隨著數(shù)字化轉(zhuǎn)型進(jìn)程推進(jìn),云網(wǎng)融合加速發(fā)展,企業(yè)對(duì)于網(wǎng)絡(luò)信息安全提出了更高要求。如何將靈活的云網(wǎng)基礎(chǔ)能力和全面的安全防護(hù)能力更好地融合,逐漸成為市場(chǎng)關(guān)注的焦點(diǎn)。
“當(dāng)下,我們發(fā)現(xiàn)客戶除了擁有靈活組網(wǎng)需求,也更加關(guān)注安全服務(wù)訂閱需求,需要簡(jiǎn)化網(wǎng)絡(luò)安全能力部署和運(yùn)維、降低Capex投資,彈性升降速,這些需求在招標(biāo)項(xiàng)目中日益體現(xiàn)。”互聯(lián)科技第一線產(chǎn)品總監(jiān)徐頡在接受51CTO采訪時(shí)談到了他的觀察。
【資料圖】
SASE正是為了回應(yīng)這種期待而生。它并非單一技術(shù)的代稱,而更多地代表了一種融合“網(wǎng)絡(luò)+邊緣云化安全”的理念。作為近年來(lái)網(wǎng)絡(luò)安全領(lǐng)域的熱詞,SASE已經(jīng)從概念熱捧趨于冷靜,用戶接受度也日漸提高,開(kāi)始尋求服務(wù)廠商交流相關(guān)解決方案。
而入局SASE賽道的玩家,既有網(wǎng)絡(luò)服務(wù)商、云廠商,也有專業(yè)安全廠商。其中,互聯(lián)科技第一線正憑借其云網(wǎng)安一體化交付方案在多方競(jìng)逐中崛起為一股不可忽視的力量。
為何選擇SASE
過(guò)去企業(yè)數(shù)據(jù)存放在自建或托管的數(shù)據(jù)中心,因此傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的設(shè)計(jì)通常將數(shù)據(jù)中心作為訪問(wèn)需求的焦點(diǎn),架構(gòu)復(fù)雜且存在延遲性問(wèn)題。
更重要的是,當(dāng)前企業(yè)的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)安全面臨著更多不確定性。首先,隨著業(yè)務(wù)全面上云,分布式部署、多云架構(gòu)帶來(lái)的運(yùn)維難度和安全風(fēng)險(xiǎn)也同步提高;再者,遠(yuǎn)程辦公、移動(dòng)辦公的普及,傳統(tǒng)網(wǎng)絡(luò)安全邊界被打破;最后,網(wǎng)絡(luò)建設(shè)和安全建設(shè)的割裂導(dǎo)致的成本和效率問(wèn)題愈發(fā)突出,企業(yè)更傾向于由云網(wǎng)安一體化服務(wù)商統(tǒng)一納管。
正是在這一背景下,SASE出現(xiàn)了,并作為一種顛覆傳統(tǒng)架構(gòu)的新范式受到廣泛關(guān)注。
作為Gartner在2019年提出的概念,SASE代表了一種新架構(gòu),整合廣域組網(wǎng)網(wǎng)絡(luò)功能和安全功能,從而滿足企業(yè)的動(dòng)態(tài)安全訪問(wèn)需求。后來(lái)Gartner又從SASE內(nèi)部劃分出一個(gè)“子集”SSE(安全服務(wù)邊緣)。
簡(jiǎn)單來(lái)說(shuō),SSE是SASE的組成部分,專注于安全服務(wù)部分,而SSE之外的另一半則專注于網(wǎng)絡(luò)服務(wù)部分。Gartner預(yù)測(cè),到2025年,80%的企業(yè)將采取利用單一廠商的SSE平臺(tái)訪問(wèn)網(wǎng)絡(luò)、云服務(wù)和專用應(yīng)用的策略。
可見(jiàn)SASE的發(fā)展后勁毋庸置疑,企業(yè)對(duì)網(wǎng)絡(luò)安全訂閱服務(wù)的需求也是時(shí)之所驅(qū)。為滿足不斷提升的用戶需求,此前專注于企業(yè)網(wǎng)絡(luò)服務(wù)的第一線,開(kāi)啟了向SASE服務(wù)架構(gòu)的升級(jí)之路。
架構(gòu)升級(jí):目標(biāo)劍指“融合、簡(jiǎn)化、彈性”
