Gartner预测,到2024年,至少有40%的企业将有采用SASE的明确战略,而2018年底这一比例还不到1%。此外,由于企业公有云流量,安全边界逐渐模糊,将加速SASE的普及。在Gartner的定义中,SASE是“一种新兴的架构,结合了全面的WAN能力和全面的网络安全能力(例如SWG、CASB、FWaaS和ZTNA),以支持数字企业的动态安全访问需求。”Gartner认为,ZTNA(零TrustNetworkAccess),无论是端点启动模式还是服务启动模式,无论是独立部署模式还是软件即服务模式,都是入门级的SASE。那么,零信任是SASE的一部分吗?但这就是关于市场的概念混乱开始的地方。许多企业和安全主管都在问类似的问题,例如:SASE和零信任有什么区别?哪种模式最适合我的业务?我是否需要更改安全策略才能获得相同的结果?说说零信任和SASE的关系?一、零信任与SASE的由来首先,零信任是由Forrester提出的,SASE是由Gartner提出的。零信任的概念由Forrester首席分析师JohnKindervag于2010年提出。后来,他的继任者(现任)Forrester首席分析师ChaseCunningham将零信任丰富为“零信任扩展(ZTX)生态系统”。包括零信任用户、零信任设备、零信任网络、零信任应用、零信任数据、零信任分析、零信任自动化等七大领域。当Gartner认识到零信任的重要性时,其副总裁分析师NeilMacDonald在2018年12月发布的报告《零信任是CARTA路线图上的第一步》中提出,零信任项目应该作为CARTA(持续自适应风险和信任评估)的一部分路线图。第一步,尝试将零信任纳入CARTA框架。随后在2019年4月提出了ZTNA(ZeroTrustNetworkAccess)的概念,相当于SDP技术路线。接着,Gartner分析师NeilMacDonald在2019年8月又发布了一个大动作——在《网络安全的未来在云端》报告中,他提出了面向未来的SASE(SecurityAccessServiceEdge,安全访问服务边缘)概念,开辟了边缘安全的新天地。此后,Gartner大力推广SASE的概念,在不到两年的时间里,获得了很多共识。Forrester很快意识到“边缘安全”这一前瞻性概念,于是在2021年1月发布的《为安全和网络服务引入零信任边缘(ZTE)模型》报告中,正式提出ZTE(ZeroTrustEdge)。Forrester在报告中指出,零信任主要有两个概念:一个是数据中心零信任:即资源端的零信任;另一个是边缘零信任:即边缘侧的零信任访问安全,这就是ZTE(ZeroTrustEdge)。2021年2月,Forrester在《将安全带到零信任边缘》报告中解释道:Forrester的ZeroTrustEdge(ZTE)模型与Gartner的SASE模型类似,主要区别在于ZeroTrustEdge模型侧重于零信任。2.零信任和SASE有什么区别?从零信任和SASE概念的演进可以看出,两者在不断地相互融合,并且有一个共同的目标,即保护企业的业务、上下文和基于身份的策略配置。如上所述,Gartner认为ZTNA(零信任网络访问)是SASE的一种入口类型。许多人认为零信任是SASE的一部分。这其实是一种误解。因为ZTNA(ZeroTrustNetworkAccess)是一种网络安全架构,其本质是以数据为中心的新型边界技术,通过强认证来保护数据。作为一种安全概念,零信任基于“从不信任,持续验证”的原则进行身份验证和数据访问授权,并没有明确规定任何类型的安全服务、技术或任何一种架构。相比之下,SASE指的是部署在边缘的云安全交付服务,可为任何地方的数据提供广泛的保护。SASE规定了企业应该如何部署和使用一些网络和安全服务。在SASE模型介绍中,Gartner列出了SASE的核心组件包括:SD-WAN、安全网关(SWG)、零信任网络访问(ZTNA)、防火墙即服务(FWaaS)和云应用安全代理(CASB))等待。