近日,由國(guó)際云安全聯(lián)盟大中華區(qū)與億格云聯(lián)合舉辦的“長(zhǎng)風(fēng)破浪 SASE啟航”研討會(huì)在線上正式召開。本次研討會(huì)共同探討了SASE作為一種創(chuàng)新技術(shù)的由來與未來發(fā)展趨勢(shì),深入分析零信任SASE安全融合理念與架構(gòu),在數(shù)字化時(shí)代下對(duì)企業(yè)辦公安全架構(gòu)的顛覆與創(chuàng)新。通過吉利控股落地零信任SASE的實(shí)踐,真實(shí)分享了其作為大型智能制造領(lǐng)先企業(yè),在落地零信任SASE的抉擇之路與建設(shè)經(jīng)驗(yàn)。
數(shù)字化建設(shè)進(jìn)一步賦能企業(yè)的業(yè)務(wù)高速發(fā)展,其中應(yīng)用云化、混合辦公使企業(yè)邊界不可避免的進(jìn)一步模糊化,對(duì)傳統(tǒng)邊界防御為核心的安全架構(gòu)帶來了嚴(yán)重的挑戰(zhàn)。企業(yè)安全管理者迫切希望廣域網(wǎng)組網(wǎng)與安全技術(shù)的深度融合,以應(yīng)對(duì)數(shù)字化帶來的安全挑戰(zhàn)。
SASE作為Gartner提出的一項(xiàng)創(chuàng)新安全架構(gòu),基于零信任的理念并原生融合網(wǎng)絡(luò)與安全能力,在大幅度降低企業(yè)安全建設(shè)投入的同時(shí),適應(yīng)數(shù)字化企業(yè)當(dāng)前及未來的網(wǎng)絡(luò)流量模型與安全需要。借助零信任SASE,困擾數(shù)字化企業(yè)的諸多辦公安全問題將迎刃而解,為安全和風(fēng)險(xiǎn)管理人員提供了未來重新思考和設(shè)計(jì)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)的機(jī)會(huì)。Gartner預(yù)測(cè),到2025年,至少60%的企業(yè)將有明確的戰(zhàn)略和時(shí)間表來采用SASE。
01 SASE的發(fā)展演變與未來趨勢(shì)
CSA大中華區(qū)SASE工作組聯(lián)席組長(zhǎng) 何國(guó)鋒在解讀《SASE安全訪問服務(wù)邊緣白皮書》時(shí)談到Gartner 提出的 SASE架構(gòu),就是針對(duì)企業(yè)云化,混合辦公(移動(dòng)/遠(yuǎn)程/居家辦公)模式興起、企業(yè)分支機(jī)構(gòu)多,傳統(tǒng)的物理安全邊界消失等問題提出的安全解決方案,很好地滿足了分布式數(shù)字化網(wǎng)絡(luò)和安全服務(wù)。
不僅如此,SASE作為一種新的服務(wù)架構(gòu),將廣域網(wǎng)接入和網(wǎng)絡(luò)安全服務(wù)結(jié)合,以身份為中心,建立網(wǎng)絡(luò)連接和服務(wù),并進(jìn)行持續(xù)的風(fēng)險(xiǎn)性能評(píng)估。包含了云網(wǎng)基礎(chǔ)設(shè)施、 管理平臺(tái)、PoP節(jié)點(diǎn)、接入邊緣。何老師講到,SASE 有八種核心能力能很好地將割裂的、碎片化的云化本地安全能力進(jìn)行整合,快速適應(yīng)企業(yè)新興辦公安全的訴求。
賽博諦聽創(chuàng)始人金湘宇認(rèn)為傳統(tǒng)軟硬件堆砌的“串糖葫蘆”式的安全部署模式已不可維系。伴隨著5G、SDWAN、云計(jì)算、邊緣計(jì)算、物聯(lián)網(wǎng)等新技術(shù)興起,企業(yè)的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)也在隨之快速改變。SASE 已經(jīng)成為近三年來網(wǎng)絡(luò)安全最炙手可熱的概念。區(qū)別于零信任,SASE除了融合零信任之外,還提供了獨(dú)有安全和通信融合,以部分或全部牽引流量至企業(yè)外部的邊緣側(cè)的能力。
