《2022SASE技术与应用场景白皮书.docx》由会员分享,可在线阅读,更多相关《2022SASE技术与应用场景白皮书.docx(46页珍藏版)》请在三一办公上搜索。
1、f1.e技术与应用场景白皮书(2022年)1. SASE发展ISUR41.1 企业流量向云端发展,传统架构难以满足需求变化41.2 安全访问服务边缘应运而生,助力产业与技术升级61.3 国外SASE发展起步较早,国内SASE取得阶段性成果71.4 SASE产业发展迅速,数字化转型和安全合规成为驱动力92. SASE关键技术与架构122.1 SASE构建四大能力域,全面支撑差异化场景服务132.2 SASE实现技术融合,网络、安全和管控技术成为关键212.3 SASE部署架构灵活多样,按需调用不同能力组件313. SASE应用场景363.1 场景一:多分支机构安全组网363.2 场景二:企业安全
2、合规建设393.3 场景三:企业混合办公413.4 场景四:物联网安全防护444. SASE未来展望464.1 SASE市场进入快速增长期,各方竞争逐渐激烈464.2 SASE具备技术融合优势,Al和5G赋能技术创新474.3 SASE应用领域与场景将向泛在化发展481. SASE发展概况1.1 企业流量向云端发展,传统架构难以满足需求变化传统网络及网络安全架构,是为企业数据中心即用户和设备访问所需实体中心而设计的。我国数字经济全面发展需要新的数字基础设施,2020年随着新基建自上而下的推动,5G成为数字经济时代的基础设施,5G网络使组织能够在其网络和基础架构中分发大量数据,云端业务计算压力陡
3、增,迫切需要计算能力下沉到边缘。因此,我们很可能会看到由于配置错误,网络管理不善以及这些网络之间的安全集成而产生的主要安全风险,这意味着网络安全风险会直接影响业务运营。对于IT业务和网络安全管理者来说,实施复杂的策略阻止潜在的网络攻击将变得更加困难,所以企业需要创建一个更强大的边缘网络。与此同时,数字化转型的目标是让软件成为企业的核心能力,同时把软件作为数字服务对外输出成为企业的核心业务,最终实现企业数字化转型。在这个过程中,应用会更多的迁移到云端,基于云的架构设计和开发模式越来越多地采用云原生模式进行,包含了技术(微服务,敏捷基础设施),也包含管理(DevOps,持续交付等),是一系列ClO
4、Ud技术集合,具有速度快,敏捷强等特点。所以安全和业务速度的外在需要变为推动企业数字化转型和业务扩张的内生需求。在此背景下,企业发展越来越多地呈现门店或分支机构协同的、分散化经营模式,虽然显着提高生产力和效率,但同时伴随着安全和效率挑战。2020年初全球新冠疫情的爆发,企业上云、远程移动办公的趋势持续扩大,而且是常态化,于此给企业带来的挑战是网络开销,即业务服务质量,用户速度体验,以及安全问题,其表现为:网络应用感知不足:网络拥塞导致的丢包和无序数据包对应用程序的影响非常大,数据包丢失会严重影响延迟敏感的应用程序(如视频、VOIP和Web会议)。远程接入性能较低:为了加快业务响应速度,满足移动
5、办公需求,不得以开放业务端口或者VPN通道让用户进行远程接入业务,导致网络暴露面增大,非常容易造成数据泄露或者被破坏;疫情期间很多公司远程办公员工的比例可能接近50%或70%,VPN并发量斗增,所需的许可证和处理能力需求越多,产生不可预见的成本和额外的网络延迟。数据安全威胁增加。随着边缘计算应用增加,公有云服务之间的数据驻留和移动扩大了企业安全边界,增加了数据安全风险,容易在安全团队不知情的情况下发生事故。随着面向数据安全的网络攻击方式不断升级,利用云提供商的功能使用合法凭据模仿用户行为的攻击手段出现,对于传统的安全工具来说,检测这些看似合法的行为是极其困难的。上述挑战说明企业现有的IT基础设
6、施不够灵活,需要构建动态、灵活、弹性的网络和安全基础设施,SASE在此背景下应运而生,成为企业IT架构转型的方向。1.2 安全访问服务边缘应运而生,助力产业与技术升级2019年,知名信息技术研究公司Gartner在报告网络安全的未来在云端中首次提出SASE(SecureAccessServiceEdge)的概念,并定义为是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务,行业内普遍将SASE的中文名译为“安全访问服务边缘。SASE概念的提出引起了行业各界巨大关注。中国信息通信研究院率先开展SASE能力要求标准化工作,将SASE定义进行提炼,认为SAS
