《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 云安全的未來:中國的安全訪問服務邊緣架構

云安全的未來:中國的安全訪問服務邊緣架構

2021-12-01
來源:互聯(lián)網(wǎng)安全內參
關鍵詞: 云安全 邊緣架構

  Gartner最新的“安全領域新興技術及趨勢影響雷達”(Emerging Technologies and Trends ImpactRadar: Security)顯示,,安全服務及接入邊緣技術具有極高重要性,,并在未來一至三年,,市場會落地關于安全服務及接入邊緣的融合架構。因此,,中國企業(yè)和廠商有必要研究這個新興市場以及安全服務的演進,。

  為何市場會產生安全服務演進

      傳統(tǒng)企業(yè)的數(shù)據(jù)中心架構(如圖一所示)大多為從分支機構上行的一個信息網(wǎng)絡連接到總部的數(shù)據(jù)中心,然后從互聯(lián)網(wǎng)區(qū)再連接到互聯(lián)網(wǎng),,此外還有“云”上部署的應用,。目前,很多中國的數(shù)據(jù)中心基本為該架構,。

微信圖片_20211201091239.jpg

  圖一 

      但為何稱這樣一個從數(shù)據(jù)中心到互聯(lián)網(wǎng)再到“云”的架構較為傳統(tǒng),?因為企業(yè)的應用大多沒有“上云”、“上云”的應用基本為互聯(lián)網(wǎng)應用,。隨著未來更多的企業(yè)應用“上云”,,西方“云優(yōu)先”的市場目前已采用圖二所示的架構——數(shù)據(jù)中心內存在很多應用,且傳統(tǒng)應用遷移至云,、企業(yè)的數(shù)據(jù)中心愈發(fā)強大,。企業(yè)分支機構的員工在訪問數(shù)據(jù)中心應用時,不僅可以訪問數(shù)據(jù)中心應用,,還能訪問數(shù)據(jù)中心以外以及遷至云上的應用,。因此,每家分支機構具有兩條線——一條代表通往數(shù)據(jù)中心,,另一條代表通往云上的SaaS類應用,。

微信圖片_20211201091421.jpg

  圖二

  我們亦可把圖二描繪成另一個場景——企業(yè)員工或客戶通過多種數(shù)字化接觸訪問不同的數(shù)據(jù)和應用。數(shù)字化接觸可以是手機,、物聯(lián)網(wǎng)或觸摸屏,。在此情況下,保證“訪問安全”對企業(yè)而言至關重要,,因為所有數(shù)字化接觸都會接入互聯(lián)網(wǎng),,但企業(yè)不可能在每一家分支機構或“云”上都部署一套邊緣棧。若用傳統(tǒng)數(shù)據(jù)中心的方式來管理目前新型廣域網(wǎng)及應用外遷到“云”的這樣一個現(xiàn)實場景的話,,企業(yè)就需要很多套邊緣棧安全設備,、防火墻來管理不同的安全邊界。然而,,現(xiàn)在的安全邊界已不在數(shù)據(jù)中心,,而是外擴到各種各樣的邊緣、云場景之中,,因此企業(yè)需要新的網(wǎng)絡安全架構,。針對數(shù)字化接觸,企業(yè)需要具備基于“策略”(policy-based)的接入方式,,即通過基于策略的接入到各種分布式的邊緣,、再到互聯(lián)網(wǎng)邊緣、最后到互聯(lián)網(wǎng)或企業(yè)的核心應用,。因此,,SaaS其實是面對分布式邊緣所定義的全新安全及網(wǎng)絡架構。

微信圖片_20211201091521.jpg

  圖三

  當前的SD-WAN是非常重要的技術改進推動力,。其在管理各種各樣下層網(wǎng)絡的同時,,還可作為軟件被靈活部署在所有硬件之上。這當中的SD-WAN就變?yōu)榱藦V域網(wǎng)的邊緣,,若廣域網(wǎng)下層架構發(fā)生改變,,很多互聯(lián)網(wǎng)的出口不只在數(shù)據(jù)中心,、會在眾多分支機構或邊緣的接入應用中,此時企業(yè)下層的網(wǎng)絡會有很多的非信任外部網(wǎng)絡,,因此企業(yè)需要具備針對所有數(shù)據(jù)化接觸的安全策略來加以保護,。如圖三所示,網(wǎng)絡安全接入服務保護所有的網(wǎng)絡接入,,廣域網(wǎng)的邊緣與安全服務兼容,、成為了一個新的“安全服務接入邊緣”融合架構。當企業(yè)不清楚訪問流量是否存在風險時,,應當考慮CASB——CASB是云接入服務的中介,。企業(yè)數(shù)據(jù)可能存放在數(shù)據(jù)中心或云上,當公有云上的SaaS服務要訪問數(shù)據(jù)時,,企業(yè)可以用CASB來管理風險,,即所有訪問先經(jīng)過CASB“大門”、SaaS應用與訪問相互集成,,讀取的數(shù)據(jù)返至CASB應用,、再返至授權數(shù)據(jù),通過全程監(jiān)控保護數(shù)據(jù)安全,。若用戶訪問企業(yè)專用應用,,亦可用同樣方式進行保護。企業(yè)可以用CDN進行加速,、SD-WAN進行連接,,同時使用CASB、SWG等保護訪問安全,。從這個角度來看,,將網(wǎng)絡模塊與安全模塊融合成一個安全接入服務平臺即是SASE。SASE包含五個核心模塊:SD-WAN,、Firewall as aservice(FWaaS),、SWG、CASB和零信任網(wǎng)絡接入?,F(xiàn)在不少安全廠商具備兩至三個模塊,,但鮮有具備全模塊者。

微信圖片_20211201091554.jpg

  圖四

  圖四展示了SASE中的各種技術,,Gartner認為這些技術在未來十年會相互融合至SASE模塊中,。目前,安全產品非常碎片化,,不同產品具有自己的管理和控制界面,,對企業(yè)使用而言不夠友好,所以這時就需要出現(xiàn)一個把這些碎片化的安全接入服務融合成一個安全接入服務的平臺。其實,,SASE接入不單是基于公有云的互聯(lián)網(wǎng)接入方式,,也會有很多接入到企業(yè)級私有數(shù)據(jù)中心。

  企業(yè)如何部署安全服務架構

     Gartner預測,,至2023年,,20%的企業(yè)會部署來自同一家廠商的SWG、CASB,、零信任網(wǎng)絡接入及分支機構防火墻能力。2019年,,Gartner觀察到該領域的用戶低于5%,。這代表安全廠商可以通過SASE來擴展自己的市場份額,SASE是一個非常重要的營收增長機會,。

微信圖片_20211201091651.jpg

  圖五

  從終端用戶角度來看,,SASE目前具有三個場景。首先是企業(yè)管理員工IT設備(見圖五),,員工使用自己的電腦或手機接入云上的應用,。此時企業(yè)可以通過SWG實現(xiàn)DNS保護、敏感信息保護等,,即員工的訪問是通過相關SASE工具接入到SASE接入點,,然后從SASE接入點代理再訪問互聯(lián)網(wǎng)應用以及企業(yè)內部資源。

微信圖片_20211201091727.jpg

  圖六

  第二個場景(見圖六)是企業(yè)外部人員訪問內部資源,。企業(yè)外部人員的設備是非管理設備,,因為其設備中沒有訪問工具,所以只能實現(xiàn)從SASE接入點到其它地方QoS的網(wǎng)絡功能,。另外,,因為需要接入到SASE代理接入點,相關的DLP等功能會就緒,。一旦外部人員接入SASE時,,SASE就會提供安全接入保護,而網(wǎng)絡功能也是在接入SASE后才能提供,。

微信圖片_20211201091757.jpg

  圖七

  第三個場景(見圖七)關于物聯(lián)網(wǎng),。風電物聯(lián)網(wǎng)存在一個匯聚點,即物聯(lián)網(wǎng)邊緣的匯聚點,,在這之中可以收集,、分析數(shù)據(jù)。邊緣的匯聚點可以部署SASE,,如SD-WAN,,所以接入到邊緣的SASE可以延伸到風電廠、延伸到各個物聯(lián)網(wǎng)和邊緣計算,接入到企業(yè)的內部應用,。

      一些目前使用SASE的企業(yè)也在考慮是否需要把自己的數(shù)據(jù)中心連接到SASE中,,或是把自己的數(shù)據(jù)中心與公有云托管的VPC進行打通以及打通后用戶的訪問路徑。用戶可以是合作伙伴,、員工或客戶,,他們的訪問可以通過SASE進行,因為零信任網(wǎng)絡接入的安全是先授權認證,、再分派訪問權限,。SASE接入點一定是廣泛分布性的,若接入點在上?;蛘邚V州,、相距較遠時,網(wǎng)絡時延就變成大問題,,所以低時延在國內非常重要,,需要更多的分布式接入點加以保證。

