Gartner最新的“安全領(lǐng)域新興技術(shù)及趨勢(shì)影響雷達(dá)”(Emerging Technologies and Trends ImpactRadar: Security)顯示,安全服務(wù)及接入邊緣技術(shù)具有極高重要性,并在未來一至三年,市場(chǎng)會(huì)落地關(guān)于安全服務(wù)及接入邊緣的融合架構(gòu)。因此,中國(guó)企業(yè)和廠商有必要研究這個(gè)新興市場(chǎng)以及安全服務(wù)的演進(jìn)。
為何市場(chǎng)會(huì)產(chǎn)生安全服務(wù)演進(jìn)
傳統(tǒng)企業(yè)的數(shù)據(jù)中心架構(gòu)(如圖一所示)大多為從分支機(jī)構(gòu)上行的一個(gè)信息網(wǎng)絡(luò)連接到總部的數(shù)據(jù)中心,然后從互聯(lián)網(wǎng)區(qū)再連接到互聯(lián)網(wǎng),此外還有“云”上部署的應(yīng)用。目前,很多中國(guó)的數(shù)據(jù)中心基本為該架構(gòu)。
圖一
但為何稱這樣一個(gè)從數(shù)據(jù)中心到互聯(lián)網(wǎng)再到“云”的架構(gòu)較為傳統(tǒng)?因?yàn)槠髽I(yè)的應(yīng)用大多沒有“上云”、“上云”的應(yīng)用基本為互聯(lián)網(wǎng)應(yīng)用。隨著未來更多的企業(yè)應(yīng)用“上云”,西方“云優(yōu)先”的市場(chǎng)目前已采用圖二所示的架構(gòu)——數(shù)據(jù)中心內(nèi)存在很多應(yīng)用,且傳統(tǒng)應(yīng)用遷移至云、企業(yè)的數(shù)據(jù)中心愈發(fā)強(qiáng)大。企業(yè)分支機(jī)構(gòu)的員工在訪問數(shù)據(jù)中心應(yīng)用時(shí),不僅可以訪問數(shù)據(jù)中心應(yīng)用,還能訪問數(shù)據(jù)中心以外以及遷至云上的應(yīng)用。因此,每家分支機(jī)構(gòu)具有兩條線——一條代表通往數(shù)據(jù)中心,另一條代表通往云上的SaaS類應(yīng)用。
圖二
我們亦可把圖二描繪成另一個(gè)場(chǎng)景——企業(yè)員工或客戶通過多種數(shù)字化接觸訪問不同的數(shù)據(jù)和應(yīng)用。數(shù)字化接觸可以是手機(jī)、物聯(lián)網(wǎng)或觸摸屏。在此情況下,保證“訪問安全”對(duì)企業(yè)而言至關(guān)重要,因?yàn)樗袛?shù)字化接觸都會(huì)接入互聯(lián)網(wǎng),但企業(yè)不可能在每一家分支機(jī)構(gòu)或“云”上都部署一套邊緣棧。若用傳統(tǒng)數(shù)據(jù)中心的方式來管理目前新型廣域網(wǎng)及應(yīng)用外遷到“云”的這樣一個(gè)現(xiàn)實(shí)場(chǎng)景的話,企業(yè)就需要很多套邊緣棧安全設(shè)備、防火墻來管理不同的安全邊界。然而,現(xiàn)在的安全邊界已不在數(shù)據(jù)中心,而是外擴(kuò)到各種各樣的邊緣、云場(chǎng)景之中,因此企業(yè)需要新的網(wǎng)絡(luò)安全架構(gòu)。針對(duì)數(shù)字化接觸,企業(yè)需要具備基于“策略”(policy-based)的接入方式,即通過基于策略的接入到各種分布式的邊緣、再到互聯(lián)網(wǎng)邊緣、最后到互聯(lián)網(wǎng)或企業(yè)的核心應(yīng)用。因此,SaaS其實(shí)是面對(duì)分布式邊緣所定義的全新安全及網(wǎng)絡(luò)架構(gòu)。
圖三
