《2022SASE技术与应用场景白皮书.docx》由会员分享,可在线阅读,更多相关《2022SASE技术与应用场景白皮书.docx(46页珍藏版)》请在优知文库上搜索。
1、f1.e技术与应用场景白皮书(2022年)1. SASE发展ISUR41.1 企业流量向云端发展,传统架构难以满足需求变化41.2 安全访问服务边缘应运而生,助力产业与技术升级61.3 国外SASE发展起步较早,国内SASE取得阶段性成果71.4 SASE产业发展迅速,数字化转型和安全合规成为驱动力92. SASE关键技术与架构122.1 SASE构建四大能力域,全面支撑差异化场景服务132.2 SASE实现技术融合,网络、安全和管控技术成为关键212.3 SASE部署架构灵活多样,按需调用不同能力组件313. SASE应用场景363.1 场景一:多分支机构安全组网363.2 场景二:企业安全
2、合规建设393.3 场景三:企业混合办公413.4 场景四:物联网安全防护444. SASE未来展望464.1 SASE市场进入快速增长期,各方竞争逐渐激烈464.2 SASE具备技术融合优势,Al和5G赋能技术创新474.3 SASE应用领域与场景将向泛在化发展481. SASE发展概况1.1 企业流量向云端发展,传统架构难以满足需求变化传统网络及网络安全架构,是为企业数据中心即用户和设备访问所需实体中心而设计的。我国数字经济全面发展需要新的数字基础设施,2020年随着新基建自上而下的推动,5G成为数字经济时代的基础设施,5G网络使组织能够在其网络和基础架构中分发大量数据,云端业务计算压力陡
3、增,迫切需要计算能力下沉到边缘。因此,我们很可能会看到由于配置错误,网络管理不善以及这些网络之间的安全集成而产生的主要安全风险,这意味着网络安全风险会直接影响业务运营。对于IT业务和网络安全管理者来说,实施复杂的策略阻止潜在的网络攻击将变得更加困难,所以企业需要创建一个更强大的边缘网络。与此同时,数字化转型的目标是让软件成为企业的核心能力,同时把软件作为数字服务对外输出成为企业的核心业务,最终实现企业数字化转型。在这个过程中,应用会更多的迁移到云端,基于云的架构设计和开发模式越来越多地采用云原生模式进行,包含了技术(微服务,敏捷基础设施),也包含管理(DevOps,持续交付等),是一系列ClO
4、Ud技术集合,具有速度快,敏捷强等特点。所以安全和业务速度的外在需要变为推动企业数字化转型和业务扩张的内生需求。在此背景下,企业发展越来越多地呈现门店或分支机构协同的、分散化经营模式,虽然显着提高生产力和效率,但同时伴随着安全和效率挑战。2020年初全球新冠疫情的爆发,企业上云、远程移动办公的趋势持续扩大,而且是常态化,于此给企业带来的挑战是网络开销,即业务服务质量,用户速度体验,以及安全问题,其表现为:网络应用感知不足:网络拥塞导致的丢包和无序数据包对应用程序的影响非常大,数据包丢失会严重影响延迟敏感的应用程序(如视频、VOIP和Web会议)。远程接入性能较低:为了加快业务响应速度,满足移动
5、办公需求,不得以开放业务端口或者VPN通道让用户进行远程接入业务,导致网络暴露面增大,非常容易造成数据泄露或者被破坏;疫情期间很多公司远程办公员工的比例可能接近50%或70%,VPN并发量斗增,所需的许可证和处理能力需求越多,产生不可预见的成本和额外的网络延迟。数据安全威胁增加。随着边缘计算应用增加,公有云服务之间的数据驻留和移动扩大了企业安全边界,增加了数据安全风险,容易在安全团队不知情的情况下发生事故。随着面向数据安全的网络攻击方式不断升级,利用云提供商的功能使用合法凭据模仿用户行为的攻击手段出现,对于传统的安全工具来说,检测这些看似合法的行为是极其困难的。上述挑战说明企业现有的IT基础设
