2019年前後,Gartner提出SASE(安全訪問服務邊緣)概念,其關於“網絡安全的未來在雲端”報告闡明瞭在新的網絡和安全模型的基礎上進行雲網絡和安全轉型的潛力。
自概念誕生後,迅速引爆安全買家、終端用户和各類廠商。
雲服務和網絡正在推動數字化業務的概念,但是傳統的網絡和網絡安全架構遠遠不能滿足數字化業務的需求。過去使用的基於設備的一種安全方式就不再變得適用,雲端成為新領域。
我們下一代的安全架構應該如何設計?如何設計出未來五至十年依然能夠安全可靠的架構?
我們或許能從Akamai亞太區安全戰略總監Siddharth Deshpande的分享中找到一些答案。
Akamai亞太區安全戰略總監Siddharth Deshpande
傳統邊界被消解,網絡安全架構該如何選擇?在回答這個問題之前,首先要明白一個問題:結構化框架為何如此重要。
它的重要性主要來源於三大原因:
1、它能夠為企業提供一種通用語言來評估和提高企業的安全計劃。
2、它能夠精準測量安全風險水平。
3、能使企業實現更有效的溝通——不僅侷限於IT團隊間的溝通,而是更多地把IT團隊的做法與其他業務部門、高管團隊,進行有效的溝通和對話。
當前的結構化框架不少,有NIST網絡安全框架、MITER攻擊框架等。
Gartner的SASE的結構化框架的概念並非最新,但SASE的框架最新。在Siddharth Deshpande眼中它是“最有用的一個框架”。
那麼在眾多結構化架構之間該如何決策呢?
先看NIST網絡安全框架。
NIST網絡安全框架頗受業內追捧,主要在於能夠幫助企業思考“應該要做哪些事情”,並在不同的功能之間實現一種權衡。
在功能上,NIST框架優勢有二:識別、保護、檢測、響應、恢復等;幫助企業以更有效的方式與高管團隊進行溝通。
除此之外,其缺點明顯——它僅僅告訴企業開始思考要做什麼,但並沒有告訴其如何去做。
例如,企業打算把60%的安全預算投入到“響應”或“檢測”活動中,但並不知道如何完成這個目標,這也並非NIST網絡安全框架設計的初衷。
再看MITER攻擊框架。
此框架優勢明顯,技術上,它能夠良好地建立起威脅建模,且能夠非常好地幫助安全團隊構建風險路線圖。
但缺點也不容忽視,比如它無法很好地將“安全計劃”的有效性以及投入和預算跟高管團隊進行有效溝通,使得此框架成為非常具像化的操作層面、技術層面的框架,並不利於組織層面的溝通。
在數字化時代下,安全體系架構設計出現了新的需求,即“數字化業務和邊緣計算具有反向訪問要求”。
何意?
目前,許多應用程序不僅存在於企業的數據中心內,用户也不僅在企業內部網絡中。換言之,不少企業的消費者遍佈全球,傳統關於“應用定義”的邊界也不復存在。
此背景下,因要求企業將所有流量返回數據中心,所有部署以數據中心為一個核心,傳統的安全架構體系難以奏效。
例如,企業每一次做出一個“訪問”或“拒絕訪問”的安全決策時,每一個決策的“語言”都會轉送、重新路由回數據中心中,這將造成諸多流量問題。
SASE:重新定義網絡安全和架構解決上述問題,需要回到“第一原則”,即最核心的底層設計原則。
Gartner SASE的“第一原則”是,所有流量不再強迫迴流到數據中心,而是把所有的安全控制分佈在離用户、應用、所有消費者最近的地方,並通過安全邊緣來實現安全控制的分佈。
Akamai是通過SASE框架,把安全控制分佈在離用户和應用程序最近的地方,而且結合了網絡即服務以及網絡安全即服務這兩個概念的優勢,通過一個連接框架來實現。
“當SASE這個概念首先提出來的時候,我們發現它非常符合‘第一原則’、也非常符合Akamai在二十多年前就已經提出來的設計原則——即將安全控制分佈在全球各地、而不是使用一種集中化的手段進行處理,這種互聯的框架可以使整個框架更具韌性、靈活性,可以更好地幫助企業實現其安全要求。”Siddharth Deshpande如此表示。
