2019年前后,Gartner提出SASE(安全访问服务边缘)概念,其关于“网络安全的未来在云端”报告阐明了在新的网络和安全模型的基础上进行云网络和安全转型的潜力。
自概念诞生后,迅速引爆安全买家、终端用户和各类厂商。
云服务和网络正在推动数字化业务的概念,但是传统的网络和网络安全架构远远不能满足数字化业务的需求。过去使用的基于设备的一种安全方式就不再变得适用,云端成为新领域。
我们下一代的安全架构应该如何设计?如何设计出未来五至十年依然能够安全可靠的架构?
我们或许能从Akamai亚太区安全战略总监Siddharth Deshpande的分享中找到一些答案。
Akamai亚太区安全战略总监Siddharth Deshpande
传统边界被消解,网络安全架构该如何选择?
在回答这个问题之前,首先要明白一个问题:结构化框架为何如此重要。
它的重要性主要来源于三大原因:
它能够为企业提供一种通用语言来评估和提高企业的安全计划。
它能够精准测量安全风险水平。
能使企业实现更有效的沟通——不仅局限于IT团队间的沟通,而是更多地把IT团队的做法与其他业务部门、高管团队,进行有效的沟通和对话。
当前的结构化框架不少,有NIST网络安全框架、MITER攻击框架等。
Gartner的SASE的结构化框架的概念并非最新,但SASE的框架最新。在Siddharth Deshpande眼中它是“最有用的一个框架”。
那么在众多结构化架构之间该如何决策呢?
先看NIST网络安全框架。
NIST网络安全框架颇受业内追捧,主要在于能够帮助企业思考“应该要做哪些事情”,并在不同的功能之间实现一种权衡。
在功能上,NIST框架优势有二:识别、保护、检测、响应、恢复等;帮助企业以更有效的方式与高管团队进行沟通。
除此之外,其缺点明显——它仅仅告诉企业开始思考要做什么,但并没有告诉其如何去做。
例如,企业打算把60%的安全预算投入到“响应”或“检测”活动中,但并不知道如何完成这个目标,这也并非NIST网络安全框架设计的初衷。
再看MITER攻击框架。
此框架优势明显,技术上,它能够良好地建立起威胁建模,且能够非常好地帮助安全团队构建风险路线图。
但缺点也不容忽视,比如它无法很好地将“安全计划”的有效性以及投入和预算跟高管团队进行有效沟通,使得此框架成为非常具像化的操作层面、技术层面的框架,并不利于组织层面的沟通。
在数字化时代下,安全体系架构设计出现了新的需求,即“数字化业务和边缘计算具有反向访问要求”。
何意?
目前,许多应用程序不仅存在于企业的数据中心内,用户也不仅在企业内部网络中。换言之,不少企业的消费者遍布全球,传统关于“应用定义”的边界也不复存在。
此背景下,因要求企业将所有流量返回数据中心,所有部署以数据中心为一个核心,传统的安全架构体系难以奏效。
例如,企业每一次做出一个“访问”或“拒绝访问”的安全决策时,每一个决策的“语言”都会转送、重新路由回数据中心中,这将造成诸多流量问题。
SASE:重新定义网络安全和架构
解决上述问题,需要回到“第一原则”,即最核心的底层设计原则。
Gartner SASE的“第一原则”是,所有流量不再强迫回流到数据中心,而是把所有的安全控制分布在离用户、应用、所有消费者最近的地方,并通过安全边缘来实现安全控制的分布。
Akamai是通过SASE框架,把安全控制分布在离用户和应用程序最近的地方,而且结合了网络即服务以及网络安全即服务这两个概念的优势,通过一个连接框架来实现。
“当SASE这个概念首先提出来的时候,我们发现它非常符合‘第一原则’、也非常符合Akamai在二十多年前就已经提出来的设计原则——即将安全控制分布在全球各地、而不是使用一种集中化的手段进行处理,这种互联的框架可以使整个框架更具韧性、灵活性,可以更好地帮助企业实现其安全要求。”Siddharth Deshpande如此表示。