對(duì)于SASE的未來發(fā)展趨勢(shì),金湘宇預(yù)測(cè),隨著5G乃至6G的通信建設(shè)發(fā)展,未來運(yùn)營(yíng)商可以在專網(wǎng)專線里使用SASE安全的功能,實(shí)現(xiàn)安全通信和計(jì)算的融合。何國(guó)鋒認(rèn)為,技術(shù)發(fā)展上SASE 系統(tǒng)將與新技術(shù)融合,產(chǎn)生更高效的服務(wù)?;谄髽I(yè)所有數(shù)據(jù)開展人工智能與網(wǎng)絡(luò)智能。同時(shí)可對(duì)安全事件進(jìn)行分析和檢測(cè),不斷拓展新的安全服務(wù)場(chǎng)景。
02 辦公安全破局之道——零信任SASE
億格云聯(lián)合創(chuàng)始人葉敏在會(huì)上分享了當(dāng)前企業(yè)辦公安全挑戰(zhàn)的現(xiàn)狀與對(duì)策,基礎(chǔ)設(shè)施的云化讓企業(yè)的安全邊界模糊,使得傳統(tǒng)以邊界為安全的安全體系逐漸失效,數(shù)據(jù)泄露、病毒入侵等安全隱患也隨之而來。而解決企業(yè)云上安全問題的破局之道就是零信任SASE,零信任SASE基于云原生的架構(gòu),安全融合賬號(hào)、身份、應(yīng)用、數(shù)據(jù)、網(wǎng)絡(luò)行為等全維度,用一體化的方案來覆蓋所有辦公安全風(fēng)險(xiǎn)場(chǎng)景,真正實(shí)現(xiàn)降本增效。
03 吉利控股零信任SASE安全架構(gòu)
本次研討會(huì)中作為大型智能制造行業(yè)的典范企業(yè),吉利控股CIO執(zhí)行助理 成品耀分享了吉利的安全挑戰(zhàn)與布局。吉利控股辦公安全起步較早且相對(duì)完善,但在全球疫情影響下,吉利控股面臨著些許安全挑戰(zhàn):
1、各基地訪問總部安全風(fēng)險(xiǎn):專線建設(shè)成本高且無法全面覆蓋小型基地,而采用VPN又面臨用戶體驗(yàn)及安全風(fēng)險(xiǎn)的問題;此外,各個(gè)基地上網(wǎng)行為管理等策略難以按照集團(tuán)總部的統(tǒng)一標(biāo)準(zhǔn)執(zhí)行,跨基地出差場(chǎng)景下用戶體驗(yàn)割裂;
2、多端防護(hù)體驗(yàn)不佳:吉利對(duì)于辦公安全一直非常重視,先后采用多個(gè)國(guó)際一流的安全產(chǎn)品解決辦公安全問題,在安全取得良好成果的同時(shí),也增加了終端負(fù)擔(dān),辦公電腦需要安裝并運(yùn)行多個(gè)安全客戶端軟件,影響用戶體驗(yàn);
3、遠(yuǎn)程辦公數(shù)據(jù)安全風(fēng)險(xiǎn):使用傳統(tǒng)VPN進(jìn)行遠(yuǎn)程訪問時(shí),通常僅關(guān)注員工身份合法性,而對(duì)于設(shè)備維度缺乏安全評(píng)估,導(dǎo)致BYOD難以區(qū)分授權(quán)管理,存在泄密隱患。
跟大部分企業(yè)一樣,吉利控股集團(tuán)的安全建設(shè)也是從 0 到 1 逐步建立起來的。原先圍繞著邊界在做安全產(chǎn)品和解決方案:部署防入侵檢測(cè)、 DNS 安全、網(wǎng)絡(luò)防泄漏DLP和物理邊界DMZ等產(chǎn)品。以及集團(tuán)內(nèi)圍繞終端安全部署防病毒、終端 DLP 、磁盤加密或網(wǎng)絡(luò)準(zhǔn)入等產(chǎn)品打造信息安全體系。而伴隨著混合辦公、全球化分布的到來,高成本、繁冗的運(yùn)維管理,不統(tǒng)一的安全水位、使用體驗(yàn)差等傳統(tǒng)安全體系的弊端也愈發(fā)明顯。
基于此,吉利控股開始采用了零信任SASE一體化的辦公安全解決方案。與億格云深度合作,打造基于混合云架構(gòu)的內(nèi)部產(chǎn)品——易連,采用了主要基地私有化部署POP節(jié)點(diǎn)和出差場(chǎng)景租用億格云POP節(jié)點(diǎn)的方式構(gòu)建覆蓋全球的應(yīng)用訪問網(wǎng)絡(luò),用戶側(cè)將終端Agent能力以SDK集成于易連的軟件,實(shí)現(xiàn)用戶無感知的能力集成。
