本文转载自雷锋网。如需转载,请在雷锋网官网申请授权。2019年前后,Gartner提出了SASE(SecureAccessServiceEdge)的概念,其《TheFutureofNetworkSecurityisintheCloud》报告阐明了基于新网络和安全模型的云网络和安全转型的潜力。自概念诞生以来,迅速引爆了安防买家、终端用户和各家厂商。云服务和网络正在推动数字化业务的概念,但传统的网络和网络安全架构远远不能满足数字化业务的需求。过去基于设备的安全手段不再适用,云成为一个新的领域。我们的下一代安全架构应该如何设计?如何设计一个在未来五到十年内仍然安全可靠的架构?我们或许可以从Akamai亚太区安全战略总监SiddharthDeshpande的分享中找到一些答案。SiddharthDeshpande,Akamai亚太区安全战略总监传统界限已被打破,如何选择网络安全架构?在回答这个问题之前,我们首先要明白一个问题:结构化框架为什么这么重要。它的重要性主要来自于三个原因:1.它可以为企业提供一种通用的语言来评估和改进他们的安全程序。2、能够准确衡量安全风险等级。3.使企业实现更有效的沟通——不仅仅局限于IT团队之间的沟通,而是IT团队的实践与其他业务部门和执行团队之间更有效的沟通和对话。目前有很多结构化框架,比如NIST网络安全框架和MITRE攻击框架。Gartner的SASE结构化框架的概念并不新鲜,但SASE的框架是新的。在SiddharthDeshpande眼中,它是“最有用的框架”。那么如何在众多结构化架构之间做出选择呢?首先查看NIST网络安全框架。NIST网络安全框架在业界颇受欢迎,主要是因为它可以帮助企业思考“应该做什么”,实现不同功能之间的权衡。在功能上,NIST框架有两大优势:识别、保护、检测、响应、恢复等;帮助公司以更有效的方式与执行团队沟通。此外,它的缺点也很明显——它只告诉企业开始思考要做什么,而没有告诉企业如何去做。例如,组织打算将60%的安全预算用于“响应”或“检测”活动,但不知道如何实现这一目标,这也不是NIST网络安全框架的设计初衷。再看看MITRE攻击框架。这个框架有明显的优势。从技术上讲,它可以很好地建立威胁建模,可以帮助安全团队很好地构建风险路线图。但是,缺点也不容忽视。例如,它无法与高级管理团队有效沟通“安全计划”的有效性、投资和预算,使这个框架成为一个非常具体的操作和技术框架。不利于组织层面的沟通。数字化时代,对安全架构设计有了新的要求,即“数字化业务和边缘计算有反向接入需求”。做什么的?目前很多应用不仅仅存在于企业的数据中心,用户也不仅仅存在于企业的内部网络中。也就是说,很多企业的消费者遍布全球,“应用定义”的传统界限不复存在。在此背景下,由于企业需要将所有流量返回到数据中心,所有部署都以数据中心为中心,传统的安全架构体系难以发挥作用。例如,企业每次做出“访问”或“拒绝访问”的安全决策时,每个决策的“语言”都会被转发并重新路由回数据中心,这会造成很多流量问题。SASE:重新定义网络安全和架构要解决上述问题,我们需要回到“第一原则”,即核心的底层设计原则。GartnerSASE的“第一原则”是不再强制所有流量回流到数据中心,而是将所有安全控制分布在离用户、应用和所有消费者最近的地方,安全控制通过安全边缘分布。Akamai通过SASE框架,将安全控制分布在离用户和应用程序最近的地方,结合网络即服务和网络安全即服务两种理念的优势,通过连接框架实现。“当SASE的概念最初被提出时,我们发现它非常符合‘第一性原则’和Akamai20多年前提出的设计原则——在全球范围内分布安全控制,而不是采用中心化的方式对于处理,这个互联的框架可以让整个框架更有弹性,更灵活,更好地帮助企业实现他们的安全需求。