首页 学习资料网络教程正文

企业数字化转型促成了广域网组网与安全技术的深度融合

企业数字化转型促成了广域网组网与安全技术的深度融合

摘要:企业数字化转型促进了广域网网络与安全技术的深度融合。SASE 将 SD-WAN 和基于数字身份的网络安全接入集成到云服务基础设施中,实现了一种能够适应当前企业网络流量的模型。安全架构为无处不在的用户、连接、数据应用程序提供了对服务边缘的便捷、高效和安全的访问。本文对SASE的发展背景关键组成部分和未来目标进行了梳理、理解和阐释。

关键词:SASE、零信任、SD-WAN、ZTNA

一、SASE诞生的背景

随着云计算和企业数字化转型的加速发展,传统部署在数据中心的数据、应用和服务正在逐步上云,远程员工、分支机构、供应商等用户也将业务接入分散到数据中心的各个角落。互联网。这些企业 IT 网络部署和访问方式的变化导致了企业数据流方向的变化。总体而言,与流回数据中心的流量相比,流入互联网的数据流量(包括流向公共云服务和分支机构的流量)激增。,比例由原来的20:80提高到80:20,呈现爆发式增长趋势

图1 数字化转型对企业网络流量模型的影响

面对网络流量模型的变化,传统的面向数据中心的网络和边界安全产品已经力不从心。即使他们投入了更昂贵的建设成本和更复杂的运维,仍然无法满足快速变化的应用环境需求,也无法解决流量视图。变化带来网络性能低下、安全服务能力不足等问题。

为了向用户交付一个简单、安全的网络产品,可以集成网络和安全服务能力,网络和安全厂商已经开始寻求和尝试新的安全架构以适应这种新的分布式 IT 计算模型,使员工、客户、供应商能够和其他人可以安全地访问部署在任何地方(互联网、公共云、私有云、SaaS、数据中心等)的应用程序、数据和服务

2019 年 8 月,Gartner 在《The Future of Network Security Is in the Cloud》报告中提出了安全访问服务边缘(SASE)的概念,并将其定义为:访问源(如用户、设备、分支机构)的组织, IoT 设备或其他边缘访问实体)而不是数据中心,为 WAN 网络和安全服务能力提供技术框架。该框架基于接入实体的数字身份、实时上下文和企业合规策略,将软件定义的广域网(SD-WAN)和安全能力集成到云服务中,从而简化网络和安全部署、运维和更多 为不同地点的用户提供一致且安全的访问体验。

图 2 Gartner 以身份为中心的 SASE 架构

SASE一经问世,就因其光明前景受到众多厂商的追捧,也出现了许多与SASE类似的概念术语,如Forrester的零信任边缘、idc的软件定义安全访问(Software)。-Defined Secure Access) 和 ESG 的 Elastic Cloud Gateway 等。它们的共同点是都采用类似的安全概念,将传统的围绕数据中心边缘的安全边界转变为围绕企业数字资产分布的安全边界,即基于策略动态创建的安全接入服务边缘。

二、SASE 的关键组件

Gartner 认为,SASE 是一个网络和安全的发展理念和方向,而不是简单的功能列表。但是,在这个阶段,需要一些具体的解决方案来实现这个概念。Gartner根据重要性将SASE相关技术分为三个层次,其中核心层次包括SD-WAN、防火墙即服务(FWaaS)和云访问五项关键技术。安全代理 (CASB)、安全 Web 网关 (SWG) 和零信任网络访问 (ZTNA);推荐级别包括 Sandbox、Remote Browser isolation (RBI)、waf、NAC、NGAV/EDR 等;可选级别包括 WLAN、VPN 和其他技术。下面简要介绍核心层面的五项关键技术。

图3 SASE的整体架构和组成

01

软件定义广域网 (SD-WAN)

企业应用上云后,通过企业总部访问企业应用变得低效,因为业务流量需要通过传统的广域网链路(包括物理路由器、MPLS、宽带、VPN、专线接入等)回传给企业,等)总部,然后总部数据中心将流量转发到云中的企业应用程序。为避免不必要的流量回流,需要采用直接上网方式,为分支机构/用户提供更灵活的接入能力。

与传统广域网相比,SD-WAN智能管理多种类型的连接(包括MPLS、宽带、5g等),支持托管在数据中心、公共/私有云和SaaS服务中的应用程序,并且可以基于网络性能(时延、抖动、丢包率、链路可用性等)动态智能地在多条链路间为应用流量选择最佳路由,实现负载均衡和QoS保证。

图 4 复杂多样的企业网络需求

借助SD-WAN技术,SASE可以为多分支机构的组织机构提供强大的组网能力、网络性能和用户体验,主要体现在:

运维管理 Elastic Networking 用户体验 资源利用

简单的运维管理

SD-WAN采用集中管理模式,可以大大降低资源成本和运维复杂度;

敏捷和弹性网络

通过分离网络服务的控制传输,SD-WAN使企业能够通过任何可用的互联网连接(例如宽带)安全地访问业务资源,而不仅限于MPLS运营商

良好的用户体验

通过SD-WAN,减少不必要的流量环回,提高访问性能和效率,带来更好的用户体验;

