别跟我谈安全!我的理想是不用管安全!
发布日期:2021-04-15
来源: 白话零信任
下图中蓝色部分是企业网络中的安全设备。一般来说,企业会购买硬件盒子形式的安全设备,部署在企业网络中,自己负责运维。(左图)
想象一下,如果有一天企业不用运维这么一大堆安全设备了。有一个公司在云上提供同样能力的安全服务。日常维护由云负责。没有现场部署调试这堆麻烦事。要增加什么安全能力,一键完成。想想是不是很美好?
Gartner提出了一种新的技术架构,可以实现这种美好的愿景。架构的名字叫SASE(全称Secure Access Service Edge)。
1、什么是SASE
SASE的一个主要思想就是基于云来提供安全,像共享单车一样“共享安全”。
SASE可以“零接触”部署全部安全服务。IT部门不必花心思应付各个安全厂商,采购各类产品,去SASE开个账号就妥了。理论上,用了SASE的企业,办公室里不用防火墙,不用服务器,什么都不用,全部由云来提供。
除了云安全,SASE还是一个云加速的方案。
一般公司不会在分公司放安全设备,一般会像下图左边这样,在总部放全套的安全设备,分部员工先连到总部做安全检测,再从总部出去访问互联网。
这么做会有一个问题——如果分公司在深圳,总部在北京,分公司用户要访问一个在深圳的SaaS应用,那流量要从深圳先到北京,检测之后,再出来回到深圳,流量来了一个全国游。
这显然是不合理的。
SASE架构的做法聪明很多。SASE的安全接入点不在中心而是在“边缘”。
就像上图右边那样。北京、深圳都有SASE节点,节点间是加密隧道。上文例子中深圳用户接入离自己最近的深圳SASE节点即可,不用去北京绕一圈,访问路径大大缩短。
这样,企业员工、合作伙伴无论身处何地,都可以快速地接入企业网络了。
正是因为有了“边缘加速”,云安全才变为可能。
SASE的一个重要意义就在于,解放了企业的安全边界。边界不必存在于数据中心的硬件盒子中,而是在企业需要的任何地方。员工、外地员工、第三方人员,甚至物联网设备,都可以自由地安全访问。
我很看好sase的发展,因为SASE不是单纯的安全产品,它还有加速、节省人力等等好处,给企业带来的价值更大,更重要的是它的价值是企业的老领导更容易理解的。
不过可惜的是,目前全球还没有一个符合Gartner定义的完整的SASE产品。已有产品要么有云安全,没有云加速,要么还是基于设备,没有在云原生的网络中。可能到今年年底,才会有厂商把完整产品做出来。
2、sase的技术
从技术角度看,SASE就是一些新兴的网络技术和安全技术的集合。或者说,SASE是Network as a service和Security as a service的进化。
SASE不是一个大杂烩。SASE把网络和安全整合到一个平台中,将访问技术栈压进方便管理的连接网络,进行统一管理:
(1)统一策略:我们可以在所有网络位置实施统一的策略,极大消除管理跨多个位置、用户和设备类型的网络的复杂性。IT部门可以专注于安全策略,而不是基础设施的常规配置。
(2)统一身份:SASE安全的核心就是身份,所有安全组件都以身份作为访问决策的中心。用户和资源身份决定网络连接体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由身份所驱动。
(3)统一检查:用户访问内容在内存中被并行地进行一次检查(例如检测敏感数据泄露或者恶意软件入侵),而不是多个检查引擎串行检查。
(4)统一数据:SASE中组件可以统一收集日志,展示安全全景图。不必担心各组件之间的兼容。所有数据都在一个公共存储库中,使故障排除更加容易。
(5)持续评估:SASE框架与零信任体系一脉相承。SASE在整个访问过程中对用户的身份、设备环境进行持续评估风险。SASE按需提供所需的服务和策略执行。
具体来说,SASE的技术栈应该包括:
(1)云原生架构:自适应弹性扩容、自动恢复、随处可用。
(2)支持各类接入形式:SDWAN组网接入、移动端接入、无端模式浏览器接入等等。
(3)接入节点覆盖全国各地,降低服务延迟
(4)一个平台上统一集成、管理各类微服务
(5)检测Https加密流量中的威胁
(6)对各个端口各种协议做入侵检测
(7)持续安全评估
(8)数据防泄密
(9)基于AI的用户行为分析
(10)威胁情报
(11)零信任替代VPN
(12)SDP网络隐身
(13)提供基于 DNS 的保护服务
(14)访问加速、路由优化、缓存、带宽分配优化
3、可能的坑
牛都吹完了,说说坑。
目前还没有一个完整的SASE产品出现,不过Gartner已经预测到会有不少厂商出来挖坑了~
未来一定会有厂商通过集成各家产品,串行一堆各家产品虚拟机,快速攒一个SASE出来卖。这类产品是你要小心的。没有整体架构设计的话,各组件不能兼容,运维起来难度反而更大,买这种相当于给自己挖坑了。
传统厂商习惯了卖硬件,转型到云原生可能会有一定难度。就像视频网站肯定不是靠堆一千个DVD做成的。云安全一定是云原生、为云而生的。
SASE的收费模型可能也是坑。SD-WAN产品通常根据带宽计费。然而,云安全产品往往是按照用户年费来收取的。由于 SASE同时包含了多种服务,厂商的收费模式还没有标准,可能会不断调整。买的时候可以先尝试1到2年的短期合同避坑。
4、总结
SASE必将颠覆目前的网络安全体系,就像“云计算”对数据中心的颠覆一样。同时,SASE也是为安全和风险管理人员提供了未来重新思考和设计网络和安全架构的机会。
在SASE产品成熟之前,Gartner还给出了一个过渡建议,企业可以提前规划SASE最核心的两块——SD-WAN和零信任架构。