会点击关注了解更多精彩内容!!
欢迎分享到朋友圈❤目录
Gartner认为,数字业务转型颠覆了网络和安全服务的设计模式,将重心转到了用户和/或设备的身份上,不再聚焦数据中心。安全和风险管理者需要采用融合的云交付“安全访问服务边缘(SASE)”来应对这一转变。
一、概要
传统网络安全架构将数据中心置于连接的核心位置,会抑制数字业务的动态访问需求。数字业务和边缘计算拥有更多企业外部的用户、设备、应用、服务和数据,因此有着截然不同的网络访问需求。降低复杂性、延迟以及一次性解密和检查加密流量的需求,将推动将网络和安全即服务功能(SaaS)整合为云交付“安全访问服务边缘”(SASE)。检查和理解数据的上下文需要采用 SASE 策略。为了实现低延迟地随时随地访问用户、设备和云服务,企业需要具有全球 POP 点和对等连接的 SASE 产品。二、主要建议
负责网络和终端安全的企业安全和风险管理者应考虑采取以下措施:
以提升效率和敏捷的名义,将SASE 定义为数字业务的赋能者。在架构上把检查引擎移动到靠近会话的地方,而不是把会话重新路由到检查引擎。把安全人员从安全设备管理转向提供基于策略的安全服务。现在就开始和网络架构师一起规划 SASE 能力。用 SD-WAN 和 MPLS 分载项目作为评估集成网络安全服务的催化剂。现在就转向能提供 SWG(WEB 安全网关)、CASB(云访问安全代理)、DNS、ZTNA(零信任网络访问)和 RBI(远程浏览器隔离)的单一厂商迁移,降低网络安全的复杂性。三、趋势预测
2023 年,20% 的企业将从同一厂商采购 SWG、CASB、ZTNA 和分支机构 FWaaS(防火墙即服务)服务, 2019 年这一数字只有 5% 。2024 年, 40%以上 的企业将会有明确的 SASE 切换策略, 2018 年末仅为 1% 。2025 年,最少将有一家 IaaS 领导服务商会提供有竞争力的 SASE 服务套件。四、分析
网络和网络安全体系架构是针对日渐势微的时代而设计的,无法满足数字业务的动态安全访问需求。企业的数据中心不再是用户与设备访问需求的中心。数字化转型, SaaS 等大量基于云计算服务的部署,以及新兴的边缘计算平台,颠覆了以往的架构模式,使企业网络架构出现“内外翻转”的现象。数字化企业的特点是:更多的用户工作在企业外网完成,而非企业内网。更多的企业工作负荷运行在 IaaS 中,而非企业数据中心。企业采用更多 SaaS 应用,而非企业基础设施。更多的敏感数据存储在企业数据中心以外的云服务,而非企业内部。更多的用户流量流向企业数据中心以外的公共云,而非企业数据中心。更多分支机构流量是流向企业数据中心以外的公共云,而非企业数据中心。数字业务转型需要随时随地访问应用和服务(很多应用与服务位于云端)。企业数据中心将在未来数年内还将继续存在,但进出企业数据中心的流量在企业总流量的占比将持续下降。这种模式数字使用模式将进一步扩展,越来越多的企业需要分布式的边缘计算,边缘计算更接近于需要低延迟访问本地存储和计算的系统和设备,5G 技术还成为加速边缘计算应用的催化剂。在灵活支持数字业务转型的同时,通过支持反模式的访问,将系统复杂度保持在可控状态,这是 SASE 市场的主要驱动因素。它将网络即服务(如,SD-WAN)和网络安全即服务(如,SWG、CASB、FWaaS [防火墙即服务])融合在一起。我们将其称为“安全访问服务边缘”(参见图 1 )。它主要是作为基于云的服务来交付。图 1. SASE 融合架构SASE 产品能为弹性网络提供基于策略的“软件定义”安全访问,企业安全专业人员可以根据身份和上下文精确地指定每个网络会话的性能、可靠性、安全性和成本水平。SASE 的出现将为安全和风险专业人员提供了一个重大的机遇,能够为各种分布式用户、场所和基于云的服务提供安全访问,从而安全地实现数字化转型所需要的动态访问。