SASE為數(shù)字化時代而生

-1-，SASE為數(shù)字化時代而生，?2021綠盟科技-2-SASE(SecurityAccessSevicesEdge，縮寫讀為sassy/?s?si/)安全訪問服務(wù)邊緣，是Gartner2019年提出的一種網(wǎng)絡(luò)安全服務(wù)架構(gòu)。本文將闡述筆者對SASE的理解，以及對SASE在國內(nèi)的未來發(fā)展趨勢的預(yù)測。一.SASE定義Gartner對SASE(安全訪問服務(wù)邊緣)的定義是：一種結(jié)合了廣域網(wǎng)功能和全面的網(wǎng)絡(luò)安全功能(例如SecureWebGateway安全web網(wǎng)關(guān),CloudAccessSecurityBroker云訪問安全代理,FirewallSaaS防火墻即服務(wù)和ZeroTrustNetworkAccess零信任網(wǎng)絡(luò)訪問)的新興產(chǎn)品，能滿足數(shù)字化企業(yè)的動態(tài)安全訪問需求。下面這張圖能夠清晰看到SASE由兩大部分組成。圖1.1SASE組成，Gartner《TheFutureofNetworkSecurityIsintheCloud》從業(yè)務(wù)角度來理解，SASE就是網(wǎng)絡(luò)和安全融合的服務(wù)。其實(shí)，在Gartner定義SASE之前，市面上已有一些接近SASE理念的產(chǎn)品服務(wù)出現(xiàn)，例如CATOnetwork的CATOCloud、ZScaler的ZIA服務(wù)(ZScalerInternetAccess)、PaloAlto的PrismaAccess，他們均依托于強(qiáng)大的全球化分布PoP點(diǎn)的邊緣云，向客戶提供安全可靠、網(wǎng)絡(luò)質(zhì)量佳的訪問接入SaaS服務(wù)。ZScaler的現(xiàn)金牛產(chǎn)品ZIA主要是web安全網(wǎng)關(guān)(SWG)SaaS服務(wù)，它可以為任意地點(diǎn)的所有辦公室和訪問者提供統(tǒng)一的安全防護(hù)，并減少企業(yè)網(wǎng)絡(luò)安全建設(shè)投入。這些新興服務(wù)滿足了云計算時代的企業(yè)需求，尤其在疫情催化下，這些服務(wù)的需求量快速增長，在全球范圍內(nèi)得到了廣泛的應(yīng)用。-3-為什么國外的這些接入類服務(wù)得到了快速發(fā)展？背后的市場驅(qū)動因素主要是企業(yè)的數(shù)字化轉(zhuǎn)型。數(shù)字化企業(yè)具備這些特點(diǎn)：1)相對于傳統(tǒng)企業(yè)內(nèi)網(wǎng)，用戶更多地使用企業(yè)外部的網(wǎng)絡(luò)來完成工作2)相比數(shù)據(jù)中心的工作負(fù)載，數(shù)字化企業(yè)更多使用在IaaS中運(yùn)行的工作負(fù)載3)相對于企業(yè)基礎(chǔ)設(shè)施中的應(yīng)用，數(shù)字化企業(yè)更多使用SaaS化的應(yīng)用4)數(shù)字化企業(yè)將更多的敏感數(shù)據(jù)存儲在云服務(wù)中5)數(shù)字化企業(yè)中更多的用戶流量、分支機(jī)構(gòu)流量流向公有云企業(yè)的數(shù)字化轉(zhuǎn)型讓企業(yè)流量走向發(fā)生了變化，而流量走向的變化要求企業(yè)的網(wǎng)絡(luò)安全架構(gòu)也必須隨之變化，總結(jié)如下三點(diǎn)企業(yè)數(shù)字化轉(zhuǎn)型下的訴求，則讓SASE的出現(xiàn)成為一種必然：1.云上應(yīng)用、服務(wù)需求大量增長企業(yè)數(shù)字化轉(zhuǎn)型需要隨時隨地訪問應(yīng)用和服務(wù)，這次疫情加速了這個趨勢?？梢灶A(yù)測，企業(yè)數(shù)據(jù)中心還將長期存在，但和云相比其流量比例會逐漸縮小，過去聚焦于數(shù)據(jù)中心的網(wǎng)絡(luò)和安全設(shè)計逐漸顯得不合時宜。而SASE先天具備連接云上資產(chǎn)、應(yīng)用的網(wǎng)絡(luò)優(yōu)勢，SD-WAN的特性讓SASE具備更好的多云多數(shù)據(jù)中心聯(lián)通能力。而SASE的安全能力更集中于SASECloud內(nèi)，也減少了多數(shù)據(jù)中心、多云內(nèi)安全建設(shè)的負(fù)擔(dān)。2.邊緣計算需求增長企業(yè)對分布式邊緣計算能力需求在不斷增長，低延遲訪問本地存儲和計算的系統(tǒng)和設(shè)備的需求也在不斷增長。加上5G的到來，更讓邊緣計算需求加速催化。SASE的邊緣特性正滿足了邊緣計算需求。將pop點(diǎn)建設(shè)盡可能貼近客戶側(cè)，使客戶可以盡快接入優(yōu)質(zhì)的SASE網(wǎng)絡(luò)，得到訪問加速的同時，享受云上的全棧安全能力。3.