当前,各大企业正改变其向内外部员工、合作伙伴和客户交付业务和提供生产力服务的模式。世界各地的企业纷纷采用新技术,例如云、软件即服务(SaaS)、随处办公(WFA)解决方案、物联网(IoT)等。
不过,企业可能会发现自身在启用新功能和确保安全性之间陷入两难境地。员工和客户对云迁移和移动的灵活性、敏捷性和可靠性的要求与日俱增,导致网络的攻击面大幅增加。传统架构已无法充分满足性能或安全需求。是时候重新评估企业系统和工具了。
企业必须采取全新的IT模式,以弥补传统广域网(WAN)架构效率低下的缺陷,赋能WFA员工队伍,并防范薄弱的安全态势。SASE可实现上述诉求。
安全访问服务边缘(SASE)是Gartner推出的一种架构框架和实现方式,旨在提出满足‘客户端到云’时代要求的安全解决方案。本文带你了解全面SASE。
SASE不是一个单一技术,而是一整套技术的解决方案,其中囊括:
软件定义的WAN(SD-WAN)、互联网安全网关(SWG)、云访问安全代理(CASB) 、零信任网络访问(ZTNA)、 防火墙即服务(FWaaS)。
综合运用多项SASE技术,将帮助您的网络达到稳健安全的要求,而且不会对技术、灵活性或功能造成影响。我们将逐一介绍这几项技术。
传统IT基础设施如同封闭的花园。员工在办公室,连接到企业网络,并使用私有的、安全的站点到站点广域网络,访问私有数据中心之内的应用程序。互联网连接由总部或数据中心集中提供,并确保其安全。
新一代网络引入了SD-WAN技术。SD-WAN网络中,网络硬件与基于软件的控制平面分离。第一代SD-WAN能够识别应用程序,并运用策略引导流量,利于控制成本。第二代SD-WAN推出具备集成安全性的全功能网络,允许在每个位置直接接入internet(DIA)实现安全的互联网直接访问(break out),用户也可直接访问云和SaaS应用程序。
现在,随处办公人员可随时随地访问相关应用程序。各大企业针对业务关键型应用程序采纳SaaS模式,旨在将其工作负荷从私有云架构迁移至多云架构,从而满足对高速、敏捷和资本投入需求。
在当前的“客户端到云”时代,原来的固定网络边界已消融成不定形的动态边缘。IT部门必须提供可增强、可测量、可监控、可诊断的,安全可靠的动态用户/客户体验和应用程序体验。
2.保护Web网关和随处办公人员
SWG为随处办公人员保驾护航,使其免受来自互联网的威胁:保护用户上网设备,免遭垃圾软件或恶意软件的感染,同时强制实施企业和监管策略的合规性。SWG具有如下优点:
SWG可以以硬件模式部署在企业内部,或者是在以虚拟设备部署在云端服务或内部与云相结合的混合模式来实现。
市面上的云端SWG功能和服务在成熟度方面大相径庭。
3.保护云访问安全
CASB提供的产品和服务,旨在解决企业使用云服务时存在的安全缺陷。用户越来越多地采用云服务(包括传统固定边界内、外),直接云对云访问的运用也日益增长,CASB正好填补了由此而带来的用户的安全需求。CASB可以作为内部或云端安全策略的实施点,介于云服务消费者与云服务提供商之间,以便在访问云端数据或应用程序时,部署企业安全策略。CASB具有如下功能:
CASB厂商明白,对于云服务而言,保护对象不尽相同:尽管数据仍旧是您的,但数据处理和存储在别人的系统之中进行。
CASB为用户和设备提供跨多项云服务的并行中央策略管理办法。他们有助于细化了解和控制用户活动和敏感数据。
4.质疑一切
和传统局域网(LAN)网段和边界内的互联网协议(IP)地址一样,ZTNA主张默认不信任任何用户或设备。当前,互联网接入无处不在,传统信任边界已消融。
ZTNA在一款或一组企业应用程序周围创建基于身份和环境的逻辑访问边界。企业应用程序被隐藏,访问这些企业应用程序的实体必须经过信任代理。在允许访问之前,代理网关先验证指定访问者的身份,环境和是否遵守访问策略。这将企业应用程序从公众的视线中移除,并大大减少了攻击面。零信任架构是SAFE策略的关键环节,因为其只允许访问已通过身份认证的用户、设备和应用程序之间的流量。
各大企业可实施零信任模式:定义保护面,确定敏感信息存放位置和需要访问的人员,制定统一策略、多重身份验证(MFA)、微分段、最低权限访问等各种预防措施。
5.提供威胁保护
新一代防火墙(NGFWs)是一种深度数据包检测引擎,其超越端口/协议检测和拦截的范围,增加了应用程序层面的检测。前沿NGFW集成了如下功能:
随着采纳DIA和多云技术,威胁范围迅速扩大,传统防火墙无法实现大规模保护,致使安全态势变得薄弱。NGFW和UTM是确保良好安全机制的必要举措。
6.保护敏感数据免遭恶意软件窃取
金融账号、医疗数据、用户名/密码等个人或其他敏感数据无意中暴露时,便会发生数据泄露。攻击者主动侵入系统、去访问、窃取或破坏信息时,便会发生数据外泄。
为保护敏感数据,企业须安装和使用具备恶意软件和病毒防护功能的安全软件套件并始终保持更新到最新版。
SASE保证仅允许企业的授权人员才能访问敏感应用程序和数据,无论用户或应用程序处于何种位置或两者之间采用何种传输技术。
7.支持高级路由,线速处理
高级路由提供一整套独特的集成功能,例如路径优化、快速收敛、流量补救、每款应用程序的体验质量(QoE)和加密功能。
正确部署SASE方案需了解网络边缘的流量规模。分布式服务边缘架构利用与计算可扩展性相同的扩展模式:随着需求攀升,增加服务器或虚拟机(VM)以处理总体流量,同时继续以线速运行。