7、E是一种将网络连接能力与安全能力基于云计算统一交付的服务模型,如图1所示。图1SASE服务模型下面围绕组成SASE的四个词语具体阐述SASE的内涵。安全(Secure):SASE安全性设计使用户能够直接访问云资源,而无需通过M1.PS或VPN连接,在SASE云原生大规模服务边缘中统一向用户提供云访问安全代理,安全Web网关,远程浏览器隔离,入侵防御等安全能力,抵御复杂的网络攻击和数据丢失,防止基于Web的威胁和恶意软件,同时具备低延迟和高可用性。访问(Access):身份附加到每个企业资源的访问主体:人员,应用程序,服务或设备。身份决定了资源,而不是其实际位置。身份作为广泛而动态的上下文感知的
8、一部分,可驱动每个流的风险和网络服务配置文件,以及身份验证方法,威胁检查和数据访问授权的混合结果。安全和网络融合的好处是在整个访问生命周期中注入了身份,从确保服务质量到应用风险驱动的安全控制。服务(SerVice):将网络能力和安全能力以服务的形式提供给用户。企业运维不再需要学习复杂的网络和安全设备,不再需要面对复杂的网络安全建设进行规划,按需购买SASE厂商提供的服务即可完成建设目的,企业侧轻量化,不再购买硬件资产,服务的切换也将变得更加简单。边缘(Edge):经济和技术的演变带来了多种多样的接入方式,每一个需要接入内网的分支机构、移动办公、居家办公、物联网设备等场景都可以看作为企业整张内网
9、的边缘。SASE需要做到支持所有的终端接入并加以有效的管理能力,形成一张综合可控的企业网络。SASE将大部分的安全能力集成在Pc)P中,网络边缘除去基础安全能力外,最为重要的就是快速便捷的接入,一旦有分支或个人因为技术原因导致使用传统方式接入,那么整个SASE带来的安全体系就会变得毫无意义。1.3 国外SASE发展起步较早,国内SASE取得阶段性成果阶段一:先于Gartner,国内外安全厂商已在探索SASE理念的解决方案国外不同领域的厂商选择切入网络安全的角度则有所不同。着重于网络解决方案的CatoNetworks的云原生架构不断融合SD-WAN技术,加强其全球化骨干网络的发展,完善其资源和移
10、动设备的网络安全。主营网络安全的Fortine则是不断发展安全web网关技术。整体来看,这一时期国外明确探索且靠拢安全访问服务边缘的厂商比例不足l%o国内方面,以深信服为代表的安全厂商以在探索将现有的安全能力转移到边缘节点上,并提供以身份为核心的访问控制功能。这个阶段SD-WAN网络虚拟化等技术给产业带来新的革命,使得网络服务不再是“重资产”的项目,云、安全等服务商尝试涉足网络领域。阶段二:Gartner提出SASE概念,国内外市场较为混乱,炒作大于实际2019年,Gartner提出SASE概念。SASE理念一经定义,行业与客户的热情不断激增,以至于SASE供应商无法满足大量企业需求。与此同时
11、,供应商的炒作也使得SASE的市场理念越发复杂。SASE在国内市场中则基本处于混乱的概念炒作,部分机构厂商基于自己的理念将网络、安全做了部分融合,结合边缘安全推出SASE解决方案,另一部分厂商更采用“新瓶装旧酒”的策略,将具备优势的产品一并打包推向市场,包装为“SASE”进行宣传。阶段三:SASE标准化工作初有成果,行业逐渐达成共识在企业数字化转型和业务上云的趋势下,企业需要随时随地访问云端的应用和服务。各机构及厂商便开始讨论研究SASE标准化,标准逐渐清晰,即近源部署,分布互联,通过SD-WAN将网络和安全整体交付于用户,整体提升访问效率和访问安全。为用户带来统一管控,部署灵活,安全接入等优
12、势。阶段四:SASE逐步落地,距离大规模应用仍存在一定距离新型技术领域包括云计算、大数据、人工智能等技术的发展驱动了企业信息化变革,由此带来的网络结构变化、安全人员数量和素质需求增加让SASE以轻便、简洁、快速、安全的优势被国内厂商重视,逐步推出自己的SASE产品,但现阶段企业尚未进入大规模采用阶段,企业在实施SASE落地过程中,如何解决漫长的硬件寿命更换周期和现有的软件合约带来的替换成本过高的问题也迫在眉睫。1.4 SASE产业发展迅速,数字化转型和安全合规成为驱动力1.4.1 企业数字化转型安全挑战随着“中国制造2025”全面推进、企业数字化、智能化、网络化加速发展,云计算、大数据、物联网
