在企业纷纷拥抱数字业务的过程中,由于边缘计算、云服务、混合网络的逐渐兴起,使得本就漏洞百出的传统网络安全架构更加岌岌可危,而且远远无法满足企业数字业务的需要。为了应对这种情况,一个全新的模型——安全访问服务边缘(SASE)应运而生。
什么是安全访问服务边缘(SASE)?
首先,我们需要明确SASE的定义。定义很重要,迄今为止,SASE对于不同的人而言意味着不同的事物,但是鉴于该术语的新颖性/热度,存在这种情况也不足为奇。
SASE全称Secure Access Service Edge,即安全访问服务边缘,是Gartner在2019年8月的一份名为《云中网络安全的未来》的报告中首次提出的安全模型。Gartner指出,在SASE市场趋势报告中,“客户对简单性、可伸缩性、灵活性、低延迟和普遍安全性的需求迫使WAN边缘和网络安全市场融合。”
根据Gartner对SASE的描述,它是一种基于实体的身份、实时上下文、企业安全和合规策略,以及在整个会话中持续评估风险和信任的服务。SASE实现访问管理的首要方面是,它扩展了身份的定义。虽然更传统的身份概念仍然适用——即用户、组、角色分配等仍然有其重要意义——但所有的边缘位置和分布式WAN分支及网络源头也都被认为是“身份”。
此外,与传统的WAN不同,SASE还摒弃了将分支机构连接到中心机构的概念,而是转变为将设备连接到基于云的集中式服务的模型。其目的是为依赖云应用程序和数据的移动、全球工作场所提供简化的WAN和安全解决方案。
当用户及其云应用程序分布在全球而非本地时,将所有WAN回程到一个或多个公司数据中心以实现安全功能的通用解决方案增加了网络延迟。而SASE模型不会强制将流量回传到数据中心的检查引擎((inspection engines)),而是将检查引擎带到附近的存在点(PoP)。客户端将流量发到PoP进行检查,并转发到Internet或通过SASE全球骨干网转发到其他SASE客户端,从而消除这种回传所造成的延迟。
关键特征
在Gartner 发布的《网络安全的未来在云端》报告中,描述了超过12种不同的SASE特征,主要可以归结为以下四点:
身份驱动
SASE扩展了“身份”的范围,身份可以附加到包含个人或分支机构到连接源处的设备、应用程序、服务、IoT设备或边缘计算位置的任何内容上。所有行为和访问控制全部依赖于“身份”,服务质量、权限级别、路由选择、应用的风险安全控制等等,所有这些与网络连接相关联的服务全部由身份驱动。
云原生架构
云原生架构提供融合的WAN和安全性即服务,可提供所有云服务特有的可伸缩性,弹性,自适应性和自我修复功能,实现最大效率的平台,同时还可以很方便地适应新兴业务需求,而且随处可用。
支持所有边缘
SASE平等地支持所有边缘,包括物理位置、云数据中心、用户的移动设备和边缘计算等,并将所有功能都放置在本地PoP,而不是边缘位置。
全球分布
PoP的全球分布结构,无论企业办公室、云应用程序和移动用户位于何处,都可确保低延迟的全方位WAN和安全功能。为了在任何位置提供低延迟,SASE PoP必须比典型的公共云提供商所提供的数量更多,范围更广,并且SASE提供者必须具有广泛的对等关系。
技术组成
需要注意的是,SASE并不是单独的独立系统,而是包含一套技术,从SD-WAN和云访问安全代理(CASB)到安全的web网关、零信任网络访问(ZTNA)、防火墙即服务(FWaaS)和微分段。除了这些核心功能外,一些SASE供应商还会提供其他相关技术,包括Web应用程序、API保护、远程浏览器隔离,以及网络沙箱等。
可以说,SASE 提供了一种摒弃传统方法的设计理念,抛弃了将 SD-WAN 设备、防火墙、IPS 设备和各种其他网络及安全解决方案拼凑到一起的做法,以一个安全的全球SD-WAN服务代替了难以管理的技术“大杂烩”,最终为企业提供灵活一致的安全性、更好的性能和更低的复杂性,并且最重要的是,所有这些都以较低的成本实现。
SASE带给企业的好处
