*本文转载自云技术
老赵是一家上市公司的IT负责人,前几天和老赵一起吃饭,聊起了企业安全方面的话题。老赵介绍了他们公司在疫情爆发之后多次启动大规模远程办公的情况,时间紧任务重又必须确保安全。经过充分调研使用了基于SASE理念的解决方案,效果很好并且维护很方便。老赵感叹SASE理念给企业安全带来很大的改变,通过“云化交付安全能力”的模式,让企业安全防护更高效、更便捷、更具弹性。
01
SASE给企业安全带来革命性改变
企业数字化转型是共识,随着数字化的深入企业必然会使用云计算、物联网和人工智能等各种技术,上线更多应用系统,企业的IT系统会越来越复杂。数字化要求具备随时随地访问应用系统的能力,对企业安全带来巨大的挑战。安全架构要能够灵活地支持数字化转型工作,能够满足复杂场景的需求,同时保持敏捷性和可管理性。
在数字化复杂IT的背景下SASE应运而生,正如云计算对企业基础架构带来的变化一样,SASE将对企业安全带来革命性的变化,SASE可通过“云化交付安全能力”的模式让企业安全防护更高效、更敏捷、更具弹性。
SASE(Secure Access Service Edge )即安全访问服务边缘,是Gartner在2019年提出来的一个融合综合广域网能力与综合网络安全功能(如SWG、CASB、FWaaS和ZTNA)的新模型,以满足企业数字化转型的动态安全接入需求。
SASE的优势在于同时支持基于云与本地的安全性,云模型使企业能够经济高效地应用最新安全功能,而且不会影响应用程序性能或最终用户体验,也不会给IT团队带来沉重的运维负担。
SASE将对企业安全带来的革命性改变,就像云计算对基础设施带来的革命性改变一样,许多已经在云计算行业发生的变化,有可能因为SASE在安全行业重演一遍。
1、对用户来说,企业安全将改“购买安全设备”为“订阅安全服务”。
首先,许多没有专业安全人员,没有机会使用上比较新的安全技术的中小企业,将因为SASE解决方案也能使用到完善的安全解决方案。就像云服务一样,SASE也可能成为中小企业的默认选型。
其次,对大型企业来说,使用SASE方案可以显著提升效率,大型企业的安全团队可以把更多的精力放到业务创新上。
2、对厂商来说,SASE有可能引发行业重新洗牌。
首先拥有综合服务能力的安全厂商在SASE时代将会得到更快的发展,但同时竞争也会加剧,资源会向头部厂商集中,一些中小厂商可能会被淘汰。其次一些网络厂商、云厂商也会借SASE的契机加入战团。
因此,SASE这块蛋糕会越来越大,但能否分到大份额的蛋糕,还得看是否具备优秀的解决方案。
那么,怎样才是优秀的SASE解决方案?
02
一个优秀的SASE解决方案
需要满足的三个条件
第一个条件,要有足够多的POP点。
因为用户的流量要通过SASE网络,SASE方案必须有足够多的POP点保障用户远程访问的体验。众所周知流量走广域网,存在三个问题。
第一是我国存在南北跨运营商互联互通的问题;
第二是流量走广域网跨地区访问的时候,在高峰时段广域网不时会出现拥塞;
第三是一些二三线城市的第三方中小运营商提供的网络质量不稳定,经常出现延时增加,甚至丢包的情况。
在这些情况下,SASE服务商的POP资源就非常重要,这些POP点可以组成专网,相当于SASE服务商自建的高速公路,可以充分保障用户的网络质量,提升用户体验。
第二个条件,必须是云原生架构,并具备相关核心技术。
在Gartner的定义中,除了大量POP点覆盖,身份驱动和云原生架构也是SASE的主要特征。SASE基于身份认证的访问控制,对用户数据访问和上网行为进行管控和分析,通过持续性威胁识别、动态的微隔离与阻断等技术,保障零信任和端到端安全,真正实现随时随地、安全的业务访问。同时,SASE使用没有特定硬件依赖关系的云原生架构,利用云来实现弹性、自适应、自恢复和自维护等能力,最大限度地节省成本,并且可以快速实例化,实现服务的快速扩展。
此外,Gartner认为,SASE应该具备SWG(安全Web网关)、CASB(云访问安全代理)、ZTNA(零信任网络访问)、SD-WAN(软件定义广域网)、FWaaS(防火墙即服务,包括IPS和IDS)等。
第三个条件,SASE方案厂商要有足够的安全技术积累和运营经验,品牌值得信任。
SASE是融合了网络和安全技术的新模型,因此对厂商的安全技术要求比较高,主要表现在:
首先,厂商要对安全技术有足够的积累和深厚的理解,有自己的网络和安全产品。
其次,SASE是强运营服务,服务商必须有足够丰富的运营能力,才能保证SASE服务的稳定与可靠。
最后,SASE平台承载着大量用户数据,SASE厂商必须是值得信任的,经过长时间的验证,以及足够多的行业权威和用户认可。
老赵的公司有500多台PC,有自己的数据中心,也有使用公有云,在全国有分支机构。总部和分支机构有200多人需要经常远程办公,疫情以来需要远程办公的人员更多,IT环境比较复杂。
他依照以上三个条件选择了一家大牌厂商的SASE方案,据说,这款方案是基于云交付容器架构的,体验好、效果好、品牌好。
03
基于云交付容器架构的
SASE方案好在哪里
首先透个底,老赵选择的这个方案是深信服SASE方案。据了解,深信服在2016年就开启类似安全边缘访问的实践,2020年9月份正式发布了深信服SASE方案,是国内较早实践SASE的厂商之一。深信服SASE方案应该是目前国内首个基于云交付容器架构的SASE方案。那么,它具体好在哪里呢?