當(dāng)前的SD-WAN是非常重要的技術(shù)改進(jìn)推動(dòng)力。其在管理各種各樣下層網(wǎng)絡(luò)的同時(shí),還可作為軟件被靈活部署在所有硬件之上。這當(dāng)中的SD-WAN就變?yōu)榱藦V域網(wǎng)的邊緣,若廣域網(wǎng)下層架構(gòu)發(fā)生改變,很多互聯(lián)網(wǎng)的出口不只在數(shù)據(jù)中心、會(huì)在眾多分支機(jī)構(gòu)或邊緣的接入應(yīng)用中,此時(shí)企業(yè)下層的網(wǎng)絡(luò)會(huì)有很多的非信任外部網(wǎng)絡(luò),因此企業(yè)需要具備針對(duì)所有數(shù)據(jù)化接觸的安全策略來加以保護(hù)。如圖三所示,網(wǎng)絡(luò)安全接入服務(wù)保護(hù)所有的網(wǎng)絡(luò)接入,廣域網(wǎng)的邊緣與安全服務(wù)兼容、成為了一個(gè)新的“安全服務(wù)接入邊緣”融合架構(gòu)。當(dāng)企業(yè)不清楚訪問流量是否存在風(fēng)險(xiǎn)時(shí),應(yīng)當(dāng)考慮CASB——CASB是云接入服務(wù)的中介。企業(yè)數(shù)據(jù)可能存放在數(shù)據(jù)中心或云上,當(dāng)公有云上的SaaS服務(wù)要訪問數(shù)據(jù)時(shí),企業(yè)可以用CASB來管理風(fēng)險(xiǎn),即所有訪問先經(jīng)過CASB“大門”、SaaS應(yīng)用與訪問相互集成,讀取的數(shù)據(jù)返至CASB應(yīng)用、再返至授權(quán)數(shù)據(jù),通過全程監(jiān)控保護(hù)數(shù)據(jù)安全。若用戶訪問企業(yè)專用應(yīng)用,亦可用同樣方式進(jìn)行保護(hù)。企業(yè)可以用CDN進(jìn)行加速、SD-WAN進(jìn)行連接,同時(shí)使用CASB、SWG等保護(hù)訪問安全。從這個(gè)角度來看,將網(wǎng)絡(luò)模塊與安全模塊融合成一個(gè)安全接入服務(wù)平臺(tái)即是SASE。SASE包含五個(gè)核心模塊:SD-WAN、Firewall as aservice(FWaaS)、SWG、CASB和零信任網(wǎng)絡(luò)接入。現(xiàn)在不少安全廠商具備兩至三個(gè)模塊,但鮮有具備全模塊者。
圖四
圖四展示了SASE中的各種技術(shù),Gartner認(rèn)為這些技術(shù)在未來十年會(huì)相互融合至SASE模塊中。目前,安全產(chǎn)品非常碎片化,不同產(chǎn)品具有自己的管理和控制界面,對(duì)企業(yè)使用而言不夠友好,所以這時(shí)就需要出現(xiàn)一個(gè)把這些碎片化的安全接入服務(wù)融合成一個(gè)安全接入服務(wù)的平臺(tái)。其實(shí),SASE接入不單是基于公有云的互聯(lián)網(wǎng)接入方式,也會(huì)有很多接入到企業(yè)級(jí)私有數(shù)據(jù)中心。
企業(yè)如何部署安全服務(wù)架構(gòu)
Gartner預(yù)測(cè),至2023年,20%的企業(yè)會(huì)部署來自同一家廠商的SWG、CASB、零信任網(wǎng)絡(luò)接入及分支機(jī)構(gòu)防火墻能力。2019年,Gartner觀察到該領(lǐng)域的用戶低于5%。這代表安全廠商可以通過SASE來擴(kuò)展自己的市場(chǎng)份額,SASE是一個(gè)非常重要的營(yíng)收增長(zhǎng)機(jī)會(huì)。
圖五
從終端用戶角度來看,SASE目前具有三個(gè)場(chǎng)景。首先是企業(yè)管理員工IT設(shè)備(見圖五),員工使用自己的電腦或手機(jī)接入云上的應(yīng)用。此時(shí)企業(yè)可以通過SWG實(shí)現(xiàn)DNS保護(hù)、敏感信息保護(hù)等,即員工的訪問是通過相關(guān)SASE工具接入到SASE接入點(diǎn),然后從SASE接入點(diǎn)代理再訪問互聯(lián)網(wǎng)應(yīng)用以及企業(yè)內(nèi)部資源。
