幾年前小張所在的集團(tuán)就完成了數(shù)字化轉(zhuǎn)型,算是行業(yè)內(nèi)較早實(shí)施數(shù)字化戰(zhàn)略的企業(yè)。如今,集團(tuán)內(nèi)部各單位、各分支機(jī)構(gòu)通過數(shù)字化管理平臺,讓業(yè)務(wù)的發(fā)展和變更能夠更加高效和快速;通過數(shù)字化管理,集團(tuán)與合作伙伴、供應(yīng)商及客戶的合作和聯(lián)系更加便捷,市場適應(yīng)能力飛速提升。
支撐數(shù)字化平臺穩(wěn)定運(yùn)行、數(shù)字資產(chǎn)安全順利流轉(zhuǎn)的,則是小張和他的團(tuán)隊(duì)持續(xù)努力的安全運(yùn)維和安全管理,對此良好局面,他也頗為自得。
新形勢下的新安全
2020年的一場新冠疫情,改變了大多數(shù)人的工作模式,遠(yuǎn)程辦公也成為小張所在集團(tuán)的主要辦公方式。他的同事笑談,大家都遠(yuǎn)程辦公了,集團(tuán)內(nèi)的運(yùn)維壓力小了很多。可小張卻有著深深的憂慮,如此大量的邊緣設(shè)備和遠(yuǎn)程接入,可能讓集團(tuán)原有的網(wǎng)絡(luò)和安全架構(gòu)、運(yùn)維服務(wù)模式受到嚴(yán)峻挑戰(zhàn),各類設(shè)備的接入會(huì)加速安全風(fēng)險(xiǎn)的傳導(dǎo)延展,這勢必會(huì)導(dǎo)致安全攻擊面的擴(kuò)大,而他們之前并沒有做過太多這方面的準(zhǔn)備。
像小張遇到的問題,在新冠疫情之下的很多企業(yè)信息化管理者都深有同感。如果安全架構(gòu)不能盡快適應(yīng)這種變化,對于企業(yè)的網(wǎng)絡(luò)安全威脅無疑是非常致命的。
疫情的一再持續(xù),讓更多的企業(yè)面臨傳統(tǒng)安全架構(gòu)承受新型應(yīng)用的考驗(yàn),也有更多像小張一樣的信息管理者在思考,探求一個(gè)適應(yīng)當(dāng)前新數(shù)字化模式的網(wǎng)絡(luò)安全架構(gòu)。
SASE的應(yīng)對之策
越來越多的企業(yè)在上云,而將工作負(fù)載遷移到云的同時(shí)也會(huì)產(chǎn)生新的威脅:將原本在內(nèi)部運(yùn)營的資源遷移到云,會(huì)造成更大的受攻擊面,甚至面臨外部威脅直接攻擊企業(yè)工作負(fù)載核心的風(fēng)險(xiǎn)。
網(wǎng)絡(luò)架構(gòu)正在從企業(yè)實(shí)體數(shù)據(jù)中心向邊緣計(jì)算、云服務(wù)和混合網(wǎng)絡(luò)轉(zhuǎn)變,5G、人工智能、物聯(lián)網(wǎng)等加速了這一轉(zhuǎn)變過程。在這種形勢下,傳統(tǒng)網(wǎng)絡(luò)和安全架構(gòu)顯得力不從心,必須要有新的網(wǎng)絡(luò)安全治理能力以應(yīng)對挑戰(zhàn)。
正如Gartner在《網(wǎng)絡(luò)安全的未來在云端》報(bào)告中所述:數(shù)字業(yè)務(wù)轉(zhuǎn)型顛覆了網(wǎng)絡(luò)和安全服務(wù)的設(shè)計(jì)模式,將重心轉(zhuǎn)到了用戶和設(shè)備的身份上,不再聚焦數(shù)據(jù)中心,安全和風(fēng)險(xiǎn)管理者需要采用融合的云交付“安全訪問服務(wù)邊緣(SASE)”來應(yīng)對這一轉(zhuǎn)變。
SASE顛覆了傳統(tǒng)的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu),為企業(yè)提供了一個(gè)簡單連接到單一安全網(wǎng)絡(luò)的解決方案,能夠?yàn)槠髽I(yè)的業(yè)務(wù)網(wǎng)絡(luò)和安全提供更全面而敏捷的服務(wù)。
Gartner描述的SASE的“第一原則”,是以去數(shù)據(jù)中心集中化的分布式為設(shè)計(jì)原則,就是所有流量不再強(qiáng)迫回流到數(shù)據(jù)中心,而是把所有的安全控制分布在離用戶、應(yīng)用和所有消費(fèi)者最近的地方,通過安全邊緣來實(shí)現(xiàn)安全控制的分布。
Akamai亞太區(qū)安全戰(zhàn)略總監(jiān)Siddharth Deshpande描述到:當(dāng)SASE概念首先提出來的時(shí)候,我們發(fā)現(xiàn)它非常符合“第一原則”,也非常符合Akamai在二十多年前就已經(jīng)提出來的設(shè)計(jì)原則。Akamai就是通過這樣的SASE框架,把安全控制分布在離用戶和應(yīng)用程序最近的地方,并且結(jié)合了網(wǎng)絡(luò)即服務(wù)以及網(wǎng)絡(luò)安全即服務(wù)這兩種優(yōu)勢,通過一個(gè)連接框架來實(shí)現(xiàn)。