很显然,我们目前仍处于SASE演进的初期,而且许多组织尚未完全意识到采用这种方法所带来的好处。那么接下来,我们就一起探讨下SASE能够为企业带来的好处:
灵活、一致的安全性:SASE能够提供全面的安全服务,例如威胁预防、Web过滤、沙箱、DNS安全、数据防泄漏和下一代防火墙策略,确保零信任网络访问了解谁在你的网络上,以及您网络上的内容并保护网络内外的资产。
降低整体成本:该模型的成本效益将前期的资本转换为每月的订阅费用,合并了提供商和供应商,并减少了IT部门必须用于管理和维护物理及虚拟分支机构设备和软件代理的费用。除此之外,将维护、升级和硬件更新等任务委派给SASE提供商也可以帮助企业节省成本。
降低复杂性:通过将安全堆栈整合到基于云的网络安全服务模型中来简化IT基础架构,可以最大限度地减少IT团队管理以及需要更新和维护的安全产品数量,极大地降低了复杂性。
优化性能:利用云可用性,企业的团队成员可以轻松安全地连接到Internet、应用程序和公司资源,无论他们身处何处。
简化验证过程:IT管理人员可以通过基于云的管理平台集中设置策略,并在靠近终端用户的分布式PoP上实施策略。SASE通过对用户基于初始登录所请求的资源进行适当的策略调整,来简化身份验证过程。
威胁防护:通过将完整的内容检查集成到SASE解决方案中,用户可以从网络的更高安全性和可见性中受益。
数据保护:在SASE框架内实施数据保护策略有助于防止未授权访问和滥用敏感数据。
提升工作效率:SASE服务商可以提供不同质量的服务,因此每个应用程序都可以获得所需的带宽和网络响应能力。使用SASE可以减少企业IT员工与部署、监视、维护等相关的杂务,以便执行更高级别的任务。
企业部署SASE方式
了解完好处,接下来你一定好奇企业究竟如何应用SASE,下面就为大家介绍几种方式:
云原生SASE
根据Gartner的定义,所有网络和安全服务都可以通过云端获得是云原生SASE的一个重点特征。唯一的本地基础设施是类似于家用路由器这样的轻量级硬件设备,用于将连接定向至云节点。
最近,一些SASE供应商已经发布了能够让计算机和物联网终端直接连接至云端的客户端,从而消除了对其他硬件的需求。
这种方法的好处是,在任何地方,哪怕只有单台设备都可以具有企业级安全性和网络服务。缺点是,对于大型场所,SASE就会生成大量网络流量,因为所有安全检查都是在云端完成的。
适用场景:云原生SASE最适合具有许多小地点的高度分布式企业,例如保险公司和零售商。
云托管的本地SASE
尽管疫情仍在肆虐,但本地基础设施仍在扮演着重要角色。由于是通过云端对SASE进行管理,因此每个地方都将拥有自己的路由器、防火墙、统一威胁管理(UTM)等安全设备。从云端管理对于成功至关重要,而云原生SASE恰好提供了易用性。
其最大的好处是所有安全检查都在本地完成,从而提高了大型站点的性能。而一个明显的缺点是公司要为每个位置都提供硬件的成本。
这种方法的另一个好处是可以提供一定程度的投资保护。如果公司最近购买了一些本地基础设施,那么公司显然不会轻易丢弃这些设施。云托管可让公司继续使用那些相对较新的路由器、防火墙等设备。
适用场景:云托管的本地SASE非常适合那些拥有大量员工的组织,例如制造企业和医疗机构。此外,那些喜欢DIY模式的公司也应该选择这种方法。
托管SASE
尽管SASE具有许多优势,但也确实增加了WAN的复杂性。网络工程师需要考虑在何处使用分离隧道,办公室之间的网络层级,如何设置安全性,创建用户配置文件等诸多因素。老式WAN虽然效率不高,但胜在需要考虑的东西也不多。
SASE使企业可以利用网络做更多的事情,但同时也将复杂性提高到了许多公司根本无法解决的程度。托管SASE的好处是允许具有最佳实践经验的第三方配置和运行网络。
缺点是公司会失去控制权。托管服务提供商的一个新趋势是提供联合托管服务,即公司可以只执行自己擅长的任务,将其他的任务交给托管服务提供商(MSP)。
适用场景:那些希望快速迁移至SASE且具有高度风险承受能力的企业可以考虑托管服务。
混合部署
