安全訪問服務邊緣(SASE),為數字化時代而生
SASE(Security Access Sevices Edge,縮寫讀為sassy /?s?si/ )安全訪問服務邊緣,是Gartner 2019年提出的一種網絡安全服務架構。本文將闡述綠盟科技對SASE的理解,以及對SASE在國內發展趨勢的預測。
SASE定義
Gartner對SASE(安全訪問服務邊緣)的定義是:一種結合了廣域網功能和全面的網絡安全功能(例如Secure Web Gateway安全Web網關, Cloud Access Security Broker云訪問安全代理, Firewall SaaS防火墻即服務和Zero Trust Network Access零信任網絡訪問)的新興服務產品,能滿足數字化企業的動態安全訪問需求。下面這張圖能夠清晰看到SASE由兩大部分組成。
Gartner《The Future of Network Security Is in the Cloud》
簡單地說,SASE就是網絡和安全的融合服務。
SASE的誕生背景
其實,在Gartner定義SASE之前,市面上已有一些接近SASE理念的產品服務出現,例如CATO network的CATO Cloud、ZScaler的ZIA服務(ZScaler Internet Access)、PaloAlto的PrismaAccess,他們依托于強大的全球化分布PoP點的邊緣云,向客戶提供安全可靠、網絡質量佳的訪問接入SaaS服務。這些新興服務滿足了云計算時代的企業需求,尤其在疫情催化下,這些服務的需求量快速增長,在全球范圍內得到了廣泛地應用。
為什么國外的這些接入類服務得到了快速發展?背后的市場驅動因素主要是企業的數字化轉型。
數字化企業具備這些特點:
1) 相對于傳統企業內網,用戶更多地使用企業外部的網絡來完成工作
2) 相比數據中心的工作負載,數字化企業更多使用在IaaS中運行的工作負載
3) 相對于企業基礎設施中的應用,數字化企業更多使用SaaS化的應用
4) 數字化企業將更多的敏感數據存儲在云服務中
5) 數字化企業中更多的用戶流量、分支機構流量流向公有云
企業的數字化轉型讓企業流量走向發生了變化,而流量走向的變化要求企業的網絡安全架構也必須隨之變化,總結如下三點企業數字化轉型下的訴求,讓SASE的出現成為一種必然:
01 云上應用、服務需求大量增長
企業數字化轉型需要隨時隨地訪問應用和服務,這次疫情加速了這個趨勢。可以預測,企業數據中心還將長期存在,但和云相比其流量比例會逐漸縮小,過去聚焦于數據中心的網絡和安全設計逐漸顯得不合時宜。
而SASE先天具備連接云上資產、應用的網絡優勢,SD-WAN的特性讓SASE具備更好的多云多數據中心聯通能力。而SASE的安全能力更集中于SASE Cloud內,也減少了多數據中心、多云內安全建設的負擔。
02 邊緣計算需求增長
企業對分布式邊緣計算能力需求在不斷增長,低延遲訪問本地存儲、計算系統和設備的需求也在不斷增長。加上5G的到來,更讓邊緣計算需求加速催化。
SASE的邊緣特性正滿足了邊緣計算需求。將PoP點建設盡可能貼近客戶側,使客戶可以盡快接入優質的SASE網絡,得到訪問加速的同時,享受云上的全棧安全能力。
03 移動辦公需求增長
疫情讓移動辦公爆發增長,公司員工、合作伙伴、代理商都有在企業外部訪問企業應用服務的需求,傳統的VPN只能滿足少部分的移動辦公需求,當人員組成復雜、人數持續增加的情況下,VPN已不再是最優解決方案。企業需要安全高效的移動辦公解決方案。
SASE可以將企業移動終端納管,移動辦公人員就近接入SASE,一方面可以加速訪問應用,另一方面還可享受多種安全防護,如數據防泄漏、過濾惡意網站等。