13、等新技术的应用,网络边界的模糊以及业务资源的整合与再分配都对网络安全架构提出了新的挑战。传统烟囱式的建设模式,每个业务系统拥有独立的安全防护设备,业务系统规模较小,网络结构简单,各个系统间边界清晰,资源独立,安全运维也相对简单。在数字化时代,数据大集中带来业务系统规模的激增,云计算技术的大规模应用以及租户的出现,使得网络边界完全被打破,业务资源池化,原有碎片化的安全架构已不能适应业务架构的融合与扩张。海量业务在上线过程中,安全系统的部署会由于访问量和应用的多样性为最大的瓶颈。企业如何差异化实现业务系统的安全快速、便捷开通,也成为数字化转型过程中的重要课题。SASE作为云上安全能力的统一节点,贯
14、通企业数字化转型中涉及的全部连接,可有效降低网络复杂度,快速打通企业的云端和地端,同时,将安全能力上移到SASE,通过统一在SASE平台订阅网络及安全能力,集中管理与下发,减轻运维压力,解决传统架构带来的安全问题,切实缓解数字化企业IT建设之痛,对未来企业的IT架构发展具有深远影响。1.4.2 轻量化服务模式快速发展2020年9月,工信部关于促进网络安全产业发展的指导意见(征求意见稿)指出“创新网络安全服务模式,提升网络安全专业化服务水平,实现产业发展逐步由产品主导向服务主导转变”,为我国网络安全服务发展奠定了政策基调。伴随着全球范围内的数字化转型,新技术、新系统对网络安全的诉求变得日益复杂和
15、精细化,安全即服务正在成为新的发展趋势。一方面,新冠疫情发生以来,传统的线下组织业态和商业模式受到影响,企业的安全产品采购延迟,现场网络安全支撑和服务阻滞,各行各业面临更加严重的网络安全威胁。在此形势下,安全服务应运而生。安全服务打破了时间、地域的限制,同时也在一定程度上降低了安全企业及其客户的成本,成为网络安全新的服务形式。另一方面,当下企业业务正在加速向云端迁移,与云服务相配套的安全即服务面临新的发展机遇。云应用时代,本地的安全产品部署不足以应对日益严峻的安全威胁,以高质低价、云端交付、按需付费为主要特点的安全即服务正在成为新的业务布局方向。SASE以本地化、轻量化的云服务形式交付网络和安
16、全,利用其云原生架构,可为企业提供全面、敏捷、弹性的安全服务,以应对应用云化带来的挑战,为客户提供成本更低、效率更高、更为全面的平台,快速适应新型业务的需求。1.4.3 安全合法合规建设要求从2017年中华人民共和国网络安全法正式颁布实行,到2019年等级保护2.0的正式实施,国家已将网络安全领域纳为基本国策、基本制度,需要企业构建事前、事中、事后全流程的合规监控体系。因此,如何在信息化建设过程中,加强安全防御体系建设,实现统一监管,符合政策合规要求,已成为摆在管理者案头的重要课题。但企业客户往往面临分支数量众多,分支安全建设水平参差不齐、防护能力差异较大,分支安全薄弱极可能影响企业总部及整个
17、网络的安全性,但如果各分支均采用传统硬件设备进行网络建设,无疑会带来一次性建设成本高,多点管理运维难,无法统一监控等一系列问题。SASE利用云服务交付模式,为企业客户提供下一代防火墙、入侵防御、病毒防御、EDR等安全能力,满足企业网络安全、数据安全等端到端的安全防护需求,并且企业可采用订阅模式按需使用所需的安全能力,安全能力按量计费,弹性扩容,减少了企业分支由于地理位置分散而需部署多套安全产品的数量,降低安全建设成本。此外SASE云平台可基于整体网络和安全数据进行分析,避免单点孤立的系统无法联动发现异常,同时基于威胁情报及大数据,可快速发现及更新安全威胁应对方法,及时集中更新至企业全部节点和边
18、缘,快速实现安全能力落地。1.4.4 国家重视网安前沿技术2019年9月,工信部发布的关于促进网络安全产业发展的指导意见(征求意见稿),将“零信任安全”列入需要“着力突破的网络安全关键技术”。2020年8月,工信部发布的关于开展2020年网络安全技术应用试点示范工作的通知中将“零信任”列为具有前沿性、创新性、先导性的重大网络安全技术理念。零信任作为SASE的核心技术能力,通过实时对访问连接进行动态验证,采用最低权限策略,执行严格的访问控制,根据相关属性控制与资源的交互,包括应用访问、用户和组身份以及被访问数据的敏感性,减少企业网络攻击面,同时SASE“零信任”的安全决策在云中定义和管理,无需考