圖六
第二個(gè)場(chǎng)景(見圖六)是企業(yè)外部人員訪問內(nèi)部資源。企業(yè)外部人員的設(shè)備是非管理設(shè)備,因?yàn)槠湓O(shè)備中沒有訪問工具,所以只能實(shí)現(xiàn)從SASE接入點(diǎn)到其它地方QoS的網(wǎng)絡(luò)功能。另外,因?yàn)樾枰尤氲絊ASE代理接入點(diǎn),相關(guān)的DLP等功能會(huì)就緒。一旦外部人員接入SASE時(shí),SASE就會(huì)提供安全接入保護(hù),而網(wǎng)絡(luò)功能也是在接入SASE后才能提供。
圖七
第三個(gè)場(chǎng)景(見圖七)關(guān)于物聯(lián)網(wǎng)。風(fēng)電物聯(lián)網(wǎng)存在一個(gè)匯聚點(diǎn),即物聯(lián)網(wǎng)邊緣的匯聚點(diǎn),在這之中可以收集、分析數(shù)據(jù)。邊緣的匯聚點(diǎn)可以部署SASE,如SD-WAN,所以接入到邊緣的SASE可以延伸到風(fēng)電廠、延伸到各個(gè)物聯(lián)網(wǎng)和邊緣計(jì)算,接入到企業(yè)的內(nèi)部應(yīng)用。
一些目前使用SASE的企業(yè)也在考慮是否需要把自己的數(shù)據(jù)中心連接到SASE中,或是把自己的數(shù)據(jù)中心與公有云托管的VPC進(jìn)行打通以及打通后用戶的訪問路徑。用戶可以是合作伙伴、員工或客戶,他們的訪問可以通過SASE進(jìn)行,因?yàn)榱阈湃尉W(wǎng)絡(luò)接入的安全是先授權(quán)認(rèn)證、再分派訪問權(quán)限。SASE接入點(diǎn)一定是廣泛分布性的,若接入點(diǎn)在上海或者廣州、相距較遠(yuǎn)時(shí),網(wǎng)絡(luò)時(shí)延就變成大問題,所以低時(shí)延在國(guó)內(nèi)非常重要,需要更多的分布式接入點(diǎn)加以保證。
關(guān)于分支機(jī)構(gòu)應(yīng)用的優(yōu)化。目前中國(guó)很多企業(yè)分支機(jī)構(gòu)的應(yīng)用基本放在分支機(jī)構(gòu)的小型數(shù)據(jù)中心內(nèi)。SASE會(huì)使分支機(jī)構(gòu)架構(gòu)得到改變,越來越多的分支機(jī)構(gòu)會(huì)從“重分支”變成“輕分支”,同時(shí)在“云”上會(huì)更多部署分支機(jī)構(gòu)的應(yīng)用。“輕分支”基本上是SD-WAN,因?yàn)楹芏嗟腟D-WAN自帶防火墻、一個(gè)SD-WAN就能解決問題。通過SD-WAN連接到最近的公有云VPC,分支機(jī)構(gòu)公有云直接部署在VPC上。用戶直接訪問VPC應(yīng)用時(shí)需要授權(quán)驗(yàn)證,所以企業(yè)需要SASE。SASE對(duì)于分支機(jī)構(gòu)的用戶來講,先訪問就近的SASE接入點(diǎn),通過SD-WAN訪問再接入到相關(guān)的公有云、VPC辦公室。
中國(guó)廠商如何抓住機(jī)會(huì)
Gartner預(yù)計(jì)全球SASE市場(chǎng)將在2024年達(dá)到110億美元,大中華地區(qū)市場(chǎng)規(guī)模大約為7億6千9百萬美元(見圖八)。SASE的核心功能包含SD-WAN、SWG、CASB、ZTNA、FWaaS,Line rate operation,但對(duì)中國(guó)來講,略有不同。
圖八