大多数组织最终都可能会选择混合方式,即混合使用云原生SASE和本地SASE。假设一家全球性律师事务所在每个国家设有一个或两个办事处,但每个地点都有数百名员工。该公司可以在实体办公室使用本地基础设施,同时通过云原生服务将在家远程办公的员工连接在一起。
适用场景:设有多个办公点的大型组织以及制造组织等。
SASE发展现状
行业标准
作为全球性行业联盟,城域以太网论坛(Metro Ethernet Forum,MEF)已经成为下一代标准组织,其广泛关注为服务提供商、技术制造商以及企业网络设计所提供的软件定义网络和安全基础架构服务。为了创造一个新的未来,实现“最佳产品”解决方案间能够进行互操作的可能性,MEF正着手创建许多行业标准,以用于培训和集成。
去年,MEF发布了《 MEF SASE服务框架》白皮书,概述了基于现有SD-WAN,安全性和自动化以及其他标准化工作而标准化SASE服务的框架。
此外,该行业机构还启动了SASE服务定义项目,该项目将使用此标准化工作,其中包括:SD-WAN服务属性和服务框架;SD-WAN服务的应用程序安全性;零信任框架和服务属性;通用SD-WAN Edge;SD-WAN服务的性能监控和服务准备测试;MEF服务模型:SD-WAN服务的信息模型;LSO Legato服务规范-SD-WAN;基于意图的编排和策略驱动的业务流程。
MEF CTO Pascal Menezes表示,
“ SASE的概念适应了企业用户访问业务系统的方式的根本变化,以及对更接近用户的低延迟边缘计算功能的相关需求的增加。过去定义良好且静态的网络边缘已被越来越多的用户在公司墙壁之外工作并访问公司数据中心以外的业务系统所取代。SASE将重点从以站点为中心的安全性转移到以用户为中心的安全性。用户可以是任何人(人,物联网等)任何地方,安全性和网络功能可以分布在企业数据中心之外,以最大限度地提高高性能边缘(例如PoPs)和安全云的可用性。”
SASE先驱者
自SASE概念提出以来,风靡了整个行业,网络安全厂商开始争先布局该领域,并进行了重大收并购计划以巩固其在该领域的领先地位。
目前,SASE仍处于起步阶段,市场上虽然有多家提供大量SASE功能的供应商,但没有一家提供完整的SASE产品组合的提供商。以下是SASE市场主要布局者及其相关产品:
Netskope——NewEdge SASE架构拥有全球最大、性能最高的安全私有云,并支持Netskope Security Cloud的实时内联安全服务,可在需要时随时随地部署安全服务。NewEdge支持下一代安全Web网关、云访问安全代理、数据丢失防护、零信任网络访问产品。
Palo Alto Networks——Prisma Access使用运行在用户计算机或移动设备上的移动代理,而不是依赖于专用的SD-WAN设备,从而可以在云端处理繁重的工作。此外,Prisma Access使用基于云的通用基础设施来提供安全服务,包括高级威胁防御、Web过滤、沙箱、DNS安全、证书盗窃预防、DLP和下一代防火墙。
Versa——Versa Secure Access号称是业界第一个为远程或在家工作的员工提供的安全SD-WAN服务和私人连接解决方案。作为Versa SASE服务的一部分,用户可以安全地连接到私有云和公共云中的应用程序。Versa Secure Access包括状态防火墙、DOS保护、下一代防火墙、IPS和最终用户客户端设备上的URL过滤。
Vmware——VMware通过将其Workspace ONE产品与它的SD-WAN软件包相结合,提高了远程和移动工作人员的安全访问权限。由此产生的零信任服务是其将SD-WAN和NSX虚拟网络服务整合在一起,以为其企业客户提供组合的云网络和云安全性,从而构建SASE平台的第一步。
思科——思科的SASE产品将领先的网络和安全功能结合在一个单一的云原生服务中,以帮助用户实现随时随地的访问需求。该公司的全球云基础架构提供一流的网络和安全功能,以提供简单、灵活和可扩展的产品,从而简化策略创建和管理并保护所有用户和设备的安全。
