网络安全对企业和个人来说,往往有着一种可望而不可及的感觉,尤其是当前多数企业的网络防护仍然处于沿用过时传统安全模型的阶段,在这种模型下,企业常常只会围绕数据中心在周围构建“护城河”来保护其数据资产。可是伴随办公移动化迁移,企业分支、远程办公、云端办公的需求越来越多,涉及安全的资产变得比以前更为分散,而防护边界也日益模糊。
因此对企业而言,非常有必要采构建全新的安全模型,为企业网络防护加固。这其中,尤属SASE和零信任的概念最经常被及,具体来说,前者是一种结合了广域网功能和全面的网络安全功能的新兴服务产品,能满足数字化企业的动态安全访问需求,而后者根植于“永不信任,始终验证”原则上,通过基于用户、数据和位置的微细分与颗粒度进行划分,并联合周边安全设备共同执行防护检测与过滤,达到解决网络内横向威胁的移动。
根据Gartner的预测,到2025年,有超过60%的组织会围绕零信任实施安全,并且有至少60%的企业对于SASE也很感兴趣,这就意味着两部分人群中,一定有企业想在实施零信任的同时也去实施SASE。
那么,当SASE和零信任实现融合,又会达成怎样的化学反应呢?
要想回答这个问题,要先从SASE和零信任的概念来说起,首先是SASE。在过去传统的数据中心,不管是分支机构、承包商还是合作伙伴,都需要通过数据中心对应用程序进行访问。在这种连接方式下,可以看到有一个非常明确的边界,就是数据中心。在这种连接方式下,只要对数据中心进行保护就能确保应用程序访问的安全,这也是绝大多数企业在五年、甚至十年前的一个非常主流的连接方式,但在今天已经不再有效了。
现如今随着用户和应用变得无处不在,数据中心也失去了其唯一性,用户希望在任何时间的任何地点,通过任何终端访问应用程序,这也是为何企业需要SASE的原因。
“Gartner认为,SASE的实现是需要做到零信任访问的,具体来说,SASE主要由两块支柱组成,其一是广域网边缘服务,其二则是安全服务边缘SSE。”Gartner高级研究总监高峰在接受采访时表示。
其中在广域网边缘服务侧,除了近年来非常热门的SD-WAN技术外,已经很难再找到另一个能够被独立部署的技术产品了,这是因为大部分已经成为了一些功能,而非独立的产品。而在安全服务边缘侧,安全网络网关(SWG),云访问服务代理(CASB),零信任网络访问(ZTNA/VPN)都是一些传统的并且能够独立部署的安全技术,且对应着不同的访问场景,如互联网访问、SaaS访问和远程办公应用程序访问等等。不过这些产品的集成、运维和管理是非常复杂的,越来越多的企业希望将他们整合起来,并且有很多厂商已经在朝着这个方向发展了,例如ZTNA的厂商会加入SWG功能,而SASE的基础其实就是由SWG、CASB、VPN再加上SD-WAN四种技术构成的。
具体到工作原理层面,通常来说,传统用户在企业之中访问企业应用程序去完成工作,这些应用程序可以部署在云端或者本地,“私有网络”在过去主要通过专线或者MPLS这种昂贵的线路实现连接的,但普遍存在带宽过贵、交付慢等问题,而通过SD-WAN,可以使得用户使用更为廉价,且交付敏捷的方式的互联网线路来连接企业。
上文中提到,企业员工有着随时随地访问应用程序的需求,这些都是通过SaaS SSE安全服务边缘层来实现的,对企业总部来说,可以通过SD-WAN连接到SSE层,使得它对互联网应用和企业之外应用的访问进行保护,这也是SD-WAN和SSE可以协作的非常关键的一个点。“现在很多的企业并没有完全的部署SASE,它可以去选择一个厂商提供SD-WAN、还有一个厂商提供SSE,把它们整合起来去组成SASE,或者他们也可以去使用单一的厂商去提供SD-WAN和SSE,这其实就是我们称为的SASE产品。”高峰总结道。
