本白皮书希望联合行业内的专家提供专业的回答来解释SASE是什么,基于什么样的技术,如何采用这个技术和解决方案,从而来推动SASE在国内的发展。 |
2019年,Gartner在报告《Hype Cycle for Enterprise Networking 2019》中首次提出了SASE(Secure Access Service Edge)的概念,其核心是网络即服务和安全即服务的融合。Gartner提出这一概念并非空穴来风,而是在当时的国际市场上已有先进服务商在实践网络+安全的融合SaaS服务,并且得到了市场的良好反馈,这意味着随着企业资产云化、办公移动化的深度发展,市场已经产生了对更简洁、统一、融合的SaaS服务的需求。CSA大中华区SASE工作组在《SASE安全访问服务边缘白皮书》中提到,“SASE是企业网络和业务架构演进至“云化”、“服务化”后自然产生的安全架构。”
2020年,SASE在国内也开始成为安全厂商、网络厂商追逐的下一个风口,2021年,各家厂商的SASE解决方案更如雨后春笋般面向市场。但研究小组观察到,目前国内厂商、客户对SASE的理解是没有统一的。“蓬勃发展对整个行业发展和用户选择是好事,但缺乏标准化也可能会导致技术的发展受限于割裂的技术框架,甚至会停滞不前。就像是安全设备的日志不统一导致安全运营效果的问题。”为了推动SASE在国内的发展,让更多人了解SASE统一认识,CSA大中华区SASE工作组邀请行业内专家提供专业回答解释SASE是什么,SASE的核心技术和应用场景有哪些,编写和发布了《SASE安全访问服务边缘白皮书》(以下简称白皮书)。
SASE定义与国内市场发展
什么是SASE?白皮书里引用了Gartner的定义并这样进行了展开描述:
“它将广域网接入与网络安全(如:SWG、CASB、FWaaS、ZTNA)结合起来,在整个会话过程中,综合基于实体的身份、实时上下文、企业安全/合规策略,以一种持续评估风险/信任的服务形式来交付,其中实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。SASE可以为企业提供全网流量的可见性,包括本地、云、和移动端访问应用和互联网的流量,甚至也包括分支之间的流量。SASE可提供一系列丰富的网络和安全功能,对流量进行安全检测与路由转发,实现企业全流量的威胁检测与控制,并根据应用优先级进行路由,以确保用户访问应用的体验与安全合规均可得到保障。”
SASE可以在多云、多分支、员工移动办公等场景下为企业提供更好的网络统一性、可见性、安全性,企业使用SASE架构,同步解决广域组网和安全问题,并且安全涵盖全流量、并支持深度威胁检测。这是SASE完整形态的定义,但是由于国内尚在发展早期,工作组也看到目前国内厂商提供SASE服务各有侧重,有基于SD-WAN服务在PoP点增加建设安全服务的,此类服务商在网络服务上则更具经验、优势。有从自身安全服务出发,与网络服务商合作,建设自有SASE服务的,这类SASE服务则更推崇企业以多种方式接入其SASE网络,不强调自身提供SD-WAN服务等,并着重发展的是其安全服务能力优势。对于后者,目前Gartner将该类着重安全服务提供,轻网络服务提供的重新划分类别到SSE(Secure Service Edge,安全服务边缘),以便与强网络与安全融合的服务商作区分。除此之外,CSA 大中华区SASE工作组专家也看到目前国内很多将专线与安全能力的融合也称为SASE,例如专线加云端防火墙服务等,同样也是SASE定义的延伸,适应国内市场而快速发展的产物。
研究成果
在本次研究中,CSA大中华区SASE工作组提出了SASE的四个核心技术和三个主要应用场景。
四个核心技术
1.边缘计算
SASE的网络服务、安全服务追求低延迟的服务效果,SASE的处理节点越靠近企业分支、靠近用户,才能使流量得到就近的安全威胁分析、防护处理,并快速接入到更优质量的网络中,获得应用加速等效果。所以,SASE与边缘计算密不可分。
边缘计算为云计算能力下沉的一种新型计算模式,在靠近用户、物联终端等数据源的网络边缘侧,融合计算、网络、存储、应用和安全的分布式计算系统,就近提供低延时和智能化服务,其边缘计算节点部署的位置靠近用户端或数据产生的端侧。边缘计算的智能互联服务可以很好地满足不同行业在数字化变革过程中对业务实时、数据融合、安全与隐私保护等多方面的关键需求。
边缘的优势主要体现在两个方面,一是在更靠近数据源所在的本地计算,尽可能地不用将数据回传到云端,减少数据往返云端的等待时间和网络成本,降低响应时延、减轻云端压力、降低带宽成本;二是拉通云端能力,能提供全网调度、算力分发等云服务,边缘云可离线运行并支持断点续传,本地数据可以得到更高的安全保护可以更好地适配数据不出园区的安全规定。
2.零信任网络访问
