云安全的未來:中國的安全訪問服務邊緣架構
最新的“安全領域新興技術及趨勢影響雷達”(Emerging Technologies and Trends ImpactRadar: Security)顯示,安全服務及接入邊緣技術具有極高重要性,并在未來一至三年,市場會落地關于安全服務及接入邊緣的融合架構。因此,中國企業和廠商有必要研究這個新興市場以及安全服務的演進。
為何市場會產生安全服務演進
傳統企業的數據中心架構(如圖一所示)大多為從分支機構上行的一個信息網絡連接到總部的數據中心,然后從互聯網區再連接到互聯網,此外還有“云”上部署的應用。目前,很多中國的數據中心基本為該架構。
圖一
但為何稱這樣一個從數據中心到互聯網再到“云”的架構較為傳統?因為企業的應用大多沒有“上云”、“上云”的應用基本為互聯網應用。隨著未來更多的企業應用“上云”,西方“云優先”的市場目前已采用圖二所示的架構——數據中心內存在很多應用,且傳統應用遷移至云、企業的數據中心愈發強大。企業分支機構的員工在訪問數據中心應用時,不僅可以訪問數據中心應用,還能訪問數據中心以外以及遷至云上的應用。因此,每家分支機構具有兩條線——一條代表通往數據中心,另一條代表通往云上的SaaS類應用。
圖二
我們亦可把圖二描繪成另一個場景——企業員工或客戶通過多種數字化接觸訪問不同的數據和應用。數字化接觸可以是手機、物聯網或觸摸屏。在此情況下,保證“訪問安全”對企業而言至關重要,因為所有數字化接觸都會接入互聯網,但企業不可能在每一家分支機構或“云”上都部署一套邊緣棧。若用傳統數據中心的方式來管理目前新型廣域網及應用外遷到“云”的這樣一個現實場景的話,企業就需要很多套邊緣棧安全設備、防火墻來管理不同的安全邊界。然而,現在的安全邊界已不在數據中心,而是外擴到各種各樣的邊緣、云場景之中,因此企業需要新的網絡安全架構。
針對數字化接觸,企業需要具備基于“策略”(policy-based)的接入方式,即通過基于策略的接入到各種分布式的邊緣、再到互聯網邊緣、最后到互聯網或企業的核心應用。因此,SaaS其實是面對分布式邊緣所定義的全新安全及網絡架構。
圖三
當前的SD-WAN是非常重要的技術改進推動力。其在管理各種各樣下層網絡的同時,還可作為軟件被靈活部署在所有硬件之上。這當中的SD-WAN就變為了廣域網的邊緣,若廣域網下層架構發生改變,很多互聯網的出口不只在數據中心、會在眾多分支機構或邊緣的接入應用中,此時企業下層的網絡會有很多的非信任外部網絡,因此企業需要具備針對所有數據化接觸的安全策略來加以保護。如圖三所示,網絡安全接入服務保護所有的網絡接入,廣域網的邊緣與安全服務兼容、成為了一個新的“安全服務接入邊緣”融合架構。
當企業不清楚訪問流量是否存在風險時,應當考慮CASB——CASB是云接入服務的中介。企業數據可能存放在數據中心或云上,當公有云上的SaaS服務要訪問數據時,企業可以用CASB來管理風險,即所有訪問先經過CASB“大門”、SaaS應用與訪問相互集成,讀取的數據返至CASB應用、再返至授權數據,通過全程監控保護數據安全。若用戶訪問企業專用應用,亦可用同樣方式進行保護。企業可以用CDN進行加速、SD-WAN進行連接,同時使用CASB、SWG等保護訪問安全。從這個角度來看,將網絡模塊與安全模塊融合成一個安全接入服務平臺即是SASE。SASE包含五個核心模塊:SD-WAN、Firewall as aservice(FWaaS)、SWG、CASB和零信任網絡接入。現在不少安全廠商具備兩至三個模塊,但鮮有具備全模塊者。
圖四
圖四展示了SASE中的各種技術,Gartner認為這些技術在未來十年會相互融合至SASE模塊中。目前,安全產品非常碎片化,不同產品具有自己的管理和控制界面,對企業使用而言不夠友好,所以這時就需要出現一個把這些碎片化的安全接入服務融合成一個安全接入服務的平臺。其實,SASE接入不單是基于公有云的互聯網接入方式,也會有很多接入到企業級私有數據中心。
企業如何部署安全服務架構
Gartner預測,至2023年,20%的企業會部署來自同一家廠商的SWG、CASB、零信任網絡接入及分支機構防火墻能力。2019年,Gartner觀察到該領域的用戶低于5%。這代表安全廠商可以通過SASE來擴展自己的市場份額,SASE是一個非常重要的營收增長機會。
圖五
從終端用戶角度來看,SASE目前具有三個場景。首先是企業管理員工IT設備(見圖五),員工使用自己的電腦或手機接入云上的應用。此時企業可以通過SWG實現DNS保護、敏感信息保護等,即員工的訪問是通過相關SASE工具接入到SASE接入點,然后從SASE接入點代理再訪問互聯網應用以及企業內部資源。
圖六