19、虑设备或地理位置,从而降低运营开销。2. SASE关键技术与架构SASE是目前现有网络与安全技术的集成,因此梳理SASE包含的关键技术与架构是至关重要的。本章的组成如图2所示,首先对SASE的能力要求进行梳理,提出SASE的能力设计框架,然后,对目前可以支撑SASE能力项的关键技术的必要性进行分析,最后提出符合SASE理念与关键技术特点的部署架构。SASE能力要求网箔能力安全载力能力虢一胃控能力SASE关键技术SChWANZTNAI安全的强务院一百拄技术SASE部署架构基于PoP.3巷子接入网关架构、J图2SASE关键技术与架构的逻辑2.1 SASE构建四大能力域,全面支撑差异化场景服务2.1
20、.1 网络能力设计SASE应具备基础网络连接能力,实现用户终端、分支、数据中心间数据互通、网络管理与加速等能力。(1)网络接入能力接入方式:公网与专有网络的硬件CPE、软件vCPE、客户端软件等;就近接入能力:终端等设备自动连接就近接入点。(2)流量分析能力网络识别能力:具备识别流量的TCP/UDP协议、源目IP地址、MaC地址、地域信息能力;应用识别能力:识别流量的应用类型、应用协议信息能力;身份识别能力:识别登录者的身份、客户端信息、访问时间等能力;SS1.流量分析能力:可对SS1.加密后的Webmai1、web-bbsimapsmtp等进行内容识别。(3)流量QOS能力流量分类能力:针对
21、流量的网络信息包括协议类型、源目的端口、IP地址、应用类型进行分类;基础QoS能力:包括配置优先级、限速规则、保证带宽;高级QoS能力:包括流量整型、队列丢包机制。(4)智能选路能力基础选路能力:根据流量网络信息包括IP地址、MaC地址、TCP/UDP协议进行选路能力;智能选路能力:流量传输过程中发生链路质量(时延、抖动、丢包)变化,快速切换到其他链路能力。(5)网络冗余能力控制层冗余:控制器具备冗余功能,管控平面具备集群、分布式部署的能力;PoP点冗余:PoP点间具备冗余迁移机制,单POP点故障后会自动迁移到其他可用PoP点;接入层冗余:终端支持多线接入,单路故障或改变本地网络时有自动切换连
22、接机制;链路层冗余:专有传输网络具有OVerlay或Underlay的链路冗余。(6)网络加速能力应用加速能力:通过边缘侧针对延时要求敏感业务进行访问加速能力,包括实时音视频、图像、视频优化、网页、Web应用优化加速能力。2.1.2 安全能力设计(1)零信任接入能力动态验证能力:零信任安全系统应对所有访问请求进行动态验证;最小权限配置:零信任安全系统应仅授予各访问请求所需的最小权限;持续防护能力:零信任安全系统应对资源进行持续的安全防护,确保进行资源访问的主体处于安全状态,通过安全产品/工具,及时发现安全问题,并采取措施降低安全风险;动态阻断能力:对动态评估结果进行判定,控制引擎应基于评估结果
23、判定访问过程是否存在风险,如存在风险应及时进行降权或阻断。(2)身份安全身份管理能力:统一的用户身份管理,针对普通应用进行参数代填实现单点登录;单点登录能力:有权限用户在约定期内无需为每个应用单独做身份认证,单点登录协议包括不限于:SAM1.2,OAuth2,JWTToken、OPENIDOlDC等方式;多重身份认证能力:进行图形验证、安全令牌、生物识别等。(3)网络安全外部威胁防护:对由IT架构向外部发起的网络攻击和入侵行为的阻断,包括DDOS攻击、ARP欺骗等;内部威胁防护:IT架构内部资源间的网络攻击和入侵防护。(4)应用安全应用攻击防护:CC攻击防护、网页篡改、恶意爬虫攻击防护;漏洞扫
24、描:应用常见安全漏洞扫描、ODay等高级威胁漏洞扫描;应用访问控制能力:设置可信任应用列表,仅允许列表中的应用访问相关资源、自定义攻击行为;应用风险评估:对SaaS服务进行发现与风险评估,能够给出评价指标、并对应用安全事件分析、统计。(5)数据安全网络数据泄露防护:识别、控制网络传输中的敏感数据,控制或监视通过邮件、WEB、FTP等网络协议传送敏感数据、正则表达式检测、关键字、文档属性检测等检测方法;数据加密:对上传到云端的数据进行加密存储或传输,并能够由密文数据解密还原到原始数据;数据安全审计:对数据资源的访问和使用行为进行审计;终端数据泄露防护:识别终端的敏感数据违规使用、发送等进行策略控