而零信任则是另一个网络安全届老生常谈的话题,从定义上来讲,零信任架构是一种将基于隐性信任的访问替换为基于不断更新的身份和上下文的访问的体系结构。换句话就是一种可根据计算的风险提供对资源的访问的安全架构。
高峰解释道,所谓计算的风险,就是对用户的每一次访问进行风险计算,如果在能接受范围之内,就对访问进行放行,反之则加以拒绝,并且这种风险还考虑到了多重维度、多种信号的因素,不仅仅是基于身份的认证,可能还需要包括访问环境的各种信号,因为目前绝大部分的网络攻击时通过钓鱼获得管理员的账号,传统的安全工具是无法有效发现这点的,甚至有可能造成拖库风险,所以要对用户的每一次访问进行风险计算,并且持续验证本次访问是否处在企业可接受的风险范围之内。
从能力上看,零信任能力涵盖了用户、终端、应用、网络、数据、监控以及自动化等多方面的能力,例如在运营层面,监控和自动化就是两个非常重要的能力,由于零信任的能力非常多,通过传统的人力方式是很难做好的,所以要尽可能通过自动化的手段来实现,例如流程的自动化、应用上线的自动化等等,这样就可以有效减少IT的干预,作为安全人员来说,可以通过自动设置的方式,把某些应用移除,并把需要新的访问的应用加入,这对企业来说是非常重要的。
那么SASE和零信任的关系又是怎样的?高峰表示,零信任是一种将实体连接到资源的架构,以开始部署零信任架构,所以说,SASE代表做什么,零信任则代表怎么做。
以NIST零信任架构为例,用户通常来说是通过计算机或者移动终端来访问企业资源,也就是应用程序的,在中间的策略执行点PEP(PEP=PolicyEnforcement Point)主要承担控制访问允许与否的任务,在这之上的策略决策点PDP(PDP=PolicyDecisionPoint)则承担了大脑的功能,来决定是否允许访问。对企业来说,首先需要定义策略,才能保证PDP的正常工作,很多失败的零信任也是由于策略并没有定义好。在拥有了已定义的策略后,用户一旦发起访问请求,策略执行点PEP会去询问PDP,PDP就基于访问策略和各种信号的输入来做出是否授权的决定,PEP根据PDP的决定来授权放行与否。
而SASE,实际上就代替了PDP、PEP的工作,这也是SASE和零信任之间的关系,对SASE来说,要想知道是否应该允许访问就需要很多洞察,而非简单的定义策略,例如和身份系统进行集成,判断是否有AD、ADD、企业微信或者钉钉等等,如果不能集成身份系统和SASE,基本上也就预示着零信任策略的失败,当然,身份系统只是其中之一,除此之外,企业还需要集成IT资产管理或者CMDB,乃至威胁情报等等,了解企业拥有的IT资产情况,是否允许BYOD自带设备,或者了解最新的威胁。
简单来说,SASE=SD-WAN、SWG、CASB、ZTNA,这是SASE具备的能力,不过大多数厂商并未做到这点,但这势必会成为趋势。所以当企业要部署或者考虑部署SASE的时候,要和厂商确认是否有SD-WAN产品的计划,对企业而言,虽然无法直接购买到零信任,但实际上是可以通过SASE来帮助构建基于零信任的架构,从而保护对应用程序的访问。
“SASE可以成为建设零信任很好的起点。SASE可以将用户连接到应用程序,但是前提是需要了解我们的应用程序,此外,由于SASE只能根据已知策略执行,所以一定要了解在迁移到SASE应用的策略,实现零信任的基础。最后,对企业来说,最好从小做起,可以一次迁移多个应用,但一定不要过多,这是我们对企业部署SASE实现零信任的几个建议。”高峰在最后表示。
评论