企业对基于云的 SASE 能力的需求、市场竞争与整合,将重新定义企业网络和网络安全体系架构,并重塑竞争格局。五、SASE定义安全访问服务边缘(SASE)作为一种新兴服务类型,将广域网与网络安全(如:SWG、CASB、FWaaS、ZTNA)结合起来,可以满足数字企业的动态安全访问需求。 SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。六、分析描述
传统的企业网络和网络安全体系架构将企业数据中心作为访问的核心,这样的架构在云和移动的环境中中越来越无效和繁琐。即使采用了一些基于云的服务(如,基于云的 SWG、CDN [内容交付网络]、WAF [WEB 应用防火墙] 等),企业数据中心仍然是大多数企业网络和网络安全体系架构的核心(见图 2)。图 2:传统以企业数据中心为核心的星型网络及网络安全架构在以云为中心的数字企业,用户、设备及其需要安全访问的网络能力无处不在。图 2 中以企业数据为中心的模型难以扩展。当用户所需的数据很少留在企业数据中心时,将流量引入到企业数据中心是没有意义的。更糟糕的是,我们会限制用户访问 SaaS,除非用户在企业网络上或已使用 VPN。这会对生产力、用户体验和成本带来负面影响。数字业务转型企业的安全和风险专业人员需要的是一种全球性的网络和网络安全能力,可以随时随地将实体连接到所需访问的网络。无论是将用户连接到内部应用、基于云的应用、SaaS 或互联网,都面临相同的安全访问问题。在数字化企业中,安全访问的决策必须以连接源(包含用户、设备、分支机构、物联网设备、边缘计算场所等)的实体身份为中心。如图 3 所示,身份是访问决策的新中心,而不再是企业数据中心。图 3:SASE 身份为中心的架构用户、设备、服务的身份是策略中最重要的上下文因素之一。但是,还会有其他相关的上下文来源可以输入到策略中,这些上下文来源包括:用户使用的设备身份、日期、风险/信任评估、场地、正在访问的应用和/或数据的灵敏度。企业数据中心仍存在,但不再是网络架构的中心,只是用户和设备需要访问的众多互联网服务中的一个。这些实体需要访问越来越多的基于云的服务,但是它们的连接方式和应用的网络安全策略类型将根据监管需求、企业策略和特定业务领导者的风险偏好而有所不同。就像智能交换机一样,身份通过 SASE 供应商在全球范围内的安全访问能力连接到所需的网络功能。SASE 按需提供所需的服务和策略执行,独立于请求服务的实体的场所(图 4 的左侧)和所访问能力(图 4 的右侧)。图 4:SASE 技术栈,基于身份和上下文的动态应用其结果是动态创建基于策略的安全访问服务边缘,而不管请求这些能的实体所处位置以及它们请求访问的网络功能所处的位置。不再将安全边界隐藏在企业数据中心边缘的硬件盒子中,而是在企业需要它的任何地方 —— 一个动态创建的、基于策略的安全访问服务边缘。 企业边界不再是一个位置;它是一组动态的边缘功能,在需要时作为云服务提供。对安全访问而言,这些都是共同、基本需求的演变。不同的是,采用了实时的网络和网络安全策略。此外,在应用策略的情况下,无论实体正在访问什么,都会进行一致的应用检查功能(例如,检查所有连接的内容,以发现敏感数据和恶意软件)。为了降低延迟,SASE 产品应该使用“单次通过”架构进行检查。业务会话被打开(可能被解密)并使用多个策略引擎并行地检查一次,最好是在内存中,而不是多个检查引擎进行串行检查。最后,SASE 的新兴厂商将采用“持续的适应性风险和信任评估(CARTA)”战略方法,确保对会话进行持续的监测。通过保留在数据路径中并使用嵌入的 UEBA 功能,对会话内容进行分析,以检测过度风险的指标(例如,被窃取的凭证或内部威胁)。当分析用户行为发现风险增加时,或者当设备可信度降低时,SASE 可以提供自适应的响应(例如,需要用户进行额外的认证)。七、SASE主要特征