25、制;对敏感数据的终端使用行为进行监控;存储敏感数据发现:扫描存储在服务器、数据库、存储库中的数据,根据策略发现、记录敏感数据,支持敏感数据脱敏。(6)终端安全终端识别能力:识别主流的终端设备类型,包括个人电脑、平板电脑、手机等;操作系统识别能力:识别主流的操作系统,包括Windows1.inux、MacOSAndroidIoS等;病毒检测能力:对终端防病毒软件检查与危险进程监测;进程检测能力:对终端威胁进程等进行检测与处理。2.1.3 云能力设计(1)分布式能力:策略下发:在边缘节点执行安全管控平台下发的安全策略;分布式部署:在边缘接入节点部署安全与网络组件,在边缘侧即可实现安全检查能力。(2
26、)编排部署能力兼容能力:客户端在多种终端平台(WindOws、mac、ios、android、Iinux)进行部署;版本控制:可以单独对每个服务进行版本控制和升级;流量编排能力:支持管理员与用户自定义迁移与编排流量经过特定安全组件组合的能力。(3)弹性伸缩能力网络资源:基于并发连接数、网络流入流出速率、网络流入流出数据包数监控进行网络资源弹性伸缩;服务资源:根据服务并发量动态调整服务模块等资源。(4)多租户能力租户网络隔离:租户间网络非互通,其中租户的网络变化不影响其他租户;租户账号管理:账号管理区分系统账号与租户账号;租户资源管理:允许租户查看与调用相应所属的设备与资源;租户授权管理:不允许
27、跨租户对用户进行授权;2.1.4 统一管控能力设计(1)网络管理能力全网监控能力:支持管理员与用户查看全网流量信息、链路状态与性能(时延、丢包等参数);网络拓扑呈现:展示节点、接入终端的状态分布,应用流量分布,异常分支与终端的概要信息;自定义组网能力:增加、修改、删除接入的分支节点。(2)安全管理能力账号授权:用户授权、角色授权、属性授权等相结合授权方式;支持分权分域管理;统一管理分析能力:接收其它组件上报的日志、告警等数据,结合威胁情报,对数据进一步综合分析,对组件生成的、安全管理组件分析得出的安全事件进行统一管理;安全态势:展示,通过时间、空间等多种维度展示IT架构总体安全情况;策略生效管
28、理:自定义安全策略配置生效的范围(全局、特定IP地址范围、特定身份范围)。(3)配置管理能力在线配置:创建自定义配置模板、动态修改在线设备配置;配置纠错能力:对错误与风险高配置进行告警;配置自动下发:实现接入设备ZTP零配置自动部署。(4)运维管理能力日志管理:网络日志、安全日志等日志查看,支持历史日志下载;告警管理:网络告警与安全事件实时上报与呈现,支持告警级别、阈值配置;外部通知:邮件或短信通知告警能力。(5)资产管理能力资产识别能力:自动识别获取网络中的设备以及他们间关系信息;终端设备管理能力:按照WindowsMac、1.inus手机、平板、无线接入点、防火墙等类型进行分类;查看所有接
29、入网络的终端列表。2.2 SASE实现技术融合,网络、安全和管控技术成为关键SASE解决方案提供的需求主要是提供由身份驱动的网络接入控制以及下沉到边缘的安全防护能力。由此可将SASE关键技术归纳为以下三大类: 网络关键技术:软件定义广域网(SD-WAN)技术、内容分艇络(CDN)技术; 安全关键技术:零信任访问(ZTNA)技术、安全即服务; 统一管控技术:云化部署技术、流量编排技术。2.2.1 网络关键技术(1)软件定义广域网(SD-WAN)技术SD-WAN全称SoftwareDefinedWideAreaNetwork,中文名称为软件定义广域网。SD-WAN是一种结合SDN技术理念、以业务与