Gartner曾評(píng)估,SASE 市場(chǎng)處在不斷變化中,沒(méi)有哪家供應(yīng)商可以提供全部SASE功能組合。有的供應(yīng)商可以提供部分安全即服務(wù),但缺乏SASE要求的SD-WAN功能。有的供應(yīng)商能提供安全即設(shè)備,但并未在云原生全球網(wǎng)絡(luò)中,不具備邊緣節(jié)點(diǎn)部署SASE服務(wù)的條件。綜合來(lái)說(shuō),能力單一,POP點(diǎn)過(guò)少,嚴(yán)重限制了SASE的落地,云網(wǎng)安的一體化融合才是推進(jìn)SASE服務(wù)的要義。
為此,第一線將過(guò)去積累的云網(wǎng)建設(shè)資源作為依托,自研的SD-WAN架構(gòu)作為基礎(chǔ)支持,在產(chǎn)品、架構(gòu)、團(tuán)隊(duì)建設(shè)、交付模式等方面做了重定義與再升級(jí)。徐頡對(duì)此做了進(jìn)一步介紹:
第一,推進(jìn)POP節(jié)點(diǎn)支持SASE安全服務(wù)鏈功能,升級(jí)為SASE POP,提供如零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)、防火墻即服務(wù)(FWaaS)、安全Web網(wǎng)關(guān)(SWG)、數(shù)據(jù)防泄露(DLP)與防入侵(IPS)等SASE安全服務(wù)。企業(yè)可根據(jù)不同場(chǎng)景需求進(jìn)行靈活訂閱。據(jù)了解,第一線在100+城市建設(shè)了200+POP節(jié)點(diǎn),服務(wù)能力覆蓋全球700+城市。目前,第一線已完成核心城市POP節(jié)點(diǎn)升級(jí)為SASE POP。
第二,推動(dòng)SD-WAN與SASE平臺(tái)管理能力的融合,在現(xiàn)有SD-WAN平臺(tái)集成支持SASE安全服務(wù)鏈各項(xiàng)功能,通過(guò)API靈活調(diào)用安全組件的配置和狀態(tài),幫助企業(yè)通過(guò)網(wǎng)安一體化平臺(tái)精細(xì)地把控網(wǎng)絡(luò)和安全態(tài)勢(shì)。
第三,推動(dòng)整個(gè)服務(wù)交付團(tuán)隊(duì)能力升級(jí),培養(yǎng)安全工程師技術(shù)能力,通過(guò)相關(guān)安全認(rèn)證機(jī)構(gòu)以及安全廠商的技術(shù)認(rèn)證,提升 “云網(wǎng)安”一站式解決方案交付能力,以整體業(yè)務(wù)視角保障SASE項(xiàng)目交付。
第四,從提供一站式網(wǎng)絡(luò)解決方案,升級(jí)為提供“網(wǎng)絡(luò)+安全規(guī)劃+項(xiàng)目落地實(shí)施+后期運(yùn)營(yíng)響應(yīng)”的一站式網(wǎng)安解決方案。建設(shè)NOC(網(wǎng)絡(luò)運(yùn)營(yíng)中心)+SOC(安全運(yùn)營(yíng)中心)雙運(yùn)營(yíng)響應(yīng)體系,為各類網(wǎng)絡(luò)故障和安全事件的解決提供敏捷高效的支撐保障。
徐頡談到,在SASE服務(wù)升級(jí)的過(guò)程中,第一線主要關(guān)注的就是三點(diǎn)——“融合、簡(jiǎn)化、彈性”。
“一是要融合,本身我們有SD-WAN,在此基礎(chǔ)上怎么將安全服務(wù)能力與之進(jìn)行融合;二是要簡(jiǎn)化,網(wǎng)絡(luò)服務(wù)可以訂閱,安全服務(wù)同樣可以訂閱,用戶不需要再自己去部署和維護(hù),這對(duì)用戶來(lái)說(shuō)是做減法,對(duì)服務(wù)商來(lái)說(shuō)就是如何實(shí)現(xiàn)統(tǒng)一交付;三是彈性,安全服務(wù)要像網(wǎng)絡(luò)服務(wù)一樣具備彈性,客戶在其簽約的生命周期內(nèi)可以實(shí)現(xiàn)靈活縮容或擴(kuò)容。”
在這一目標(biāo)的驅(qū)使下,第一線在云網(wǎng)服務(wù)基礎(chǔ)上加碼“安全”,形成了集SSE、SD-WAN組網(wǎng)、網(wǎng)絡(luò)與安全統(tǒng)一可視化管理于一體的一站式融合解決方案,逐漸完成從云網(wǎng)服務(wù)商到云網(wǎng)安服務(wù)商的蛻變。
場(chǎng)景適配:對(duì)癥下藥,為遠(yuǎn)程辦公鑄就零信任防護(hù)