Forcepoint——Forcepoint通过将真正的企业级数据丢失防护与安全访问和高级威胁防护相结合,使SASE得到进一步发展,从而使用户可以在任何地方安全高效地工作。该公司的Dynamic Edge Protection工具可将Web、云和数据安全性作为一项服务提供,无需VPN即可远程访问私有应用程序,并提供基于风险的保护以实现个性化的自动化安全性。
McAfee——McAfee MVision Unified Cloud Edge通过将云访问安全代理(CASB)、安全Web网关(SWG)和数据丢失防护(DLP)工具整合到一个产品中,实现了从设备到云的一致数据和威胁防护控制。
Zscaler——Zscaler Cloud Security Platform是一项从零开始构建的SASE服务,旨在提高性能和可扩展性。通过与全球数百个合作伙伴建立连接,Zscaler为用户确保了最佳的性能和可靠性。
Cato Networks——Cato Networks 提供全球专用主干网,完整的网络安全堆栈以及对云资源和移动设备的无缝支持。客户可以轻松地将物理位置、云资源和移动用户连接到Cato Cloud,IT团队可以立即受益于通过单个自助控制台管理的统一网络和安全服务的敏捷性。
Fortinet——Fortinet的SASE产品利用了Fortinet网络防火墙和安全Web网关(SWG)为企业提供了面向远程用户的多层安全。与许多依赖公有云提供商的SASE供应商不同,Fortinet的产品是在该公司自己的高弹性多租户云架构上提供的,这使得Fortinet的SASE服务更加灵活。
除了上述这些主要参与者外,Gartner还预测称,
“目前主要的IaaS提供商(AWS,Azure和GCP)在SASE市场上还没有竞争力。我们预计,在未来五年内,至少有一家公司将大举进军SASE市场,因为它们都在扩展其边缘网络业务和安全能力。”
理想与现实的差距
近日,NetMotion对来自澳大利亚、德国、日本、英国和美国的法律、金融、公共安全、运输、医疗保健和政府部门的750位IT主管进行了调查,受访者包括CIO、CTO、IT和网络总监以及安全分析师。目标是调查世界各地企业和组织部署的各种SASE相关网络安全解决方案的普及程度。
结果发现,三分之二(67%)的受访者表示对综合SASE框架(基于受访者的理解)充满信心。但是,四分之一的组织(占26%)根本不接受SASE的概念(也没有立即制定计划),约三分之一的组织(35%)将信将疑——在不到一半的技术堆栈中接受SASE架构概念。
另外,只有67%的美国受访者可以自信地解释SASE的原则,而英国受访者的比例为81%,澳大利亚为78%。
公用事业和能源部门完全采用SASE的比例最高(17%)、其次是法律(14%)、金融(12%)和医疗保健(11%)。
IT团队在SASE实施中处于领先地位(52%)、而某些组织中安全团队(21%)和网络团队(18%)也负责SASE的实施。
VPN是部署最广泛的SASE解决方案(54%)、其次是WAN优化(49%)、云安全Web网关(46%)、防火墙即服务(39%)和SD-WAN(29%)。
尽管在过去两年中大肆宣传,但零信任网络架构(ZTNA/SDP)和边缘内容过滤是部署最少的SASE解决方案(15%),边缘内容过滤在美国最为普及(23%),这可能受远程办公合规性和安全性需求的驱动。
只有56%的组织已开始采用零信任,而24%的组织则不打算走零信任的道路;
NetMotion首席执行官兼总裁Christopher Kenessey表示,
“尽管SASE可能代表着网络可用性,优化和网络安全的未来,但我们的调查显示,现实与市场概念的火爆有着很大落差,绝大多数企业尚未完全接受SASE框架。我们的调查清楚地表明,我们仍处于SASE演进的初期,而且许多组织尚未完全意识到采用这种方法所带来的好处。”