6、施不够灵活,需要构建动态、灵活、弹性的网络和安全基础设施,SASE在此背景下应运而生,成为企业IT架构转型的方向。1.2 安全访问服务边缘应运而生,助力产业与技术升级2019年,知名信息技术研究公司Gartner在报告网络安全的未来在云端中首次提出SASE(SecureAccessServiceEdge)的概念,并定义为是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务,行业内普遍将SASE的中文名译为“安全访问服务边缘。SASE概念的提出引起了行业各界巨大关注。中国信息通信研究院率先开展SASE能力要求标准化工作,将SASE定义进行提炼,认为SAS
7、E是一种将网络连接能力与安全能力基于云计算统一交付的服务模型,如图1所示。图1SASE服务模型下面围绕组成SASE的四个词语具体阐述SASE的内涵。安全(Secure):SASE安全性设计使用户能够直接访问云资源,而无需通过M1.PS或VPN连接,在SASE云原生大规模服务边缘中统一向用户提供云访问安全代理,安全Web网关,远程浏览器隔离,入侵防御等安全能力,抵御复杂的网络攻击和数据丢失,防止基于Web的威胁和恶意软件,同时具备低延迟和高可用性。访问(Access):身份附加到每个企业资源的访问主体:人员,应用程序,服务或设备。身份决定了资源,而不是其实际位置。身份作为广泛而动态的上下文感知的
8、一部分,可驱动每个流的风险和网络服务配置文件,以及身份验证方法,威胁检查和数据访问授权的混合结果。安全和网络融合的好处是在整个访问生命周期中注入了身份,从确保服务质量到应用风险驱动的安全控制。服务(SerVice):将网络能力和安全能力以服务的形式提供给用户。企业运维不再需要学习复杂的网络和安全设备,不再需要面对复杂的网络安全建设进行规划,按需购买SASE厂商提供的服务即可完成建设目的,企业侧轻量化,不再购买硬件资产,服务的切换也将变得更加简单。边缘(Edge):经济和技术的演变带来了多种多样的接入方式,每一个需要接入内网的分支机构、移动办公、居家办公、物联网设备等场景都可以看作为企业整张内网
9、的边缘。SASE需要做到支持所有的终端接入并加以有效的管理能力,形成一张综合可控的企业网络。SASE将大部分的安全能力集成在Pc)P中,网络边缘除去基础安全能力外,最为重要的就是快速便捷的接入,一旦有分支或个人因为技术原因导致使用传统方式接入,那么整个SASE带来的安全体系就会变得毫无意义。1.3 国外SASE发展起步较早,国内SASE取得阶段性成果阶段一:先于Gartner,国内外安全厂商已在探索SASE理念的解决方案国外不同领域的厂商选择切入网络安全的角度则有所不同。着重于网络解决方案的CatoNetworks的云原生架构不断融合SD-WAN技术,加强其全球化骨干网络的发展,完善其资源和移
10、动设备的网络安全。主营网络安全的Fortine则是不断发展安全web网关技术。整体来看,这一时期国外明确探索且靠拢安全访问服务边缘的厂商比例不足l%o国内方面,以深信服为代表的安全厂商以在探索将现有的安全能力转移到边缘节点上,并提供以身份为核心的访问控制功能。这个阶段SD-WAN网络虚拟化等技术给产业带来新的革命,使得网络服务不再是“重资产”的项目,云、安全等服务商尝试涉足网络领域。阶段二:Gartner提出SASE概念,国内外市场较为混乱,炒作大于实际2019年,Gartner提出SASE概念。SASE理念一经定义,行业与客户的热情不断激增,以至于SASE供应商无法满足大量企业需求。与此同时
11、,供应商的炒作也使得SASE的市场理念越发复杂。SASE在国内市场中则基本处于混乱的概念炒作,部分机构厂商基于自己的理念将网络、安全做了部分融合,结合边缘安全推出SASE解决方案,另一部分厂商更采用“新瓶装旧酒”的策略,将具备优势的产品一并打包推向市场,包装为“SASE”进行宣传。阶段三:SASE标准化工作初有成果,行业逐渐达成共识在企业数字化转型和业务上云的趋势下,企业需要随时随地访问云端的应用和服务。各机构及厂商便开始讨论研究SASE标准化,标准逐渐清晰,即近源部署,分布互联,通过SD-WAN将网络和安全整体交付于用户,整体提升访问效率和访问安全。为用户带来统一管控,部署灵活,安全接入等优
12、势。阶段四:SASE逐步落地,距离大规模应用仍存在一定距离新型技术领域包括云计算、大数据、人工智能等技术的发展驱动了企业信息化变革,由此带来的网络结构变化、安全人员数量和素质需求增加让SASE以轻便、简洁、快速、安全的优势被国内厂商重视,逐步推出自己的SASE产品,但现阶段企业尚未进入大规模采用阶段,企业在实施SASE落地过程中,如何解决漫长的硬件寿命更换周期和现有的软件合约带来的替换成本过高的问题也迫在眉睫。1.4 SASE产业发展迅速,数字化转型和安全合规成为驱动力1.4.1 企业数字化转型安全挑战随着“中国制造2025”全面推进、企业数字化、智能化、网络化加速发展,云计算、大数据、物联网
13、等新技术的应用,网络边界的模糊以及业务资源的整合与再分配都对网络安全架构提出了新的挑战。传统烟囱式的建设模式,每个业务系统拥有独立的安全防护设备,业务系统规模较小,网络结构简单,各个系统间边界清晰,资源独立,安全运维也相对简单。在数字化时代,数据大集中带来业务系统规模的激增,云计算技术的大规模应用以及租户的出现,使得网络边界完全被打破,业务资源池化,原有碎片化的安全架构已不能适应业务架构的融合与扩张。海量业务在上线过程中,安全系统的部署会由于访问量和应用的多样性为最大的瓶颈。企业如何差异化实现业务系统的安全快速、便捷开通,也成为数字化转型过程中的重要课题。SASE作为云上安全能力的统一节点,贯
14、通企业数字化转型中涉及的全部连接,可有效降低网络复杂度,快速打通企业的云端和地端,同时,将安全能力上移到SASE,通过统一在SASE平台订阅网络及安全能力,集中管理与下发,减轻运维压力,解决传统架构带来的安全问题,切实缓解数字化企业IT建设之痛,对未来企业的IT架构发展具有深远影响。1.4.2 轻量化服务模式快速发展2020年9月,工信部关于促进网络安全产业发展的指导意见(征求意见稿)指出“创新网络安全服务模式,提升网络安全专业化服务水平,实现产业发展逐步由产品主导向服务主导转变”,为我国网络安全服务发展奠定了政策基调。伴随着全球范围内的数字化转型,新技术、新系统对网络安全的诉求变得日益复杂和
15、精细化,安全即服务正在成为新的发展趋势。一方面,新冠疫情发生以来,传统的线下组织业态和商业模式受到影响,企业的安全产品采购延迟,现场网络安全支撑和服务阻滞,各行各业面临更加严重的网络安全威胁。在此形势下,安全服务应运而生。安全服务打破了时间、地域的限制,同时也在一定程度上降低了安全企业及其客户的成本,成为网络安全新的服务形式。另一方面,当下企业业务正在加速向云端迁移,与云服务相配套的安全即服务面临新的发展机遇。云应用时代,本地的安全产品部署不足以应对日益严峻的安全威胁,以高质低价、云端交付、按需付费为主要特点的安全即服务正在成为新的业务布局方向。SASE以本地化、轻量化的云服务形式交付网络和安
16、全,利用其云原生架构,可为企业提供全面、敏捷、弹性的安全服务,以应对应用云化带来的挑战,为客户提供成本更低、效率更高、更为全面的平台,快速适应新型业务的需求。1.4.3 安全合法合规建设要求从2017年中华人民共和国网络安全法正式颁布实行,到2019年等级保护2.0的正式实施,国家已将网络安全领域纳为基本国策、基本制度,需要企业构建事前、事中、事后全流程的合规监控体系。因此,如何在信息化建设过程中,加强安全防御体系建设,实现统一监管,符合政策合规要求,已成为摆在管理者案头的重要课题。但企业客户往往面临分支数量众多,分支安全建设水平参差不齐、防护能力差异较大,分支安全薄弱极可能影响企业总部及整个网络的安全性,但如果各分支均采用传统硬件设备进行网络建设,无疑会带来一次性建设成本