SASE 有四个主要特征:
1. 身份驱动不仅仅是 IP 地址,用户和资源身份决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由与每个网络连接相关联的身份所驱动。采用该方法,公司企业为用户开发一套网络和安全策略,无需考虑设备或地理位置,从而降低运营开销。2. 云原生架构SASE 架构利用云的几个主要功能,包括弹性、自适应性、自恢复能力和自维护功能,提供一个可以分摊客户开销以提供最大效率的平台,可很方便地适应新兴业务需求,而且随处可用。3. 支持所有边缘SASE 为所有公司资源创建了一个网络——数据中心、分公司、云资源和移动用户。举个例子,软件定义广域网 (SD-WAN) 设备支持物理边缘,而移动客户端和无客户端浏览器访问连接四处游走的用户。4. 全球分布为确保所有网络和安全功能随处可用,并向全部边缘交付尽可能好的体验,SASE 云必须全球分布。因此,必须扩展自身覆盖面,向企业边缘交付低延迟服务。最终,SASE 架构的目标是要能够更容易地实现安全的云环境。SASE 提供了一种摒弃传统方法的设计哲学,抛弃了将 SD-WAN 设备、防火墙、IPS 设备和各种其他网络及安全解决方案拼凑到一起的做法。SASE 以一个安全的全球 SD-WAN 服务代替了难以管理的技术大杂烩。八、效益和用途
SASE 使安全团队能够以一致和集成的方式,提供一组丰富的安全网络安全服务,从而支持数字化转型、边缘计算和员工移动性的需求。通过 SASE 将获得以下的效益:降低复杂度和成本。集成来自单个提供商的安全访问服务,将减少供应商的总数量,减少分支中的物理和/或虚拟设备的数量,并且减少用户终端设备上所需代理的数量。激活新的数字化业务场景。SASE 服务将使企业的合作伙伴和承包商可以安全地访问其应用、服务、API 和数据,而无需担心暴露传统架构中的 VPN 和 DMZ(非军事区)而带来的大量风险。改善性能/延时。SASE 的领导厂家会通过全球部署的 POP 提供基于延时优化的路由。这对于延时敏感的业务非常关键。用户的易用性/透明度。如果正确实现,SASE 会把设备上所需代理的数量(或一个分支的客户场所的 CPE 设备的数量)减少到单个代理或设备。改善的安全性。对于支持内容检查(识别敏感数据和恶意软件)的 SASE 供应商,可以检查任何访问会话并应用相同的策略集。较低的运营费用。随着威胁的发展和新的检查机制的需要,企业不再受到硬件容量和多年硬件刷新速率的限制,可以随时增加新的功能。启用零信任网络访问。零信任网络方法的原理之一是,网络访问基于用户、设备和应用的身份,而不仅仅基于设备的 IP 地址或物理位置。提高网络和网络安全人员的效能。安全专业人员可以专注于理解业务、法规和应用的访问需求,并将这些需求映射到 SASE 功能,而不是陷入到基础设施的常规配置任务中。集中管理、本地生效的策略。SASE 具有基于云的集中管理策略,以及临近实体的分布式执行点,还包括在需要时可用的本地决策点。8.1 采用率
SASE 还处于发展的早期阶段。正因为数字化转型、SaaS 和其他云服务的驱动,越来越多办公人员产生了分布式和移动的访问需求,由此推动了相关的变革和需求。SASE 早期的主流形态会表现为 SD-WAN 供应商增加越来越多的网络安全能力,以及云安全服务商增加 SWG、ZTNA、CASB 服务这些形式。正如在 “Hype Cycle for Cloud Security, 2019,” 中所体现的,目前 SASE 还在 Hype Cycle 左侧 20% 的位置(Innovation Trigger),还需要 5~10 年的时间发展为主流。全面的 SASE 服务才刚刚出现,其采用率还不到 1%。然而,未来三年将为企业安全和风险管理领导者简化其网络安全架构提供重要的机会。虽然 SASE 的广泛采用在今后几年才会发生,但在未来三年内将很快出现领导厂商,当前厂商都各自面临不同挑战。九、评价因素