事实上,阻碍SASE采用的主要因素之一是,只有4%的企业和组织已完全迁移到了云端,刚刚超过一半以的组织(51%)将大多数应用程序和服务放在云端。此外,仍然有超过15%的组织至少有四分之三的资产在本地托管。对于政府实体和公共安全机构,这一比例甚至更高达39%。
SASE应用挑战
无论SASE的好处有多大,我们都必须考虑其应用带来的挑战。我们将在此处概述它们-并不是为了阻止您,而是要引起您的注意。释放SASE的潜力时,请考虑以下挑战:
SASE不是新技术,而是技术的集成
长期以来,由于安全和网络本质上是两个截然不同的专业领域,因此当今大多数企业都有两个孤立的部门。SASE通过新规则、新解决方案和新技术包装将这两个领域再次整合到了一个新的竞争领域之中。但是,如果执行得当,SASE应该是他们的共同项目:网络专家和安全专家必须对哪个组件最适合公司有发言权。因此,两个团队必须保持一致,以实现一个总体目标。
值得信赖的SASE供应商和提供商
选择供应商时应该格外小心,组织必须进行充分的试点和测试,以确保SASE解决方案在实施前满足他们的需求。SASE包含所有网络和安全技术,因此很难应用非单一来源的策略。企业应该充分熟悉拟议的SASE解决方案,以了解解决方案的基础技术和安全实践,以及供应商提供企业可能正在寻找的特定功能的能力。
SASE体系结构必须扩展
SASE必须扩展,以为潜在的全球分布的端点、用户、设备和应用程序提供顶级的应用程序性能。加密/解密和安全性强制策略必须以线速应用。SASE体系结构不仅必须为数据面提供可伸缩性,而且还必须为控制和管理平面以及云原生和本地解决方案提供可伸缩性。
组织文化
SASE不仅是一项技术,甚至是一系列技术。它涵盖了传统的IT安全、网络团队和职责分离。将技术集成到单个解决方案中还要求IT团队在运营、职责、部署、管理、解决方案测试和供应商选择方面紧密集成。随着SASE跨网络和安全团队的扩展,改变供应商以采用SASE可能需要对公司IT员工进行再培训以使用新技术。
分布式云网关系统
云原生SASE产品受它们可以利用的一组云网关(POP)分布的限制。必须在全球范围内建立POP,才能为所有用户提供可预测的应用程序性能和QoE。您可以使用自己的网关系统(尽管这对于小型企业而言可能是昂贵的),或者可以利用SASE供应商或服务提供商提供的网关。
SASE提供商或供应商的技能集
SASE集成了传统网络和安全解决方案所包含的服务。具有任一领域背景的传统硬件供应商可能不是SASE最佳供应商选择,因为他们可能缺乏另一领域的专业知识。它们也可能不会为SASE架构带来真正的云原生思维方式,从而导致性能不足和集成能力不足。
避免DIY解决方案
将不相干的一组单一用途的设备或服务拼凑在一起的SASE解决方案注定会导致具有不良属性的解决方案:
复杂的基础架构和管理; 高延迟; 不可预测的攻击面; 大规模性能不足; 普遍缺乏网络可见性、控制以及符合行业标准和政府法规/法律所必需的管理工具;
发展预测
Gartner表示,SASE 市场仍在不断变化。专门从事网络安全和网络连接的供应商正在利用SASE市场带来的新机会。Gartner预计,到2024年,将有40%的企业采用来自同一供应商云交付的SWG、CASB、ZTNA和分支机构防火墙即服务(FWaaS)功能,而2020年,这一比例还不到5%;
到2025年,至少有60%的企业将采用明确的策略和时间表来采用SASE模型,包括用户,分支机构和边缘访问,而2020年,这一比例为10%;
到2023年,为了提供灵活且具有成本效益的可扩展宽带,将有30%的企业场所仅具有Internet WAN连接,而2020年,这一数字约为15%;
数字化、远程工作以及基于云的计算已经加速了云交付的SASE产品的部署和应用,尤其在新冠疫情持续蔓延所带来的变化中,SASE势必将成为推动远程工作和数字化过程变得更为敏捷和可扩展的关键工具,为内部和外部用户提供安全一致的体验,并可以从世界各地访问应用程序和服务。安全和风险管理者是时候制定从旧式的基于硬件和边界的产品往SASE模型的迁移计划。