13518219792
根据您的个性需求进行定制 先人一步 抢占小程序红利时代
英文原文:https://www.gartner.com/doc/reprints?id=1-6QW0Z4A&ct=190528
数字化转型将颠覆网络和安全服务设计模式,将焦点移动到用户和/或设备的身份,而不再是聚焦于数据中心。安全和风险管理领导者需要采用融合的云交付“安全访问服务边缘(SASE)”来应对这一转变。
1.1 要点
把企业数据中心置于连接需求的核心位置的网络安全体系架构会对数字化转型的动态访问需求产生抑制。
正因为位于企业外部的用户、设备、应用程序、服务和数据的数量多于企业内部,具有这些特点的数字化业务和边缘计算有着截然不同的网络访问需求。
降低复杂度的需求、低延迟的需求,以及一旦涉及流量加密就会产生的对加密流量进行解密和检查的需求,都将增加将网络和安全即服务(Security-as-a-Service)整合为基于云交付的“安全访问服务边缘(缩写为:SASE,可以读作 “sassy” )”的需求。
监测并理解数据的上下文是采用 SASE 策略的前提。
为了提供与地点无关的用户、设备和云服务的低延迟访问能力,企业需要具有全球 POP 点和对等连接能力的 SASE 产品。
1.2 建议
负责网络和端点安全领域的安全和风险管理领导者应该考虑:
从立场上而言,SASE 是从速度、敏捷角度助力数字化业务的推动者。
从架构上来说,是把检查引擎移动到靠近会话的地方,而不是把会话重新路由到检查引擎。
把安全人员从管理安全设备转向到提供基于策略的安全服务。
从现在开始,就应该和网络架构师一起规划 SASE 能力。把 SD-WAN 和 MPLS 卸载项目作为评估集成化网络安全服务的催化剂。
现在就应该向单一供应商提供 SWG(WEB 安全网关)、CASB(云访问安全代理)、DNS、ZTNA(零信任网络访问)和 RBI(远程浏览器隔离)的理想状态迁移,降低网络安全复杂度。
到 2023 年,20% 的企业将从单一供应商采购 SWG、CASB、ZTNA 和分支机构的 FWaaS(防火墙即服务)服务,而这一比例在 2019 年只有 5% 。
到 2024 年, 最少将有 40% 的企业将有明确的切换到 SASE 的策略,而这一比例在 2018 年末仅为 1% 。
到 2025 年,最少将有一家 IaaS 服务商的领导者会提供有竞争力的 SASE 套装。
历史的网络和网络安全体系架构是针对一个正在淘汰的时代而设计的。它们无法有效地满足数字化业务对动态安全访问需求。企业数据中心不再是用户和设备访问需求的中心。数字化转型业务采用了 SaaS 等大量基于云计算的服务和新兴的边缘计算平台,这使得企业网络架构出现了“内外翻转”的现象,颠覆了以往的架构模式。数字化企业的特点是:
相比企业内网而言,更多的用户使用企业网络之外的网络环境来完成工作。
相比数据中心的工作负载而言,企业更多使用在 IaaS 中运行的工作负载。
相比企业基础设施中的应用而言,企业更多使用 SaaS 模式的应用。
相比内部而言,更多的敏感数据存储在企业数据中心以外的云服务中。
相对企业数据中心而言,更多的用户流量是流向企业数据中心以外的公共云。
相对企业数据中心而言,更多的分支机构流量是流向企业数据中心以外的公共云。
数字化转型需要随时随地访问应用和服务(这些应用与服务许多现在位于云中)。虽然企业数据中心将在未来几年内还将继续存在,但进出企业数据中心的流量在企业总的流量的占比将持续下降。
“以数据中心为宇宙中心”的传统网络和网络安全体系架构已经过时,已经成为对数字化业务需求的阻碍。
这种反模式数字化将进一步扩展,因为越来越多的企业需要边缘计算能力,这些边缘计算能力是分布式的,并更接近于需要低延迟访问本地存储和计算的系统和设备。5G 技术将充当加速边缘计算应用的催化剂(请参见 “Exploring the Edge: 12 Frontiers of Edge Computing”)。
