Redian新闻
>
可乐与汉堡是绝配,那SASE与零信任呢?

可乐与汉堡是绝配,那SASE与零信任呢?

公众号新闻



在生活中,我们经常会遇到几种物质混合的情况。有的就是绝配,比如可乐与汉堡组成的美味让人回味无穷,而有的则是水火不相容。SASE(安全访问服务边缘)与零信任碰到一起,会是哪种情况呢?天衣无缝还是矛盾重重?


Gartner的一组预测数据十分耐人寻味:到2025年,有超过60%的组织围绕零信任实施安全,同样也有至少60%的企业将制定明确的SASE采用战略和时间表两个60%,难道只是巧合?在这60%中,SASE与零信任的重合度到底有多高呢?


同样是Gartner的预测,在实施零信任的组织中,超过一半会失败。究其原因,因为很多人对什么是零信任只是一知半解,很大程度上是“跟风”而动。这种情况是不是也会发生在SASE身上?SASE与零信任是同病相怜,还是相互成就?


当前,从SASE与零信任的落地来看,问题虽然很多,但期待更多!


SASE+零信任=安全的应用访问


早在2019年,Gartner便率先定义了SASE:它是一种新兴的服务,将广域网与网络安全(如SWG、CASB、FWaaS、ZTNA)相结合,能够更好地满足数字化企业的动态安全访问需求。


SASE的诞生有其深刻的背景,是网络安全突破数据中心边界的必然。传统上,不管是分支机构、承包商或是合作伙伴,都要通过数据中心才能对应用程序进行访问。此种访问连接有一个非常清楚的边界,那就是数据中心。从安全的角度来看,只要对数据中心内部进行有效的保护,就基本能够确保应用程序访问的安全。但是今天,这个边界变得模糊甚至可以说正逐渐消亡,因为云计算、边缘计算、泛在网络连接等的出现,应用和访问已经无处不在。用户希望在任何地方、任何时间,使用任何设备去访问应用程序。数据中心不再是唯一的中心。



用户无论在办公室、咖啡厅或是在高铁、机杨,都要保证连接和访问的安全。怎么办?这就是SASE要解决的主要问题。Gartner高级研究总监高峰概括说,SASE主要有两大支柱:一是广域网边缘服务,二是安全服务边缘SSE。


提到广域网边缘服务,SD-WAN是近几年非常热门的技术,它能让用户以低成本且敏捷的方式进行连接。而SSE包含的像安全网络网关(SWG)、云访问服务代理(CASB)、零信任网络访问(ZTNA/VPN)等,几乎都是人们耳熟能详的安全技术。它们各自保护着企业不同的访问场景,比如SWG主要保护的是用户对互联网的访问,而CASB保护的是SaaS访问的安全,ZTNA/VPN更多应用于远程办公的场景。“过去这些技术都是独立部署的,现在随着安全形势和需求的变化,融合是大势所趋。越来越多的厂商希望将这些产品和功能整合起来,变成一个管理界面,甚至是一个产品。”高峰举例说,比如ZTNA厂商也会加入SWG的功能,而一些CASB的厂商也会在其方案中融入SWG的能力,以凸显其产品的差异化。”


基于上述分析,SASE其实就是SWG、CASB、ZTNA/VPN再加上SD-WAN,它们奠定了SASE的技术基础。需求特别指出的一点,SASE要确保一致的用户体验,零信任访问是基本的保障。Gartner认为,SASE实现的前提就是一定要做到零信任访问。




从标准定义来说,零信任架构是一种将基于隐性信任的访问替换为基于不断更新的身份和上下文的访问的体系结构。简而言之,零信任就是一种安全架构,可根据计算的风险提供对资源的访问。那么,什么是可计算的风险呢?所谓可计算的风险,即我们对于用户的每一次访问去进行风险计算,如果这个风险是可以接受的,那么就放行此访问;如果风险超出了企业的接受度,就拒绝此次访问。


当我们对SASE和零信任有了一定了解之后,很多用户经常会问相同的问题:“SASE和零信任之间的关系是什么?如何去部署一个零信任的架构?“SASE与零信任的组合能否达到1+1大于2的效果,从而进一步提升应用程序访问的安全性呢?


