未來(lái)安全架構(gòu)需要SASE的原因有哪些

本篇內(nèi)容介紹了“未來(lái)安全架構(gòu)需要SASE的原因有哪些”的有關(guān)知識(shí)，在實(shí)際案例的操作過(guò)程中，不少人都會(huì)遇到這樣的困境，接下來(lái)就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

傳統(tǒng)邊界被消解，網(wǎng)絡(luò)安全架構(gòu)該如何選擇？

在回答這個(gè)問(wèn)題之前，首先要明白一個(gè)問(wèn)題：結(jié)構(gòu)化框架為何如此重要。

它的重要性主要來(lái)源于三大原因：

1、它能夠?yàn)槠髽I(yè)提供一種通用語(yǔ)言來(lái)評(píng)估和提高企業(yè)的安全計(jì)劃。

2、它能夠精準(zhǔn)測(cè)量安全風(fēng)險(xiǎn)水平。

3、能使企業(yè)實(shí)現(xiàn)更有效的溝通——不僅局限于IT團(tuán)隊(duì)間的溝通，而是更多地把IT團(tuán)隊(duì)的做法與其他業(yè)務(wù)部門、高管團(tuán)隊(duì)，進(jìn)行有效的溝通和對(duì)話。

當(dāng)前的結(jié)構(gòu)化框架不少，有NIST網(wǎng)絡(luò)安全框架、MITER攻擊框架等。

Gartner的SASE的結(jié)構(gòu)化框架的概念并非最新，但SASE的框架最新。在Siddharth Deshpande眼中它是“最有用的一個(gè)框架”。

那么在眾多結(jié)構(gòu)化架構(gòu)之間該如何決策呢？

先看NIST網(wǎng)絡(luò)安全框架。

NIST網(wǎng)絡(luò)安全框架頗受業(yè)內(nèi)追捧，主要在于能夠幫助企業(yè)思考“應(yīng)該要做哪些事情”，并在不同的功能之間實(shí)現(xiàn)一種權(quán)衡。

在功能上，NIST框架優(yōu)勢(shì)有二：識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等；幫助企業(yè)以更有效的方式與高管團(tuán)隊(duì)進(jìn)行溝通。

除此之外，其缺點(diǎn)明顯——它僅僅告訴企業(yè)開始思考要做什么，但并沒有告訴其如何去做。

例如，企業(yè)打算把60%的安全預(yù)算投入到“響應(yīng)”或“檢測(cè)”活動(dòng)中，但并不知道如何完成這個(gè)目標(biāo)，這也并非NIST網(wǎng)絡(luò)安全框架設(shè)計(jì)的初衷。

再看MITER攻擊框架。

此框架優(yōu)勢(shì)明顯，技術(shù)上，它能夠良好地建立起威脅建模，且能夠非常好地幫助安全團(tuán)隊(duì)構(gòu)建風(fēng)險(xiǎn)路線圖。

但缺點(diǎn)也不容忽視，比如它無(wú)法很好地將“安全計(jì)劃”的有效性以及投入和預(yù)算跟高管團(tuán)隊(duì)進(jìn)行有效溝通，使得此框架成為非常具像化的操作層面、技術(shù)層面的框架，并不利于組織層面的溝通。

在數(shù)字化時(shí)代下，安全體系架構(gòu)設(shè)計(jì)出現(xiàn)了新的需求，即“數(shù)字化業(yè)務(wù)和邊緣計(jì)算具有反向訪問(wèn)要求”。

何意？

目前，許多應(yīng)用程序不僅存在于企業(yè)的數(shù)據(jù)中心內(nèi)，用戶也不僅在企業(yè)內(nèi)部網(wǎng)絡(luò)中。換言之，不少企業(yè)的消費(fèi)者遍布全球，傳統(tǒng)關(guān)于“應(yīng)用定義”的邊界也不復(fù)存在。

此背景下，因要求企業(yè)將所有流量返回?cái)?shù)據(jù)中心，所有部署以數(shù)據(jù)中心為一個(gè)核心，傳統(tǒng)的安全架構(gòu)體系難以奏效。

例如，企業(yè)每一次做出一個(gè)“訪問(wèn)”或“拒絕訪問(wèn)”的安全決策時(shí)，每一個(gè)決策的“語(yǔ)言”都會(huì)轉(zhuǎn)送、重新路由回?cái)?shù)據(jù)中心中，這將造成諸多流量問(wèn)題。

