如何实现一个更好的SASE架构

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2022-05-12
为了支持基于云的数字转型策略,安全与SD-WAN架构的更紧密集成是许多CIO和CISO的重要选项之一,这也包括云安全以及现在所知的SASE(安全访问服务边缘)——广域网边缘网络能力与依托云提供的安全功能的结合,例如:
 
SWG(安全Web网关)
CASB(云访问安全代理)
FWaaS (防火墙即服务)
ZTNA(在云中交付的零信任网络接入)
 
 
SASE架构
 
随着越来越多的应用程序和工作负载迁移到云,企业内部数据中心的作用已经显著减少,甚至在某些情况下被消除。此外,随着“在任何地方工作”的趋势越来越强,安全边界正在不断模糊甚至基本上已经消失。因此,SASE提供了一种更安全、更灵活的方式,可以将用户与驻留在云中的应用程序连接起来,在将应用程序流量转发到云之前,无需将其反向传输到数据中心。通过直接在云中执行安全检查,用户可以享受到改进的应用程序性能——更好的体验。
 
SASE最初假设在默认情况下不能信任任何用户,因此维持通过功能表达的最小特权访问范式。它通过使用CASB功能实施安全策略来保护敏感数据。此外,SWG使用多种技术(如URL过滤和恶意代码检测)保护组织免受基于Web的威胁。FWaaS在云中提供下一代防火墙功能,用于分析来自多个源的流量。其他安全特性,如远程浏览器隔离(RBI),通过重新构建不受恶意代码影响的网页,将Web用户与互联网隔离开来。
 
SD-WAN是SASE的关键基础
 
由于远程办公这一模式在未来仍将会保持延续,因此组织将继续运营分支机构,此时就会需要SD-WAN功能,甚至将SD-WAN服务扩展到员工家中或汇集小部分员工的小型办公室。同时,还必须继续努力向现代SD-WAN架构转变,并考虑到上面提到的云交付的安全功能,现在称为SSE(安全服务边缘)。
 
SD-WAN和SSE的组合创建了一个SASE体系结构,该体系结构可以保护对Web、云应用程序、云服务和仍然驻留在数据中心中的私有应用程序的访问。SSE功能还可以包括访问控制、威胁保护、数据安全、安全监控等等。关键在于,SSE是作为基于云的服务交付的,并且可以由内部部署或基于代理的组件进行补充,例如内置于SD-WAN中的分段防火墙。
 
更好的组合:高级SD-WAN和SSE
 
拥有更全面高级功能的SD-WAN和SSE的结合使企业能够实现全面的SASE体系结构。毕竟,SD-WAN和SSE专注于两个不同但互补的目标:SD-WAN是关于建立一个可靠而灵活的连接,而SSE必须不断适应新的网络安全威胁。
 
高级SD-WAN可以智能地控制应用流量,以平衡性能(来自业务需求层面)和安全性两方面要求。为了简化部署和配置,策略被集中定义并无缝地推送到每个分支,使组织能够在所有位置强制执行一致的安全措施。此外,通过基于API的集成,高级SD-WAN可以自动配置与公有云提供商的连接,在混合云和多云环境中,工作负载可以轻松地从一个云提供商移动到另一个云提供商。最后,功能强大的SD-WAN还可以根据网络运行状况和性能测量以及本地DNS解析始终选择最佳性能路由,从而加快应用程序流量,以到达云应用程序和云交付的安全服务。
 
高级SD-WAN包含分支机构所需的基本安全特性,包括统一的威胁管理集成IDS/IPS和基于区域的防火墙。这些安全特性允许组织保护分支机构免受恶意威胁,并对用户、设备和应用程序进行分类,以满足遵从性需求。它们还允许组织超越SASE,降低与物联网设备数量激增相关的风险,构建零信任体系结构,而物联网设备在大多数情况下采用更简单的体系结构,不支持托管ZTNA或VPN客户端。
 
