZTNA)等一系列安全产品、网络产品,考虑到供给侧 / 需求侧在业务连续性、统一化服务、商业营销策略和交付模式方面的诸多因素,预计到 2025 年,80%的企业将采用 SASE 架构,其中,65% 的企业将采用统一化的 SASE 服务。
在产业生态方面,SASE 生态链条里涉及了设备提供商、基础电信服务商、安全服务商、云服务商、增值电信服务商、第三方组织等多个环节,目前,提供 SD-WAN 服务的融合安全厂商占据了主导位置,未来在 SASE 领域方向,将形成各方共同发力的开放融合的生态格局。
3.3 技术态势:国际国内纷纷加速标准建设
国际 SASE 标准研制走向成熟。2022 年 10 月,MEF 完成并发布了《安全访问服务边缘 服务要求和框架》,从服务视角定义了 SASE 服务组件的技术架构;2022 年 11 月,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)发布了《安全企业网络环境指南》,重点聚焦安全操作视角,给出了多云访问企业网络环境的相关指导。
我 国 正 在 推 进 SASE 标 准 体 系 构 建。从2020 年开始,国内以中国通信标准化协会和中国通信学会为代表的标准组织从 SASE 总体技术要求、关键指标体系、服务质量、编排管理、技术指南、能力成熟度、整体方案技术要求、融合 SD-WAN 服务等方面加快 SASE 系列标准布局。
总体上看,我国 SASE 标准研究起步较早,但截至目前,整体研究进程相对滞后于国际标准的研究进程,缺少成熟度产业落地实践。
3.4 应用态势:我国 SASE 市场处于探索期,网络与安全厂商占主导优势
从产业链来看,SASE 行业的上游为提供安全产品、安全服务、安全集成的网络安全厂商。中游为网络服务、安全服务提供商。下游则是政府、金融、电信、能源、教育等各行业用户,用户的分布广泛。产品终端使用者覆盖政企、军队、运营商及金融、医疗、教育、交通、制造和能源等多个行业,行业总体更偏向于 B 端。
SASE 产业下游客户以电信、金融和能源行业为主。调研数据显示,电信行业仍然是当前我国 SASE 产业下游的最大客户,包含中国移动、中国电信、中国联通在内的运营商率先进行 SASE 试点部署;其次是金融行业,包含中国工商银行、兴业银行等金融机构进行 SASE 的相关应用;排在第三位的是能源行业,在 SASE 方面也有相应的布局。SASE 与垂直行业紧密结合,各垂直行业针对 SASE 的场景需求存在差异,例如,电信行业由于近几年线上远程办公、移动办公频仍,出现远程和移动办公的场景需求;金融行业由于网点众多,各分支机构的安全能力相对薄弱,诞生出多分支机构安全组网的场景需求;能源行业同样面临多分支机构安全组网,但能源行业物联网设备众多,也有物联网安全防护的场景需求。
4 SASE 的挑战与建议
4.1 SASE 面临多重挑战亟须破题
4.1.1 挑战一:顶层设计尚未成型
“十四五”期间,国家和政府着力突破新型网络安全关键技术,目前已相继出台了多项政策文件,开展相关试点,推进零信任等新型网 络 安 全 架 构 尽 快 落 地 实 施。2021 年 8 月,工信部印发《网络安全产业高质量发展三年行动计划(2021—2023 年)》,部署零信任等技术的研发创新及在关键领域的应用,但是我国SASE 发展还缺少整体性的战略布局。一是相关政策尚未出台。已有政策文件尚未明确提及对于 SASE 的部署,缺少 SASE 发展的路线图和时间表。二是引导措施尚未落实。SASE 对政府机构、行业企业、社会组织等落地应用的引导措施还未实施,各个主体对于 SASE 重要性的认识尚未形成,缺少可以参照借鉴的典型标杆。三是监管机制有待强化。SASE 在落地应用过程中,存在设施、平台、系统、数据等多维度的安全问题,我国目前在网络安全的整体监管上还比较欠缺,需要尽快补足。
4.1.2 挑战二:技术体系较为薄弱
2021 年我国 SD-WAN 领域全面规模化部署,已覆盖金融、医疗、能源等多个领域,技术发展逐步迈入 2.0 阶段。SASE 作为 SD-WAN 融合网络安全服务 2.0 的重要途径,整体技术成熟度处于早期阶段,网络安全由产品化向服务化转型。对比欧美地区,我国 SASE 技术竞争明显存在劣势。一是基础研究碎片化,技术框架不成熟。SASE 创新研究投入不足,关键技术、核心软件、硬件设施自主研发能力薄弱。二是架构融合壁垒深,基础设施感知服务能力低。产业云网部署形态彼此独立,SASE 基础设施互联互通性差,服务管理流程依赖于人工。三是标准建设不充分,产品参差不齐。我国 SASE 标准制定内容较少,未能充分覆盖技术、设备、服务各项要求,标准建设进程滞后,难以指导 SASE 企业优化产品设计。