从业务出发 由小到大 分步实施


“保证应用访问的安全,SASE告诉我们要‘做什么’零信任则告诉我们‘怎么做’。”高峰如是说。


策略执行点(Policy Enforcement Point,PEP)是来帮助我们控制访问的允许与否的;而策略决策点(Policy Decision Point,PDP)则像是“大脑”,由它来决定是否允许访问。SASE包含或者说代替了PDP、PEP的工作,这也从某种程度上展现了SASE与零信任架构之间的关系。


如上文所述,SD-WAN、SWG、CASB与ZTNA可以称之为SASE的四大核心能力。现在,大部分的厂商其实都在做SD-WAN。Gartner预计,在未来两年内,SWG、CASB、ZTNA厂商都会在其产品加入SD-WAN的功能。高峰表示:“用户无法直接买到零信任,但可以自己去构建零信任。SASE就是构建基于零信任架构的应用程序安全访问的基石。”


Gartner认为,SASE可以成为构建零信任的很好的起点。SASE可以将用户安全地连接到应用程序,但前提是需要十分了解应用程序。现在,一家中型规模的企业可能拥有数百个应用程序,国内一家商业银行的应用程序就超过了2000个。只有对应用程序的状况和需求痛点了如指掌,SASE的建设才可能有的放矢。再者,SASE的部署只能根据已知的策略执行,所以用户必须掌握基本的策略。或许用户不需要在第一天就了解所有的策略,但是一定要了解迁移到SASE应用的策略,这样才能事半功倍。另外,构建SASE必须“从小做起”,按部就班。比如,谷歌就是花了五年时间逐步进行应用迁移,才构建起零信任架构。“企业最好一个应用一个应用地迁移,不能贪多求快,否则很容易导致迁移的失败。”高峰建议说。




现实情况时,很多用户对零信任架构只知其然,却不知其所以然,认为别人都构建了零信任架构并取得了良好的效果,所以我也要建设。从市场的角度看,零信任本身有被过度营销的情况,导致很多用户对零信任有误读,没有从自身业务的角度出发考虑,如何将SASE、零信任这样的先进技术转化为业务目标。高峰提示说:“零信任比我们想象的要复杂得多,绝对不是像从前那样只要部署一个安全工具,就万事大吉了。”


目前在中国,SASE的成熟度远远落后于国外。究其原因有以下几个方面:一是在国内,本地化部署比较流行,很多企业并不太信任基于SaaS的云厂商,而SASE基本上都是基于SaaS模式的,用户享受不到SaaS模式的SASE带来的红利,因此动力不足;二是SASE本身是多种能力的集成,单一厂商可能不能提供全部能力,因此SASE的成熟和应用在很大程度上依赖一个完善的生态,而国内相关厂商在产品的对接、集成方面还有欠缺;三是国内SASE厂商在几大关键能力方面还有待进一步提升和完善,其中最大的产品短板在CASB(云访问服务代理)。


高峰认为:“目前国内能够提供完整SASE解决方案的厂商还非常少,可能要再过两三年,这一局面才能得到改善。”


零信任在国内的接受程度还是比较高的,这主要是零信任访问网络的功劳。“零信任访问网络实际上是SASE中的一个主要功能或者说是一个产品。”高峰解释说,“疫情的出现,使得很多企业不得不接受远程办公,这在客观上推动了国内零信任网络访问的部署。由于移动办公、远程办公的普及,VPN的一些安全隐患大量暴露出来。所以,很多企业加快了ZTNA的部署。整体来看,零信任在国内的接受度比SASE要高,但我们也要清楚地认识到,零信任架构的建设也是有门槛的,并不像想象中那样容易。”


构筑数智化时代新的安全护城河


今天,当“多云”成为一种常态,应用无处不在,连接无处不在,访问无处不在,SASE与零信任的结合能够为我们访问任意一朵云提供最好的安全保护,这正是SASE与零信任为用户带来的真正价值所在。  


像谷歌这样没有历史包袱,同时拥有大量技术人员、应用标准化程度很高的互联网企业,都需要若干年才能完成零信任架构的建设,对于制造等拥有老旧IT架构和应用架构的传统行业企业来说,实施的难度可能会更大。因此,高峰建议,无论是构建零信任架构,还是部署SASE时,都要格外小心谨慎,尽力而为,做到统一规划、分布实施,一步一个脚印逐步迁移和完善。