Akamai通過全球分布的CDN網(wǎng)絡(luò)實(shí)現(xiàn)安全控制的全球分布,而不是使用集中化的手段進(jìn)行處理,這種互聯(lián)的框架更具彈性和靈活性,可以更好地幫助企業(yè)實(shí)現(xiàn)其數(shù)字化轉(zhuǎn)型的新安全要求。
通過將“安全控制”進(jìn)行分布式的部署之后,企業(yè)就能更加便捷、更加快速適應(yīng)外部的變化,從而讓企業(yè)快速調(diào)整網(wǎng)絡(luò)和安全策略,而無需做出更多安全方面的讓步。Siddharth Deshpande表示,新冠疫情來臨的時(shí)候,Akamai幫助很多企業(yè)通過SASE架構(gòu)構(gòu)建了安全運(yùn)營體系。
Akamai亞太區(qū)安全戰(zhàn)略總監(jiān)Siddharth Deshpande
整合和持續(xù)安全
SASE的一個(gè)顯著優(yōu)勢是能夠幫助企業(yè)很好地進(jìn)行各類安全廠商的整合,從而提高效率并降低安全規(guī)劃的復(fù)雜性。企業(yè)有了合適的安全架構(gòu),就能夠?qū)ν獠匡L(fēng)險(xiǎn)和威脅及時(shí)做出響應(yīng)、保護(hù)自身安全,這也是針對未來威脅場景和攻擊而設(shè)計(jì)的新架構(gòu)。
說到整合,多數(shù)人心里就會(huì)“咯噔”一下,因?yàn)檎峡赡芫鸵馕吨獙軜?gòu)進(jìn)行改變,可能帶來技術(shù)方面的難度、管理能力的升級以及成本的增加,這對于處于市場競爭壓力下的企業(yè),是一個(gè)進(jìn)退兩難的選擇。
那么SASE的整合含義又如何呢?
“關(guān)于網(wǎng)絡(luò)和安全的整合,實(shí)際上企業(yè)不需要顧慮太多,因?yàn)锳kamai會(huì)幫客戶做好所有事情,客戶享有服務(wù)即可。”Siddharth Deshpande表示:“所以企業(yè)在上云面向互聯(lián)網(wǎng)設(shè)計(jì)時(shí),Akamai能很好地保護(hù)企業(yè)開放于互聯(lián)網(wǎng)的資產(chǎn),并且將所有本地化服務(wù)轉(zhuǎn)至SASE框架之上,整個(gè)過程的難度比大家想象的要小很多。另外,Akamai將在企業(yè)原有的基礎(chǔ)架構(gòu)上進(jìn)行整合,而不是讓企業(yè)把已有的資源全部丟掉”。
Siddharth Deshpande談道,Akamai只是提供一種新的安全處理方式,讓企業(yè)在這種新的設(shè)計(jì)框架之上,更好地面向未來做好防護(hù)。所以無論企業(yè)現(xiàn)在所擁有的終端是什么,無論企業(yè)的本地化身份存儲(chǔ)是什么,都可以跟SASE相融合、相互嵌入。以“身份”為例,Akamai可以通過SASE框架實(shí)現(xiàn)面向互聯(lián)網(wǎng)應(yīng)用的訪問權(quán)限許可。這種身份策略可以基于企業(yè)現(xiàn)有的策略進(jìn)行,然后再融合Akamai解決方案,成為適合企業(yè)自身的安全架構(gòu)。
Akamai建議,企業(yè)應(yīng)該使用諸如Gartner SASE等框架幫助企業(yè)實(shí)現(xiàn)安全投資的價(jià)值,使用SASE來增強(qiáng)企業(yè)的安全控制和進(jìn)行邊緣部署。企業(yè)遴選SASE廠商的依據(jù)是:首先,安全用例的涵蓋范圍應(yīng)該是非常廣泛的,不是只針對于某一特殊的安全領(lǐng)域、還應(yīng)涉及更廣泛的用例;其次,平臺的彈性和可及范圍,無論是平臺、框架還是基礎(chǔ)架構(gòu)的構(gòu)建,廠商應(yīng)該有全球分布的邊緣網(wǎng)絡(luò),在服務(wù)的可用性、可及性方面都符合條件;第三,產(chǎn)品愿景的深度和可持續(xù)性,無論是從路線圖,還是從規(guī)劃來看,都應(yīng)是廣博的愿景。
SASE為我們描繪了一個(gè)新的網(wǎng)絡(luò)模型和安全架構(gòu),盡管它還處于逐漸發(fā)展的階段,但隨著用例數(shù)量的增加和需求的增長,SASE的特性和優(yōu)勢必將為企業(yè)數(shù)字化轉(zhuǎn)型中所用。