1.体验好:全国23个容器化的POP点,保障随时随地、安全、流畅的业务访问
深信服SASE方案使用简单,分支机构不用部署额外的安全硬件,PC上只需要安装客户端,在管理端就可以看到,马上就纳入管理了。客户端支持Windows系统、MacOS系统、研发经常使用的Linux系统等,且稳定性好,占有资源少。企业上网流量通过客户端或微型引流器引流到云上POP点进行流量清洗和安全检测。
据了解,深信服目前在全国18个城市有23个POP点,并且POP是BGP资源,在跨省、跨运营商的情况下,访问依然很流畅。这些POP点基于深信服托管云全国数据中心,覆盖迅速,可满足员工就近、稳定的业务接入。
深信服在18个城市建设了23个POP点
此外,深信服的POP点全部是基于云交付容器架构,处理节点和管理节点都已经容器化,全部可以做到高可用,任何节点如有问题可在10秒内自动拉起新的微服务保障业务,用户无感知。
老赵说,采用了SASE方案后,在远程办公方面,员工普遍反映方便高效,基本上在公司和在家没啥区别,笔记本电脑只要安装客户端就好,平时使用基本无感,甚至因为通过了POP点的加速更流畅了。老赵对远程办公的笔记本电脑也更放心了,即使电脑连接了公共的Wi-Fi,访问公司的内部系统也都是经过加密和身份认证的,能够确保安全性。
2.效果好:基于云交付容器架构,提供从上网管理、业务接入到数据智能分析的全方位安全保障
深信服SASE方案包含主要三大服务,SIA、SPA和SAP,集结多个安全模块,为用户提供从上网安全管理、业务安全接入到数据智能分析的全方位安全保障。
服务一 Sangfor Internet Access(SIA)
聚焦上网安全服务,解决上网侧包括对终端、互联网、SaaS应用访问的管控、体验和安全问题。通过终端、防火墙、SD-WAN或符合接入标准协议的网络设备实现流量上云,实现云端订阅和交付,无论是总部、分支还是移动办公人员,都可以使用统一的身份认证、应用管控、访问审计和安全防护服务。
深信服提供业内前沿的云交付容器化架构,企业员工一次接入即可获取访问加速、恶意URL防护、NTA、恶意文件检测、云DLP、云IPS等安全服务,从而在用户终端与互联网/应用服务之间隔离出一块安全缓冲区,建立企业安全建设的新防线,解决企业数字化、云化过程中防护边界模式和上移的问题。
深信服SASE云交付容器化架构
服务二 Sangfor Private Access(SPA)
聚焦内网接入安全服务,可解决移动办公,远程运维、多云安全连接、本地数据中心访问的安全问题。深信服提供基于容器化架构的SDP零信任接入服务,企业无需部署硬件,无论业务是在本地数据中心,还是在托管云或者公有云,都可以通过深信服连接器,实现和POP的安全链接。企业无需担心业务端口暴露或内部业务访问突然增加可能引起的安全访问和防护性能的问题。在已经使用深信服SIA的用户中,企业管理员只需在SASE平台新开通服务,新增基于企业员工的访问策略即可,员工无需再安装其他安全客户端或者多次认证的操作,轻松实现内网安全接入。确保企业员工、合作伙伴在任何地方、任何时间通过全球各地的POP点网络访问业务时,都能获得更安全、更隐私、更稳定的访问体验。
服务三 Sangfor Analytics Platform(SAP)
聚焦数据智能(Data Intelligence)分析服务,通过端到端访问的数据和网络安全分析,及时发现和处置安全风险、泄密、合规等问题;通过数字化体验监控分析,解决企业在使用SaaS服务、云服务过程中,可能遇到的访问延迟、卡慢等问题,及早发现及时处理;通过网络行为分析、人工智能、UEBA等技术手段为企业提升运营效率提供支持,帮助企业建立云端大数据分析平台,实现端到端访问时企业数据资产、安全威胁可视可预警,以及低延迟、安全稳定的业务访问。