4.1.3 挑战三:产业生态仍在初期阶段
国内一些领军企业如中国电信、中国联通和中企通信等已开始着手 SASE 的研发与实践,并提出初步的 SASE 解决方案。但我国 SASE 产业发展还存在诸多问题,在国际市场中无法掌握主导权,面临国外市场产业链垄断的风险。一是尚未进入规模化部署阶段。目前,我国各类厂商尚未充分参与到发展队伍中,SASE 采用率低,行业发展的基本共识尚未形成。二是供需对接存在明显不足。缺少行业发展平台,供需双方步调不一,产品上线后对接市场较慢,对于行业的实质性需求贴合不紧。三是产业发展模式存在短板。目前仍然是依赖硬件和设备销售的产品主导的发展模式,尚未完成向服务主导的发展模式的转变,供应商提供的解决方案服务性不足,尤其是对于中小企业的适配性较低。
4.2 多层次建设 SASE 新格局
4.2.1 建议一:完善顶层规划设计
加强政策指导,对 SASE 发展作出全面布局和整体规划。明确 SASE 战略定位和发展目标。制定相应的政策文件,将 SASE 作为我国未来网络安全架构建设的重点。从政府层面提出“SASE参考架构”等指南,为应用 SASE 架构提供路线图和资源。注重引导激励,多措并举加快 SASE落地应用。开展 SASE 试点项目,推动 SASE 在政府机构、行业企业、社会组织中的落地实施。开展 SASE 服务质量与能力要求评价和认证,评选 SASE 典型示范案例。重视监管,加强 SASE安全保障。完善业务市场准入、许可证准入、业务评测等机制,强化对 SASE 服务运营商的监管,尤其要注意避免 SASE 应用于公共服务平台、关键基础设施中造成的重要数据泄露等安全风险。
4.2.2 建议二:强化核心技术创新
坚持以应用需求为导向,持续增加 SASE 研发投入。全面激发企业创新活力,推广 SASE 创新技术成果转化,提升 SASE 对产业数字化和数字产业化的双向加持能力。全面挖掘基础设施应用感知能力,探索构建我国创新型网络融合安全一体化架构。推动建设通用技术平台,合理布局 SASE 基础设施,不断提升网络融合服务供给能力。制定统一完善的 SASE 标准体系,引领产业高质量发展。明确 SASE 通用技术要求、平台共享机制、服务质量指标,优化产业创新链和价值链结构,培育优秀 SASE 产品。
4.2.3 建议三:深化产业生态合作
推进规模化部署,夯实 SASE 产业发展基础。吸引更多的安全提供商、云提供商和网络提供商加入发展队伍,联合政府共同开展 SASE 典型示范,在行业层面推广优秀案例,为 SASE 产业大规模落地实践奠定基础。促进供需对接,建立 SASE 发展合作平台。依托国际第三方产业发展组织建设 SASE 产业信息共享与交流平台,调研不同行业网络和安全架构建设需求,加强产业各方在标准制定、产品研发等方面的协同合作。转变发展模式,推进形成 SASE“订阅服务”。推动企业将各项能力聚合在云上,以服务化模式交付 SASE,形成“按需订阅、随开随用”的模式,降低使用复杂性,为中小企业充分赋能。
5 结 语
SASE 技术与产业的发展对于我国网络安全具有重要意义,当前针对 SASE 技术的演进和应用的部署正在稳步推进中,未来,将以 SASE 技术标准为抓手,推动 SASE 产业在垂直行业领域的规模落地,促进 SASE 产业向更高质量发展。
引用格式:党小东 , 柴瑶琳 , 穆琙博 , 等 . 安全访问服务边缘产业发展现状及未来发展趋势 [J]. 信息安全与通信保密 ,2023(9):19-26.
作者简介 >>>
党小东,男,学士,初级工程师,主要研究方向为SD-WAN、SASE、NFV 等;
柴瑶琳,女,硕士,中级工程师,主要研究方向为 SDN/NFV、SDWAN、零信任、网络白盒等;
穆琙博,通讯作者,男,硕士,高级工程师,主要研究方向为算网融合、未来网络、云计算等;
毕立波,女,硕士,高级工程师,主要研究方向为数据通信、未来网络、SDN/NFV等。
选自《信息安全与通信保密》2023年第9期(为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。