30、应用为导向的新型广域网接入解决方案。下表对SDN与SD-WAN的差异做了一个总结。可以看出,SD-WAN更是一个商用化的成熟产品,考虑到企业很多实际场景,而SDN更是一种技术架构。一主鬟功能一SDN(架构)一SD-WAN(应用部署)一使用场景多用于家抠中心成云依据中心用于企业实修业期场aS梗入场解IMk与推送根中央Hflt可在杓定场景推法决K快速应用程序送代干实川传JR的调应用政件识别,并独立传0*M*中央控制第统一管中投*1中央策制管中m与边绛校N相结合可程的出窗制低式软件开凌常网的ARHI口开秦软QOpenFlow为主MMMUMtMM遗程醇HJl节,K互施作性已It火化.产晶化SD-WAN
31、虚拟网络技术理念是将网络层的控制与转发平面分离,并利用统一控制器进行集中管控。如图3所示,相比传统网络架构,SD-WAN可以实现更加灵活的组网,通过虚拟化方式将底层网络连接方式透明化,最大限度开发线路与硬件资源,提高整体使用效率,降低组网成本。SD-WANOverlayTUnnel()MP1.SInernet图3SD-WAN组网示意图SD-WAN是SASE平台的基础组件,为SASE提供网络资源与整体架构支撑,SD-WAN在SASE中作用有以下几点:一是SDTAN为SASE的网络接入能力提供支撑,SD-WAN支持多种终端类型以及接入方式,可以将线下企业分支、总部、移动端和数据中心无障碍连接到SA
32、SE服务;二是SASE借助SD-WAN的接入节点下沉多种服务能力,SASE将数据处理和安全能力下沉到SD-WAN边缘,包括私有数据中心、公有云或IDC托管设施等作为边缘节点,实现低延时的就近访问;三是SD-WAN保障用户流量可靠性,SD-WAN依托SDN软件定义技术能够感知用户SASE网络中的业务,实现基于业务意图的最优选路,确定流量到达其端点时使用最佳路径。(2)内容分发网络(CDN)技术内容分发网络(CDN)是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访间响应速度和命中率。CDN
33、的基本原理如图4所示,通过采用各种缓存服务器,将这些缓存服务器分布到用户访问相对集中的地区或网络中,在用户访问网站、视频、SaaS服务时,利用全局负载技术将用户的访问指向就近的优质缓存服务器上,由缓存服务器直接响应用户请求。网站NS服务器云存储/直播服务中心二级缓存边缘服务节点图4内容分发网络原理图CDN在SASE架构中主要起到两点作用:一是优化基于公有云的SaaS服务访问性能,利用CDN节点的位置、数量与缓存内容,提升SASE架构内用户访问基于Web的SaaS服务,从而实现业务与访问的加速;二是为SASE的抗DDOS能力提供支撑,通过将攻击源站的流量类攻击引流到CDN节点,实现对源站节点的隐
34、藏防护。2.2.2 安全关键技术(1)零信任访问(ZTNA)技术目前,以零信任为代表的新一代网络安全理念不断衍生和应用,该理念打破了网络位置和信任间的潜在默认关系,致力于降低企业资源访问过程中的安全风险。为最大限度保证资源被可信访问,提升企业IT架构安全性,零信任的核心思想是:默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。零信任的基本原则归纳如下:默认一切参与因素不受信:零信任以身份为基石,不为任何参与因素预制信任条件,所处位置无法决定信任关系。最小权限原则:零信任强调资源按需分配,仅授予各行为所需的最小权限。持续信任评估:在一
35、次端到端的资源访问全生命周期中,持续对动态变化的多源信息进行评估并获取授权策略。动态访问控制:对资源的访问由动态策略决定,一旦不符合策略,立即执行阻断。基于零信任理念的逻辑架构如图5所示,由零信任核心逻辑组件和内部或外部数据源组成,零信任核心部分分为控制平面和数据平面。图5零信任访问逻辑架构图零信任安全尊德任控IM中心管M中心零信任访问技术为SASE架构的资源访问安全问题提供了解决方案。一是实现横向流量安全防护。零信任将一切视为资源,任意粒度、任意位置的访问主体对资源的访问都需要进行认证和授权,企业内部资源间的互相访问也需要进行身份验证和权限判定,能够有效抵御威胁横向移动带来的安全风险。二是屏
