?奇安信Q-SASE、零信任再獲殊榮!信通院兩大年度獎項收入囊中
8月25日,由中國通信標準化協會算網融合產業及標準推進委員會(CCSA TC621)、中國信息通信研究院共同主辦的“2022年算網融合產業發展峰會”在京成功召開。奇安信集團申報的兩個案例,“中國電子基于SD-WAN的SASE落地與服務化實踐”與“基于PKS的大數據環境零信任動態授權體系”,成功分獲2021年度“SASE優秀方案”和“零信任最佳方案”兩大獎項。
同時,奇安信還受邀在大會零信任產業發展論壇進行主旨演講,分享了奇安信在云網協同、算網融合加速發展的背景下,如何基于Q-SASE解決方案與服務體系,實踐云、網、安三者的深度融合。
從SASE到Q-SASE
SASE是Gartner在2019年推出的一套新的企業網絡安全服務架構。通過將網絡和安全二者的功能融合為統一服務,分支機構和移動辦公的員工均能高效且安全的接入云端的安全節點(POP點),在不影響辦公體驗的前提下,安全地訪問互聯網、云上以及公司內部的業務系統。
僅從網絡安全角度出發,SASE架構的意義也是變革性的。首先,SASE是以運營服務的方式交付,保障的不是產品的建設交付,而是統一安全運營效果;其次,充分融合基于云技術實現的安全能力,符合“十四五”數字化轉型加速、升級以及企業上云的大趨勢;再次,引入零信任這一關鍵能力后,能夠滿足后疫情時代對遠程辦公安全性保障的需求;最后,基于SD-WAN不僅收斂了互聯網出入口,更再次劃清了網絡與安全邊界,企業的安全投入不再因為過于分散而出現明顯“短板”,為安全的統一規劃、建設和運營提供了架構基礎和技術手段。
這一點從美國國防部在其零信任實施方案Thunderdome(雷霆穹頂)中,正式引入SASE安全框架這一決定中可見一斑。
奇安信安全訪問服務(Q-SASE)不是SASE架構簡單的復制黏貼,而是基于中國國情、市場現狀、客戶需求等綜合考量后,SASE架構的本土化演進的產物。基于統一的安全防護與運營服務架構,擁有多分支機構的大型央國企、民企、政府機構、學校等客戶,能夠以相對輕量化的投入、更簡易的部署,實現安全管理與運營的降本增效,并為業務未來的發展變化預留靈活擴展的空間。
Q-SASE的核心能力擁有清晰的5層架構。包括最底層的網絡資源層,資源之上的安全能力層,能力之上的運行策略層,策略之上的安全運營層,以及縱向貫穿的安全管理層。特別在安全運營層,Q-SASE運營服務可通過標準化的服務框架、服務規范、服務流程、服務評估,有效地保障服務質量。
歸納而言,與傳統拼湊式的安全建設方案相比,Q-SASE有以下三大優勢:
- 安全能力云化部署、服務化提供,通過統一的安全運營中心集中監測預警,客戶投入更加輕量;
- 提供統一的安全能力和運營管理,避免因分支機構眾多、防護能力不足、水平難以拉齊等原因出現安全短板;
- 疫情驅動遠程辦公,通過統建零信任實現終端環境感知和動態訪問控制,降低大量使用VPN引入風險的同時,兼顧良好辦公體驗。
不只運營Q-SASE助力中國電子通過國家級攻防大考
Q-SASE不僅集高成熟度的安全架構和運營服務于一體,更有特大型央企的“平戰一體”的應用實踐加以佐證參考。
此次獲獎的案例“中國電子基于SD-WAN的SASE落地與服務化實踐”,便是Q-SASE在中國電子,這樣一家擁有600余家分布在全球31個國家和地區所屬企業、19余萬名員工、2021全年營收2781億元的國有骨干企業的應用實踐。
作為以網絡安全和信息化為主業的中央企業,中國電子在“十四五”規劃期間,以“數字CEC”建設為數字化轉型工作抓手,通過全集團構建一個運營監控中心、五大共享平臺,來實現“提能力、提效率、控成本、控風險”這一重要目標。
安全和云、網一樣,是數字化支撐技術的重要組成。SASE體系的核心價值,便是將中國電子的“一云一網”和“安全”三者融合,并通過全集團自上而下的統一規劃、建設和運營,解決中國電子19余萬名員工在世界各地安全訪問中國電子云、互聯網以及移動辦公。
對于實戰攻防演習,中國電子運營管理部副主任唐路曾在近期BCS2022·大灣區網絡安全峰會的主旨演講中坦言,在落地SASE之前,中國電子最頭疼的就是大量互聯網出入口散落在各地,“戰時”的安全防護很難有一個滿意的效果。基于SD-WAN做互聯網出入口的收斂,首先解決了縮小暴露面的需求。
在攻防演習真正進入對抗階段后,遵從“重兵防御、集中研判、聯防聯控”這一整體策略,中國電子能夠基于Q-SASE可對197家已接入法人單位的互聯網訪問白名單進行統一設置和維護,快速發現和隔離失陷終端,加密流量在統一出入口的SSL集中卸載,以及通過統建零信任代替傳統VPN以實現關鍵業務應用訪問策略的細粒度動態管控。
唐路主任還表示,“查、打一體”的設計,結合北京冬奧期間“應接盡接”的“零事故”成功經驗,中國電子基于Q-SASE體系在此次攻防演習中成功實現了“秒級”自動化處置和“零誤封”,并為溯源提供足量的數據支持,真正在減少安全值守人員投入的同時,實現了整體防守效率效果的提升,真正做到了“戰時”網絡安全“攻擊可追溯、態勢可感知、事件可預警、安全可閉環”。
作為國內零信任安全理念的首倡者,奇安信零信任此前順利通過了由中國信通院算網融合團隊發起的“Zero Trust Ready”項目SDP解決方案能力測試評估,是首批首家獲得此項權威認證的企業。在中國電子數字安全防護體系中,也充分運用了基于PKS的零信任動態授權體系能力,以數據資源為中心,以身份為基石,實現了對應用、數據、服務等的精準管控,幫助中國電子構建業務動態可信訪問控制機制,實現全面身份化、授權動態化、風險度量化、管理自動化的新一代網絡安全架構。