在评估 SASE 功能(SD-WAN、SWG、CASB、FW 等)时,我们提供 Gartner 的推荐阅读材料中会包含相关的市场指南和魔力象限材料的链接。为了本研究的目的,我们将重点研究 SASE 特定的评价标准:提供的 SASE 服务的广度。并不是每个供应商都能力提供所有的功能。一些供应商将从以网络为中心的功能开始,另一些将从以安全为中心的功能开始。新兴的 SASE 的领导者应当提供图 3 中大部分或全部服务。SASE 策略决策点的位置。大多数 SASE 的决策都可以且应该是基于云的交付和管理模型的。领先的 SASE 架构需要基于云的策略决策引擎,该引擎可以使用 CPE 轻分支/重 SASE 的云模型应用于基于云或本地策略执行点(参见图 5)。图 5:从传统的重分支迁移到云为核心的轻分支/重 SASE 模型SASE 管理/控制平面的位置。即使使用代理和 CPE 形式的本地执行点,SASE 管理控制台也应该以基于云的服务方式来交付。应该对策略进行云管理,并将其分发到本地的执行点。架构。SASE 架构非常重要。理想情况下,该产品是基于云的内置微服务,可根据需要扩展。用户侧 CPE 部署选项。现场(物理或虚拟) CPE 设备仍然是需要的,但应该使用基于云的管理和配置模型。这类 CPE 设备的设计模式应该是交钥匙的黑盒子,开机然后就可以把它给忘了。租赁模式。云原生的 SASE 架构总是会使用多租户和多客户共享的底层数据平面。有一些供应商会坚持使用每个用户使用独立的实例。企业用户也许不会也不感兴趣知道自己使用的是哪个实例,但架构会影响到 SASE 供应商的扩展能力。POP 节点和对等连接的地点和数量。在 SASE 场景中,对于某些应用来说延迟是重要的。SASE 解决方案应提供 POP 与数字化企业的访问延迟和数据驻留要求相一致的业务对等连接的组合。使用 IaaS 的通用计算进行非延迟敏感操作。一些 SASE 供应商将使用带有互联网边缘和 POP 节点的混合模型进行低延迟的在线检查,并使用商业化的计算资源(CPU/GPU)和 IaaS 供应商提供的存储进行低延迟敏感操作,例如:网络沙箱、远程浏览器隔离、审计日志存储和分析。大范围进行加密流量的监测。SASE 厂商必须具备提供大范围在线加密流量监测的能力(解密及后续再加密),理想情况下应该是云交付,而不使用专有硬件。必须支持 TLS 的最新版本。一次通过扫描。应该打开给定会话的流量并对嵌入的内容进行一次且仅一次的并检查。一旦解密,多个扫描和策略引擎可以以扩展的方式并行运行,理想情况下无需通过服务链串接检查服务。可选的流量重定向、检查和日志记录能力。全球范围内对数据隐私的监管要求(例如,通用数据保护法规 GDPR)的增加,将为 SASE 带来基于策略进行流量处理的企业需求,这将用于检查、路由和记录特定地理辖区的流量。支持 IoT/边缘计算的场景。对于 SASE 而言,IoT 边缘计算平台只是需要支持的另一个端点身份。关键的区别将是假设边缘计算位置将具有间歇性连通性和对系统的物理攻击的风险。威胁防护。这方面的例子包括使用恶意软件和内容的沙箱来检测会话上下文。在公共的 Wi-Fi 网络中,SASE 解决方案需要提供基于 DNS 的保护服务,建立到本地 POP 节点的加密会话,避免被监听。能够识别敏感数据并适应。SASE 产品应理解正在访问的数据/应用程序的上下文,并且当检测到过度风险时,能够采取自适应操作(例如,阻止敏感数据的上载/下载)。