云安全变革性技术:Gartner 提出安全访问服务边缘 (SASE) 模型
云服务和网络正在驱动数字业务的概念,但传统网络和网络安全架构远未达到数字业务的需求。
Gartner 发布的《网络安全的未来在云端》报告,详细说明了新型网络及安全模型基础上云端网络和安全转型的潜力。该模型名为安全访问服务边缘 (SASE),由 Gartner 主要安全分析师 Neil MacDonald、Lawrence Orans 和 Joe Skorupa 提出。
Gartner声称,SASE 有潜力将已建立的网络和安全服务堆栈从一个基于数据中心的服务堆栈转变为一个将身份焦点转移到用户和终端设备的设计。
SASE 解决云端采用的传统网络安全方法里发现的诸多问题。此类问题的根源大多存在于网络安全架构必须位于数据中心连接核心的思想意识。
这些遗留的网络安全应用无法高效支持更新的联网理念和用例,比如转向动态服务、软件即服务 (SaaS) 应用,以及企业需处理分布式数据的大趋势。
传统网络及网络安全架构,是为企业数据中心即用户和设备访问所需实体中心的时代而设计的。此前这一模型效果不错,但数字化转型催生了一些新的要求。
随着企业纷纷拥抱数字业务过程,以及边缘计算、云服务和混合网络的兴起,传统网络和安全架构开始多方崩塌的迹象越来越明显。
传统架构的复杂性引入的问题包括延迟、联网盲点、过多管理开销和随服务改变不得不频繁重新配置。通过降低网络复杂度和将安全过程迁移至可发挥最大效用的网络边缘,SASE 模型摒除了这些问题。
作为一种颠覆性新兴技术,Gartner 着重强调了 SASE 的重要性,其《2019 企业网络炒作周期》报告中就隆重推出 SASE,为这种技术贴上了 “变革性技术” 的标签。该报告还确立了 SASE 样板提供商和关键元素。
SASE 到底是什么? 根据 Gartner 的定义,SASE 有四个主要特征: 1. 身份驱动 不仅仅是 IP 地址,用户和资源身份决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由与每个网络连接相关联的身份所驱动。采用该方法,公司企业为用户开发一套网络和安全策略,无需考虑设备或地理位置,从而降低运营开销。 2. 云原生架构 SASE 架构利用云的几个主要功能,包括弹性、自适应性、自恢复能力和自维护功能,提供一个可以分摊客户开销以提供最大效率的平台,可很方便地适应新兴业务需求,而且随处可用。 3. 支持所有边缘 SASE 为所有公司资源创建了一个网络——数据中心、分公司、云资源和移动用户。举个例子,软件定义广域网 (SD-WAN) 设备支持物理边缘,而移动客户端和无客户端浏览器访问连接四处游走的用户。 4. 全球分布 为确保所有网络和安全功能随处可用,并向全部边缘交付尽可能好的体验,SASE 云必须全球分布。因此,Gartner 指出,必须扩展自身覆盖面,向企业边缘交付低延迟服务。 最终,SASE 架构的目标是要能够更容易地实现安全的云环境。SASE 提供了一种摒弃传统方法的设计哲学,抛弃了将 SD-WAN 设备、防火墙、IPS 设备和各种其他网络及安全解决方案拼凑到一起的做法。SASE 以一个安全的全球 SD-WAN 服务代替了难以管理的技术大杂烩。 可用SASE服务 Gartner 承认,SASE 市场仍在不断变化,没有哪家供应商提供全部 SASE 功能组合。Zscaler 等部分供应商提供防火墙即服务,但缺乏 SASE 要求的 SD-WAN 功能(及其他安全功能)。其他供应商提供安全即设备,但并未在云原生全球网络中。 Cato Networks 的服务是最接近现实 SASE 服务的。Cato Networks 提供全球私有主干网(最后共有 50+ 存在点 (PoP))。这些 PoP 托起了 Cato 荟聚网络与网络安全的自有云原生架构。Cato 软件是单通云架构。所有网络优化、安全检查和策略实施都在流量转发至其目的地址之前以丰富上下文完成。 按 Cato 的说法,各种“边缘”通过建立通往最近 Cato PoP 的加密隧道连接。该平台通过 Cato 的 SD-WAN 设备 Cato Socket 连接各位置;移动用户通过 Cato 的客户端和无客户端访问连接;云资源通过 Cato 的“无代理”集成连接。甚至第三方设备也可通过建立通向最近 Cato PoP 的 IPsec 隧道连接起来。 身份和访问被统一进方便管理的范式。该范式使企业可专注安全策略而非安全及网络组件,还支持转向安全连接所有网络边缘的全球性分布式架构。 SASE:远不止正确做安全 SASE 远超安全框架,是一个新的网络模型,将访问技术栈压进方便管理的连接网络,且以安全为核心。这使得 SASE 云更为精悍,因为所有功能都荟聚到了一起。 SASE 处理流量更快,延迟更小,同时比其他网络和安全方法纳入了更多的上下文。作为软件定义的平台,SASE 可快速适应变化,比如规模或敏捷性驱动的重配置。SASE 还引入了额外的网络防护,例如业务连续性、负载分配和正常运行时间改善等概念。