Gartner最新的“安全領域新興技術及趨勢影響雷達”(Emerging Technologies and Trends Impact Radar: Security)顯示,安全服務及接入邊緣技術具有極高重要性,并在未來一至三年,市場會落地關于安全服務及接入邊緣的融合架構。因此,中國企業(yè)和廠商有必要研究這個新興市場以及安全服務的演進。
為何市場會產生安全服務演進
傳統(tǒng)企業(yè)的數(shù)據(jù)中心架構(如圖一所示)大多為從分支機構上行的一個信息網絡連接到總部的數(shù)據(jù)中心,然后從互聯(lián)網區(qū)再連接到互聯(lián)網,此外還有“云”上部署的應用。目前,很多中國的數(shù)據(jù)中心基本為該架構。
圖一
但為何稱這樣一個從數(shù)據(jù)中心到互聯(lián)網再到“云”的架構較為傳統(tǒng)?因為企業(yè)的應用大多沒有“上云”、“上云”的應用基本為互聯(lián)網應用。隨著未來更多的企業(yè)應用“上云”,西方“云優(yōu)先”的市場目前已采用圖二所示的架構——數(shù)據(jù)中心內存在很多應用,且傳統(tǒng)應用遷移至云、企業(yè)的數(shù)據(jù)中心愈發(fā)強大。企業(yè)分支機構的員工在訪問數(shù)據(jù)中心應用時,不僅可以訪問數(shù)據(jù)中心應用,還能訪問數(shù)據(jù)中心以外以及遷至云上的應用。因此,directadmin授權,每家分支機構具有兩條線——一條代表通往數(shù)據(jù)中心,另一條代表通往云上的SaaS類應用。
圖二
我們亦可把圖二描繪成另一個場景——企業(yè)員工或客戶通過多種數(shù)字化接觸訪問不同的數(shù)據(jù)和應用。數(shù)字化接觸可以是手機、物聯(lián)網或觸摸屏。在此情況下,保證“訪問安全”對企業(yè)而言至關重要,因為所有數(shù)字化接觸都會接入互聯(lián)網,但企業(yè)不可能在每一家分支機構或“云”上都部署一套邊緣棧。若用傳統(tǒng)數(shù)據(jù)中心的方式來管理目前新型廣域網及應用外遷到“云”的這樣一個現(xiàn)實場景的話,企業(yè)就需要很多套邊緣棧安全設備、防火墻來管理不同的安全邊界。然而,現(xiàn)在的安全邊界已不在數(shù)據(jù)中心,而是外擴到各種各樣的邊緣、云場景之中,因此企業(yè)需要新的網絡安全架構。
針對數(shù)字化接觸,企業(yè)需要具備基于“策略”(policy-based)的接入方式,即通過基于策略的接入到各種分布式的邊緣、再到互聯(lián)網邊緣、最后到互聯(lián)網或企業(yè)的核心應用。因此,SaaS其實是面對分布式邊緣所定義的全新安全及網絡架構。
圖三
當前的SD-WAN是非常重要的技術改進推動力。其在管理各種各樣下層網絡的同時,還可作為軟件被靈活部署在所有硬件之上。這當中的SD-WAN就變?yōu)榱藦V域網的邊緣,若廣域網下層架構發(fā)生改變,很多互聯(lián)網的出口不只在數(shù)據(jù)中心、會在眾多分支機構或邊緣的接入應用中,此時企業(yè)下層的網絡會有很多的非信任外部網絡,因此企業(yè)需要具備針對所有數(shù)據(jù)化接觸的安全策略來加以保護。如圖三所示,站群服務器,網絡安全接入服務保護所有的網絡接入,廣域網的邊緣與安全服務兼容、成為了一個新的“安全服務接入邊緣”融合架構。
當企業(yè)不清楚訪問流量是否存在風險時,應當考慮CASB——CASB是云接入服務的中介。企業(yè)數(shù)據(jù)可能存放在數(shù)據(jù)中心或云上,當公有云上的SaaS服務要訪問數(shù)據(jù)時,企業(yè)可以用CASB來管理風險,即所有訪問先經過CASB“大門”、SaaS應用與訪問相互集成,讀取的數(shù)據(jù)返至CASB應用、再返至授權數(shù)據(jù),通過全程監(jiān)控保護數(shù)據(jù)安全。若用戶訪問企業(yè)專用應用,亦可用同樣方式進行保護。企業(yè)可以用CDN進行加速、SD-WAN進行連接,同時使用CASB、SWG等保護訪問安全。從這個角度來看,將網絡模塊與安全模塊融合成一個安全接入服務平臺即是SASE。SASE包含五個核心模塊:SD-WAN、Firewall as a service(FWaaS)、SWG、CASB和零信任網絡接入。現(xiàn)在不少安全廠商具備兩至三個模塊,但鮮有具備全模塊者。
圖四
圖四展示了SASE中的各種技術,Gartner認為這些技術在未來十年會相互融合至SASE模塊中。目前,安全產品非常碎片化,不同產品具有自己的管理和控制界面,對企業(yè)使用而言不夠友好,所以這時就需要出現(xiàn)一個把這些碎片化的安全接入服務融合成一個安全接入服務的平臺。其實,SASE接入不單是基于公有云的互聯(lián)網接入方式,也會有很多接入到企業(yè)級私有數(shù)據(jù)中心。
企業(yè)如何部署安全服務架構