在灵活地支持数字化转型的同时,通过支持反模式的访问从而保持系统复杂度处于可控状态,这是 SASE 新市场的主要驱动因素。这个市场将网络即服务(如,SD-WAN [软件定义的广域网])和网络安全即服务(如,SWG、CASB、FWaaS [防火墙即服务])融合在一起。我们将其称为“安全访问服务边缘”(参见图 1 和注 1)。它主要是作为基于云的服务交付的。
图1: SASE 融合
SASE 产品能够为一个可无限可调节的弹性网络提供基于策略的“软件定义”安全访问。在这个弹性网络中,企业安全专业人员可以根据身份和上下文精确地指定每个网络会话的性能、可靠性、安全性和成本水平。SASE 的出现将为安全和风险专业人员提供了一个重大的机遇,使他们能够为各种分布式用户、场所和基于云的服务提供安全访问,从而安全地实现数字化转型所需要的动态访问。企业对基于云的 SASE 能力的需求、市场竞争与整合,将重新定义企业网络和网络安全体系架构,并重塑竞争格局。
网络安全的未来在云端。
安全访问服务边缘(SASE)是一种新兴的服务,它将广域网与网络安全(如:SWG、CASB、FWaaS、ZTNA)结合起来,从而满足数字化企业的动态安全访问需求。
SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联(查阅 “Zero Trust Is an Initial Step on the Roadmap to CARTA”)
传统的企业网络和网络安全体系架构将企业数据中心作为访问的核心,这样的架构在云和移动的环境中中越来越无效和繁琐。即使采用了一些基于云的服务(如,基于云的 SWG、CDN [内容交付网络]、WAF [WEB 应用防火墙] 等),企业数据中心仍然是大多数企业网络和网络安全体系架构的核心(见图 2)。
图2:传统以企业数据中心为核心的星型网络及网络安全架构
在以云为中心的现代数字化业务中,用户、设备和他们需要安全访问的网络能力无处不在。由此导致对“安全访问服务边缘”需求也将无处不在。图 2 中以企业数据为中心的模型难以扩展。当用户所需的东西很少留在企业数据中心时,将流量路由到企业数据中心是没有意义的。更糟糕的是,我们往往会限制用户访问 SaaS,除非用户在企业网络上或已经使用虚拟专用网络 ,或者需要不同的代理软件来实现 SWG、CASB 和虚拟专用网络 (这就造成了代理软件的膨胀和用户混乱)。而这种限制将对用户的生产力、用户体验和成本产生负面影响。而在其他情况下,当用户访问任何基于云的资源时,分支机构的流量会被强制通过企业数据中心进行检查,从而增加延迟和与专用 MPLS 专线相关的成本。
数字化转型企业中的安全和风险专业人员需要的是一种全球性的网络和网络安全能力,这种能力可以随时随地将实体连接到他们需要访问的网络。
我们不需要强制不同实体的流量流经企业数据中心的硬件设备内嵌的检查引擎(通过“调度”实现)。我们需要颠覆原来的想法,让检查引擎和算法尽可能靠近实体所在的位置。
无论我们是将用户连接到内部应用、基于云的应用、SaaS 或互联网,这些都存在相同的安全访问问题。分支办公室只是多个用户集中的地方。同样,在一辆载有正访问 salesforce 的销售人员的汽车也是一个分支办公室;IoT 边缘场地对设备而言也是分支办公室。所有需要访问网络能力的端点的身份分布于整个互联网。在数字化转型业务中,安全访问的决策必须以连接源(包含用户、设备、分支机构、物联网设备、边缘计算场所等)的实体身份为中心。如图 3 所示,身份是访问决策的新中心,而不是企业数据中心。
图 3:SASE 身份为中心的架构
用户/设备/服务的身份是策略中最重要的上下文因素之一。但是,还会有其他相关的上下文来源可以输入到策略中,这些上下文来源包括:用户正在使用的设备的身份、日期、风险/信任评估、场地、正在访问的应用和/或数据的灵敏度。企业数据中心仍然存在,但它不再是架构的中心。它只是用户和设备需要访问的许多基于互联网的服务中的一个。
这些实体需要访问越来越多的基于云的服务,但是它们的连接方式和应用的网络安全策略类型将根据监管需求、企业策略和特定业务领导者的风险偏好而有所不同。就像智能交换机一样,身份通过 SASE 供应商在全球范围内的安全访问能力连接到所需的网络功能。