因此,除了SASE之外,还必须采用零信任安全框架,提供基于身份的访问控制和微隔离,以阻止恶意软件的传播。此外,内置的安全特性可以通过替换多个现有的安全设备,减少维护和整体运营成本,从而减少分支机构的设备扩张。
 

网络服务与安全服务正加速融合
 
如今,国内外许多云厂商、网络服务商以及安全厂商均在加速进入SASE赛道,如果是针对“All in One”的SASE解决方案,则必须同时考虑兼顾网络连接功能与多种安全功能的齐全与适配,不能顾此失彼。在SASE的大潮之下,网络服务商与安全厂商之间的界限正在日趋模糊。
 
全球最大的CDN服务厂商Akamai的2021年第二季度财报显示,公司安全业务比例已经上升到38.1%,而7年前这一比例不到4%。另外两家美国CDN公司Fastly和Cloudflare也强调,它们为用户提供的是集网络性能和安全为一体的服务。安全厂商们也不甘示弱,以色列知名安全厂商Cato在全球自建了65个PoP节点,另一安全厂商Zscaler则称其安全架构涵盖了全球150个节点。
 
看回国内,SASE正处于发展起步阶段,一些具有复合技术基因与业务背景的厂商似乎表现得更加得心应手,面临巨大的市场机遇。
 
以CDN业务起家的网宿科技,如今已是国内最大的第三方CDN厂商。根据公开资料,网宿的PoP节点覆盖全球160+大中城市,边缘计算能力也已经落地到各个POP点上,每天承受超过2000万攻击,防护过1.02TB的攻击,在攻防对抗中逐渐形成建立了完善、高性能和持续演进的安全平台、威胁情报及专家团队。其在2020年报中提出“致力于打造企业网络连接和安全访问整体方案”,与SASE的目标高度契合。安全419在出席2021网宿安全品牌发布会时了解到,网宿依托在网络、边缘计算、云安全领域的资源及技术优势,为SASE落地提供全新解决方案,在对接安全能力方面,将布局开放CASB、DLP(数据泄露防护)、SWG、NGFW(下一代防火墙)等成熟安全能力接口,实现流量分析、告警和阻断,并且在零信任框架上接入可信终端、可信传输、可信行为及可以应用全环节接入合作伙伴能力,为客户提供一体化零信任SASE服务。
 
深信服亦是国内较早实践SASE的厂商之一。安全419曾在相关采访报道(详见《云化+服务化 深信服如何成为数字化转型的奠基好手?》)中分析,依托安全业务、并且较早切入云计算领域的深信服,形成了基石(网络安全)+平台(云计算)+架构(IT基础设施)的业务格局,在定位将全面走向云化、在线化和服务化后,SASE便是其XaaS(一切皆服务)战略的重要抓手之一。截至2022年3月,深信服在全球部署接近40个POP点服务,覆盖中国最主要的一二线城市,合计带宽资源超过150G,服务超过20万的在线用户,每月处理超过百亿的网络请求。近日,深信服发布了SASE 3.0全新方案,采用全云原生架构,实现动态、弹性、高性能的云上能力,并融合边缘架构,通过把部分SASE能力按需、动态地下沉到本地设备,实现平衡算力,并且在SASE节点上实现全安全栈,通过编排的方式实现按需使用和分类防护。
 
归根结底,强大的SD-WAN是SASE架构的基础组件,它提供与多种最佳安全实践的紧密集成,并通过云交付的安全服务和策略配置来构建一个成熟完善的安全体系。SASE的服务商将不仅仅是安全厂商,更是安全和网络资源的灵活整合者,这种整合既可以由资源、能力相对比较全面的厂商来实践,甚至也可能跨越厂商的边界,通过自动化编排来部署和管理多供应商的SASE体系结构。最终对于企业来说,旨在达到灵活且一致的安全体验,以保证自身的数字化转型得以更顺利地推进。