SASE：重新定義網(wǎng)絡(luò)安全和架構(gòu)

解決上述問(wèn)題，需要回到“第一原則”，即最核心的底層設(shè)計(jì)原則。

Gartner SASE的“第一原則”是，所有流量不再?gòu)?qiáng)迫回流到數(shù)據(jù)中心，而是把所有的安全控制分布在離用戶、應(yīng)用、所有消費(fèi)者最近的地方，并通過(guò)安全邊緣來(lái)實(shí)現(xiàn)安全控制的分布。

Akamai是通過(guò)SASE框架，把安全控制分布在離用戶和應(yīng)用程序最近的地方，而且結(jié)合了網(wǎng)絡(luò)即服務(wù)以及網(wǎng)絡(luò)安全即服務(wù)這兩個(gè)概念的優(yōu)勢(shì)，通過(guò)一個(gè)連接框架來(lái)實(shí)現(xiàn)。

“當(dāng)SASE這個(gè)概念首先提出來(lái)的時(shí)候，我們發(fā)現(xiàn)它非常符合‘第一原則’、也非常符合Akamai在二十多年前就已經(jīng)提出來(lái)的設(shè)計(jì)原則——即將安全控制分布在全球各地、而不是使用一種集中化的手段進(jìn)行處理，這種互聯(lián)的框架可以使整個(gè)框架更具韌性、靈活性，可以更好地幫助企業(yè)實(shí)現(xiàn)其安全要求。”Siddharth Deshpande如此表示。

SASE框架不僅告訴企業(yè)“要做什么”，還告訴“怎么去做”，相當(dāng)于結(jié)合了上述兩種框架的優(yōu)勢(shì)。

具體來(lái)看，SASE方法主要在四個(gè)層面使安全計(jì)劃受益。

1、啟用新的數(shù)字化業(yè)務(wù)場(chǎng)景。

通過(guò)將“安全控制”進(jìn)行分布化的部署之后，企業(yè)就能更加便捷、更加適應(yīng)于外部的一些變化，這能讓企業(yè)快速調(diào)整自己的安全和技術(shù)策略，而無(wú)需做出很多安全方面的讓步。

去年新冠疫情，Akamai幫助了非常多的企業(yè)通過(guò)SASE架構(gòu)構(gòu)建安全運(yùn)營(yíng)。

其中，Akamai的一位企業(yè)客戶擁有兩萬(wàn)名用戶，需要把所有的“本地化”工作全部移至“遠(yuǎn)程辦公”環(huán)境，Akamai在兩周內(nèi)完成這一艱巨任務(wù)，并使用了邊緣框架的方式幫助企業(yè)不影響業(yè)務(wù)的連續(xù)性和服務(wù)交付。

該企業(yè)的這次成功經(jīng)歷，來(lái)源于疫情前“SASE旅程”的謀劃、“如何構(gòu)建未來(lái)的一種安全架構(gòu)”的思考。

2、提高效率并降低安全計(jì)劃的復(fù)雜性。

SASE框架能夠幫助很多企業(yè)很好地進(jìn)行安全廠商數(shù)量整合。所以在選擇安全廠商的時(shí)候，企業(yè)會(huì)選擇用例范圍最廣的廠商，選擇那些在過(guò)去已被證明有效、有韌性的安全架構(gòu)廠商。無(wú)論怎樣，僅僅從安全廠商數(shù)量的削減本身就已經(jīng)釋放了企業(yè)非常大的精力，讓企業(yè)從帶寬和時(shí)間上更有余力從事一些附加值較高的業(yè)務(wù)。

3、針對(duì)未來(lái)威脅場(chǎng)景和攻擊而設(shè)計(jì)。

實(shí)際上，沒人能夠預(yù)測(cè)未來(lái)的攻擊，以及針對(duì)未來(lái)攻擊應(yīng)采取的預(yù)防方式。但一旦企業(yè)有了合適的安全架構(gòu)做好準(zhǔn)備的話，就能夠?qū)ν獠匡L(fēng)險(xiǎn)和威脅做好響應(yīng)、保護(hù)自身安全。