SASE框架不僅告訴企業“要做什麼”,還告訴“怎麼去做”,相當於結合了上述兩種框架的優勢。
具體來看,SASE方法主要在四個層面使安全計劃受益。
1、啓用新的數字化業務場景。
通過將“安全控制”進行分佈化的部署之後,企業就能更加便捷、更加適應於外部的一些變化,這能讓企業快速調整自己的安全和技術策略,而無需做出很多安全方面的讓步。
去年新冠疫情,Akamai幫助了非常多的企業通過SASE架構構建安全運營。
其中,Akamai的一位企業客户擁有兩萬名用户,需要把所有的“本地化”工作全部移至“遠程辦公”環境,Akamai在兩週內完成這一艱鉅任務,並使用了邊緣框架的方式幫助企業不影響業務的連續性和服務交付。
該企業的這次成功經歷,來源於疫情前“SASE旅程”的謀劃、“如何構建未來的一種安全架構”的思考。
2、提高效率並降低安全計劃的複雜性。
SASE框架能夠幫助很多企業很好地進行安全廠商數量整合。所以在選擇安全廠商的時候,企業會選擇用例範圍最廣的廠商,選擇那些在過去已被證明有效、有韌性的安全架構廠商。無論怎樣,僅僅從安全廠商數量的削減本身就已經釋放了企業非常大的精力,讓企業從帶寬和時間上更有餘力從事一些附加值較高的業務。
3、針對未來威脅場景和攻擊而設計。
實際上,沒人能夠預測未來的攻擊,以及針對未來攻擊應採取的預防方式。但一旦企業有了合適的安全架構做好準備的話,就能夠對外部風險和威脅做好響應、保護自身安全。
Akamai發現不少企業受到第三方惡意腳本攻擊,企業內部敏感數據被竊取。於是,Akamai發佈了Page Integrity Manager解決方案。
它基於之前跟企業合作搭建起的基礎架構平台之上的、無需企業重新創立的新架構。通過構建這種邊緣架構,企業能在現有的平台和架構上發起新的防禦手段,而不需要再去構建新的硬件設備或架構。
4、改善用户體驗和安全性。
網絡安全企業經常面臨一個悖論:為提高完全性,需要不斷增加安全控制,但如此又將損害用户體驗。SASE框架可以讓企業“兩手”抓——既能夠提高安全性,也能改善用户體驗。
Akamai的SASE實踐及建議Akamai關於SASE框架的案例體現在“零信任安全訪問”上。
通過“零信任安全訪問”,Akamai幫助企業真正部署“雲訪問”安全代理,無論企業的應用程序或用户處於何時何地都能實現一致化的保護,而且通過“多因素身份驗證”來應對各式各樣的安全挑戰。此外,Akamai在終端部署安全控制以及Web安全網關等方面均能提供全方位的保護。
所以從廣意上講,“信任”並不是一項隱含屬性,也就是説企業不能一蹴而就、永遠不去管它了,企業需要不斷進行評估,這點跟“零信任”非常像。
“零信任”跟SASE的區別在於,零信任更多針對某一具體的安全領域,如應用程序訪問等具體安全領域。而SASE更多是從廣義上、更廣泛的範圍進行討論,它會針對如何使用“零信任”這個框架提出相應建議。
另一個經常被忽視的用例,是SASE可應用在Web、API、安全級服務領域。所以企業可以利用SASE應對諸如DDoS攻擊、API攻擊或跨站腳本攻擊等安全隱患。
很多攻擊者非常清楚企業的IP地址或域名,所以關於網站、API的保護也是SASE非常常見、卻常常忽視的一個用例。
在市場需求和廠商的博弈下,Siddharth Deshpande告訴雷鋒網可以三個維度對廠商進行綜合取捨。
首先,安全用例的涵蓋範圍。企業須保證廠商在“安全用例”方面的覆蓋範圍非常得廣,也就是不僅針對某一具體的安全領域、還應涉及更廣泛的用例。
第二,平台的韌性和可及範圍。廠商應該有一系列業經證明的韌性,無論是平台、框架還是基礎架構的構建。不能説這家廠商能提供雲服務,就把它稱之為SASE廠商。廠商應該有全球分佈的邊緣網絡,在整個服務的可用性、可及性方面都有可被證明的韌性,才能符合條件。
第三,產品願景的深度。這個“願景”應該是可持續性的,無論是從路線圖、還是從規劃來看,都應是廣博的願景。雷鋒網雷鋒網雷鋒網