而借助上述架構(gòu),在不大幅度改變?cè)芯W(wǎng)絡(luò)框架及用戶習(xí)慣的基礎(chǔ)上。吉利控股集團(tuán)的員工可隨時(shí)隨地的加速訪問任何位置的內(nèi)部應(yīng)用,很大幅度提升員工體驗(yàn)及業(yè)務(wù)效率。同時(shí),將零信任網(wǎng)絡(luò)訪問(ZTNA)能力原生融合進(jìn)應(yīng)用訪問網(wǎng)絡(luò),所有內(nèi)部應(yīng)用對(duì)互聯(lián)網(wǎng)完全隱身,無需映射、暴露任何端口,只有集成了億格云零信任訪問SDK的易連才可接入訪問,其他任何非法請(qǐng)求均無法訪問,在不改變員工體驗(yàn)及訪問習(xí)慣的同時(shí),大幅度降低辦公應(yīng)用被攻擊的風(fēng)險(xiǎn)。
一體化的辦公安全解決方案帶來的不僅是保證安全,同時(shí)實(shí)現(xiàn)降本增效、更能改善安全運(yùn)維管理繁復(fù)問題,成品耀認(rèn)為未來信息安全的建設(shè)方向,應(yīng)該是做減法,并將安全能力“隱身化”。
早在SASE被正式定義之前,北美因業(yè)務(wù)普遍云化的背景,已進(jìn)行了多年的相關(guān)探索與實(shí)際應(yīng)用。在國(guó)內(nèi)數(shù)字化建設(shè)的背景下,也必將面臨業(yè)務(wù)云化所帶來的一系列辦公安全挑戰(zhàn),而零信任SASE無疑是原生就能適用于數(shù)字化架構(gòu)的最佳選擇。
04 安全架構(gòu)新未來
在最后《企業(yè)SASE安全架構(gòu)討論》的圓桌環(huán)節(jié),網(wǎng)絡(luò)安全專家聶君提到,SASE并不局限于某個(gè)行業(yè),比如互聯(lián)網(wǎng)金融,相比傳統(tǒng)銀行 IT 環(huán)境,它所帶來的云計(jì)算環(huán)境中面臨了更多來自開放環(huán)境帶來的安全挑戰(zhàn),如對(duì)外開放接口增多,遠(yuǎn)程辦公需求增多,精細(xì)化訪問控制能力要求等等,而通過零信任SASE架構(gòu)來交付,能夠一站式解決這些問題。
談到一些大型企業(yè)落地SASE可能會(huì)遇到的阻力。楊寧(鳥哥)是這樣認(rèn)為的,一是對(duì)SaaS化上云的顧慮,二是SASE需要技術(shù)棧和業(yè)務(wù)架構(gòu)進(jìn)行安全融合,三是SASE的產(chǎn)品形態(tài)和部署方式、訂閱式付費(fèi)模式等。這些可能都是遇到的阻力。但長(zhǎng)期來看,企業(yè)上云SaaS化是一個(gè)必然的趨勢(shì)。
數(shù)據(jù)安全作為大家都一直非常關(guān)注,但又覺得非常難解決的一個(gè)痛點(diǎn)。在葛岱斌看來SASE 作為一個(gè)安全架構(gòu),更多是能夠幫助全鏈路監(jiān)測(cè)所有數(shù)據(jù)在企業(yè)內(nèi)部的流轉(zhuǎn),良好實(shí)現(xiàn)數(shù)據(jù)可視、可管、可控,從而保障數(shù)據(jù)安全。
金湘宇等一眾嘉賓都認(rèn)同,SASE將改變目前網(wǎng)絡(luò)安全產(chǎn)品中以軟硬件結(jié)合來進(jìn)行銷售的方式,解決安全碎片化的問題。真正實(shí)現(xiàn)安全融合。伴隨著云化在我國(guó)企業(yè)的普及,云化階段的不斷演進(jìn),SASE架構(gòu)在我國(guó)的接受度也會(huì)越來越高,零信任SASE架構(gòu)帶來的多級(jí)容災(zāi)負(fù)載、彈性擴(kuò)容等優(yōu)勢(shì),將給業(yè)內(nèi)帶來一場(chǎng)新的安全技術(shù)革命。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )