科技云報(bào)道原創(chuàng)。
IT領(lǐng)域永遠(yuǎn)不乏新的技術(shù)熱點(diǎn),譬如零信任好像剛流行起來(lái),一個(gè)新概念SASE(安全訪問(wèn)服務(wù)邊緣)又橫空出世。
Gartner預(yù)計(jì),到2024年,至少40%的企業(yè)將有明確的策略采用SASE,高于2018年底的不到1%。而且由于企業(yè)公有云流量的增多,導(dǎo)致安全邊界逐漸模糊,將加速SASE的普及。
在Gartner的定義中,SASE是“一種新興的體系結(jié)構(gòu),它結(jié)合了全面的廣域網(wǎng)功能和全面的網(wǎng)絡(luò)安全功能(如SWG、CASB、FWaaS和ZTNA),以支持?jǐn)?shù)字化企業(yè)的動(dòng)態(tài)安全訪問(wèn)需求?!?/p>
Gartner認(rèn)為,ZTNA(零信任網(wǎng)絡(luò)訪問(wèn))無(wú)論是端點(diǎn)啟動(dòng)模式亦或是服務(wù)啟動(dòng)模式,無(wú)論是獨(dú)立部署模式或者是軟件即服務(wù)模式,都屬于入口類的SASE。
所以,零信任是SASE的一部分嗎?但這正是市場(chǎng)概念混淆的開(kāi)始。
很多企業(yè)和安全主管都提出了類似的問(wèn)題,比如:SASE和零信任之間的區(qū)別是什么?哪種模式最適合我的業(yè)務(wù)?我是否需要改變安全策略來(lái)達(dá)到同樣的結(jié)果?
下面就來(lái)聊聊零信任和SASE之間有何關(guān)聯(lián)?
零信任和SASE的起源
首先,零信任是由Forrester提出的,SASE是由Gartner提出的。
零信任概念是由Forrester首席分析師John Kindervag于2010年提出的。
后來(lái),其繼任者(即現(xiàn)任)Forrester首席分析師Chase Cunningham,將零信任豐富為“零信任擴(kuò)展(ZTX)生態(tài)系統(tǒng)”。包含零信任用戶、零信任設(shè)備、零信任網(wǎng)絡(luò)、零信任應(yīng)用、零信任數(shù)據(jù)、零信任分析、零信任自動(dòng)化等七大領(lǐng)域。
當(dāng)Gartner認(rèn)識(shí)到零信任的重要性后,其副總裁分析師Neil MacDonald在2018年12月發(fā)布的報(bào)告《零信任是CARTA路線圖上的第一步》中提出,將零信任項(xiàng)目作為CARTA(持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估)路線圖的初始步驟,試圖將零信任納入CARTA框架。
隨后,在2019年4月又提出ZTNA(零信任網(wǎng)絡(luò)訪問(wèn))概念,它相當(dāng)于SDP技術(shù)路線。
接著,Gartner分析師Neil MacDonald再次于2019年8月放出大招——在《網(wǎng)絡(luò)安全的未來(lái)在云端》報(bào)告中,提出面向未來(lái)的SASE(安全訪問(wèn)服務(wù)邊緣,Security Access Service Edge)概念,開(kāi)辟了邊緣安全的新天地。
此后,Gartner大力推廣SASE概念,在不到兩年的時(shí)間里,獲得了很大共識(shí)。
Forrester很快認(rèn)識(shí)到“邊緣安全”這個(gè)概念的前瞻性,于是在2021年1月發(fā)布的《為安全和網(wǎng)絡(luò)服務(wù)引入零信任邊緣(ZTE)模型》報(bào)告中,正式提出ZTE(零信任邊緣,Zero Trust Edge)。
Forrester在該報(bào)告中指出,零信任主要有兩類概念:一是數(shù)據(jù)中心零信任:即資源側(cè)的零信任;二是邊緣零信任:即邊緣側(cè)的零信任訪問(wèn)安全,而這正是ZTE(零信任邊緣)。
2021年2月,F(xiàn)orrester在《將安全帶到零信任邊緣》報(bào)告中解釋說(shuō):Forrester的零信任邊緣(ZTE)模型與Gartner的SASE模型是相似的,主要區(qū)別在于:零信任邊緣模型的重點(diǎn)在零信任。
零信任和SASE之間有什么區(qū)別?