Akamai發(fā)現(xiàn)不少企業(yè)受到第三方惡意腳本攻擊，企業(yè)內(nèi)部敏感數(shù)據(jù)被竊取。于是，Akamai發(fā)布了Page Integrity Manager解決方案。

它基于之前跟企業(yè)合作搭建起的基礎(chǔ)架構(gòu)平臺(tái)之上的、無(wú)需企業(yè)重新創(chuàng)立的新架構(gòu)。通過(guò)構(gòu)建這種邊緣架構(gòu)，企業(yè)能在現(xiàn)有的平臺(tái)和架構(gòu)上發(fā)起新的防御手段，而不需要再去構(gòu)建新的硬件設(shè)備或架構(gòu)。

4、改善用戶體驗(yàn)和安全性。

網(wǎng)絡(luò)安全企業(yè)經(jīng)常面臨一個(gè)悖論：為提高完全性，需要不斷增加安全控制，但如此又將損害用戶體驗(yàn)。SASE框架可以讓企業(yè)“兩手”抓——既能夠提高安全性，也能改善用戶體驗(yàn)。

Akamai的SASE實(shí)踐及建議

Akamai關(guān)于SASE框架的案例體現(xiàn)在“零信任安全訪問(wèn)”上。

通過(guò)“零信任安全訪問(wèn)”，Akamai幫助企業(yè)真正部署“云訪問(wèn)”安全代理，無(wú)論企業(yè)的應(yīng)用程序或用戶處于何時(shí)何地都能實(shí)現(xiàn)一致化的保護(hù)，而且通過(guò)“多因素身份驗(yàn)證”來(lái)應(yīng)對(duì)各式各樣的安全挑戰(zhàn)。此外，Akamai在終端部署安全控制以及Web安全網(wǎng)關(guān)等方面均能提供全方位的保護(hù)。

所以從廣意上講，“信任”并不是一項(xiàng)隱含屬性，也就是說(shuō)企業(yè)不能一蹴而就、永遠(yuǎn)不去管它了，企業(yè)需要不斷進(jìn)行評(píng)估，這點(diǎn)跟“零信任”非常像。

“零信任”跟SASE的區(qū)別在于，零信任更多針對(duì)某一具體的安全領(lǐng)域，如應(yīng)用程序訪問(wèn)等具體安全領(lǐng)域。而SASE更多是從廣義上、更廣泛的范圍進(jìn)行討論，它會(huì)針對(duì)如何使用“零信任”這個(gè)框架提出相應(yīng)建議。

另一個(gè)經(jīng)常被忽視的用例，是SASE可應(yīng)用在Web、API、安全級(jí)服務(wù)領(lǐng)域。所以企業(yè)可以利用SASE應(yīng)對(duì)諸如DDoS攻擊、API攻擊或跨站腳本攻擊等安全隱患。

很多攻擊者非常清楚企業(yè)的IP地址或域名，所以關(guān)于網(wǎng)站、API的保護(hù)也是SASE非常常見、卻常常忽視的一個(gè)用例。

在市場(chǎng)需求和廠商的博弈下，Siddharth Deshpande告訴雷鋒網(wǎng)可以三個(gè)維度對(duì)廠商進(jìn)行綜合取舍。

首先，安全用例的涵蓋范圍。企業(yè)須保證廠商在“安全用例”方面的覆蓋范圍非常得廣，也就是不僅針對(duì)某一具體的安全領(lǐng)域、還應(yīng)涉及更廣泛的用例。

第二，平臺(tái)的韌性和可及范圍。廠商應(yīng)該有一系列業(yè)經(jīng)證明的韌性，無(wú)論是平臺(tái)、框架還是基礎(chǔ)架構(gòu)的構(gòu)建。不能說(shuō)這家廠商能提供云服務(wù)，就把它稱之為SASE廠商。廠商應(yīng)該有全球分布的邊緣網(wǎng)絡(luò)，在整個(gè)服務(wù)的可用性、可及性方面都有可被證明的韌性，才能符合條件。

第三，產(chǎn)品愿景的深度。這個(gè)“愿景”應(yīng)該是可持續(xù)性的，無(wú)論是從路線圖、還是從規(guī)劃來(lái)看，都應(yīng)是廣博的愿景。

“未來(lái)安全架構(gòu)需要SASE的原因有哪些”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注億速云網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實(shí)用文章！