第二個場景(見圖六)是企業外部人員訪問內部資源。企業外部人員的設備是非管理設備,因為其設備中沒有訪問工具,所以只能實現從SASE接入點到其它地方QoS的網絡功能。另外,因為需要接入到SASE代理接入點,相關的DLP等功能會就緒。一旦外部人員接入SASE時,SASE就會提供安全接入保護,而網絡功能也是在接入SASE后才能提供。
圖七
第三個場景(見圖七)關于物聯網。風電物聯網存在一個匯聚點,即物聯網邊緣的匯聚點,在這之中可以收集、分析數據。邊緣的匯聚點可以部署SASE,如SD-WAN,所以接入到邊緣的SASE可以延伸到風電廠、延伸到各個物聯網和邊緣計算,接入到企業的內部應用。
一些目前使用SASE的企業也在考慮是否需要把自己的數據中心連接到SASE中,或是把自己的數據中心與公有云托管的VPC進行打通以及打通后用戶的訪問路徑。用戶可以是合作伙伴、員工或客戶,他們的訪問可以通過SASE進行,因為零信任網絡接入的安全是先授權認證、再分派訪問權限。SASE接入點一定是廣泛分布性的,若接入點在上海或者廣州、相距較遠時,網絡時延就變成大問題,所以低時延在國內非常重要,需要更多的分布式接入點加以保證。
關于分支機構應用的優化。目前中國很多企業分支機構的應用基本放在分支機構的小型數據中心內。SASE會使分支機構架構得到改變,越來越多的分支機構會從“重分支”變成“輕分支”,同時在“云”上會更多部署分支機構的應用。“輕分支”基本上是SD-WAN,因為很多的SD-WAN自帶防火墻、一個SD-WAN就能解決問題。通過SD-WAN連接到最近的公有云VPC,分支機構公有云直接部署在VPC上。用戶直接訪問VPC應用時需要授權驗證,所以企業需要SASE。SASE對于分支機構的用戶來講,先訪問就近的SASE接入點,通過SD-WAN訪問再接入到相關的公有云、VPC辦公室。
中國廠商如何抓住機會
Gartner預計全球SASE市場將在2024年達到110億美元,大中華地區市場規模大約為7億6千9百萬美元(見圖八)。SASE的核心功能包含SD-WAN、SWG、CASB、ZTNA、FWaaS,Line rate operation,但對中國來講,略有不同。
圖八
如圖九所示,中國目前CASB的需求很少,因為中國的SaaS應用大部分是消費者級別的應用,真正的企業級SaaS應用目前在中國仍有不足。很多企業級SaaS應用存在很多安全漏洞、沒有CASB保護,因此很多大型企業不敢把自己的數據直接放至其中。正因為這些企業用戶不是很多,所以CASB目前在中國是一個未被開發的市場。從SASE服務的起步階段來講,CASB在中國并不是核心模塊,更多的是SWG、零信任網絡安全、SD-WAN等。隨著企業級PaaS及SaaS應用的增多,CASB在中國的趨勢會逐漸與全球同步。
圖九
Gartner認為云原生架構對廠商實現SASE服務非常重要。對于很多企業用戶來講,SASE接入點的部署最好離自己要近、同時要延伸到自己的數據中心之內。企業在部署SaaS接入點時需要采用更加靈活的方式以便同時部署在云上和第三方數據中心內。云原生架構可以為企業部署SaaS服務提供更加靈活的方式和更靈活的交付。分布式的多邊云部署對北上廣深這類核心城市或各省省會城市的接入點非常重要。因為時延的優化在中國是非常重要的“賣點”。SASE產品會變得更加容器化、微服務化,以此更好部署在其他的硬件平臺或自己提供的硬件平臺之上。
總結而言,終端用戶需考慮、研究SASE架構和整體廣域網及網絡安全方面的架構轉型。雖然中國疫情控制很好,但是物聯網、5G帶來的數字化轉型非常巨大,所以將來需考慮能否將數字化接觸反映到企業應用上。很多企業應用及企業數據很可能都放到“云”上,雖然目前傳統方式是主流,但越來越多的企業進行IT規劃時,已在考慮部分的數據外遷,所以SASE是企業敏感數據外遷后的重要保護手段。另一方面,SASE需要整個廣域網的架構做出改變,如建立分支機構的本地接入互聯網、考慮SD-WAN廠商是否有SD-WAN防火墻等。廠商越多,企業的管理復雜度越高,所以企業需要做出戰略性變化。企業級的SaaS應用一定要考慮SASE保護。公有云上的數據如沒有安全工具保護,會存在數據泄漏或丟失的風險,而CASB這類工具可以把未知風險降低。“SASE保護”不一定需要全部五個模塊,企業在設計SASE部署戰略時,需要明晰用到哪些模塊,如此,在選擇安全廠商時才能更得心應手。同時,廠商需清楚自己是何種廠商。管理服務提供商需考慮如何快速切入SASE市場,因為切入SASE市場能夠為其快速提供新的業務增長,如幫助海外SASE廠商進入中國,或幫助國內SASE服務廠商建立接入點、提供相關的服務。技術提供商需考慮SASE的產品戰略,還要考慮如何做到云原生的SASE。