從零信任和SASE概念的演變過(guò)程中,可以看到兩者是在不斷相互融合的,且有共同的目標(biāo),即保護(hù)企業(yè)的業(yè)務(wù)、上下文關(guān)系和基于身份的策略配置。
上文所提到,Gartner認(rèn)為ZTNA(零信任網(wǎng)絡(luò)訪問(wèn))屬于入口類的SASE,很多人就認(rèn)為零信任屬于SASE的一部分,這其實(shí)是一種誤讀。
因?yàn)閆TNA(零信任網(wǎng)絡(luò)訪問(wèn))是一種網(wǎng)絡(luò)安全架構(gòu),其本質(zhì)是一種以數(shù)據(jù)為中心的全新邊界,通過(guò)強(qiáng)身份驗(yàn)證保護(hù)數(shù)據(jù)的技術(shù)。
而零信任作為一種安全理念,是基于“永不信任、持續(xù)驗(yàn)證”的原則,進(jìn)行身份驗(yàn)證和數(shù)據(jù)訪問(wèn)授權(quán),并沒(méi)有明確規(guī)定任何類型的安全服務(wù)、技術(shù),或者任何一種體系結(jié)構(gòu)。
相較之下,SASE指的是部署在邊緣的云安全交付服務(wù),可為任何地方的數(shù)據(jù)提供廣泛的保護(hù)。SASE明確了企業(yè)應(yīng)該如何部署和使用一些網(wǎng)絡(luò)和安全服務(wù)。
在對(duì)SASE模型的介紹中,Gartner列出了SASE的核心組件包括:SD-WAN、安全網(wǎng)關(guān)(SWG)、零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)、防火墻即服務(wù)(FWaaS)和云應(yīng)用程序安全代理(CASB)等。
上述SASE核心組件為實(shí)現(xiàn)零信任原則“永不信任、持續(xù)驗(yàn)證”提供了技術(shù)支撐,而ZTNA(零信任網(wǎng)絡(luò)訪問(wèn))是整個(gè)SASE體系結(jié)構(gòu)中的主要技術(shù)之一。
總的來(lái)說(shuō),如果零信任是企業(yè)想做的事情,那么SASE可以被認(rèn)為是實(shí)現(xiàn)的一種方式。如果企業(yè)想部署SASE產(chǎn)品,遵循零信任框架也是至關(guān)重要的。
SASE如何踐行零信任理念?
那么,SASE到底應(yīng)如何實(shí)現(xiàn)零信任安全模型的方法?
在Gartner的愿景中,SASE的各個(gè)核心組件需整合到一個(gè)集成的、易于使用的云交付平臺(tái)中。通過(guò)將網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)功能與網(wǎng)絡(luò)安全功能集成在一起,SASE可以在所有網(wǎng)絡(luò)連接點(diǎn)和端點(diǎn)上實(shí)施安全控制。
這種集成的、持續(xù)的流量檢查和分析以及動(dòng)態(tài)的安全策略執(zhí)行功能,使SASE成為改變數(shù)字化轉(zhuǎn)型計(jì)劃的推動(dòng)者,同時(shí)也是零信任架構(gòu)的理想載體和路徑。
目前,SASE的各個(gè)組件在市面上都有對(duì)應(yīng)的產(chǎn)品,并且在不同程度上已為很多企業(yè)所使用。但由于SASE涵蓋的技術(shù)較多,如何整合組件、重構(gòu)網(wǎng)絡(luò),都使得SASE的落地成為很大的挑戰(zhàn)。
中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所云計(jì)算部副主任馬飛表示,隨著網(wǎng)絡(luò)與安全功能的逐步完善,服務(wù)商SASE解決方案的統(tǒng)一管控能力成為SASE落地實(shí)踐的最大挑戰(zhàn)。
由于SASE是網(wǎng)絡(luò)安全能力的整合,SASE平臺(tái)需要兼?zhèn)渚W(wǎng)絡(luò)、安全、配置、運(yùn)維、資產(chǎn)、API管理能力,因此打通各功能組件的底層連接實(shí)現(xiàn)交互,并且為用戶提供統(tǒng)一界面對(duì)資源進(jìn)行管理編排,成為SASE落地的主要難點(diǎn)之一,也將會(huì)是接下來(lái)幾年各廠商努力的方向。
對(duì)此,F(xiàn)orrester在2021年的《將安全帶到零信任邊緣》報(bào)告中,針對(duì)ZTE/SASE提出了一條頗具可行性的推進(jìn)路線:ZTE要先解決戰(zhàn)術(shù)性“遠(yuǎn)程訪問(wèn)”問(wèn)題,最后再解決戰(zhàn)略性“網(wǎng)絡(luò)重構(gòu)”問(wèn)題。
原因在于,要重構(gòu)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu),是個(gè)極大挑戰(zhàn),最好把這個(gè)硬骨頭放到最后再解決。
具體而言,F(xiàn)orrester的“先戰(zhàn)術(shù)、再戰(zhàn)略”的推進(jìn)思路如下:
第1步:先用ZTNA技術(shù),解決遠(yuǎn)程訪問(wèn)問(wèn)題;
第2步:再逐步追加其它的安全控制(如SWG、CASB、DLP)
第3步:最后使用SD-WAN技術(shù),解決網(wǎng)絡(luò)重構(gòu)問(wèn)題。
同樣是2021年,Gartner也發(fā)布了采用SASE的戰(zhàn)略路線圖,其目標(biāo)是幫助企業(yè)從傳統(tǒng)安全架構(gòu)轉(zhuǎn)向SASE。
在Gartner的推進(jìn)路線中,流程分解為可管理的步驟,并制定了短期和中長(zhǎng)期的目標(biāo),以幫助組織完成流程。
其中,短期目標(biāo)包括:
部署ZTNA(零信任網(wǎng)絡(luò)訪問(wèn)):隨著遠(yuǎn)程工作的快速增長(zhǎng),為遠(yuǎn)程用戶替換傳統(tǒng)的虛擬專用網(wǎng)絡(luò) (VPN) 是一個(gè)主要優(yōu)先事項(xiàng)。SASE的ZTNA功能使其成為傳統(tǒng)遠(yuǎn)程訪問(wèn)解決方案的更安全替代方案,允許組織實(shí)施零信任策略以更好地保護(hù)其數(shù)據(jù)和用戶。制定淘汰計(jì)劃:Gartner建議執(zhí)行完整的設(shè)備和合同清單,并制定逐步淘汰本地周邊和分支機(jī)構(gòu)安全設(shè)備的時(shí)間表。然后,這些解決方案可以替換為托管在云中的SASE功能。整合供應(yīng)商:SASE提供了廣泛的安全功能的完整集成,消除了對(duì)來(lái)自多個(gè)供應(yīng)商的獨(dú)立解決方案的需要。切換到SASE可以簡(jiǎn)化和簡(jiǎn)化從解決方案獲取到長(zhǎng)期監(jiān)控和維護(hù)的安全的各個(gè)方面。執(zhí)行分支機(jī)構(gòu)轉(zhuǎn)型:部署在每個(gè)物理位置的安全設(shè)備創(chuàng)建了一個(gè)復(fù)雜而龐大的安全架構(gòu)。努力將這些解決方案遷移到云端集中并簡(jiǎn)化了組織的安全性。除了這些短期目標(biāo)之外,Gartner還概述了組織應(yīng)該追求的一些長(zhǎng)期目標(biāo)。這些主要集中在利用SASE的安全集成和ZTNA功能來(lái)集中和簡(jiǎn)化整個(gè)企業(yè)的安全操作。
大多數(shù)公司將需要制定一項(xiàng)多年戰(zhàn)略以遷移到 SASE。雖然這一戰(zhàn)略因公司而異,但Gartner 提出了一條適用于所有公司的建議:立即開(kāi)始這一過(guò)程。
不難發(fā)現(xiàn),無(wú)論是Forrester還是Gartner,都將SASE的落地分為了多個(gè)步驟,并建議從ZTNA(零信任網(wǎng)絡(luò)訪問(wèn))技術(shù)替代入手,之后再持續(xù)不斷地淘汰和完善安全和網(wǎng)絡(luò)功能,這表明實(shí)現(xiàn)SASE或零信任,從來(lái)不是一蹴而就的事。
回到開(kāi)頭的問(wèn)題,零信任和SASE模式是什么關(guān)系?哪種模式更適合自己的業(yè)務(wù)?相信看完本文就能明白,答案在很大程度上無(wú)關(guān)緊要,因?yàn)榇鸢覆粫?huì)影響任何人的業(yè)務(wù)或安全策略。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購(gòu)和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營(yíng)
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過(guò)熱挑戰(zhàn),交付延期引發(fā)市場(chǎng)關(guān)注
- 馬斯克能否成為 AI 部部長(zhǎng)?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號(hào)發(fā)布,意外泄露引發(fā)關(guān)注
- 無(wú)人機(jī)“黑科技”亮相航展:全球首臺(tái)低空重力測(cè)量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開(kāi)展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢(shì)拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。