如圖九所示,中國(guó)目前CASB的需求很少,因?yàn)橹袊?guó)的SaaS應(yīng)用大部分是消費(fèi)者級(jí)別的應(yīng)用,真正的企業(yè)級(jí)SaaS應(yīng)用目前在中國(guó)仍有不足。很多企業(yè)級(jí)SaaS應(yīng)用存在很多安全漏洞、沒有CASB保護(hù),因此很多大型企業(yè)不敢把自己的數(shù)據(jù)直接放至其中。正因?yàn)檫@些企業(yè)用戶不是很多,所以CASB目前在中國(guó)是一個(gè)未被開發(fā)的市場(chǎng)。從SASE服務(wù)的起步階段來講,CASB在中國(guó)并不是核心模塊,更多的是SWG、零信任網(wǎng)絡(luò)安全、SD-WAN等。隨著企業(yè)級(jí)PaaS及SaaS應(yīng)用的增多,CASB在中國(guó)的趨勢(shì)會(huì)逐漸與全球同步。
圖九
Gartner認(rèn)為云原生架構(gòu)對(duì)廠商實(shí)現(xiàn)SASE服務(wù)非常重要。對(duì)于很多企業(yè)用戶來講,SASE接入點(diǎn)的部署最好離自己要近、同時(shí)要延伸到自己的數(shù)據(jù)中心之內(nèi)。企業(yè)在部署SaaS接入點(diǎn)時(shí)需要采用更加靈活的方式以便同時(shí)部署在云上和第三方數(shù)據(jù)中心內(nèi)。云原生架構(gòu)可以為企業(yè)部署SaaS服務(wù)提供更加靈活的方式和更靈活的交付。分布式的多邊云部署對(duì)北上廣深這類核心城市或各省省會(huì)城市的接入點(diǎn)非常重要。因?yàn)闀r(shí)延的優(yōu)化在中國(guó)是非常重要的“賣點(diǎn)”。SASE產(chǎn)品會(huì)變得更加容器化、微服務(wù)化,以此更好部署在其他的硬件平臺(tái)或自己提供的硬件平臺(tái)之上。
總結(jié)而言,終端用戶需考慮、研究SASE架構(gòu)和整體廣域網(wǎng)及網(wǎng)絡(luò)安全方面的架構(gòu)轉(zhuǎn)型。雖然中國(guó)疫情控制很好,但是物聯(lián)網(wǎng)、5G帶來的數(shù)字化轉(zhuǎn)型非常巨大,所以將來需考慮能否將數(shù)字化接觸反映到企業(yè)應(yīng)用上。很多企業(yè)應(yīng)用及企業(yè)數(shù)據(jù)很可能都放到“云”上,雖然目前傳統(tǒng)方式是主流,但越來越多的企業(yè)進(jìn)行IT規(guī)劃時(shí),已在考慮部分的數(shù)據(jù)外遷,所以SASE是企業(yè)敏感數(shù)據(jù)外遷后的重要保護(hù)手段。另一方面,SASE需要整個(gè)廣域網(wǎng)的架構(gòu)做出改變,如建立分支機(jī)構(gòu)的本地接入互聯(lián)網(wǎng)、考慮SD-WAN廠商是否有SD-WAN防火墻等。廠商越多,企業(yè)的管理復(fù)雜度越高,所以企業(yè)需要做出戰(zhàn)略性變化。企業(yè)級(jí)的SaaS應(yīng)用一定要考慮SASE保護(hù)。公有云上的數(shù)據(jù)如沒有安全工具保護(hù),會(huì)存在數(shù)據(jù)泄漏或丟失的風(fēng)險(xiǎn),而CASB這類工具可以把未知風(fēng)險(xiǎn)降低。“SASE保護(hù)”不一定需要全部五個(gè)模塊,企業(yè)在設(shè)計(jì)SASE部署戰(zhàn)略時(shí),需要明晰用到哪些模塊,如此,在選擇安全廠商時(shí)才能更得心應(yīng)手。同時(shí),廠商需清楚自己是何種廠商。管理服務(wù)提供商需考慮如何快速切入SASE市場(chǎng),因?yàn)榍腥隨ASE市場(chǎng)能夠?yàn)槠淇焖偬峁┬碌臉I(yè)務(wù)增長(zhǎng),如幫助海外SASE廠商進(jìn)入中國(guó),或幫助國(guó)內(nèi)SASE服務(wù)廠商建立接入點(diǎn)、提供相關(guān)的服務(wù)。技術(shù)提供商需考慮SASE的產(chǎn)品戰(zhàn)略,還要考慮如何做到云原生的SASE。