随着数字化转型进程推进,云网融合加速发展,企业对于网络信息安全提出了更高要求。如何将灵活的云网基础能力和全面的安全防护能力更好地融合,逐渐成为市场关注的焦点。
“当下,我们发现客户除了拥有灵活组网需求,也更加关注安全服务订阅需求,需要简化网络安全能力部署和运维、降低Capex投资,弹性升降速,这些需求在招标项目中日益体现。”互联科技第一线产品总监徐颉在接受51CTO采访时谈到了他的观察。
SASE正是为了回应这种期待而生。它并非单一技术的代称,而更多地代表了一种融合“网络+边缘云化安全”的理念。作为近年来网络安全领域的热词,SASE已经从概念热捧趋于冷静,用户接受度也日渐提高,开始寻求服务厂商交流相关解决方案。
而入局SASE赛道的玩家,既有网络服务商、云厂商,也有专业安全厂商。其中,互联科技第一线正凭借其云网安一体化交付方案在多方竞逐中崛起为一股不可忽视的力量。
为何选择SASE
过去企业数据存放在自建或托管的数据中心,因此传统网络安全架构的设计通常将数据中心作为访问需求的焦点,架构复杂且存在延迟性问题。
更重要的是,当前企业的网络环境和数据安全面临着更多不确定性。首先,随着业务全面上云,分布式部署、多云架构带来的运维难度和安全风险也同步提高;再者,远程办公、移动办公的普及,传统网络安全边界被打破;最后,网络建设和安全建设的割裂导致的成本和效率问题愈发突出,企业更倾向于由云网安一体化服务商统一纳管。
正是在这一背景下,SASE出现了,并作为一种颠覆传统架构的新范式受到广泛关注。
作为Gartner在2019年提出的概念,SASE代表了一种新架构,整合广域组网网络功能和安全功能,从而满足企业的动态安全访问需求。后来Gartner又从SASE内部划分出一个“子集”SSE(安全服务边缘)。
简单来说,SSE是SASE的组成部分,专注于安全服务部分,而SSE之外的另一半则专注于网络服务部分。Gartner预测,到2025年,80%的企业将采取利用单一厂商的SSE平台访问网络、云服务和专用应用的策略。
可见SASE的发展后劲毋庸置疑,企业对网络安全订阅服务的需求也是时之所驱。为满足不断提升的用户需求,此前专注于企业网络服务的第一线,开启了向SASE服务架构的升级之路。
架构升级:目标剑指“融合、简化、弹性”
Gartner曾评估,SASE 市场处在不断变化中,没有哪家供应商可以提供全部SASE功能组合。有的供应商可以提供部分安全即服务,但缺乏SASE要求的SD-WAN功能。有的供应商能提供安全即设备,但并未在云原生全球网络中,不具备边缘节点部署SASE服务的条件。综合来说,能力单一,POP点过少,严重限制了SASE的落地,云网安的一体化融合才是推进SASE服务的要义。
为此,第一线将过去积累的云网建设资源作为依托,自研的SD-WAN架构作为基础支持,在产品、架构、团队建设、交付模式等方面做了重定义与再升级。徐颉对此做了进一步介绍:
第一,推进POP节点支持SASE安全服务链功能,升级为SASE POP,提供如零信任网络访问(ZTNA)、防火墙即服务(FWaaS)、安全Web网关(SWG)、数据防泄露(DLP)与防入侵(IPS)等SASE安全服务。企业可根据不同场景需求进行灵活订阅。据了解,第一线在100+城市建设了200+POP节点,服务能力覆盖全球700+城市。目前,第一线已完成核心城市POP节点升级为SASE POP。
第二,推动SD-WAN与SASE平台管理能力的融合,在现有SD-WAN平台集成支持SASE安全服务链各项功能,通过API灵活调用安全组件的配置和状态,帮助企业通过网安一体化平台精细地把控网络和安全态势。
第三,推动整个服务交付团队能力升级,培养安全工程师技术能力,通过相关安全认证机构以及安全厂商的技术认证,提升 “云网安”一站式解决方案交付能力,以整体业务视角保障SASE项目交付。
第四,从提供一站式网络解决方案,升级为提供“网络+安全规划+项目落地实施+后期运营响应”的一站式网安解决方案。建设NOC(网络运营中心)+SOC(安全运营中心)双运营响应体系,为各类网络故障和安全事件的解决提供敏捷高效的支撑保障。
徐颉谈到,在SASE服务升级的过程中,第一线主要关注的就是三点——“融合、简化、弹性”。
“一是要融合,本身我们有SD-WAN,在此基础上怎么将安全服务能力与之进行融合;二是要简化,网络服务可以订阅,安全服务同样可以订阅,用户不需要再自己去部署和维护,这对用户来说是做减法,对服务商来说就是如何实现统一交付;三是弹性,安全服务要像网络服务一样具备弹性,客户在其签约的生命周期内可以实现灵活缩容或扩容。”
在这一目标的驱使下,第一线在云网服务基础上加码“安全”,形成了集SSE、SD-WAN组网、网络与安全统一可视化管理于一体的一站式融合解决方案,逐渐完成从云网服务商到云网安服务商的蜕变。
场景适配:对症下药,为远程办公铸就零信任防护