上述SASE核心组件为实现“永不信任,持续验证”的零信任原则提供了技术支持,而ZTNA(ZeroTrustNetworkAccess)是整个SASE架构中的主要技术之一。总的来说,如果零信任是企业想要做的事情,那么SASE可以被认为是一种实现方式。如果企业想要部署SASE产品,遵循零信任框架也很重要。3.SASE如何践行零信任理念?那么,SASE究竟应该如何处理零信任安全模型呢?在Gartner的愿景中,SASE的各种核心组件需要集成到一个集成的、易于使用的云交付平台中。通过将网络基础设施功能与网络安全功能集成,SASE在所有网络连接点和端点实施安全控制。这种集成的、持续的流量检查和分析以及动态安全策略执行功能使SASE成为数字化转型计划的驱动力,以及零信任架构的理想载体和路径。目前,SASE的各个组件在市场上都有相应的产品,并被众多企业不同程度地使用。但是,由于SASE涵盖了很多技术,如何集成组件和重构网络,使得SASE的实现成为了一个很大的挑战。中国信息通信研究院云计算与大数据研究所云计算研究室副主任马飞表示,随着网络和安全功能的逐步完善,SASE解决方案的统一管控能力对服务提供商已经成为SASE实施的最大挑战。由于SASE是网络安全能力的集成,SASE平台需要同时具备网络、安全、配置、运维、资产、API管理能力。从而打通各个功能组件的底层连接,实现交互,为用户提供统一的资源管理接口,已经成为SASE落地的主要难点之一,也将是未来几年各厂商努力的方向。对此,Forrester在2021年的《将安全带到零信任边缘》报告中为ZTE/SASE提出了一条可行的晋升路线:ZTE首先要解决战术上的“远程接入”问题,最后解决战略上的“网络重构”问题。原因是重构企业网络架构是一个很大的挑战,最好把这块硬骨头放在最后再解决。具体来说,Forrester“先有战术,后有策略”的推广思路如下:第一步:首先利用ZTNA技术解决远程访问问题;第二步:然后逐步添加其他安全控制(如SWG、CASB、DLP);第三步:最后利用SD-WAN技术解决网络改造问题。同样在2021年,Gartner还发布了采用SASE的战略路线图,目标是帮助企业从传统安全架构转向SASE。在Gartner的路线图中,流程被分解为可管理的步骤,并制定了短期、中期和长期目标,以帮助组织完成流程。短期目标包括:部署ZTNA(零信任网络访问):随着远程工作的快速增长,为远程用户更换传统的虚拟专用网络(VPN)是一个主要优先事项。SASE的ZTNA功能使其成为传统远程访问解决方案的更安全替代方案,允许组织实施零信任策略以更好地保护其数据和用户。制定淘汰计划:Gartner建议执行完整的设备和合同清单,并制定淘汰本地周边和分支机构安全设备的时间表。这些解决方案随后可以替换为托管在云中的SASE功能。集成供应商:SASE提供广泛的安全功能的完整集成,无需来自多个供应商的单独解决方案。切换到SASE可以简化和流线化安全的各个方面,从解决方案获取到长期监控和维护。执行分支机构转型:部署在每个物理位置的安全设备创建了一个复杂且庞大的安全架构。将这些解决方案迁移到云的努力集中并简化了组织的安全性。除了这些短期目标外,Gartner还概述了组织应追求的一些长期目标。这些主要侧重于利用SASE的安全集成和ZTNA功能来集中和简化整个企业的安全操作。大多数公司都需要制定一个多年战略来迁移到SASE。虽然这种策略因公司而异,但Gartner有一条适用于所有公司的建议:立即开始流程。不难发现,Forrester和Gartner都将SASE的实施分为多个步骤,建议从更换ZTNA(零信任网络访问)技术开始,然后继续淘汰和完善安全和网络功能,这表明实现SASE或零信任绝不是一次性的事情。回到开头的问题,零信任和SASE模式有什么关系?哪种模式更适合您的业务?相信看完这篇文章,你会明白答案很大程度上是无关紧要的,因为答案不会影响任何人的业务或安全策略。