考虑这些场景:
Sue,一个销售人员,需要通过她所持有的设备通过机场 Wi-Fi 网络在访问互联网的同时访问 saleseforce 提供的 CRM。SASE 通过提供 QoS(服务质量优化)和 SaaS 加速连接到 salesforce,并提供了 DLP、恶意软件检查、UEBA 和 Wi-Fi 保护。同时为浏览互联网提供了内嵌 DLP 的 SWG 保护。
Jorge,一个承包商,需要从不受控的设备访问托管在企业数据中心的企业网站应用。SASE 提供 ZTNA,只允许对特定地址的访问,通过 WAPP 服务保护开启了 WEB 的应用程序免受攻击,并通过流量加密来避免遭受流量监听带来的敏感数据丢失。
一组风力发电机需要基于边缘计算的网络和对传感器数据进行数据分析的计算,然后需要将结果传输到 AWS,同时隐藏风力发电机组的位置。SASE 为风力发电机组提供低延迟 ZTNA 来访问边缘计算资源、隐藏风力发电机组的 IP 地址、并建立一个低延迟敏感的加密连接到 AWS API。同时,边缘计算场地被 SASE 提供的 FWaaS 保护,避免遭受针对风力发电机组的入站攻击。
SASE 按需提供所需的服务和策略执行,独立于请求服务的实体的场所(图 4 的左侧)和所访问能力(图 4 的右侧)。
图 4:SASE 技术栈,基于身份和上下文的动态应用
其结果是动态创建基于策略的安全访问服务边缘,而不管请求这些能的实体所处位置以及它们请求访问的网络功能所处的位置。
不再将安全边界隐藏在企业数据中心边缘的硬件盒子中,而是在企业需要它的任何地方 —— 一个动态创建的、基于策略的安全访问服务边缘。
此外,给定的实体将同时需要多个安全的连接。例如,用户可能同时拥有:
到 Office 365 的连接无需被深度检查,但会选择延迟最低的的线路。
到 Facebook 的连接,会对其中的聊天会话进行敏感数据的安全检查,但延时不是衡量的因素之一。
到 Salesfore 的会话,会对其进行敏感数据和恶意软件的检查。
到数据中心的企业私有应用的连接,会对其进行监控。
到用户的个人网上银行应用的连接,不会进行任何监控。
企业边界不再是一个位置;它是一组动态的边缘功能,在需要时作为云服务提供。
对安全访问而言,这些都是共同的基本需求的演变。不同的是,采用了实时网络和实时的网络安全策略。此外,在应用策略的情况下,无论实体正在访问什么都会进行一致的应用的检查功能(例如,检查所有连接的内容来查找敏感数据和恶意软件)。为了减少延迟,SASE 产品应该使用“单次通过”架构进行检查。业务会话被打开(可能被解密)并使用多个策略引擎并行地检查一次,最好是在内存中,而不是多个检查引擎进行串行检查。
最后,SASE 的新兴领导者将采用“持续的适应性风险和信任评估(CARTA)”战略方法(详见 “Seven Imperatives to Adopt a CARTA Strategic Approach” 和注 2),确保对会话进行持续监测。通过保留在数据路径中并使用嵌入的 UEBA 功能对该会话进行分析,以检测过度风险的指标(例如,被窃取的凭证或内部威胁)。当分析用户行为发现风险增加时,或者当设备可信度降低时,SASE 应该能提供自适应的响应(例如,需要用户进行额外的认证)。
SASE 将使安全团队能够以一致和集成的方式提供一组丰富的安全网络安全服务,从而支持数字化转型、边缘计算和员工移动性的需求。通过 SASE 将获得以下的效益:
降低复杂度和成本。通过集成来自单个提供商的安全访问服务,将减少供应商的总数量,减少分支中的物理和/或虚拟设备的数量,并且减少用户终端设备上所需代理的数量。随着更多的 SASE 服务被启用,长期来看成本会降低。同时通过缩减供应商和技术堆栈也会节省费用。
激活新的数字化业务场景。SASE 服务将使企业的合作伙伴和承包商可以安全地访问其应用、服务、API 和数据,而无需担心暴露传统架构中的虚拟专用网络和 DMZ(非军事区)而带来的大量风险。
