安全访问服务边缘(SASE),为数字化时代而生
SASE(Security Access Sevices Edge,缩写读为sassy /ˈsæsi/ )安全访问服务边缘,是Gartner 2019年提出的一种网络安全服务架构。本文将阐述绿盟科技对SASE的理解,以及对SASE在国内发展趋势的预测。
SASE定义
Gartner对SASE(安全访问服务边缘)的定义是:一种结合了广域网功能和全面的网络安全功能(例如Secure Web Gateway安全Web网关, Cloud Access Security Broker云访问安全代理, Firewall SaaS防火墙即服务和Zero Trust Network Access零信任网络访问)的新兴服务产品,能满足数字化企业的动态安全访问需求。下面这张图能够清晰看到SASE由两大部分组成。
Gartner《The Future of Network Security Is in the Cloud》
简单地说,SASE就是网络和安全的融合服务。
SASE的诞生背景
其实,在Gartner定义SASE之前,市面上已有一些接近SASE理念的产品服务出现,例如CATO network的CATO Cloud、ZScaler的ZIA服务(ZScaler Internet Access)、PaloAlto的PrismaAccess,他们依托于强大的全球化分布PoP点的边缘云,向客户提供安全可靠、网络质量佳的访问接入SaaS服务。这些新兴服务满足了云计算时代的企业需求,尤其在疫情催化下,这些服务的需求量快速增长,在全球范围内得到了广泛地应用。
为什么国外的这些接入类服务得到了快速发展?背后的市场驱动因素主要是企业的数字化转型。
数字化企业具备这些特点:
1) 相对于传统企业内网,用户更多地使用企业外部的网络来完成工作
2) 相比数据中心的工作负载,数字化企业更多使用在IaaS中运行的工作负载
3) 相对于企业基础设施中的应用,数字化企业更多使用SaaS化的应用
4) 数字化企业将更多的敏感数据存储在云服务中
5) 数字化企业中更多的用户流量、分支机构流量流向公有云
企业的数字化转型让企业流量走向发生了变化,而流量走向的变化要求企业的网络安全架构也必须随之变化,总结如下三点企业数字化转型下的诉求,让SASE的出现成为一种必然:
01 云上应用、服务需求大量增长
企业数字化转型需要随时随地访问应用和服务,这次疫情加速了这个趋势。可以预测,企业数据中心还将长期存在,但和云相比其流量比例会逐渐缩小,过去聚焦于数据中心的网络和安全设计逐渐显得不合时宜。
而SASE先天具备连接云上资产、应用的网络优势,SD-WAN的特性让SASE具备更好的多云多数据中心联通能力。而SASE的安全能力更集中于SASE Cloud内,也减少了多数据中心、多云内安全建设的负担。
02 边缘计算需求增长
企业对分布式边缘计算能力需求在不断增长,低延迟访问本地存储、计算系统和设备的需求也在不断增长。加上5G的到来,更让边缘计算需求加速催化。
SASE的边缘特性正满足了边缘计算需求。将PoP点建设尽可能贴近客户侧,使客户可以尽快接入优质的SASE网络,得到访问加速的同时,享受云上的全栈安全能力。
03 移动办公需求增长
疫情让移动办公爆发增长,公司员工、合作伙伴、代理商都有在企业外部访问企业应用服务的需求,传统的VPN只能满足少部分的移动办公需求,当人员组成复杂、人数持续增加的情况下,VPN已不再是最优解决方案。企业需要安全高效的移动办公解决方案。
SASE可以将企业移动终端纳管,移动办公人员就近接入SASE,一方面可以加速访问应用,另一方面还可享受多种安全防护,如数据防泄漏、过滤恶意网站等。
SASE的四大关键特性
01 重云端轻分支
SASE模型最大特点就是重云端、轻分支。SASE将安全和网络能力上移,通过统一的云交付形式,让多分支的IT建设和运维的负担减小。SASE云端提供身份认证、深度包检测、威胁防护、数据防泄漏等多项安全能力,并拥有广域网优化等网络能力,在地端,只需轻量的SD-WAN CPE部署,将流量导向云端安全服务。
02 边缘云服务
传统SaaS服务由于服务节点少,企业在应用时往往会使业务产生更大的延迟。SASE是边缘云服务,多节点、全球分布是其一大特征。用户可就近接入PoP节点,每个PoP节点提供相同的安全网络能力,SASE让企业流量在不绕行的同时拥有最好的安全防护。
03 身份驱动
SASE安全能力的关键在于访问控制,依靠零信任网络访问技术(Zero Trust Network Access ,ZTNA),SASE基于用户、设备、应用、访问记录等上下文信息,做出智能选路和访问权限控制等。
Gartner《The Future of Network Security Is in the Cloud》
04 云原生化
SASE的PoP点具备云原生特性,PoP点的弹性扩容、全球大量分布、易复制扩张、迭代速度快等特点都源于该特性。
辨析:SASE和SD-WAN是什么关系?
SD-WAN即软件定义广域网,将SDN技术应用在了广域网络。SD-WAN解决网络的连通问题,同时具备可编排、可高效运维管理的特点。
如果要论SASE和SD-WAN的关系,那么SD-WAN应该说是SASE网络服务的一种可选基础设施。而所谓的安全SD-WAN解决方案与SASE也有不同,安全SD-WAN解决方案更多是在地端SD-WAN前加防火墙,或是在SD-WAN盒子上增加IPS、ACL等功能,其思路仍停留在重地端建设上。而SASE的理念是重云端轻分支,尽可能将多的网络安全能力上移到云。
国内需要怎样的SASE
从2020年Gartner发布的中国ICT技术成熟度曲线可以看到我国云安全技术还在发展大前期,而SASE技术在全球的云安全技术成熟度曲线上正在概念膨胀的顶峰,SASE在国外市场的确反响良好,而国内市场目前真的需要SASE吗?
2020年中国ICT技术成熟度曲线
对业务发展的判断,源于对客户IT建设发展阶段和实际需求的观察。随着国内数字化转型改革深化 ,越来越多的客户面临以下问题:多云互通难、边缘接入能力弱、多分支安全互联难、跨国访问难、企业影子IT管理难、防数据泄露难等,SASE这样更简洁统一的服务形式确实能够为客户解决上述的问题。但在某些行业会有使用公有云SaaS服务的受限问题,这可能是SASE当前在国内发展会遇到的最明显的阻碍点。
短期来看,SASE也许会在国内走上中国特色发展道路。例如服务商也许会贴近等保要求发展SASE的安全能力;或将SASE做本地私有化,转化为多分支安全组网方案;或将SASE模型发展为安全专网解决方案,便于三方机构统一监管行业流量;或将SASE作为SD-WAN服务行业的监管方案,检测出入境流量等,SASE模型可衍生应用在多行业领域。
总结
数字化转型浪潮下,围绕传统数据中心的网络安全架构不再适应企业发展,数字化企业需要更一体化、简洁智能、适应云时代的IT建设解决方案。
SASE改变了传统应用访问和安全防护模式,可极大提升用户访问混合环境下各类服务的便利性和安全性,它为企业的数字化转型而生,其重云端轻地端,边缘化去中心的服务架构能更好适应数字化转型企业的IT建设需求,多合一的网络安全能力可以解决云时代下大量企业面临的实际问题,中国特色化SASE发展前景让人期待。