传统模型假设:组织网络内的所有事物都应受到信任。事实上,一旦进入网络,用户(包括威胁行为者和恶意内部人员)可以自由地横向移动、访问甚至泄露他们权限之外的任何数据。这显然是个很大的漏洞。
零信任网络访问(Zero-Trust Network Access,以下称ZTNA)则认为:不能信任出入网络的任何内容。应创建一种以数据为中心的全新边界,通过强身份验证技术保护数据。
ZTNA环境下,企业应用程序在公网上不再可见,可以免受攻击者的攻击。通过信任代理建立企业应用程序和用户之间的连接,根据身份、属性和环境动态授予访问权限,从而防止未经授权的用户进入并进一步防止数据泄露。对于数字化转型的企业,基于云的ZTNA产品,又提供了可扩展性和易用性。
目前SDP(Software defined perimeter)是ZTNA的最佳实践,这类客户端启动的ZTNA没有网络协议的限制,可以采集丰富客户端信息作为风险和威胁评估的数据源。目前SDP接入的ZTNA也在国内的SASE服务商中得到广泛应用,基于SDP的零信任访问控制服务能够为企业提供良好的应用保护。
3.网络即服务
从最开始对新冠疫情的猝不及防,到全民抗疫的众志成城、共克时艰,再到实现疫情防控常态化。
SASE架构的网络即服务应具备基础网络连接能力,可以基于专线、互联网或者4G/5G移动网络作为底层介质,采用SD-WAN组网技术,实现用户终端、分支机构、企业总部、数据中心间数据互通、网络管理与应用加速等能力。网络即服务下,应至少包括:1)灵活组网服务;2)组网安全服务;3)基于应用的服务保障;4)统一监控和策略管理服务。
国内也有将安全能力与其他非SD-WAN网络服务结合的SASE服务商,但目前SASE以SD-WAN网络服务为主。
4.安全即服务
SASE的安全能力应采用云原生架构使得安全能力具备快速弹性扩容、快速迭代更新、高性能和低延迟的特点。用户采用订阅模式按需使用所需的安全能力,安全能力按需使用按量计费。同时SASE服务商的边缘接入节点需覆盖在全国主要地域,让用户能享受到低延迟服务。
从用户角度来看,目前有三个主要SASE应用场景,并分别适合采用不同的SASE安全能力:
1)首先是企业员工终端设备访问互联网或访问外部应用场景。在该场景下,适合采用网络访问控制、检测和防护从企业内到外部的网络攻击行为、针对互联网访问流量和DNS流量进行分析、检测与阻断恶意域名等能力,也可采用数据防泄漏,对员工敏感数据外发检查,对上网行为做分析审计等。
2)其次是企业外部人员访问企业内部资源场景。在该场景下,适合采用ZTNA技术,对外部人员的访问严格控制,执行多因子认证、精细化授权、基于上下文行为的访问控制。同时结合威胁检测能力,做CC攻击防护、网页防篡改、恶意爬虫攻击防护等。对于外部的人员访问也应做到严格的数据安全防护,识别控制网络传输中的敏感数据,对传输和数据均做加密。
3)最后是企业内部人员访问企业内部资源场景。在该场景下,企业内部人员的设备受控(即:内部人员的终端设备需集成特定Agent)访问时的身份是受控(即:内部人员访问时需要通过身份认证),最后内部人员访问到SASE代理接入点后通过信任度策略的安全检查后就可以访问到内部资源了。在该场景下,安全访问服务边缘平台的SDP作为内部员工安全访问接入的统一入口 ,接收用户访问请求,在访问终端和身份经过验证之后,根据零信任安全访问策略执行判定,判断通过即可安全访问内部资源。同时在对访问内部资源进行Web防护,并且加入DLP的能力防止数据泄露的风险。
三个主要应用场景
经过工作组讨论,白皮书主要给出了三个SASE应用场景:连锁及加盟企业、跨地域分支机构和远程移动办公。
1.连锁及加盟企业
连锁及加盟类企业其网点往往分布范围广,员工数量众多,网络和安全需求多元化。随着连锁运营的拓展,新开业的网点越来越多,连锁及加盟类企业每新开一家网点,出于网络安全考虑,往往都需要申请两条链路,一条百兆互联网链路供网点客户上网使用,另外需要部署一条4M专线访问总部办公业务应用。由于专线费用较高,且传统专线网络可获取性较差,光纤/电缆需要单独部署,耗费的周期长,用户迫切希望能够通过新技术,在确保网络安全的前提下将专线替换为互联网线路,降低IT运营成本。
该场景下客户对SASE这类能同时解决专线高成本投入、多分支网络难建设、分支网点安全没保障三大问题的新兴解决方案有较大的需求。基于SD-WAN的SASE整体解决方案部署环境如下:
该SASE方案实现了任意hub、pop、云专线链路、数据中心SD-WAN、连锁或加盟网点设备、线路故障,都具备冗余,确保业务连续性。
在云端vPOP节点部署ZTNA、FWSaaS产品,基于零信任方案实现连锁及加盟网点与集团数据中心的安全互访,并避免遭受网络攻击和数据泄露。
方案优势主要四点:
1)全网冗余、确保业务连续性,避免单点故障。