谈到生成式AI可能给SASE和零信任的部署带来的挑战和影响,高峰表示,生成式AI能够提高企业的效率,更有效地进行用户行为分析,发现更多未知的漏洞和威胁,并减少误报,这样才能让用户建立起更完善的防护网。现在很多SASE厂商都已经采用了AI和机器学习技术。AI并不是新东西,只是在工程化方面做得比以前更好。


SASE与零信任就像是汉堡和可乐,相得益彰,相互促进与成就,从而构筑起数智化时代新的安全防御护城河。






「往  •  期  •  精  •  选」

Gartner极力推崇的“网络安全网格”到底是什么?

从Gartner SIEM魔力象限报告看安全运营的门道

从“自然村落”到“现代化城市”,零信任安全的演进

零信任迈入2.0时代

“零信任”让安全威胁“动态清零”




微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
早财经丨曲阜师大复现LK-99实验结果:与零电阻相去甚远;贵州茅台半年净利359.8亿元;比亚迪、宁德时代跻身世界500强地中海邮轮行之三百事可乐推出「可乐味番茄酱」国庆限量供应:跟热狗绝配别样休闲—种菜时节话种菜1折入!穿过国际重奢𝘼𝙦𝙪𝙖𝙨𝙘𝙪𝙩𝙪𝙢的人,才是真正的有品!吴妈,那个马云最信任的人人生最好的活法:物质低配,家庭高配,灵魂顶配上天不公平【就在本周末】国家汉堡日,这些餐厅免费送汉堡了!5/28国际汉堡日,商家推出汉堡优惠与我的人造飞碟文章相关的花絮1折入!穿过国际重奢𝘼𝙦𝙪𝙖𝙨𝙘𝙪𝙩𝙪𝙢的男人,才会明白什么是品质!剧院新闻|Ivo van Hove与Rufus Norris宣布卸任总监,《动机与线索》将转西区途虎养车开启路演:拟9月26日上市 腾讯与零跑汽车是基石投资者Nike与乔丹的传奇故事,终于被搬上大银幕!TME在线音乐付费用户破亿,YouTube与环球音乐合作音乐AI孵化器5月28汉堡日!Burger King、Wendy's等多家餐厅送汉堡拉!Netskope:零信任头号领导者,能否颠覆Zscaler?今年A-level将更难拿到高分?!GCSE与A-level成绩即将揭晓:8个趋势值得关注!1折入!英国重奢𝘼𝙦𝙪𝙖𝙨𝙘𝙪𝙩𝙪𝙢,专柜同款Polo衫,舒适、透气、高品质!520,恢复更新了这只“老派”小盘价值基金青睐矿产、能源与零售ICML 2023 | 究竟MAE与对比学习怎样结合才是最优的?ReCon来告诉你答案冲呀!多伦多超火汉堡店周年庆:明天免费送100个芝士汉堡!大运会和熊猫,当然是绝配!宇宙人(1287期)台积电新动作;Ramon.Space与富士康子公司鸿佰科技建立合作关系;亚太卫星关口站网络增添新节点一个人最好的活法:物质低配,家庭高配,灵魂顶配新品纸尿裤卖爆背后,Babycare与用户的双向奔赴美国人不好忽悠!汉堡比照片小35% 汉堡王遭集体诉讼2023年GCSE与A-level报名趋势解读!数学热度依旧,计算机成为新晋顶流,而语言和艺术类“陷入困境”!6/29 波士顿新闻总汇 | 麻州政府拨款3400万美元为7600多名青年提供就业机会 百事可乐为独立日推出首款可乐味调味品周末限定|全美汉堡日!麦当劳、Shack Shack汉堡免费领【新卡发布】Chase Freedom Rise 信用卡:零信用记录即可申请!火了172年!国际重奢𝘼𝙦𝙪𝙖𝙨𝙘𝙪𝙩𝙪𝙢来了,又好穿又有品!!2023美国汉堡日就在本周末,这些餐厅免费送汉堡!ShakeShack、麦当劳、Burger King…
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。