改善性能/延时。SASE 的领导厂家会通过全球部署的 POP 提供基于延时优化的路由。这对于延时敏感的业务非常关键,例如:协同、视频、VoIP 和 WEB 会议。基于策略,用户可以通过 SASE 提供商(及其对等连接合作伙伴)的高带宽骨干路由。
用户的易用性/透明度。如果正确实现,SASE 会把设备上所需代理的数量(或一个分支的客户场所的 CPE 设备的数量)减少到单个代理或设备。它减少了代理和设备膨胀,应该自动应用访问策略而不需要用户交互。这为用户提供了一致的访问体验,无论用户在哪里、在访问什么、以及位于何处。
得到改善的安全性。对于支持内容检查(识别敏感数据和恶意软件)的 SASE 供应商,可以检查任何访问会话并应用相同的策略集。举例而言,无论是 salesforce、facebook,还是云托管应用中的敏感数据,无论用户/设备位于何处,所应用的策略都是一致的。
较低的运营费用。随着威胁的发展和新的检查机制的需要,企业不再受到硬件容量和多年硬件刷新速率的限制,可以随时增加新的功能。在基于云的 SASE 产品中,更新威胁和策略不需要在企业部署新的硬件或软件,这样会更快享受到新的服务。
启用零信任网络访问。零信任网络方法的原理之一是,网络访问基于用户、设备和应用的身份,而不仅仅基于设备的 IP 地址或物理位置(详见 “Zero Trust Is an Initial Step on the Roadmap to CARTA.”)。这种逻辑层面定义策略的转换极大地简化了策略管理。此外,假设网络环境是恶意的,SASE 产品会提供整个会话端到端的加密和可选的 WAAP(WEB 应用和 API 保护)服务(详见 “Defining Cloud Web Application and API Protection Services”)。SASE 供应商中的领导者会通过建立端点设备到最近 POP 节点的隧道,从而为用户提供公共 Wi-Fi 网络保护(咖啡店、机场等)。
提高网络和网络安全人员的效能。网络安全专业人员可以专注于理解业务、法规和应用的访问需求,并将这些需求映射到 SASE 功能,而不是陷入到基础设施的常规配置任务中。
集中管理、本地生效的策略。SASE 具有基于云的集中管理策略,以及临近实体的分布式执行点,还包括在需要时可用的本地决策点。例如,使用本地分支机构的 CPE 设备;使用托管设备上的本地代理软件进行本地决策。
6.1 采用率
SASE 还处于发展的早期阶段。正因为数字化转型、SaaS 和其他云服务的驱动,越来越多办公人员产生了分布式和移动的访问需求,由此推动了相关的变革和需求。SASE 早期的主流形态会表现为 SD-WAN 供应商增加越来越多的网络安全能力,以及云安全服务商增加 SWG、ZTNA、CASB 服务这些形式。
正如在 “Hype Cycle for Cloud Security, 2019,” 中所体现的,目前 SASE 还在 Hype Cycle 左侧 20% 的位置(Innovation Trigger),还需要 5~10 年的时间发展为主流。
全面的 SASE 服务才刚刚出现,其采用率还不到 1%。然而,未来三年将为企业安全和风险管理领导者简化其网络安全架构提供重要的机会。
虽然 SASE 的大范围采用将在今后几年才会发生,但在将来的三年内将很快出现领导厂商,当前厂商都各自面临不同挑战。
随着 SASE 的出现和采用,安全和风险管理专业人员应考虑以下风险:
稳定的团队、文化和政治。网络和网络安全体系架构通常是由不同的独立团队负责。即使在信息安全方面,SWG、CASB 和网络安全设备的购买者也可能有所不同。不同的团队可能会将 SASE 的采购视为“领地之争”问题,或者一个团队可能试图控制 SASE 的采购并阻止其他团队的参与。要解决这一问题,SASE 必须以速度、敏捷性和降低复杂度的名义,并成为 CISO 和 CIO 级别提供跨领域价值的命题。