对于自身定位的升级,第一线有着清醒的认识。徐颉提到,同样是提供网安服务,转型到云网安服务商的第一线,和专业安全厂商之间还是有着明显的差异。
“对于安全厂商来讲,擅长的是安全技术加安全解决方案,通常卖的都是一次性的软硬件打包的解决方案。而第一线的优势是为客户提供专业一站式服务。所以,未来在SASE服务中,第一线会与头部安全厂商合作,集成其安全功能,提供全生命周期的服务。双方各自发挥所长。”
“服务”是第一线SASE的核心。而要提供贴近用户需求的SASE服务,第一线从一开始就意识到要扎根场景,提炼出最基本的场景需求再进行设计、研发和迭代。
“第一线大量的存量客户都是组网类型客户,这类客户的访问需求通常是访问分支机构、访问总部/数据中心,还有疫情以来,远程办公用户有所增多,远程访问需求量提升。”
因此,第一线SASE面向的三类基本场景分别为企业内网安全、互联网访问、远程安全接入。
针对总部/数据中心到分支的内网安全,企业可通过SASE POP敏捷组建企业安全内网,结合IPS实现对内网威胁流量的把控与拦截,结合DLP防止关键文件被非法拷贝下载;针对企业访问互联网与SaaS服务,企业可基于SASE POP作为统一访问出口,以收敛攻击面,减小入侵与恶意攻击威胁。结合SWG能力可提供网站动态分类,自动屏蔽对有安全威胁网站的访问行为;针对分散的远程办公人员接入企业,第一线零信任围绕访问者身份,赋予其对应用的最小操作权限,通过微隔离和动态身份验证,进而实现对企业数据访问的“贴身”保护。
就远程办公场景来说,零信任模型的引入可以基于不同用户实现差异化应用授权,提升用户接入安全性控制。因为零信任强调“永不相信,始终验证”。但是近年来关于“零信任”的议题也屡屡引起争议,比如零信任改造的成本问题,零信任是否有“过度防御”之嫌。
对此,徐颉认为,零信任的实施首先要关注用户需求。“要实施零信任,需要企业用户提前规划好各类应用定义以及不同用户的授权策略,以实施精细化的管理,安全管控效果肯定是增强的,但这需要理念的转变和花费相当的时间。如果一个客户没有特别复杂的应用,诉求也比较简单,硬要实施零信任会导致成本的提升。”
在徐颉看来,零信任对传统安全策略来说更像是一种替代升级。“它不是完全颠覆既往的技术,整体而言,零信任是对传统安全策略的一次迭代升级。零信任和传统安全策略可以融合共生,两者在能力上相辅相成,共同为企业提供更加完善的安全防护。”
落地:打造差异化优势,向云网安一体化时代迈进
纵观国内外SASE市场,入局者众多,但市场竞争格局尚不稳定。第一线要脱颖而出,打造差异化优势是必然路径。徐颉谈到,第一线将围绕以下四个方面发力。
其一,敏捷交付。“第一线有标准的网络节点,但有些客户还是希望能有就近的接入点。如何把安全服务链的能力下沉到更多POP点是我们一直在考虑的问题。目前,第一线SASE可实现最快一小时内搭建SASE POP,满足客户就近获取安全的要求。”
其二,弹性伸缩。“SASE要作为SaaS服务的一种形态,必须保证弹性伸缩落到实处。客户下单后无需等待,马上可依据自身发展需求,对安全与网络服务进行按需订阅,实现最优的成本投入。”
其三,一站式管理。“我们提供服务是在SD-WAN平台上把相应的SSE功能集成支持进去,让客户通过第一线SD-WAN & SASE管理平台,对全局网安态势进行可视化监控与分析,以精准处置问题。”
其四,精细化管控。除了统一配置之外,管理平台还要支持编排安全与网络策略,基于策略驱动,以便各应用可以获得最佳的网络资源与安全防护支撑。
如何以差异化优势推进SASE落地?徐颉以某消费电子客户为例进行了介绍,该客户希望能为各分支机构提供统一安全互联网出口访问Internet和SaaS,避免外部入侵和恶意攻击。同时,客户还比较注重内网的数据资产安全,但不想过多参与安全的部署中,希望简化客户侧的运维管理。最终,第一线基于SASE POP向客户提供统一的互联网出口,并按需开启“防火墙、入侵检测、数据防泄漏、URL过滤、防病毒、反爬虫”等互联网出口安全订阅功能。总体来说,客户对交付的方案比较满意。第一,安全策略基于云端统一管理,网络安全一站式编排,简化了客户侧运维管理。第二,客户可基于各个分支机构实际的业务规模和流量,订阅不同阶梯的SASE服务,且在合约期内可支持弹性扩缩容,有效节约了成本。
在云网安一体化的构建之路上,第一线迈出了坚实的一步。展望未来的征程,面向云网安融合的时代,立足云网安服务商的定位,第一线有着更多的蓝图需要实现:继续升级扩建SASE服务接入能力;与头部安全厂商加深合作,打造定制网安方案;引入AI功能,对网络故障和安全事件预判、检测、告警,增强网安智能化运维……
“道阻且长,行则将至;行而不辍,未来可期。”要夯实数字经济底座,推动数字基础设施的互联互通与创新发展,离不开产业链上下游企业的携手共进。徐颉表示,第一线会以SASE产品发布为契机,未来将与更多合作伙伴及企业用户携手同行,打造产业共赢新生态。