36、蔽安全策略预分配带来的威胁。零信任能够对物理设备、云服务、接口等所有层级的资源进行防护,在访问主体身份验证和权限判定成功后,仅为其提供满足需要的最小粒度的资源,细化安全策略至资源层面。三是实现资源对外隐身。利用端口隐藏等技术手段,在访问主体通过验证之前,受访资源对其隐身,大大降低了资源的可见性和攻击暴露面,减少不可控、不可见的安全威胁所带来的攻击。四是以身份为核心执行动态安全防护。零信任强调通过身份信息与多源数据对每一个访问行为进行信任评估,动态授予相应权限,能够对内部访问、远程访问和数据交互的人员、设备、环境等进行有效的安全把控,缓解凭据盗用、高风险误操作等带来的安全威胁。(2)安全即服务S
37、ASE相比传统架构的一大优势是轻量服务化,将重资产的安全功能搬到边缘或云端为用户提供安全即服务能力,并且集成多类安全能力,实现用户根据不同的SASE应用场景安全需求,按需组合安全组件的能力。本节将对在多种场景广泛应用的几种关键安全组件进行分析: FWaaS防火墙即服务(FWaaS)是将下一代防火墙云化部署的,提供灵活交付的防火墙服务,主要面向分支机构和移动用户的保护。FWaaS主要作为多租户基础结构交付,在多个企业之间共享。FWaaS可以利用集中式策略管理,多种企业防火墙功能和流量隧道将安全检查部分或全部移至云基础架构,从而提供更简单,更灵活的体系结构。FWaaS为SASE提供防火墙功能按需随
38、取,是SASE用户简化网络架构的关键部分之一。 SWG安全Web网关(SWG)主要功能是阻止恶意内容访问端点以实现保护用户免受公网上基于Web的威胁。通过企业网络安全团队设置的访问控制策略,提供UR1.、WebApp访问控制以及Web恶意代码的检测。SWG在SASE的架构下与RBI等组件进行联动,构成SASE架构抵御内外部威胁的强大防御关口。 D1.PD1.P的全称是Data1.ossProtection/Data1.eakProtection(数据防泄露),D1.P主要指通过一定的技术手段,防止企业的指定数据或信息以违反安全策略规定的形式流出企业。其核心能力是内容识别,在识别的基础上按照安全
39、策略规定对敏感数据加以防护。D1.P技术主要分为两类:一是企业级D1.P,主要包括面向终端的监控软件、面向网络和邮件流量的监控软件以及用于数据发现的软件,能够从“终端、数据发现、邮件、网络边界和云端”为用户提供全方位的安全防护;二是集成式D1.P,是指将敏感数据识别与管控以功能组件的形式集成在像SWG(安全WEB网关)、SEG(安全邮件网关)、邮件加密产品、企业内容管理平台、数据分类分级产品等中,对流经这些产品的敏感数据进行识别与管控。D1.P在SASE中的作用是通过对网络中传输的以及用户业务中的敏感数据进行识别,分析敏感数据的分布状况,找到敏感数据的风险点;监控并审计用户的敏感数据操作行为,
40、发现各类违规操作;通过脱敏、水印、拦截、告警、阻断等方式对各类违规操作进行记录与防图6D1.P能力框架图CASB云访问安全代理(CloUdACCeSSSeCUrityBroker,CASB)主要功能防护企业访问云服务全流程可能出现的安全风险。CASB可以识别企业内云服务类型以及云服务使用者身份的监控信息,识别各项云服务使用情况,以及特定云服务存在的安全风险,强制执行数据中心安全策略,通过对访问权限进行控制和用户敏感信息泄漏追踪等,来降低企业访问内外网云服务的安全风险。CASB在SASE架构中为云服务安全防护提供了补充,在企业业务持续上云的趋势下,将逐步成为SASE中必不可少的关键组件。RBI远
41、程浏览器隔离是一种网络安全模型,旨在将用户的浏览活动与本地网络和基础架构物理隔离,有效地隔离Web浏览器和用户的浏览活动,以此保护Web浏览器免受基于浏览器的安全漏洞以及诸如勒索软件、恶意软件之类的威胁,远程浏览器隔离在概念上类似于虚拟桌面基础架构(VDI),每个浏览器会话都从远程浏览器服务器远程呈现,并将网站的图像或文档对象模型(DOM)发送到用户的本地浏览器,同时起到隔离恶意软件的威胁作用,即便远程浏览器服务器受到威胁后,不会影响用户终端环境。RBI与ZTNA等技术集成在SASE架构下,将防护来自Web浏览器或电子邮件访问的恶意威胁,并阻止勒索软件攻击。2.2.3统一管控技术(1)云化部署