SiddharthDeshpande如是说。SASE框架不仅告诉企业“做什么”,更告诉企业“怎么做”,相当于结合了以上两种框架的优点。具体来说,SASE方法主要在四个层次上制定安全计划的好处。1.启用新的数字业务场景。通过分布式部署“安全控制”,企业可以更方便地适应一些外部变化,从而使企业能够快速调整自己的安全和技术策略,而不必在安全上做出很多妥协。在去年COVID-19爆发期间,Akamai帮助许多企业通过SASE架构构建安全运营。其中,Akamai的一个企业客户拥有20,000名用户,需要将所有“本地化”工作全部转移到“远程办公”环境中。Akamai在两周内完成了这项艰巨的任务,并利用边缘框架帮助企业不受影响业务连续性和服务交付。公司的成功经验,来源疫情前“SASE之旅”的规划,以及“未来如何构建安全架构”的思考。2.提高效率,降低安全复杂度SASE框架可以帮助很多企业很好的整合安全厂商的数量,所以在选择安全厂商的时候,企业会选择用例最广的厂商,选择安全架构被证明有效的厂商并且在过去具有弹性。无论如何,仅安全厂商数量的减少就为企业释放了非常大量的能量让企业有更多的带宽和时间从事一些高附加值的业务。3.专为未来的威胁场景和攻击而设计。事实上,没有人能够预测未来的攻击,未来的攻击应该采取预防措施。但是,一旦企业拥有适当的安全架构,它就能够应对外部风险和威胁并保护自己。Akamai发现,许多企业遭到恶意第三方脚本的攻击,其内部敏感数据被窃取。为此,Akamai发布了PageIntegrityManager解决方案。它基于之前与企业合作搭建的基础设施平台,不需要企业重新打造新的架构。通过构建这种边缘架构,企业现在可以在一些平台和架构上发起新的防御方法,而无需构建新的硬件设备或架构。4.提升用户体验和安全性。网络安全公司经常面临一个悖论:为了提高完整性,他们需要不断添加安全控制,但这样做却损害了用户体验。SASE框架允许企业“双管齐下”——既提高安全性又改善用户体验。Akamai的SASE实践和建议Akamai在SASE框架上的案例反映在“零信任安全访问”中。Akamai通过“零信任安全接入”,帮助企业真正部署“云接入”安全代理,无论企业的应用或用户在何时何地,都能实现一致的保护,并通过“多因素认证”应对各种安全挑战。此外,Akamai在终端部署安全管控、Web安全网关等方面可提供全方位保护。所以从广义上讲,“信任”并不是一个隐含的属性,也就是说,企业不可能一蹴而就,也从不计较。企业需要不断评估,这与“零信任”非常相似。“零信任”与SASE的区别在于,零信任更多的是针对特定的安全领域,比如应用访问等特定的安全领域。SASE更多的是在广义上、更广泛的范围内进行讨论,对于如何使用“零信任”框架会做出相应的建议。另一个经常被忽视的用例是,SASE可以应用于Web、API和安全级别服务领域。因此,企业可以使用SASE来应对DDoS攻击、API攻击或跨站脚本攻击等安全风险。许多攻击者非常了解企业的??IP地址或域名,因此网站和API的保护也是SASE非常常见的用例,但往往被忽视。在市场需求与厂商的博弈下,SiddharthDeshpande告诉雷锋网,厂商可以从三个维度进行综合选择。首先,安全用例的覆盖范围。企业必须确保供应商对“安全用例”的覆盖范围非常广泛,即不仅针对特定的安全领域,而且针对更广泛的用例。第二,平台弹性和可访问性。供应商应该有一套经过验证的弹性,无论是平台、框架还是基础设施建设。不能说这个厂商可以提供云服务,所以叫SASE厂商。供应商应拥有全球分布式边缘网络,并在整个服务的可用性和可访问性方面证明具有弹性,才有资格。第三,产品视觉的深度。这个“愿景”应该是可持续的,无论是从路线图还是规划,都应该是一个广阔的愿景。