老赵说,安全效果通过深信服SASE管理平台有可视化的展现,有详细的日志,日志可以通过API的方式下载,进行下一步的分析。用上了深信服SASE以后,几乎杜绝了数据泄密的可能,自己也能睡安稳觉了。
分公司安全建设就更省心了,之前有些分公司使用了多家厂商的接入和安全设备,现在都换成了深信服SASE,之前头疼的分支接入问题和安全防护问题都一起解决了。管理的工作量减少了很多,对比传统的方式,部署配置简单,节省了大量的时间。
3.品牌好:核心技术获得多项权威认可
首先是深信服是安全领域的权威品牌,值得信赖。深信服成立于2000年,是企业级网络安全、云计算、IT基础设施及物联网的产品和服务供应商。目前深信服的企业级用户超过10万家,拥有超过 9000 名员工,业务覆盖全球50多个国家和地区。
最后也是比较重要的,深信服SASE的核心能力获得了很多的权威认可。
1
2021年,深信服云安全访问服务(SASE)首批通过可信云SASE成熟度能力认证和零信任安全能力认证,并获得CCIA 2021网络安全优秀创新成果大赛二等奖、中国信息协会2021科技创新优秀解决方案、2021年度中国IT行业云安全创新产品奖等荣誉。
2
在Gartner发布的《2021年网络安全技术成熟度曲线报告》(Hype Cycle for Network Security,2021),深信服凭借前沿的网络安全技术,在安全网关(Secure Web Gateways,简称SWG)和网络防火墙(Network Firewalls)领域被列为代表性厂商。值得一提的是,在安全网关领域,深信服是唯一作为代表性厂商入选的中国安全品牌。
3
2020年Gartner首次发布《亚太区WAN Edge基础设施魔力象限报告》,国内只有两家广域网SD-WAN厂商连续两年入选,深信服是其中之一。
4
深信服连续十年(2011-2020)入选Gartner SWG魔力象限,连续十年进入Gartner SWG魔力象限的中国厂商只有深信服。
最后,作为国内领先落地SASE服务的安全厂商,深信服也积极承担着行业领导者的责任,努力推动SASE在国内的落地和发展。
2021年,深信服牵头成立CSA SASE工作组,致力于推动SASE技术在中国的应用发展,为广大用户数字化转型创造一个更安全更便利的网络环境。
深信服联合中国信通院以及国内多家企业共同起草《基于云计算的安全信任体系》系列标准,并牵头完成了《SASE成熟度能力要求》标准。
在谈到深信服时,老赵提到他哪些CIO圈子、安全圈子的朋友都比较认可深信服,这也是他放心选择深信服的原因。而且从实际效果看,用了半年多效果不错,深信服SASE方案值得信赖。
04
SASE热了,还将火到爆!
从老赵的实际案例看,SASE确实值得关注,老赵作为先行者享受到了SASE的红利。相信还会有更多的老赵会慢慢的用上SASE,喜欢上SASE,投身到SASE的潮流中去。
对于安全厂商来说,SASE将成为必争之地,从去年到今年国内有众多的安全厂商宣布推出安全服务,还有云厂商和网络设备厂商加入SASE战团。
在技术方面,根据Gartner最新的云安全技术成熟度曲线,SASE将在2到5年内成熟,并得到广泛的应用。
在市场方面,Gartner预测SASE未来五年安全接入服务边缘市场将以36%的复合年增长率增长,到2025年将达到近150亿美元。到2025年,至少60%的企业将制定明确的SASE采用战略和时间表,包括用户、分支机构和边缘访问。
在用户和厂商相互的努力下,SASE凭借先进的理念,快速发展的市场,会越来越热越来越火,直到火到爆。就像今天的云计算,不断的积蓄能量,然后爆发!
深信服作为资深的安全厂商,在SASE核心能力上有深厚的积累,是最早布局SASE的厂商之一,形成了完善的解决方案,可以满足不同用户不同场景的需要。相信在SASE这个赛道上,深信服将继续保持一如既往的优秀,让更多企业享受到SASE的安全性和便利。