2)集中控制,简化运维,采用SD-WAN技术实现“零配置”下发。
3)增强安全,满足合规,安全管理员可以在云端统一对所有连锁或加盟网点的业务访问进行审计管控、信息文件防泄漏和终端威胁检测等安全防护。
4)降低成本、提升效率:通过互联网实现连锁或加盟网点到骨干网PoP的SD-WAN接入,免去了铺设“最后一公里”的线路。
2.跨地域分支机构
针对跨地域的集团公司存在分支机构的的场景,传统方式是拉一条专线或通过VPN接入到集团统一的网络规划池,需要同时在分支网络提供网络防护等安全设备,以及面临进行安全设备的运营维护等工作投入,因此管理成本会很高。同时,分支机构不仅需要访问集团总部数据中心的业务系统,还经常需要访问互联网上的SaaS和公有云服务。客户分支机构需要访问总部资源,并能支持新分支扩展,同时保障访问安全、应用数据安全,在保障全球性集团企业延迟在一定范围情况下,还需要尽量降低网络建设运维成本。
SASE可以支持跨地域分支机构对总部和云上资源的无缝访问。企业可以通过快速、可靠的互联网连接,优化访问链路,增强用户体验,同时借助SASE的云化安全策略,全面开展检查流量、审核身份、访问控制等安全防护,这比在分支机构部署多套安全设备也能节省大量的成本。
方案优势主要四点:
1)多地域、靠近分支机构所在地的PoP节点接入,优化访问链路信息传输效率
2)基于零信任的安全终端管理、通信加密、多因素身份认证、最小权限、动态访问控制等安全能力,保障访问过程的安全
3)基于互联网的接入,比专线等形式降低成本
4)SaaS云服务的交付模式,比VPN等传统设备+私有化部署的形式支持更好的可扩展性
3.远程和移动办公
业务人员外勤进行业务操作时,使用平板/笔记本等移动终端访问内网业务时,需要根据实际业务的归属地,连接对应地市的VPN网关。当需要切换到另一种业务系统且归属在另一个地市,业务人员需要断开当前的VPN连接,再连接至另一地的VPN网关,这对于业务人员的办公效率是一种拖累,同时访问质量不稳定也无法得到根本性解决。
远程办公的VPN替换也是SASE一大主要应用场景。客户需要更安全、高效的移动用户访问内部应用的解决方案。通过SASE服务的改造基于VPN的移动办公接入架构,遍布全国的PoP节点首先可有效解决互联网环境访问的质量问题和办公终端的上网安全问题。同时PoP除了网络优化功能以外,基于“零信任”的理念,还承担起了终端用户的身份授权和访问权限的管控功能,而这一系列的策略通过SASE Controller统一下发和管理。
方案优势主要以下五点:
1)用户实现就近的PoP节点接入,优化访问链路信息传输效率,保障客户体验
2)基于零信任的安全终端管理、通信加密、多因素身份认证、最小权限、动态访问控制等安全能力,保障访问过程的安全
3)PoP点的网络安全服务,保障移动办公电脑的上网安全
4)对所有用户提供一致的安全管理,减少网管维护成本
5)SaaS云服务的交付模式,比VPN等传统设备+私有化部署的形式支持更好的可扩展性
结语
工作组认为未来SASE将对网络、安全行业产生巨大影响:“第一、促使网络厂商和安全厂商的融合;第二、是云网运营商向云网安运营商的转型,安全将成为刚需,无处不在;第三、专业安全厂商研发重点从设备研发转向VNF的研发和专业服务,推出以安全为主SASE服务,同时网络能力为以和云网运营商共建和合作的模式;第四、企业安全从业者能力要求大大降低,工作重心从设备采购配置向安全服务订阅管理转移,更多关注业务或应用安全,如DevSecOps,实现安全左移。”
整合国内行业专家认识,《白皮书》提出上述SASE关键定义与阐释,旨在帮助国内SASE市场健康发展,加速国内对SASE认识的统一。未来,CSA大中华区 SASE工作组将会联合厂商推出更多的标准,行业最新的信息,让整个技术规范化和标准化,让SASE的技术能在中国加速发展。
致谢
本白皮书由 CSA 大中华区 SASE 工作组专家撰写,感谢以下专家的贡献:
联席组长:林冠烨、何国锋
贡献者名单
原创作者:张琦枫、岑义涛、郭思麟、钟施仪、朱传江、毕亲波、廖奎敬、王茜、郑舟、何春根、吴致远、叶晓刚、黄超
审核专家:郭鹏程、姚凯
研究协调员:郭思麟
贡献单位:深信服、中国电信研究院、新华三、Fortinet 、绿盟科技、白山云、启明星辰、缔盟云、奇安信、安恒信息、安全狗、缔安科技、腾讯云、北森云
(以上排名不分先后)
关于研究工作组更多信息,请查看CSA大中华区官网(https∶//c-csa.cn/research/)。如本白皮书有不妥当之处,敬请读者联系CSA GCR给与雅正! 联系方式∶info@c-csa.cn。
特别鸣谢
作者:钟施仪 绿盟科技云安全产品部高级产品经理 |
||
审稿:何国锋 博士,教授级高级工程师,CSA大中华区SASE工作组联席组长,中国电信研究院安全工程研究中心所长。 |