IT领域永远不乏新的技术热点,譬如零信任好像刚流行起来,一个新概念SASE(安全访问服务边缘)又横空出世。
Gartner预计,到2024年,至少40%的企业将有明确的策略采用SASE,高于2018年底的不到1%。而且由于企业公有云流量的增多,导致安全边界逐渐模糊,将加速SASE的普及。
在Gartner的定义中,SASE是“一种新兴的体系结构,它结合了全面的广域网功能和全面的网络安全功能(如SWG、CASB、FWaaS和ZTNA),以支持数字化企业的动态安全访问需求。”
Gartner认为,ZTNA(零信任网络访问)无论是端点启动模式亦或是服务启动模式,无论是独立部署模式或者是软件即服务模式,都属于入口类的SASE。
所以,零信任是SASE的一部分吗?但这正是市场概念混淆的开始。
很多企业和安全主管都提出了类似的问题,比如:SASE和零信任之间的区别是什么?哪种模式最适合我的业务?我是否需要改变安全策略来达到同样的结果?
下面就来聊聊零信任和SASE之间有何关联?
零信任和SASE的起源
首先,零信任是由Forrester提出的,SASE是由Gartner提出的。
零信任概念是由Forrester首席分析师John Kindervag于2010年提出的。
后来,其继任者(即现任)Forrester首席分析师Chase Cunningham,将零信任丰富为“零信任扩展(ZTX)生态系统”。包含零信任用户、零信任设备、零信任网络、零信任应用、零信任数据、零信任分析、零信任自动化等七大领域。
当Gartner认识到零信任的重要性后,其副总裁分析师Neil MacDonald在2018年12月发布的报告《零信任是CARTA路线图上的第一步》中提出,将零信任项目作为CARTA(持续自适应风险与信任评估)路线图的初始步骤,试图将零信任纳入CARTA框架。
随后,在2019年4月又提出ZTNA(零信任网络访问)概念,它相当于SDP技术路线。
接着,Gartner分析师Neil MacDonald再次于2019年8月放出大招——在《网络安全的未来在云端》报告中,提出面向未来的SASE(安全访问服务边缘,Security Access Service Edge)概念,开辟了边缘安全的新天地。
此后,Gartner大力推广SASE概念,在不到两年的时间里,获得了很大共识。
Forrester很快认识到“边缘安全”这个概念的前瞻性,于是在2021年1月发布的《为安全和网络服务引入零信任边缘(ZTE)模型》报告中,正式提出ZTE(零信任边缘,Zero Trust Edge)。
Forrester在该报告中指出,零信任主要有两类概念:一是数据中心零信任:即资源侧的零信任;二是边缘零信任:即边缘侧的零信任访问安全,而这正是ZTE(零信任边缘)。
2021年2月,Forrester在《将安全带到零信任边缘》报告中解释说:Forrester的零信任边缘(ZTE)模型与Gartner的SASE模型是相似的,主要区别在于:零信任边缘模型的重点在零信任。
零信任和SASE之间
有什么区别?
从零信任和SASE概念的演变过程中,可以看到两者是在不断相互融合的,且有共同的目标,即保护企业的业务、上下文关系和基于身份的策略配置。
上文所提到,Gartner认为ZTNA(零信任网络访问)属于入口类的SASE,很多人就认为零信任属于SASE的一部分,这其实是一种误读。
因为ZTNA(零信任网络访问)是一种网络安全架构,其本质是一种以数据为中心的全新边界,通过强身份验证保护数据的技术。
而零信任作为一种安全理念,是基于“永不信任、持续验证”的原则,进行身份验证和数据访问授权,并没有明确规定任何类型的安全服务、技术,或者任何一种体系结构。
相较之下,SASE指的是部署在边缘的云安全交付服务,可为任何地方的数据提供广泛的保护。SASE明确了企业应该如何部署和使用一些网络和安全服务。
在对SASE模型的介绍中,Gartner列出了SASE的核心组件包括:SD-WAN、安全网关(SWG)、零信任网络访问(ZTNA)、防火墙即服务(FWaaS)和云应用程序安全代理(CASB)等。
上述SASE核心组件为实现零信任原则“永不信任、持续验证”提供了技术支撑,而ZTNA(零信任网络访问)是整个SASE体系结构中的主要技术之一。
总的来说,如果零信任是企业想做的事情,那么SASE可以被认为是实现的一种方式。如果企业想部署SASE产品,遵循零信任框架也是至关重要的。
SASE如何践行零信任理念?
