为何市场会产生安全服务演进
时间:2022-04-24 10:30:01 | 来源:行业动态
时间:2022-04-24 10:30:01 来源:行业动态
传统企业的数据中心架构(如图一所示)大多为从分支机构上行的一个信息网络连接到总部的数据中心,然后从互联网区再连接到互联网,此外还有云上部署的应用。目前,很多中国的数据中心基本为该架构。
图一
但为何称这样一个从数据中心到互联网再到云的架构较为传统?因为企业的应用大多没有上云、上云的应用基本为互联网应用。随着未来更多的企业应用上云,西方云优先的市场目前已采用图二所示的架构数据中心内存在很多应用,且传统应用迁移至云、企业的数据中心愈发强大。企业分支机构的员工在访问数据中心应用时,不仅可以访问数据中心应用,还能访问数据中心以外以及迁至云上的应用。因此,每家分支机构具有两条线一条代表通往数据中心,另一条代表通往云上的SaaS类应用。
图二
我们亦可把图二描绘成另一个场景企业员工或客户通过多种数字化接触访问不同的数据和应用。数字化接触可以是手机、物联网或触摸屏。在此情况下,保证访问安全对企业而言至关重要,因为所有数字化接触都会接入互联网,但企业不可能在每一家分支机构或云上都部署一套边缘栈。若用传统数据中心的方式来管理目前新型广域网及应用外迁到云的这样一个现实场景的话,企业就需要很多套边缘栈安全设备、防火墙来管理不同的安全边界。然而,现在的安全边界已不在数据中心,而是外扩到各种各样的边缘、云场景之中,因此企业需要新的网络安全架构。
针对数字化接触,企业需要具备基于策略(policy-based)的接入方式,即通过基于策略的接入到各种分布式的边缘、再到互联网边缘、最后到互联网或企业的核心应用。因此,SaaS其实是面对分布式边缘所定义的全新安全及网络架构。
图三
当前的SD-WAN是非常重要的技术改进推动力。其在管理各种各样下层网络的同时,还可作为软件被灵活部署在所有硬件之上。这当中的SD-WAN就变为了广域网的边缘,若广域网下层架构发生改变,很多互联网的出口不只在数据中心、会在众多分支机构或边缘的接入应用中,此时企业下层的网络会有很多的非信任外部网络,因此企业需要具备针对所有数据化接触的安全策略来加以保护。如图三所示,网络安全接入服务保护所有的网络接入,广域网的边缘与安全服务兼容、成为了一个新的安全服务接入边缘融合架构。
当企业不清楚访问流量是否存在风险时,应当考虑CASBCASB是云接入服务的中介。企业数据可能存放在数据中心或云上,当公有云上的SaaS服务要访问数据时,企业可以用CASB来管理风险,即所有访问先经过CASB大门、SaaS应用与访问相互集成,读取的数据返至CASB应用、再返至授权数据,通过全程监控保护数据安全。若用户访问企业专用应用,亦可用同样方式进行保护。企业可以用CDN进行加速、SD-WAN进行连接,同时使用CASB、SWG等保护访问安全。从这个角度来看,将网络模块与安全模块融合成一个安全接入服务平台即是SASE。SASE包含五个核心模块:SD-WAN、Firewall as a service(FWaaS)、SWG、CASB和零信任网络接入。现在不少安全厂商具备两至三个模块,但鲜有具备全模块者。
图四
图四展示了SASE中的各种技术,Gartner认为这些技术在未来十年会相互融合至SASE模块中。目前,安全产品非常碎片化,不同产品具有自己的管理和控制界面,对企业使用而言不够友好,所以这时就需要出现一个把这些碎片化的安全接入服务融合成一个安全接入服务的平台。其实,SASE接入不单是基于公有云的互联网接入方式,也会有很多接入到企业级私有数据中心。