【网络安全和信息化 郭涛】
几年前,一家国外大牌的安全厂商在故宫里的某个庭院举办了一场战略发布会。就像故宫依靠其高墙深院保护着内部至高无上的皇权一样,传统的网络安全也是凭借由防火墙等筑起的安全边界,保护着内网的设备和数据的安全。
但是时过境迁,再高的宫墙也不能阻挡时代前进的步伐,同样,曾以为是固若金汤的传统安全边界,也在云计算、移动互联、边缘计算等新技术浪潮的冲击下开始动摇。数字化时代呼唤新的具有颠覆性的安全理念和技术。
01 新安全边界在哪里?
网络安全领域从来都不缺少焦点话题。随着企业数字化转型持续走向深入、SaaS应用和交付变得越来越普及,再加上5G、边缘计算的快速兴起,原本清晰的网络安全边界日渐模糊。
从上个世纪90年代到2020年这三十年中,我国的企业网络几乎每十年就会出现一次新的浪潮和进化,从自建数据中心到将业务资源托管到第三方中立的大规模数据中心,再到云服务的逐渐流行,伴随着网络基础架构的升级换代、公有云的出现,企业内部的资源和数据彻底“放飞”,业务资源和员工变得越来越分散,不同地域、不同的分支机构以及不同的终端设备更迫切需要实现统一的安全访问和控制。
当我们打开窗户,在呼吸到更多新鲜空气的同时,也可能让蚊子苍蝇有机可乘。当越来越多企业资源和数据暴露于互联网之上,我们不禁要问:传统的网络安全防御边界,“廉颇老矣,尚能饭否”?可以想见,在企业大规模上云后,传统的网络安全边界就形同虚设了。
重塑安全边界,刻不容缓!如绎云科技创始人兼CEO陈坤鹏所言,业界将以可信身份和可信行为重新定义安全边界。基于SD-WAN和零信任原则打造的信域安全云网就是标杆之一。
2020年初爆发的新冠疫情催生了企业业务同时也是安全的“新常态”——在线办公、远程运维。Gartner的数据显示,自疫情爆发以来,52%的企业合规负责人担心远程工作将导致第三方网络风险增加。企业的新边界在哪里?分布的终端安全又会由谁来保护?有安全专家指出,确保下一个“常态”中的安全将是2021年工作的重中之重,未来焦点将逐渐集中于保护外围安全和云计算的部署应用。
记得《西游记》中有这样的描述,孙悟空会用金箍棒在地上画一个圆圈,只要唐僧不走出圈外,再厉害的妖怪也无可奈何。这个圈就像是传统的物理安全边界,如果所有设备和数据都在企业的内网之内,将高枕无忧。但是,如果妖怪使出手段,引诱唐僧自己走出圈外,那么手无缚鸡之力的唐僧就只能束手就擒。同理,当公有云、大数据、物联网、远程办公等的发展,让企业不得不冲破原有的边界和限制,那么企业的安全又何以为根?
正是在这种情况下,零信任(Zero Trust)、安全访问服务边缘(SASE)等概念受到追捧。以零信任为例,“永不信任,始终校验”是其立足点,它不再基于用户与设备在网络中的位置来判断是否安全可信,而是要验证用户的身份和设备的合法性,并授予相应权限。零信任被认为是下一代网络安全的基石。
02 SD-WAN+零信任:“隐形”的安全翅膀
如果员工、数据、终端都出“圈”了,安全这张网将怎样建?这是摆在所有数字化企业面前最紧迫也是最棘手的问题,也是绎云科技创业要打响的第一枪。
零信任并不是一个新理念,早在2017年左右国内已经有厂商在研究。绎云科技相信,零信任完全能够解决可信身份、可信行为的问题,但这还不足够,必须要有网络的助力。当时,绎云科技深入研究了诸如SDN、SD-WAN、SDP、VxLAN 等各类技术,并结合具体的实用场景,确信两者结合是可行之路。
与其说新冠疫情加速了零信任的上位以及网络的无边界化,还不如说是疫情让客户真切地感受到,网络的边界已不复存在。边界一旦被突破,如何划定不同的人群、制定策略就成了迫切需要解决的难题。那么如何划定人群呢?不可能再根据IP地址,只能是依据其身份。于是,身份认证与管理成了头等大事。接下来,如何去管控它,如何保证策略下发到需要的地方,这些必然要求构建一个虚拟的网络。这就是信域安全云网开发背后的逻辑。
身份正成为所有网络访问的核心“密钥”。Canalys的报告显示,在2021年网络安全市场的投资热点中,身份与访问管理的热度最高,它将成为新一代网络安全体系的重要组成部分。依赖SDP(软件定义边界)、IAM(身份识别与访问管理)和MSG(微隔离)三大技术路径实现的零信任在未来将大行其道。