用户隐私。SASE 供应商应根据政策提供不检查流量的选项(例如,GDPR、HIPAA 和类似的个人隐私保护条例)。此非检查策略可以与远程浏览器隔离相结合,以进一步将会话与企业系统和日志隔离开来。支持代理。需要支持最终用户使用的终端设备包括 Windows、Mac 和特定版本的 Linux 发行版。Android 和 iOS 为基础的设备未来也需要能够支持。管理不受控的设备。企业往往很难做到 100% 强制使用代理,特别是在他们不拥有或无法控制的系统上。轻量级移动应用程序或浏览器插件可以用于增加可见性。可选的精细的可见性和详细的日志记录。SASE 交付应在访问应用程序和服务时提供对用户进行细颗粒的活动监控(最好在使用 ZTNA 保护时将此可见性应用于企业应用程序)。在会话中监测行为。在 Gartner 的 CARTA 战略方法指引下,SASE 会话代理应该使用内嵌的 UEBA 进行过度的风险和异常的持续监测。如果检测到过度风险,应至少提供提高警报的能力。基于角色管理控制台和面板。最终,安全架构师、网络运营经理或 CISO 可能希望获得所有安全访问会话的快照视图。收费模型。 WAN 边缘/ SD-WAN 产品通常根据带宽计费。然而,CASB、SWG 和远程浏览器隔离往往是按照每用户、每年来计费。由于 SASE 同时包含了多种服务,SASE 供应商将在逐步淘汰基于带宽的定价模式。十、替代SASE 的主要选择
使用基于硬件的分支机构维持现状。这是当今大多数企业采用的模式,由于访问模式的改变以及硬件为中心的设备的刚性和高成本造成受限。设备都带有插件硬件刀片,用于特定的网络安全功能。基于软件的分支机构。通过使用基于软件的刀片方法,向内部分支机构部署客户本地设备( CPE),具有一组合作伙伴的供应商可以提供图 3 中的许多服务。或在需要时(例如:为了安全检查),CPE 可以调用基于云端服务。 通过服务链自己构建 SASE 。一些企业将尝试通过服务链接不同厂商的产品并使用多个终端代理,将 SASE 相关的功能集合在一起,构建自己的 SASE。这种方法具有高复杂性、高成本和高延迟的问题。SD-WAN 来自一家厂商,网络安全服务来自于一家。一些企业将采用的方法是将“连接”的基础设施与图 1 所示的“安全”的基础设施分开,但两者都转移到基于云的服务。这具有解决组织政治问题的优势,但与单一的 SASE 供应商相比,复杂性和成本更高。运营商编排的服务链。另一种选择是转向在网络、网络安全或运营商方面占主导地位的厂商,让其代表客户执行所需的服务链接。使用服务链接和网络功能虚拟化,主导的厂商可以成为代理或总承包商,负责将不同的服务拼接在一起。十、潜在安全风险
随着 SASE 的出现和采用,安全和风险管理专业人员应考虑以下风险:稳定的团队、文化和政治。网络和网络安全架构通常是由不同的团队单独负责。即使在信息安全方面,SWG、CASB 和网络安全设备的购买负责人员也可能不同。不同的团队可能会将 SASE 的采购视为“领地之争”。足够好可能不够好。一些 SASE 产品是由以网络为中心的厂商开发和交付对,是安全领域的新进入者。同样,以安全为中心的提供商可能没有领先的 WAN 边缘解决方案所期望的完整SD-WAN 功能。复杂度。对试图从不同的厂商和云产品中构建 SASE 技术栈的企业来说,将其拼接在一起将导致管理和执行的不一致、性能低下和成本高昂。传统的供应商没有云原生的心态。以硬件为中心的网络和网络安全供应商将难以调整成为云原生和基于云服务的交付模式。网络和防火墙厂商缺乏代理服务器的经验。SASE 的许多功能将使用代理模型来获取介入数据路径并为访问提供保护。需要投资来维持 POP 节点和网络对等交换资源。