足够好可能不够好。一些 SASE 产品是由以网络为中心的供应商开发和交付,这些供应商是安全领域的新进入者。同样,以安全为中心的提供商可能没有领先的 WAN 边缘解决方案所期望的完整的 SD-WAN 功能。因此这是一个独立测试将发挥关键作用的领域,像 ICSA 实验室和 NSS 实验室这样的组织需要将其评估对象扩展到云服务。
复杂度。对于试图从不同的供应商和云产品中构建自己的 SASE 技术栈的企业来说,将其拼接在一起将导致管理和执行的不一致、性能低下和部署成本高昂。如果 SASE 产品由多个收购和/或合作伙伴的供应商组合在一起,也会出现类似的问题。
传统的供应商没有云原生的心态。以硬件为中心的网络和网络安全供应商将难以调整为云原生和基于云服务的交付模式。业务模式将会变得和 salesforce 类似,渠道激励也将发生变化。以前销售专用硬件的供应商可能会沿着阻力最小的商业路径发展,并基于单租户架构(每个客户专用的虚拟设备)提供初级的 SASE 选项。
网络和防火墙厂商缺乏代理服务器的经验。SASE 的许多功能将使用代理模型来获取介入数据路径并为访问提供保护。网络和企业防火墙供应商缺乏在大规模分布式代理领域的相关专业知识,这可能会给 SASE 服务采购者带来更高的成本和/或糟糕的性能。
需要投资来维持 POP 节点和网络对等交换资源。SASE 的策略决策和执行需要在任何端点可能出现地方都提供支持。对于需要支撑员工移动办公和分布式数字化生态的大型组织来说,这意味着需要提供世界范围内的访问。较小的 SASE 供应商将无法获得维持足够竞争力所需的投资,从而导致性能下降。SASE 产品如果只使用 IaaS 的因特网骨干能力但没有本地 POP 和边缘功能,会有延迟、性能风险,将导致最终用户的不满。
更换供应商。对一些企业来说,向 SASE 转型将需要更换供应商,从而对工作人员进行再培训,发展新技能,并学习新的管理和政策定义控制台。
缺乏数据上下文。许多以网络为中心的供应商的解决方案对数据的上下文理解不足,无法判断内容是敏感的还是恶意的。数据上下文对于制定访问策略、理解风险和确定风险优先级以及相应地调整访问策略至关重要。不具备上下文感知能力的供应商在做出丰富的上下文感知自适应 SASE 决策的能力方面将受到限制。
投资领先的云提供商 API 检查能力。因为很多用户终端都需要连接到 SaaS 的访问,SASE 供应商需要理解其数据上下文。这种上下文的检测不能完全基于在线的流量监测。因为这种对用户终端的在线流量监测将无法覆盖合作伙伴上传/分享的数据,以及云之间的数据交换。API 监测是一项非常关键的能力,这项能力在 CASB 的魔力象限中是最基础的能力要求(详见 “Magic Quadrant for Cloud Access Security Brokers”)。然而,有一些 SWG 供应商、聚焦于网络的供应商还不具备这方面的专业知识。
SASE 领导厂商的要求部署代理。为了与基于前向代理的体系架构集成,并处理一些遗留的应用程序协议,将需要一个本地代理(例如,SWG、用于旧应用程序的 ZTNA、本地 Wi-Fi 保护和本地设备安全态势评估)。此外,SASE 供应商使用本地代理获得更多的设备上下文。但是,如果必须使用多个代理来支持访问,则代理会增加企业 SASE 部署的复杂度。本地代理需要与现有端点保护平台(EPP)和统一端点管理(UEM)代理集成。(详见 “The Long-Term Evolution of Endpoints Will Reshape Enterprise Security.”)更近一步来说,如果 SASE 供应商在开发最终用户设备代理方面专业知识有限,则稳定性和可管理性可能是问题或平台支持可能受到限制。
费用过高和 SASE 市场震荡。SASE 市场在未来五年将经历重大变化,预计将进一步整合和收购。由于这个市场还在早期阶段,我们推荐签署 1~2 年的合同,并且在合同中包含适当的收购保护条款。随着市场的巩固并开始有利于大型供应商的规模经济,整个 SASE 市场将会面临下调定价的压力。此外,它还将从基于带宽的 WAN 边缘/ SD-WAN 模型转向基于订阅的模型,并根据所应用的检查类型进行定价。