對(duì)于自身定位的升級(jí),第一線有著清醒的認(rèn)識(shí)。徐頡提到,同樣是提供網(wǎng)安服務(wù),轉(zhuǎn)型到云網(wǎng)安服務(wù)商的第一線,和專業(yè)安全廠商之間還是有著明顯的差異。
“對(duì)于安全廠商來(lái)講,擅長(zhǎng)的是安全技術(shù)加安全解決方案,通常賣的都是一次性的軟硬件打包的解決方案。而第一線的優(yōu)勢(shì)是為客戶提供專業(yè)一站式服務(wù)。所以,未來(lái)在SASE服務(wù)中,第一線會(huì)與頭部安全廠商合作,集成其安全功能,提供全生命周期的服務(wù)。雙方各自發(fā)揮所長(zhǎng)?!?/p>
“服務(wù)”是第一線SASE的核心。而要提供貼近用戶需求的SASE服務(wù),第一線從一開(kāi)始就意識(shí)到要扎根場(chǎng)景,提煉出最基本的場(chǎng)景需求再進(jìn)行設(shè)計(jì)、研發(fā)和迭代。
“第一線大量的存量客戶都是組網(wǎng)類型客戶,這類客戶的訪問(wèn)需求通常是訪問(wèn)分支機(jī)構(gòu)、訪問(wèn)總部/數(shù)據(jù)中心,還有疫情以來(lái),遠(yuǎn)程辦公用戶有所增多,遠(yuǎn)程訪問(wèn)需求量提升?!?/p>
因此,第一線SASE面向的三類基本場(chǎng)景分別為企業(yè)內(nèi)網(wǎng)安全、互聯(lián)網(wǎng)訪問(wèn)、遠(yuǎn)程安全接入。
針對(duì)總部/數(shù)據(jù)中心到分支的內(nèi)網(wǎng)安全,企業(yè)可通過(guò)SASE POP敏捷組建企業(yè)安全內(nèi)網(wǎng),結(jié)合IPS實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)威脅流量的把控與攔截,結(jié)合DLP防止關(guān)鍵文件被非法拷貝下載;針對(duì)企業(yè)訪問(wèn)互聯(lián)網(wǎng)與SaaS服務(wù),企業(yè)可基于SASE POP作為統(tǒng)一訪問(wèn)出口,以收斂攻擊面,減小入侵與惡意攻擊威脅。結(jié)合SWG能力可提供網(wǎng)站動(dòng)態(tài)分類,自動(dòng)屏蔽對(duì)有安全威脅網(wǎng)站的訪問(wèn)行為;針對(duì)分散的遠(yuǎn)程辦公人員接入企業(yè),第一線零信任圍繞訪問(wèn)者身份,賦予其對(duì)應(yīng)用的最小操作權(quán)限,通過(guò)微隔離和動(dòng)態(tài)身份驗(yàn)證,進(jìn)而實(shí)現(xiàn)對(duì)企業(yè)數(shù)據(jù)訪問(wèn)的“貼身”保護(hù)。
就遠(yuǎn)程辦公場(chǎng)景來(lái)說(shuō),零信任模型的引入可以基于不同用戶實(shí)現(xiàn)差異化應(yīng)用授權(quán),提升用戶接入安全性控制。因?yàn)榱阈湃螐?qiáng)調(diào)“永不相信,始終驗(yàn)證”。但是近年來(lái)關(guān)于“零信任”的議題也屢屢引起爭(zhēng)議,比如零信任改造的成本問(wèn)題,零信任是否有“過(guò)度防御”之嫌。
對(duì)此,徐頡認(rèn)為,零信任的實(shí)施首先要關(guān)注用戶需求?!耙獙?shí)施零信任,需要企業(yè)用戶提前規(guī)劃好各類應(yīng)用定義以及不同用戶的授權(quán)策略,以實(shí)施精細(xì)化的管理,安全管控效果肯定是增強(qiáng)的,但這需要理念的轉(zhuǎn)變和花費(fèi)相當(dāng)?shù)臅r(shí)間。如果一個(gè)客戶沒(méi)有特別復(fù)雜的應(yīng)用,訴求也比較簡(jiǎn)單,硬要實(shí)施零信任會(huì)導(dǎo)致成本的提升?!?/p>
在徐頡看來(lái),零信任對(duì)傳統(tǒng)安全策略來(lái)說(shuō)更像是一種替代升級(jí)?!八皇峭耆嵏布韧募夹g(shù),整體而言,零信任是對(duì)傳統(tǒng)安全策略的一次迭代升級(jí)。零信任和傳統(tǒng)安全策略可以融合共生,兩者在能力上相輔相成,共同為企業(yè)提供更加完善的安全防護(hù)。”
落地:打造差異化優(yōu)勢(shì),向云網(wǎng)安一體化時(shí)代邁進(jìn)