那么,SASE到底应如何实现零信任安全模型的方法?
在Gartner的愿景中,SASE的各个核心组件需整合到一个集成的、易于使用的云交付平台中。通过将网络基础结构功能与网络安全功能集成在一起,SASE可以在所有网络连接点和端点上实施安全控制。
这种集成的、持续的流量检查和分析以及动态的安全策略执行功能,使SASE成为改变数字化转型计划的推动者,同时也是零信任架构的理想载体和路径。
目前,SASE的各个组件在市面上都有对应的产品,并且在不同程度上已为很多企业所使用。但由于SASE涵盖的技术较多,如何整合组件、重构网络,都使得SASE的落地成为很大的挑战。
中国信通院云计算与大数据研究所云计算部副主任马飞表示,随着网络与安全功能的逐步完善,服务商SASE解决方案的统一管控能力成为SASE落地实践的最大挑战。
由于SASE是网络安全能力的整合,SASE平台需要兼备网络、安全、配置、运维、资产、API管理能力,因此打通各功能组件的底层连接实现交互,并且为用户提供统一界面对资源进行管理编排,成为SASE落地的主要难点之一,也将会是接下来几年各厂商努力的方向。
对此,Forrester在2021年的《将安全带到零信任边缘》报告中,针对ZTE/SASE提出了一条颇具可行性的推进路线:ZTE要先解决战术性“远程访问”问题,最后再解决战略性“网络重构”问题。
原因在于,要重构企业网络结构,是个极大挑战,最好把这个硬骨头放到最后再解决。
具体而言,Forrester的“先战术、再战略”的推进思路如下:
第1步:先用ZTNA技术,解决远程访问问题;
第2步:再逐步追加其它的安全控制(如SWG、CASB、DLP);
第3步:最后使用SD-WAN技术,解决网络重构问题。
同样是2021年,Gartner也发布了采用SASE的战略路线图,其目标是帮助企业从传统安全架构转向SASE。
在Gartner的推进路线中,流程分解为可管理的步骤,并制定了短期和中长期的目标,以帮助组织完成流程。
其中,短期目标包括:
- 部署ZTNA(零信任网络访问):随着远程工作的快速增长,为远程用户替换传统的虚拟专用网络 (V**) 是一个主要优先事项。SASE的ZTNA功能使其成为传统远程访问解决方案的更安全替代方案,允许组织实施零信任策略以更好地保护其数据和用户。
- 制定淘汰计划:Gartner建议执行完整的设备和合同清单,并制定逐步淘汰本地周边和分支机构安全设备的时间表。然后,这些解决方案可以替换为托管在云中的SASE功能。
- 整合供应商:SASE提供了广泛的安全功能的完整集成,消除了对来自多个供应商的独立解决方案的需要。切换到SASE可以简化和简化从解决方案获取到长期监控和维护的安全的各个方面。
- 执行分支机构转型:部署在每个物理位置的安全设备创建了一个复杂而庞大的安全架构。努力将这些解决方案迁移到云端集中并简化了组织的安全性。
除了这些短期目标之外,Gartner还概述了组织应该追求的一些长期目标。这些主要集中在利用SASE的安全集成和ZTNA功能来集中和简化整个企业的安全操作。
大多数公司将需要制定一项多年战略以迁移到 SASE。虽然这一战略因公司而异,但Gartner 提出了一条适用于所有公司的建议:立即开始这一过程。
不难发现,无论是Forrester还是Gartner,都将SASE的落地分为了多个步骤,并建议从ZTNA(零信任网络访问)技术替代入手,之后再持续不断地淘汰和完善安全和网络功能,这表明实现SASE或零信任,从来不是一蹴而就的事。
回到开头的问题,零信任和SASE模式是什么关系?哪种模式更适合自己的业务?相信看完本文就能明白,答案在很大程度上无关紧要,因为答案不会影响任何人的业务或安全策略。