在评估特定的 SASE 功能(SD-WAN、SWG、CASB、FW 等)时,我们提供 Gartner 的推荐阅读材料中会包含相关的市场指南和魔力象限材料的链接。为了本研究的目的,我们将重点研究 SASE 特定的评价标准:
提供的 SASE 服务的广度。并不是每个供应商都能力提供所有的功能。一些供应商将从以网络为中心的功能开始,另一些将从以安全为中心的功能开始。新兴的 SASE 的领导者应当提供图 3 中大部分或全部服务。
SASE 策略决策点的位置。大多数 SASE 的决策都可以且应该是基于云的交付和管理模型的。然而,还是会有一些决策是需要依赖端点本地 —— 为实现(设备)基于策略的访问需要本地代理,在 QoS 和分支机构路径选择场景需要物理/虚拟化硬件。但是,这些都应该被基于云的服务集中管理。领先的 SASE 架构需要基于云的策略决策引擎,该引擎可以使用 CPE 轻分支/重 SASE 的云模型应用于基于云或本地策略执行点(参见图 5)。
图 5:从传统的重分支迁移到云为核心的轻分支/重 SASE 模型
SASE 管理/控制平面的位置。即使使用代理和 CPE 形式的本地执行点,SASE 管理控制台也应该以基于云的服务方式来交付。应该对策略进行云管理,并将其分发到本地的执行点。
架构。SASE 的架构非常重要。理想情况下,该产品是基于云的,内置微服务,可根据需要进行扩展。为了最大限度地减少延迟,数据包应复制到内存中,并对其进行处理并转发/阻止,而不是从虚拟机(VM)传递到虚拟机(VM),也不应该是从云传递到云。软件技术栈应该没有特定的硬件依赖性,并且在需要时实例化,以将基于风险的和基于策略的能力传递给端点身份。
用户侧 CPE 部署选项。现场(物理或虚拟) CPE 设备仍然是需要的,但应该使用基于云的管理和配置模型。这类 CPE 设备的设计模式应该是交钥匙的黑盒子,开机然后就可以把它给忘了。作为评估的一部分,会评估供应商的架构,以确保 CPE 的生命周期内可以提供更新和报废。一些企业将更喜欢使用 SASE 的 CPE 硬件。硬件应该是具有用于安全引导和秘密保护(例如加密密钥和证书)的体系架构的商品,其不可能具有虚拟设备形式因素。
租赁模式。云原生的 SASE 架构总是会使用多租户和多客户共享的底层数据平面。有一些供应商会坚持使用每个用户使用独立的实例。企业用户也许不会也不感兴趣知道自己使用的是哪个实例,但架构会影响到 SASE 供应商的扩展能力。单一租赁通常会导致更低的密度,而成本可能会给企业带来更高的成本。然而,也有一些企业更倾向于对单一租赁模式进行更强的隔离。
POP 节点和对等连接的地点和数量。在 SASE 场景中,对于某些应用来说延迟是重要的。SASE 解决方案应提供 POP 与数字化企业的访问延迟和数据驻留要求相一致的业务对等连接的组合。这对于本地化最终用户体验也是至关重要的。企业流量很少穿越公共互联网。相反,互联网被用于缩短连接 SASE 网络的条数。在 SASE 网络中进行基于策略的检查,并且通过使用快速路径路由和对等连接来优化以获得最佳性能。此外,SASE 供应商必须能够显示处理分布式拒绝服务(DDoS)攻击的能力,因为攻击平面会移动到 SASE 供应商。
使用 IaaS 的通用计算进行非延迟敏感操作。一些 SASE 供应商将使用带有互联网边缘和 POP 节点的混合模型进行低延迟的在线检查,并使用商业化的计算资源(CPU/GPU)和 IaaS 供应商提供的存储进行低延迟敏感操作,例如:网络沙箱、远程浏览器隔离、审计日志存储和分析。
大范围进行加密流量的监测。SASE 厂商必须具备提供大范围在线加密流量监测的能力(解密及后续再加密),理想情况下应该是云交付,而不使用专有硬件。必须支持 TLS 的最新版本。
一次通过扫描。应该打开给定会话的流量并对嵌入的内容进行一次且仅一次的并检查。一旦解密,多个扫描和策略引擎可以以扩展的方式并行运行,理想情况下无需通过服务链串接检查服务。例如,应该一次内容检查就完成对敏感数据和恶意软件的检查。
可选的流量重定向、检查和日志记录能力。全球范围内对数据隐私的监管要求(例如,通用数据保护法规 GDPR)的增加,将为 SASE 带来基于策略进行流量处理的企业需求,这将用于检查、路由和记录特定地理辖区的流量。