42、SASE云化部署架构通过云原生控制器、底层平台容器化和高性能容器网络三部分构成。通过云原生技术能力,SASE将支持包括微服务、高可用、弹性伸缩、故障自愈、DevOps持续开发和集成等能力支撑SASE业务的快速发展和快速部署。云原生控制器,通过利用成熟的K8S软件作为控制器,实现控制面自动化编排和调度能力;底层平台容器化,通过将SASE服务微服务拆分,实现各个核心能力包括网络、安全和接入微服务改造,按30需部署对应的微服务,实现SASE底层平台在各类环境中按需使用,按需部署;高性能容器网络,SASE作为网络接入的承载平台,有较高的网络性能要求,为了实现高性能的容器网络,需要结合硬件加速,网卡虚拟
43、技术、网卡SR-IOV、DPDK等技术,充分发挥接入网络或PoP底层平台网卡性能,满足SASE云原生架构中网络性能要求。(2)流量编排通过控制器下发流表,将客户的流量牵引到SASE的PoP点。针对POP点的安全能力如防火墙、WAF、IPS等进行流量编排图7SASE流量编排架构图1 .服务链创建服务链的创建需要结合业务需求的实际情况,包括业务关联关系、数据流向、访问角色划分、服务流程逻辑等的有效梳理与建模,确立入口节点和出口节点,并在服务链管理模块中进行创建。2 .服务链编排确立入口节点和出口节点后,对服务链的组织顺序,根据需求设定服务点,结合逻辑拓扑结构和安全需求标准等进行编排,数据报文进入服
44、务链以后,就会按照服务链既定的顺序穿过各个服务节点。3 .服务链下发与部署服务链编排完毕配合引流策略下发完成后实现服务链部署,网络流量按照业务逻辑所要求的既定的顺序,经过既定的业务点,业务点包括网络、安全等资源,实现东西向数据的有效管控。2.3SASE部署架构灵活多样,按需调用不同能力组件2.3.1 SASE部署架构得益于云计算、虚拟化网络的发展,SASE将网络与安全能力云原生化,实现分布式架构。SASE服务商在选择解决方案部署架构时,优先选择与自身其他产品兼容性强的方案部署实施,如软件、硬件产品优势、资源池部署优势等。目前SASE主流部署架构可分为以下两种:基于PoP点的SASE架构基于接入
45、网关的SASE架构(1)基于PoP点的SASE架构基于POP点的SASE架构是指将SASE的主要能力集成到PoP点,将其改造为分布式安全资源池提供接入服务的一种架构。基于POP点的SASE架构可以看做是SD-WAN架构的升级,目前SD-WAN服务提供商、运营商等广泛采用此种架构。基于PoP点的SASE架构如图所示。图8基于PoP点的SASE架构图基于POP点的SASE架构有以下几个部分组成:PoP点:POP点通常由机房、公有云、私有云、数据中心等方式组成,共同接受SASE管控平台的统一控制调度。功能来说,在网络方面,通过部署在各地的节点,依靠引流等手段,提供用户就近接入SASE网络的能力,同时
46、依靠PoP点间的协同,实现容灾能力和最优路径选择能力;安全方面,PoP点对流量进行检查,并实现零信任认证、异常流量分析和行为审计等功能。SASE统一管控平台:SASE统一管控平台负责对全部POP进行管理、调度、决策下发等任务,同时也是用户团队唯一的运维操作入口,提供可视化界面以及APl接口开放能力。代理网关:代理网关以软件或硬件的形式安装在终端、分支机构、数据中心和公有云的出口处,负责传递与管控平面的注册认证信息以及将用户流量引流至PoP点的工作。(2)基于接入网关的SASE架构基于接入网关的SASE架构与基于PoP点的架构不同点在于,此架构将功能组件集成在接入网关中而非服务商提供的PoP点中
47、,因此省去了PoP点的建设与网络互联。此类架构多出现于网络硬件厂商,优势在于减少了P。P点覆盖范围不足导致偏远地区用户无法就近访问的情况发生。图9基于接入网关的SASE架构SASE统一管控平台:SASE统一管控平台负责对全部POP进行管理、调度、决策下发等任务,同时也是用户团队唯一的运维操作入口,提供可视化界面以及APl接口开放能力。代理网关:代理网关以软件或硬件的形式安装在终端、分支机构、数据中心和公有云的出口处,负责传递与管控平面的注册认证信息以及将用户流量引流至POP点的工作。2.3.2SASE访问流量架构数字化转型企业的流量模型已经发生了巨大的变化,传统我们以网络为边界判断流量的入和出,不便定义数字化企业复杂连接下的流量模型。Gartner在TheFutureofNetworkSecurityIsintheCloud一文中建议企业重新审视企业的出流量场景和入流量场景。(1)企业出流量架构该架构主要指人员、企业