SASE的四大關鍵特性
01 重云端輕分支
SASE模型最大特點就是重云端、輕分支。SASE將安全和網絡能力上移,通過統一的云交付形式,讓多分支的IT建設和運維的負擔減小。SASE云端提供身份認證、深度包檢測、威脅防護、數據防泄漏等多項安全能力,并擁有廣域網優化等網絡能力,在地端,只需輕量的SD-WAN CPE部署,將流量導向云端安全服務。
02 邊緣云服務
傳統SaaS服務由于服務節點少,企業在應用時往往會使業務產生更大的延遲。SASE是邊緣云服務,多節點、全球分布是其一大特征。用戶可就近接入PoP節點,每個PoP節點提供相同的安全網絡能力,SASE讓企業流量在不繞行的同時擁有最好的安全防護。
03 身份驅動
SASE安全能力的關鍵在于訪問控制,依靠零信任網絡訪問技術(Zero Trust Network Access ,ZTNA),SASE基于用戶、設備、應用、訪問記錄等上下文信息,做出智能選路和訪問權限控制等。
Gartner《The Future of Network Security Is in the Cloud》
04 云原生化
SASE的PoP點具備云原生特性,PoP點的彈性擴容、全球大量分布、易復制擴張、迭代速度快等特點都源于該特性。
辨析:SASE和SD-WAN是什么關系?
SD-WAN即軟件定義廣域網,將SDN技術應用在了廣域網絡。SD-WAN解決網絡的連通問題,同時具備可編排、可高效運維管理的特點。
如果要論SASE和SD-WAN的關系,那么SD-WAN應該說是SASE網絡服務的一種可選基礎設施。而所謂的安全SD-WAN解決方案與SASE也有不同,安全SD-WAN解決方案更多是在地端SD-WAN前加防火墻,或是在SD-WAN盒子上增加IPS、ACL等功能,其思路仍停留在重地端建設上。而SASE的理念是重云端輕分支,盡可能將多的網絡安全能力上移到云。
國內需要怎樣的SASE
從2020年Gartner發布的中國ICT技術成熟度曲線可以看到我國云安全技術還在發展大前期,而SASE技術在全球的云安全技術成熟度曲線上正在概念膨脹的頂峰,SASE在國外市場的確反響良好,而國內市場目前真的需要SASE嗎?
2020年中國ICT技術成熟度曲線
對業務發展的判斷,源于對客戶IT建設發展階段和實際需求的觀察。隨著國內數字化轉型改革深化 ,越來越多的客戶面臨以下問題:多云互通難、邊緣接入能力弱、多分支安全互聯難、跨國訪問難、企業影子IT管理難、防數據泄露難等,SASE這樣更簡潔統一的服務形式確實能夠為客戶解決上述的問題。但在某些行業會有使用公有云SaaS服務的受限問題,這可能是SASE當前在國內發展會遇到的最明顯的阻礙點。
短期來看,SASE也許會在國內走上中國特色發展道路。例如服務商也許會貼近等保要求發展SASE的安全能力;或將SASE做本地私有化,轉化為多分支安全組網方案;或將SASE模型發展為安全專網解決方案,便于三方機構統一監管行業流量;或將SASE作為SD-WAN服務行業的監管方案,檢測出入境流量等,SASE模型可衍生應用在多行業領域。
總結
數字化轉型浪潮下,圍繞傳統數據中心的網絡安全架構不再適應企業發展,數字化企業需要更一體化、簡潔智能、適應云時代的IT建設解決方案。
SASE改變了傳統應用訪問和安全防護模式,可極大提升用戶訪問混合環境下各類服務的便利性和安全性,它為企業的數字化轉型而生,其重云端輕地端,邊緣化去中心的服務架構能更好適應數字化轉型企業的IT建設需求,多合一的網絡安全能力可以解決云時代下大量企業面臨的實際問題,中國特色化SASE發展前景讓人期待。