SASE 的策略决策和执行需要在任何端点可能出现地方都提供支持。更换供应商。对一些企业来说,向 SASE 转型将需要更换供应商,从而对工作人员进行再培训,发展新技能,并学习新的管理和政策定义控制台。缺乏数据上下文。许多以网络为中心的供应商的解决方案对数据的上下文理解不足,无法判断内容是敏感的还是恶意的。数据上下文对于制定访问策略、理解风险和确定风险优先级以及相应地调整访问策略至关重要。投资领先的云提供商 API 检查能力。因为很多用户终端都需要连接到 SaaS 的访问,SASE 供应商需要理解其数据上下文。SASE 领导厂商的要求部署代理。为了与基于前向代理的体系架构集成,并处理一些遗留的应用程序协议,将需要一个本地代理(例如,SWG、用于旧应用程序的 ZTNA、本地 Wi-Fi 保护和本地设备安全态势评估)。费用过高和 SASE 市场震荡。SASE 市场在未来五年将经历重大变化,预计将进一步整合和收购。由于这个市场还在早期阶段,我们推荐签署 1~2 年的合同,并且在合同中包含适当的收购保护条款。随着市场的巩固并开始有利于大型供应商的规模经济,整个 SASE 市场将会面临下调定价的压力。十二、可行建议
SASE 将会颠覆目前的网络和网络安全体系架构,就像 IaaS 对数据中心设计架构对影响一样。SASE 为安全和风险管理人员提供了未来重新思考和设计网络和网络安全体系架构的机会。数字业务转型、部署云计算和越来越多地采用边缘计算,将带动对 SASE的需求。SASE 刚刚兴起,安全和风险管理专业人员可以采取以下行动:参与 SD-WAN 架构和规划会议。在可能的情况下,利用将网络安全服务纳入网络架构:企业 评估SD-WAN 方案时邀请网络安全厂商。例如,Barracuda、Cisco、Forcepoint 和 Fortinet 等安全厂商都提供有竞争力的 SD-WAN 产品。要求 SASE 供应商提供第三方测试 SD-WAN 和安全功能的证据,最好使用已知的信誉良好的独立测试公司。对 ZTNA进行评估,作为部署 SASE 解决方案和应用零信任概念的机会。可从特定支持数字业务的项目开始,例如,对合作伙伴或承包商使用的未管理设备的精确标识和应用感知访问。评估 SASE 服务整合以及降低复杂度的短期机会;例如,随着合同的续签,CASB、SWG、ZTNA、VPN 和远程浏览器隔离的功能部分或完全合并。避免将 SASE 产品拼凑在一起。一家大厂商可能拥有收购或合作伙伴所有的 SASE产品。但要仔细评估服务集成能力,以及作为单个控制台和设置策略单一方法进行编排的能力。让首席安全官和首席网络架构师参与评估现有和新兴供应商的产品和未来路线图,因为向 SASE 的过渡跨越了传统的组织边界,设备部署可能会引发团队成员的抵制。和 SASE 供应商签订 1~2 年的短期合同,因为许可模式还在不断调整。SASE 厂商最好能在在所有产品中提供基于身份/实体的简单订阅许可方式(而非基于带宽)。十三、代表性厂商
SASE 市场还正在形成中,尽管有几家供应商拥有必需的大多数功能,但目前还没有哪个厂商能提供全部的 SASE 产品套件。到2020年年底,预计有几个供应商可以提供完整的产品套件。下面这个列表包括了具有代表性的供应商,我们预计这些供应商将提供 SASE产品套件:AkamaiCato NetworksCiscoPalo Alto NetworksProofpointSymantecForcepointVMware
ZscalerCloudflareFortinetMcAfeeNetskopeVersa转载自 sbilly的茶馆 译者:sbilly 英文原文:阅读原文获取更多精彩内容请长按二维码关注~合作投稿,加群分享交流(CSO安全主管群、产业群、市场群、安全意识...)请添加ID:CSOChina