隨著云服務和網(wǎng)絡不推動數(shù)字業(yè)務概念的不斷進行,我們逐漸發(fā)現(xiàn),傳統(tǒng)網(wǎng)絡和網(wǎng)絡安全架構(gòu)遠遠不能滿足數(shù)字業(yè)務的需求。而在企業(yè)紛紛擁抱數(shù)字業(yè)務的過程中,由于邊緣計算、云服務、混合網(wǎng)絡的逐漸興起,使得本就漏洞百出的傳統(tǒng)網(wǎng)絡安全架構(gòu)更加岌岌可危。
但就在2019年7月,曾發(fā)表過《零信任架構(gòu)及解決方案》白皮書的Gartner公司,又扔出了一個更加“勁爆”的“炸彈”。Gartner提出了一個比“零信任”更高一個維度的概念,即“SASE”(安全訪問服務邊緣模型)。
根據(jù)Gartner的預計,到2024年,至少40%的企業(yè)將有明確的策略采用SASE,高于2018年底的不到1%。而且由于新冠疫情引發(fā)的全球遠程辦公潮,很有可能加速SASE的普及。本期美創(chuàng)科技安全實驗室將為大家繼續(xù)跟進“零信任安全體系”的前沿技術——SASE。
Hype Cycle for Enterprise Networking
一、什么是SASE
SASE全稱是Secure Access Service Edge即安全訪問服務邊緣。SASE這一概念最早出現(xiàn)在Gartner的《The Future of Network Security Isin the Cloud》這篇報告中,在其的另一篇報告中《Top 10 strategictechnology trends for 2020》也提到了邊緣賦能這項技術趨勢。無論如何從上述兩篇報告中,都可以看出SASE集成了我們之前文章中曾介紹過的:自動化、CARTA(持續(xù)性自適應風險與信任評估)、ZTNA(零信任網(wǎng)絡訪問)、Advance APT防護等技術??梢哉f大部分新興技術大多都涵蓋到SASE架構(gòu)中。
Gartner對SASE的定義也很簡單:SASE是一種基于實體的身份、實時上下文、企業(yè)安全/合規(guī)策略,以及在整個會話中持續(xù)評估風險/信任的服務。實體的身份可與人員、人員組(分支辦公室)、設備、應用、服務、物聯(lián)網(wǎng)系統(tǒng)或邊緣計算場地相關聯(lián)。
SASE與零信任體系和CARTA自適應框架一樣,都在強調(diào)“身份”這一概念的重要性。SASE的核心就是身份,即身份是訪問決策的中心,而不再是企業(yè)數(shù)據(jù)中心。所有框架的核心要點便是:基于身份的訪問決策。
而關于身份的問題,在之前的“零信任“系列文章中也做了討論,所以這里簡單提一下即可。我們可以確定對身份因子的可把控維度越大則安全框架發(fā)揮出的防護效果更好。而我們基本可以認定:用戶、設備、服務是比較基本的身份因子,除此之外還有”上下文“信息也可以被認定為身份因子,這些上下文信息來源包括:用戶使用的設備身份、日期、風險/信任評估、場地、正在訪問的應用或數(shù)據(jù)的靈敏度。企業(yè)數(shù)據(jù)中心仍存在,但不再是網(wǎng)絡架構(gòu)的中心,只是用戶和設備需要訪問的眾多互聯(lián)網(wǎng)服務中的一個。
SASE按需提供所需的服務和策略執(zhí)行,獨立于請求服務的實體場所和所有訪問能力。
SASE Conceptual Model
二、SASE云服務的主要特點
SASE框架畢竟也是與“零信任體系“一脈相承,所以”零信任體系“所包含的特點SASE自然是都有,除此之外,SASE還有著4個與眾不同的特點:身份驅(qū)動、云原生、兼容所有邊緣、全球分布。
1、身份驅(qū)動
所有行為和訪問控制全部依賴于“身份“,服務質(zhì)量、權(quán)限級別、路由選擇、應用的風險安全控制等等,所有這些與網(wǎng)絡連接相關聯(lián)的服務全部由身份驅(qū)動?;诖?,公司企業(yè)只需專注于身份管理與對應的安全策略,從而無需考慮設備或地理位置等因素,以此達到降低運營開銷的目的。
2、云原生
SASE認定未來網(wǎng)絡安全一定會集中在云服務上,因此SASE框架利用云原生的幾個主要功能:彈性、自適應性、自恢復能力、自維護能力,以此提供一個分攤客戶開銷以提供最大效率的平臺,可很方便地適應新興業(yè)務需求,而且隨處可用。
3、兼容所有邊緣
SASE 為所有公司資源創(chuàng)建了一個網(wǎng)絡——數(shù)據(jù)中心、分公司、云資源和移動用戶。舉個例子,軟件定義廣域網(wǎng) (SD-WAN) 設備支持物理邊緣,而移動客戶端和無客戶端瀏覽器訪問連接四處游走的用戶。
4、全球分布
為確保所有網(wǎng)絡和安全功能隨處可用,并向全部邊緣交付盡可能好的體驗,SASE 云必須全球分布。因此,企業(yè)需要具有全球 POP 點和對等連接的 SASE 產(chǎn)品,必須擴展自身覆蓋面,向企業(yè)邊緣交付低延遲服務。
三、SASE帶給企業(yè)的價值
SASE畢竟是一種各種新興技術的集大成之作,雖然目前SASE過于龐大導致內(nèi)部并不能很好處理各個接口和數(shù)據(jù),但沒有任何人會懷疑一旦SASE成熟后將給安全形式帶來巨大改變。尤其是SASE將給企業(yè)帶來巨大的價值,主要體現(xiàn)在以下幾個方面:
1、靈活性
基于云基礎架構(gòu)提供多種安全服務,例如威脅預防、Web過濾、沙箱、DNS安全、數(shù)據(jù)防泄漏和下一代防火墻策略。
2、節(jié)省成本
利用單一平臺,無需購買和管理多點產(chǎn)品,可以大大降低成本和IT資源。
3、降低復雜性
通過將安全堆棧整合到基于云的網(wǎng)絡安全服務模型中來簡化IT基礎架構(gòu),可以最大限度地減少IT團隊管理以及需要更新和維護的安全產(chǎn)品數(shù)量。
4、提高性能
借助云基礎架構(gòu),你可以輕松連接到資源所在的任何位置??梢栽谌蚍秶鷥?nèi)訪問應用程序、互聯(lián)網(wǎng)和公司數(shù)據(jù)。
5、零信任
基于云的零信任方法消除了用戶、設備和應用程序連接時的信任假設。一個SASE解決方案能提供完整的會話保護,無論用戶是在公司網(wǎng)絡上還是在公司網(wǎng)絡外。
6、威脅防護
通過將完整的內(nèi)容檢查集成到SASE解決方案中,用戶可以從網(wǎng)絡的更高安全性和可見性中受益。
7、數(shù)據(jù)保護
在SASE框架內(nèi)實施數(shù)據(jù)保護策略有助于防止未授權(quán)訪問和濫用敏感數(shù)據(jù)。
責任編輯:pj
-
廣域網(wǎng)
+關注
關注
1文章
239瀏覽量
21759 -
云服務
+關注
關注
0文章
800瀏覽量
38837 -
邊緣計算
+關注
關注
22文章
3028瀏覽量
48350
發(fā)布評論請先 登錄
相關推薦
評論