SASE框架不仅告诉企业“要做什么”,还告诉“怎么去做”,相当于结合了上述两种框架的优势。
具体来看,SASE方法主要在四个层面使安全计划受益。
1、启用新的数字化业务场景。
通过将“安全控制”进行分布化的部署之后,企业就能更加便捷、更加适应于外部的一些变化,这能让企业快速调整自己的安全和技术策略,而无需做出很多安全方面的让步。
去年新冠疫情,Akamai帮助了非常多的企业通过SASE架构构建安全运营。
其中,Akamai的一位企业客户拥有两万名用户,需要把所有的“本地化”工作全部移至“远程办公”环境,Akamai在两周内完成这一艰巨任务,并使用了边缘框架的方式帮助企业不影响业务的连续性和服务交付。
该企业的这次成功经历,来源于疫情前“SASE旅程”的谋划、“如何构建未来的一种安全架构”的思考。
2、提高效率并降低安全计划的复杂性。
SASE框架能够帮助很多企业很好地进行安全厂商数量整合。所以在选择安全厂商的时候,企业会选择用例范围最广的厂商,选择那些在过去已被证明有效、有韧性的安全架构厂商。无论怎样,仅仅从安全厂商数量的削减本身就已经释放了企业非常大的精力,让企业从带宽和时间上更有余力从事一些附加值较高的业务。
3、针对未来威胁场景和攻击而设计。
实际上,没人能够预测未来的攻击,以及针对未来攻击应采取的预防方式。但一旦企业有了合适的安全架构做好准备的话,就能够对外部风险和威胁做好响应、保护自身安全。
Akamai发现不少企业受到第三方恶意脚本攻击,企业内部敏感数据被窃取。于是,Akamai发布了Page Integrity Manager解决方案。
它基于之前跟企业合作搭建起的基础架构平台之上的、无需企业重新创立的新架构。通过构建这种边缘架构,企业能在现有的平台和架构上发起新的防御手段,而不需要再去构建新的硬件设备或架构。
4、改善用户体验和安全性。
网络安全企业经常面临一个悖论:为提高完全性,需要不断增加安全控制,但如此又将损害用户体验。SASE框架可以让企业“两手”抓——既能够提高安全性,也能改善用户体验。
Akamai的SASE实践及建议
Akamai关于SASE框架的案例体现在“零信任安全访问”上。
通过“零信任安全访问”,Akamai帮助企业真正部署“云访问”安全代理,无论企业的应用程序或用户处于何时何地都能实现一致化的保护,而且通过“多因素身份验证”来应对各式各样的安全挑战。此外,Akamai在终端部署安全控制以及Web安全网关等方面均能提供全方位的保护。
所以从广意上讲,“信任”并不是一项隐含属性,也就是说企业不能一蹴而就、永远不去管它了,企业需要不断进行评估,这点跟“零信任”非常像。
“零信任”跟SASE的区别在于,零信任更多针对某一具体的安全领域,如应用程序访问等具体安全领域。而SASE更多是从广义上、更广泛的范围进行讨论,它会针对如何使用“零信任”这个框架提出相应建议。
另一个经常被忽视的用例,是SASE可应用在Web、API、安全级服务领域。所以企业可以利用SASE应对诸如DDoS攻击、API攻击或跨站脚本攻击等安全隐患。
很多攻击者非常清楚企业的IP地址或域名,所以关于网站、API的保护也是SASE非常常见、却常常忽视的一个用例。
在市场需求和厂商的博弈下,Siddharth Deshpande告诉雷锋网可以三个维度对厂商进行综合取舍。
首先,安全用例的涵盖范围。企业须保证厂商在“安全用例”方面的覆盖范围非常得广,也就是不仅针对某一具体的安全领域、还应涉及更广泛的用例。
第二,平台的韧性和可及范围。厂商应该有一系列业经证明的韧性,无论是平台、框架还是基础架构的构建。不能说这家厂商能提供云服务,就把它称之为SASE厂商。厂商应该有全球分布的边缘网络,在整个服务的可用性、可及性方面都有可被证明的韧性,才能符合条件。
第三,产品愿景的深度。这个“愿景”应该是可持续性的,无论是从路线图、还是从规划来看,都应是广博的愿景。