信域安全云网是遵循零信任安全原则,采用软件定义网络技术为客户在物理网络之上构建的专享可信业务网络。它由云网组件和信域云服务组成,通过部署在客户网络中的云网组件将任意位置的终端、业务资源映射到云网,从而避免了繁杂的物理网络环境,进一步简化了终端与业务资源的网络结构,实现了端到端加密互联。信域云服务网由分布于全球的多个服务节点组成,为世界各地的终端提供基础认证转发和云网寻址服务。
简单说,借助信域安全云网,绎云科技可以帮助客户快速实现企业内网云化并覆盖全球,轻松打造一个“隐形”的云化安全网络,同时基于零信任原则,通过全面身份化、最小授权、动态访问控制、网络传输全程加密等,使得以可信身份和可信行为重新定义边界成为可能,也为用户提供简单易用的极致体验。
信域安全云网与Gartner提出的SASE(安全访问服务边缘)有相似之处,但两者最大的不同在于,SASE是的做法是需要客户的业务流量上云,而绎云科技的信域安全云网则是通过虚拟网络与客户的原有物理网络共同构建一个私有云化企业内网,这也更符合当前国内企业客户的需求。陈坤鹏介绍说,信域安全云网还在不断完善之中,目前最适合各行业的腰部客户,大规模移动办公、可信安全运维、业务系统零暴露是最典型的应用场景,而随着更多组件的陆续推出、产品定制化能力的增强,服务大客户也在计划之内。
信域安全云网的适用范围非常广泛,只要企业有自己运维的业务系统,企业员工有随时随地接入和访问的需要,以及对安全性有较高要求,都可以通过部署信域安全云网解决以上场景提到的问题。
03 生逢其时的云化安全内网
绎云科技成立刚几个月便遭遇了新冠疫情。但是坏事变好事,成立之初本就想专心打磨产品的绎云科技正好趁这段“宅在家里”的日子,完善产品,修补Bug。据陈坤鹏介绍,在疫情期间,员工到岗后,就将公司大门反锁,埋头开发。正是经过这段特殊时期的磨炼和蓄力,信域安全云网于2021年1月8日正式发布,便赢得了一个碰头彩。
曾在多家知名安全企业做产品负责人的陈坤鹏本可以在大公司里舒舒服服待下去,但是看到当下网络、安全的发展,产品虽然不断更新迭代,但却很少有企业能够把缺失的一环补齐,陈坤鹏那颗创业的心终于还是按捺不住,绎云科技就这样诞生了。
绎云科技生逢其时,因为它遇到了网络技术发展与安全技术发展周期的一个重合期。通常来说,网络发展的一个轮回是十年,而安全领域的演进速度更快,五年便会有一次重大的升级换代。从网络发展的新周期来看,企业网络变得越来越具有弹性,而且覆盖全球,无处不在,不是固化在原来的“城墙”里。从安全的角度看,用可信身份和可信行为重塑安全边界被提上日程。这两个周期正好叠加在一起,基于SD-WAN重构一个覆盖全球的虚拟网络,同时将以身份为中心的零信任原则注入到网络中,使得打造新一代网络安全成为可能,也是一个爆点。
应运而生的信域安全云网,是一个网络产品还是一个安全产品?头一次听说的人可能会有这样的疑问。但是绎云科技从始至终都非常笃定,没有网络就没有安全。与其他安全公司最大的区别在于,绎云科技致力于为客户提供一个安全的网络,它不是一个单一的产品,而是由TMG、TMC、TM-Cloud乃至众多Pop节点等模块构成的一个无处不在的云化的、私有的、企业安全内网。
从这个角度说,绎云科技不像一个传统的网络安全厂商,反而更像它的名字那样,是一家新型的云服务商,它提供的不是传统的IDC共享资源池,而是帮助客户构建一个属于客户自己的、无处不在的安全云网。
虽然绎云科技所做的一切都是为了重定义安全边界,但在陈坤鹏看来,信域安全云网并不是要完全取代传统的边界安全产品,两者之间其实是共生关系。“在安全领域,每个企业都是生态中的一员,所以作为一家创业企业,我们从一开始就必须找准自己的生态位。”陈坤鹏表示,“信域安全云网只是帮助客户构建了一个全新的分布于全球的业务安全访问网络。在这个网络中,原有的一些安全产品是可以被重新定义的。”
举例来说,绎云科技可以将现有的WAF产品的检测能力这个模块单独抽出来,嵌入到信域安全云网这个虚拟的网络中,当网关接收到业务访问的流量以后,借由旁路Copy一部分流量打上身份的标签,放到WAF检测引擎进行检测,若发现有安全威胁便生成告警,哪个IP产生的Web攻击,以及攻击来自于哪个帐号,使用的是哪台终端以及哪个人,对哪个业务系统会产生怎样的行为等都一目了然。这就是所谓的将传统的边界安全产品重新身份化。陈坤鹏强调的安全生态,以及信域安全云网实现价值最大化的关键正在于此。
源于安全,长于网络,但又不囿于此,“出圈”的信域安全云网正在金融、互联网、在线教育、央企等用户中逐步落地……