      關于分支機構應用的優(yōu)化,。目前中國很多企業(yè)分支機構的應用基本放在分支機構的小型數(shù)據(jù)中心內,。SASE會使分支機構架構得到改變,越來越多的分支機構會從“重分支”變成“輕分支”,,同時在“云”上會更多部署分支機構的應用,。“輕分支”基本上是SD-WAN,,因為很多的SD-WAN自帶防火墻,、一個SD-WAN就能解決問題。通過SD-WAN連接到最近的公有云VPC,,分支機構公有云直接部署在VPC上,。用戶直接訪問VPC應用時需要授權驗證,所以企業(yè)需要SASE,。SASE對于分支機構的用戶來講,,先訪問就近的SASE接入點,通過SD-WAN訪問再接入到相關的公有云,、VPC辦公室,。 


中國廠商如何抓住機會

      Gartner預計全球SASE市場將在2024年達到110億美元,大中華地區(qū)市場規(guī)模大約為7億6千9百萬美元(見圖八),。SASE的核心功能包含SD-WAN,、SWG、CASB,、ZTNA,、FWaaS,,Line rate operation,但對中國來講,,略有不同,。

微信圖片_20211201091824.jpg

  圖八

  如圖九所示,中國目前CASB的需求很少,,因為中國的SaaS應用大部分是消費者級別的應用,,真正的企業(yè)級SaaS應用目前在中國仍有不足。很多企業(yè)級SaaS應用存在很多安全漏洞,、沒有CASB保護,,因此很多大型企業(yè)不敢把自己的數(shù)據(jù)直接放至其中。正因為這些企業(yè)用戶不是很多,,所以CASB目前在中國是一個未被開發(fā)的市場,。從SASE服務的起步階段來講,CASB在中國并不是核心模塊,,更多的是SWG、零信任網(wǎng)絡安全,、SD-WAN等,。隨著企業(yè)級PaaS及SaaS應用的增多,CASB在中國的趨勢會逐漸與全球同步,。

微信圖片_20211201091937.jpg

  圖九

  Gartner認為云原生架構對廠商實現(xiàn)SASE服務非常重要,。對于很多企業(yè)用戶來講,SASE接入點的部署最好離自己要近,、同時要延伸到自己的數(shù)據(jù)中心之內,。企業(yè)在部署SaaS接入點時需要采用更加靈活的方式以便同時部署在云上和第三方數(shù)據(jù)中心內。云原生架構可以為企業(yè)部署SaaS服務提供更加靈活的方式和更靈活的交付,。分布式的多邊云部署對北上廣深這類核心城市或各省省會城市的接入點非常重要,。因為時延的優(yōu)化在中國是非常重要的“賣點”。SASE產品會變得更加容器化,、微服務化,,以此更好部署在其他的硬件平臺或自己提供的硬件平臺之上。

      總結而言,,終端用戶需考慮,、研究SASE架構和整體廣域網(wǎng)及網(wǎng)絡安全方面的架構轉型。雖然中國疫情控制很好,,但是物聯(lián)網(wǎng),、5G帶來的數(shù)字化轉型非常巨大,所以將來需考慮能否將數(shù)字化接觸反映到企業(yè)應用上,。很多企業(yè)應用及企業(yè)數(shù)據(jù)很可能都放到“云”上,,雖然目前傳統(tǒng)方式是主流,但越來越多的企業(yè)進行IT規(guī)劃時,已在考慮部分的數(shù)據(jù)外遷,,所以SASE是企業(yè)敏感數(shù)據(jù)外遷后的重要保護手段,。另一方面,,SASE需要整個廣域網(wǎng)的架構做出改變,,如建立分支機構的本地接入互聯(lián)網(wǎng)、考慮SD-WAN廠商是否有SD-WAN防火墻等,。廠商越多,,企業(yè)的管理復雜度越高,,所以企業(yè)需要做出戰(zhàn)略性變化。企業(yè)級的SaaS應用一定要考慮SASE保護,。公有云上的數(shù)據(jù)如沒有安全工具保護,,會存在數(shù)據(jù)泄漏或丟失的風險,而CASB這類工具可以把未知風險降低,?!癝ASE保護”不一定需要全部五個模塊,企業(yè)在設計SASE部署戰(zhàn)略時,,需要明晰用到哪些模塊,,如此,在選擇安全廠商時才能更得心應手,。同時,,廠商需清楚自己是何種廠商。管理服務提供商需考慮如何快速切入SASE市場,,因為切入SASE市場能夠為其快速提供新的業(yè)務增長,,如幫助海外SASE廠商進入中國,或幫助國內SASE服務廠商建立接入點,、提供相關的服務,。技術提供商需考慮SASE的產品戰(zhàn)略,還要考慮如何做到云原生的SASE,。

  

本站內容除特別聲明的原創(chuàng)文章之外,,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者,。如涉及作品內容、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。