高效的资源利用

使用SD-WAN可以大大降低企业软/硬件系统、网络带宽、技术支持等成本。

02

防火墙即服务 (FWaaS)

最初,防火墙用于保护企业网络边界内的网络资源。然而,随着企业的数字化转型,越来越多的企业数据和应用部署在云端,越来越多的移动设备出现在网络中。安全边界开始消失,边界上原有的全交通视图开始丢失

FWaaS 是作为云服务交付的防火墙,具有下一代防火墙的功能。通过在 SASE 中引入 FWaaS,组织可以在云中聚合来自所有访问源(企业数据中心、分支机构、移动用户、云基础设施)的流量,以重新获得完整的流量视图;为所有位置的所有用户实施全球一致的安全策略。

03

云访问安全代理 (CASB)

用户在享受SaaS应用(如office 365))带来的极大便利的同时,也面临着巨大的数据安全风险。越来越多的敏感数据在 SaaS 云中传输、存储和共享。他们还不断地从不同的物理位置、设备、操作系统和应用程序访问他们需要的数据,各种不可预见的安全问题层出不穷,主要表现在:

缺乏对云中不可见数据的充分保护;

用户可以通过非托管设备 (BYOD) 从任何位置(例如咖啡店)直接访问应用程序和数据;

员工可能通过影子 IT(影子 IT,指未经公司批准私下使用的 IT 软件或服务)访问工作所需的数据,从而引入安全风险并暴露敏感的公司数据。

CASB 是用户访问 SaaS 应用程序的网关。通过使用 CASB 服务,企业可以获得 SaaS 应用程序(包括已批准和影子 IT)的可见性,了解敏感数据的存储位置,并为每个用户实施统一的数据安全策略。传统CASB一般采用独立代理的形式,通过SAML代理、api自检等部署方式提供一些内联检测能力。在 SASE 解决方案中,CASB 应整合在线和基于 API 的 SaaS 控制,提供基于云的多模式 CASB,为 SaaS 用户实施安全访问管理、访问控制和数据保护。

04

安全 Web 网关 (SWG)

与防火墙检查的流量范围不同,SWG主要检查来自浏览器的流量,以阻断对恶意网站内容的访问,还可以在授权用户访问互联网之前实施相应的安全策略,所以SWG不是防火墙的替代品。 .

在当今的企业网络中ssl连接出错 无法上网,网络流量很少被限制为预先限制的访问,用户工作负载通常需要访问外部资源,但出于合规性原因可能不允许员工访问某些站点。此外,公司希望阻止对网络钓鱼站点、僵尸网络命令和控制服务器的访问,而 SGW 可以保护用户免受这些威胁。

在 SASE 中实施 SWG 允许在云上检查加密流量并与其他网络安全服务捆绑,从而提高可管理性并允许统一安全策略实施。

05

零信任网络访问 (ZTNA)

零信任网络接入(ZTNA)是零信任架构的核心组成部分,遵循“永不信任,持续验证”的安全理念。ZNTA 要求用户在被授权访问云应用程序之前进行身份验证,并且通过 OSI 第 7 层网关检查用户流量。

基于微边框的ZTNA产品一般不进行内容安全检查,导致不同应用的防护能力存在一定差异。企业组织需要在 ZTNA 模型的基础上增加新的检测机制,以满足对所有应用程序和所有流量的检测需求。

基于 ZTNA 概念的 SASE 服务将复杂的零信任网关集成到云基础设施中,通过识别用户为用户、设备和应用程序创建和管理统一的安全访问策略,同时提供应用程序保护能力,例如数据泄漏和威胁预防策略.

除了以上五个核心功能,Gartner 还推荐了一些 SASE 厂商提供的其他技术,例如网络沙盒、远程浏览器隔离、Web 应用防火墙等。可选功能包括 wi-fi 热点保护、支持旧版 VPN 和保护离线边缘计算设备或系统。此外,建议网络隐私保护和流量分散,以使攻击者难以通过跟踪 IP 地址或窃听流量来发现公司资产。

三、SASE的技术特点

SASE 将网络和安全服务融合为统一的全球云原生服务,是企业网络和安全的架构转型,使 IT 能够为数字业务提供全面且适应性强的服务。通过即时解决方案解决新兴业挑战的尝试通常会导致技术孤岛,这些技术孤岛管理起来复杂且成本高昂,从而降低了 IT 及其对业务需求的响应能力。SASE 通过将身份驱动、云原生、全球分布并安全连接到所有边缘的网络和安全平台化来改变这种模式。

01

身份为基石

SASE提供的网络和安全功能都依赖于接入实体的数字身份,包括QoS、路由、信任评估、权限划分、访问控制等。所有与接入活动相关的服务都是由身份驱动的。有必要关注用户身份管理和安全策略配置,以减少运营开销。

02

从云原生开始

SASE认为未来的网络安全将聚焦于云服务,而以云服务形式交付的SASE框架自然具备云原生特性:软硬件中立架构、弹性、适应性、自恢复能力、自维护能力. 一个分散客户开销并提供最高效率的平台,可以轻松适应新兴业务需求,并且可以在任何地方使用。

03

覆盖所有访问边缘

SASE 是一种边缘云服务。为了确保所有网络和安全功能在任何地方都可用,并为所有边缘提供最佳体验,SASE 云需要在全球范围内分布。每个 PoP 节点提供相同的安全网络能力,用户可以就近访问 PoP。节点,让企业流量有最好的安全保护ssl连接出错 无法上网,不走弯路。仅依靠 Internet 提供 WAN 区域连接可能会导致无法预测的性能、可靠性、安全性和隐私问题。

SASE通过Thin-edge组件将不同的边缘连接到最近的可用PoP(Point of Presence),为企业提供所有数字资源和访问(包括数据中心、分支机构、云资源、移动用户和物联网设备等)提供访问能力,PoP 为用户提供一致的网络和安全能力,无需依赖任何客户端设备。换言之,SASE 可以通过 PoP 向用户提供与边缘无关的网络和安全服务。

四、SASE 的未来目标

Gartner 在《2021 年 SASE 融合战略路线图》报告中对 SASE 进行了详细描述,涵盖了 SASE 相关技术的未来目标和应用前景(图 5).

图 5 SASE 架构的核心概念和目标

互联网各个角落的用户和边缘设备都希望通过公共网络安全地访问分布在互联网上任何地方的数据和应用,而SASE通过整合网络和安全服务能力为用户提供相应的服务交付和安全保障。与传统的烟囱式组网和安全模型相比,SASE具有典型的平台化优势,包括:

01

统一一致的策略部署

SASE 是一种“基于软件和硬件中立”的分布式架构,可提供用户访问并确保通过 PoP 执行策略。客户可以根据业务策略或合规要求选择检查流量或将其转发到特定流量。流行音乐。云架构使得 SASE 策略的执行遍布整个云端和边缘,对于一些间歇性和延迟敏感的访问场景,用户甚至可以在本地做出独立的访问决策

SASE将管理控制平面与策略执行点解耦,使用统一的管理控制台入口对网络和安全策略进行集中管控,实现全局一致的策略部署(与用户、数据和应用的位置无关)。未来,可以通过人工智能 (AI) 和机器学习 (ML) 自动创建策略,并且可以使用一整套开放的 API 来自动化和集成现有的程序和工具。

SASE 将之前从属于不同服务、分散在不同 PEP(如 SD-WAN、SWG、CASB 和 ZTNA)中的策略功能集成到一个统一的基于云的交付框架中,并在所有接入点上实施一致的访问策略,以实现为了实现所有接入的全覆盖,通过SD-WAN(主要针对分支机构)、客户端(针对托管或非托管设备)、VPN(针对无线设备)等实现所有边缘的全覆盖。

02

全球高效的流量检测

SASE对所有连接和所有边缘的全覆盖使其能够获得数据流量的全面视图和全面流量分析的基础。

敏感数据的发现、识别和有效管控是SASE的关键能力,包括对恶意内容和网络攻击的识别和拦截,主要通过本地客户端、内联流量检测和基于API的云服务检测。

借助云服务能力,SASE 可以线速解密加密流量(SSL/TLS),同时进行多次检查(如恶意代码/敏感数据检查),实现一次解密多次检查,而传统的解决方案,这需要多个引擎分别执行多个解密和检查。

03

高可用低时延服务能力

SASE通过建立多租户弹性伸缩的微服务架构,满足不同用户的高性能服务需求。多点去中心化 PoP 可以确保 SASE 提供商提供满足 SLA 的高可用性和低延迟服务。

04

动态自适应零信任安全

SASE采用零信任安全概念,以基于身份和上下文的持续自适应风险和信任评估取代传统网络模型中的隐性信任。根据 Gartner 提出的持续自适应风险和信任评估(CARTA)框架,一旦建立访问连接,访问实体、设备、会话和相关行为都会被记录监控和分析,以发现异常或有风险的行为并遵循相应的策略配置,自适应调整响应动作(如修改权限)。

05

简单透明的用户体验

SASE产品为用户提供与位置无关的接入体验,通过统一的终端代理为用户隐藏复杂的接入细节(如转发代理、隧道创建、设备安全态势等),整合典型用户体验(在终端端到端延迟和性能)监控。

06

集中访问管理

在SASE解决方案中,需要一个独立的IT团队负责接入解决方案的设计、选择、实施和运营,涵盖网络、安全、随时随地的接入以及各种实体的管理。总体而言,在 SASE 中,网络工程和网络安全工程本质上已经合并为一个组合的“访问工程”。

SASE通过在云端整合网络和安全技术,通过轻终端重云、边缘化、去中心化的服务架构,为企业提供一体化的IT建设解决方案,改变传统的应用接入和安全保护模式,解决企业的问题在云时代。面临的实际问题。随着边缘场景的快速发展,传统安全产品的云化加速,用户对新安全概念的认知,以及服务商SASE产品的落地,SASE也将演变成一个更丰富、更高效、更强大的IT安全生态系统.

本文由易安联宏安实验室撰写,聚焦网络安全行业发展方向,解读热门产品技术趋势,欢迎技术专家学习交流

随机文章