縱觀國(guó)內(nèi)外SASE市場(chǎng),入局者眾多,但市場(chǎng)競(jìng)爭(zhēng)格局尚不穩(wěn)定。第一線要脫穎而出,打造差異化優(yōu)勢(shì)是必然路徑。徐頡談到,第一線將圍繞以下四個(gè)方面發(fā)力。
其一,敏捷交付。“第一線有標(biāo)準(zhǔn)的網(wǎng)絡(luò)節(jié)點(diǎn),但有些客戶還是希望能有就近的接入點(diǎn)。如何把安全服務(wù)鏈的能力下沉到更多POP點(diǎn)是我們一直在考慮的問(wèn)題。目前,第一線SASE可實(shí)現(xiàn)最快一小時(shí)內(nèi)搭建SASE POP,滿足客戶就近獲取安全的要求。”
其二,彈性伸縮?!癝ASE要作為SaaS服務(wù)的一種形態(tài),必須保證彈性伸縮落到實(shí)處。客戶下單后無(wú)需等待,馬上可依據(jù)自身發(fā)展需求,對(duì)安全與網(wǎng)絡(luò)服務(wù)進(jìn)行按需訂閱,實(shí)現(xiàn)最優(yōu)的成本投入。”
其三,一站式管理?!拔覀兲峁┓?wù)是在SD-WAN平臺(tái)上把相應(yīng)的SSE功能集成支持進(jìn)去,讓客戶通過(guò)第一線SD-WAN & SASE管理平臺(tái),對(duì)全局網(wǎng)安態(tài)勢(shì)進(jìn)行可視化監(jiān)控與分析,以精準(zhǔn)處置問(wèn)題?!?/p>
其四,精細(xì)化管控。除了統(tǒng)一配置之外,管理平臺(tái)還要支持編排安全與網(wǎng)絡(luò)策略,基于策略驅(qū)動(dòng),以便各應(yīng)用可以獲得最佳的網(wǎng)絡(luò)資源與安全防護(hù)支撐。
如何以差異化優(yōu)勢(shì)推進(jìn)SASE落地?徐頡以某消費(fèi)電子客戶為例進(jìn)行了介紹,該客戶希望能為各分支機(jī)構(gòu)提供統(tǒng)一安全互聯(lián)網(wǎng)出口訪問(wèn)Internet和SaaS,避免外部入侵和惡意攻擊。同時(shí),客戶還比較注重內(nèi)網(wǎng)的數(shù)據(jù)資產(chǎn)安全,但不想過(guò)多參與安全的部署中,希望簡(jiǎn)化客戶側(cè)的運(yùn)維管理。最終,第一線基于SASE POP向客戶提供統(tǒng)一的互聯(lián)網(wǎng)出口,并按需開(kāi)啟“防火墻、入侵檢測(cè)、數(shù)據(jù)防泄漏、URL過(guò)濾、防病毒、反爬蟲(chóng)”等互聯(lián)網(wǎng)出口安全訂閱功能??傮w來(lái)說(shuō),客戶對(duì)交付的方案比較滿意。第一,安全策略基于云端統(tǒng)一管理,網(wǎng)絡(luò)安全一站式編排,簡(jiǎn)化了客戶側(cè)運(yùn)維管理。第二,客戶可基于各個(gè)分支機(jī)構(gòu)實(shí)際的業(yè)務(wù)規(guī)模和流量,訂閱不同階梯的SASE服務(wù),且在合約期內(nèi)可支持彈性擴(kuò)縮容,有效節(jié)約了成本。
在云網(wǎng)安一體化的構(gòu)建之路上,第一線邁出了堅(jiān)實(shí)的一步。展望未來(lái)的征程,面向云網(wǎng)安融合的時(shí)代,立足云網(wǎng)安服務(wù)商的定位,第一線有著更多的藍(lán)圖需要實(shí)現(xiàn):繼續(xù)升級(jí)擴(kuò)建SASE服務(wù)接入能力;與頭部安全廠商加深合作,打造定制網(wǎng)安方案;引入AI功能,對(duì)網(wǎng)絡(luò)故障和安全事件預(yù)判、檢測(cè)、告警,增強(qiáng)網(wǎng)安智能化運(yùn)維……
“道阻且長(zhǎng),行則將至;行而不輟,未來(lái)可期?!币粚?shí)數(shù)字經(jīng)濟(jì)底座,推動(dòng)數(shù)字基礎(chǔ)設(shè)施的互聯(lián)互通與創(chuàng)新發(fā)展,離不開(kāi)產(chǎn)業(yè)鏈上下游企業(yè)的攜手共進(jìn)。徐頡表示,第一線會(huì)以SASE產(chǎn)品發(fā)布為契機(jī),未來(lái)將與更多合作伙伴及企業(yè)用戶攜手同行,打造產(chǎn)業(yè)共贏新生態(tài)。
關(guān)鍵詞: