误区一:SASE必须零菊花链
Gartner在2019年的企业网络成熟度曲线中的一个队虚拟机服务链(菊花链)的警告,有时候会误导人们:“软件架构和部署非常重要。需要注意厂商会通过(虚拟机)服务链连接大量的功能,尤其当产品来自不少收购项目或者通过合作伙伴提供的时候。这种方式可能会加速市场扩张速度,但结果可能导致服务不连续、管理难度高、以及延迟高的问题。”
解决方案结构固然重要,而且客户确实希望减少菊花链数量来降低复杂性。然而,这不代表在解决方案中完全不需要菊花链。事实上,零菊花链也会有问题——不是性能问题,而是安全问题。
SASE会将多种安全技术集成到一个服务中,但是很多这些技术现在都是独立的——每一种技术都会有自己领域的领导者和落后者。任何一个要求零菊花链的客户其实都得相信某一个SASE供应商能够完全独立打造横跨多个领域的最佳技术——而且还会不停地升级自己技术的深度和广度。事实上,考虑到菊花链可以将业界最佳技术集成到一个供应商的方案中,认定某一家厂商显然并不可行。当然,这里还有几个菊花链是必须的原因:
- 没有任何一个厂商,尤其是初创厂商,可以在保证产品的成熟度、有效性的情况下,提供SASE所有安全领域产品,以满足业务在当下攻击环境下的期望。SASE的能力应该建立在严酷的攻防斗争之上,而大部分初创企业显然很难坚持下来。
- 任何因菊花链产生的复杂性应该由供应商自己来管理,而非让这个情况影响客户。如果一个SASE平台的表现超出预期,那有多少菊花链又有什么关系呢?
- “零菊花链”意味着大量的技术收购和市场吞并,从而表示会有一小部分巨型SASE供应商掌握了极大的市场资源,就会抑制创新的同时,提升价格。这对甲方来说并不是好事。
误区二:SASE必须全云化
SASE围绕云环境展开,毫无疑问能通弄过基于云的安全能力实现速度和灵活性。然而,SASE并不是只有通过云才能实现。实际上,IT领导人员应该用一些更实际的方式落地SASE,基于现在情况和问题使用最好的技术。举例而言,本地部署的NGFW对大型办公环境而言依然是最佳选择;因为在该环境下,性能和总成本是关键。如果SASE的部署方案是“云优先”,而非“云唯一”,那么就要确保解决方案适合自己的需求。
误区三:SASE会解决所有安全问题
千万别认为SASE是个完整的解决方案。SASE涵盖了很多领域,但是绝不包含一个企业需要的所有远程办公和多云环境相关的安全技术。比如,CWP和EDR对保护用户和云计算环境非常关键,但却并非是SASE框架的一部分。尽管EDR是针对恶意软件的主要技术,但因为它并不一定需要网络流量检查才能工作,因此在SASE之外;EDR实际上是基于代理的解决方案,对操作系统活动和完整性进行监测。
另外,SASE只应用于一个有效安全项目的技术部分,还是需要有人类专家进行24/7的安全监控和成熟的事件响应。如果没有专注的安全分析师团队,安全技术就会无效——无论它们是否包括在SASE中。专业技术依然对威胁调查以及在重大损失出现之前进行阻止非常必要。
纯粹性 VS 实用性
SASE的火爆在于给了IT领导梦寐以求多年的理想框架一个实现的可能,但是要实现纯粹的SASE可能会有些其他问题。对零菊花链和云的强硬态度应该软化一些,从而能收获最佳的安全效果和商业价值。同样的,SASE解决方案也应该和更广泛的安全与网络策略作对比,发现SASE哪些地方可以增加价值,哪些可能还有不足。从一个实用的角度来看问题,企业可以让理想更加落地,用已有的安全技术实现灵活性和业务高效性。
点评
SASE作为零信任的一种实践,受到了很多厂商的关注,并开始推出自己的解决方案。但是,所以安全理念的推出都必然是理想化的,而理想化的东西在落地的时候都会因实际情况而发生一些改变。无论是厂商,还是客户,都应该从最终的安全价值出发,实现最契合环境的安全解决方案,而不是一味地追求概念。