移動辦公需求增長疫情讓移動辦公爆發(fā)增長，公司員工、合作伙伴、代理商都有在企業(yè)外部訪問企業(yè)應(yīng)用服務(wù)的需求，傳統(tǒng)的VPN只能滿足少部分的移動辦公需求，當(dāng)人員組成復(fù)雜、人數(shù)持續(xù)增加的情況下，VPN已不再是最優(yōu)解決方案。企業(yè)需要安全高效的移動辦公解決方案。SASE可以將企業(yè)移動終端納管，移動辦公人員就近接入SASE，一方面可以加速訪問應(yīng)用，另一方面還可享受多種安全防護(hù)，如數(shù)據(jù)防泄漏、過濾惡意網(wǎng)站等。二.SASE的四大關(guān)鍵特性2.1重云端輕分支SASE模型最大特點(diǎn)就是重云端、輕分支。SASE將安全和網(wǎng)絡(luò)能力上移，通過統(tǒng)一的云交付形式，讓多分支的IT建設(shè)和運(yùn)維的負(fù)擔(dān)減小。SASE云端提供身份認(rèn)證、深度包檢測、威脅防護(hù)、數(shù)據(jù)防泄漏等多項(xiàng)安全能力，并擁有廣域網(wǎng)優(yōu)化等網(wǎng)絡(luò)能力，在地端，只需輕量的SD-WANCPE部署，將流量導(dǎo)向云端安全服務(wù)。-4-圖1.2SASE重云端輕分支2.2邊緣云服務(wù)傳統(tǒng)SaaS服務(wù)由于服務(wù)節(jié)點(diǎn)少，企業(yè)在應(yīng)用時往往會使業(yè)務(wù)產(chǎn)生更大的延遲。SASE是邊緣云服務(wù)，多節(jié)點(diǎn)、全球分布是其一大特征。用戶可就近接入PoP節(jié)點(diǎn)，每個PoP節(jié)點(diǎn)提供相同的安全網(wǎng)絡(luò)能力，SASE讓企業(yè)流量在不繞行的同時擁有最好的安全防護(hù)。圖1.3SASE去中心重邊緣2.3身份驅(qū)動SASE安全能力的關(guān)鍵在于訪問控制，依靠零信任網(wǎng)絡(luò)訪問技術(shù)(ZeroTrustNetworkAccessZTNASASE備、應(yīng)用、訪問記錄等上下文信息，做出智能選路和訪問權(quán)限控制等。-5-圖1.4SASE以身份為中心，Gartner《TheFutureofNetworkSecurityIsintheCloud》2.4云原生化SASE架構(gòu)具備彈性可擴(kuò)容、能力易復(fù)制、迭代速度快等特點(diǎn)。基于公有云建設(shè)PoP點(diǎn)，相較于傳統(tǒng)的IDC部署，可有效降低SASE服務(wù)商的PoP點(diǎn)建設(shè)成本。安全能力云原生化可最大效率利用云上資源，為用戶按需提供安全服務(wù)。SASE服務(wù)商還可根據(jù)業(yè)務(wù)需要在公有云上快速彈性鋪設(shè)PoP點(diǎn)，貼近用戶邊緣提供服務(wù)，提升用戶使用體驗(yàn)。SD-WAN即軟件定義廣域網(wǎng)，將SDN技術(shù)應(yīng)用在了廣域網(wǎng)絡(luò)。SD-WAN解決網(wǎng)絡(luò)的高效運(yùn)維管理的特點(diǎn)。如果要論SASE和SD-WAN的關(guān)系，那么SD-WAN應(yīng)該說是SASE網(wǎng)絡(luò)服務(wù)的一種可選基礎(chǔ)設(shè)施。而所謂的安全SD-WAN解決方案與SASE也有不同，安全SD-WAN解決方案更多是在地端SD-WAN前加防火墻，或是在SD-WAN盒子上增加IPS、ACL等功能，其思路仍停留在重地端建設(shè)上。而SASE的理念是重云端輕分支，盡可能將多的網(wǎng)絡(luò)安全能力上移到云。-6-四.國內(nèi)需要怎樣的SASE？從2020年Gartner發(fā)布的中國ICT技術(shù)成熟度曲線可以看到我國云安全技術(shù)還在發(fā)展大前期，而SASE技術(shù)在全球的云安全技術(shù)成熟度曲線上正在概念膨脹的頂峰，SASE在國外市場的確反響良好，而國內(nèi)市場目前真的需要SASE嗎？圖1.52020年中國ICT技術(shù)成熟度曲線對業(yè)務(wù)發(fā)展的判斷，源于對客戶IT建設(shè)發(fā)展階段和實(shí)際需求的觀察。隨著國內(nèi)數(shù)字化支安SASE的服務(wù)形式確實(shí)能夠?yàn)榭蛻艚鉀Q上述的問題。但在某些行業(yè)會有使用公有云SaaS服務(wù)的受限問題，這可能是SASE當(dāng)前在國內(nèi)發(fā)展會遇到的最明顯的阻礙點(diǎn)。短期來看，SASE也許會在國內(nèi)走上中國特色發(fā)展道路。例如服務(wù)商也許會貼近等保要SASE模型發(fā)展為安全專網(wǎng)解決方案，便于三方機(jī)構(gòu)統(tǒng)一監(jiān)管行業(yè)流量；或?qū)ASE作為SD-WAN服務(wù)行業(yè)的監(jiān)管方案，檢測出入境流量等等，SASE模型可衍生應(yīng)用在多行業(yè)領(lǐng)域。五.總結(jié)數(shù)字化轉(zhuǎn)型浪潮下，傳統(tǒng)圍繞傳統(tǒng)數(shù)據(jù)中心的網(wǎng)絡(luò)安全架構(gòu)不再適應(yīng)企業(yè)發(fā)展，數(shù)字化企業(yè)需要更一體化、簡潔智能