支持 IoT/边缘计算的场景。对于 SASE 而言,IoT 边缘计算平台只是需要支持的另一个端点身份。关键的区别将是假设边缘计算位置将具有间歇性连通性和对系统的物理攻击的风险。因此,SASE 的架构应支持离线决策(例如,缓存访问策略),并对数据和秘密进行本地保护。由于 IoT 和边缘设备可能不支持代理,所以可能需要本地 SASE 网关或 CPE 设备。远程设备的网络访问控制是一项增值服务。
威胁防护。这方面的例子包括使用恶意软件和内容的沙箱来检测会话上下文。在公共的 Wi-Fi 网络中,SASE 解决方案需要提供基于 DNS 的保护服务,建立到本地 POP 节点的加密会话,避免被监听。如果用户正在处理的内容表示风险,则可以采取自适应行动(例如,隔离内容或阻止下载)。更多的高级威胁防护服务往往需要额外的费用(见注 3)。
能够识别敏感数据并适应。SASE 产品应理解正在访问的数据/应用程序的上下文,并且当检测到过度风险时,能够采取自适应操作(例如,阻止敏感数据的上载/下载)。关键的评价标准将是如何定义敏感数据的策略丰富度。为了了解云的敏感数据,使用 API 来检查数据对于理解数据上下文至关重要,并在数据离开云之前应用有用的策略(例如:加密或水印)。
用户隐私。SASE 供应商应根据政策提供不检查流量的选项(例如,GDPR、HIPAA 和类似的个人隐私保护条例)。此非检查策略可以与远程浏览器隔离相结合,以进一步将会话与企业系统和日志隔离开来。
支持代理。需要支持最终用户使用的终端设备包括 Windows、Mac 和特定版本的 Linux 发行版。Android 和 iOS 为基础的设备未来也需要能够支持。近一步来说,无论是使用 SASE 供应商还是使用 UEM 供应商的终端代理,SASE 交付都必须能够收集设备的上下文(例如:健康度、状态、行为等这类信息)来改善安全访问的决策(详见 “Magic Quadrant for Unified Endpoint Management Tools”)。
管理不受控的设备。企业往往很难做到 100% 强制使用代理,特别是在他们不拥有或无法控制的系统上。轻量级移动应用程序或浏览器插件可以用于增加可见性(详见 “Market Guide for Mobile Threat Defense”)。或者,不受控的设备应该支持反向代理或被重定向到远程浏览器隔离服务(实质上创建托管会话,其中策略可在非受控端点上应用)。
可选的精细的可见性和详细的日志记录。SASE 交付应在访问应用程序和服务时提供对用户进行细颗粒的活动监控(最好在使用 ZTNA 保护时将此可见性应用于企业应用程序)。会话中的所有活动都应该记录下来,这就要求 SASE 产品能够按比例创建和管理分布式日志,并根据策略将用户和设备的日志保存在客户的首选地理位置。
在会话中监测行为。在 Gartner 的 CARTA 战略方法指引下,SASE 会话代理应该使用内嵌的 UEBA 进行过度的风险和异常的持续监测。如果检测到过度风险,应至少提供提高警报的能力。与企业安全信息和事件管理(SIEM)工具的集成应该是标准功能。
基于角色管理控制台和面板。最终,安全架构师、网络运营经理或 CISO 可能希望获得所有安全访问会话的快照视图。SASE 提供商应提供基于角色的、可定制的风险控制面板/热图,以了解特定角色,以获得整体网络性能(对于网络运行)的可见性和云风险及安全态势(用于安全运行)的可见性。
收费模型。 WAN 边缘/ SD-WAN 产品通常根据带宽计费。然而,CASB、SWG 和远程浏览器隔离往往是按照每用户、每年来计费。由于 SASE 同时包含了多种服务,SASE 供应商将在逐步淘汰基于带宽的定价模式。大多数模型将基于受保护的实体数量进行计费 —— 不论是独立实体(设备、用户、应用程序、系统)还是聚合实体(分支办公室/IoT 和边缘位置)。
当前使用硬件为基础的分支解决方案。这是当今大多数企业采用的一种受限的模型,这是由于访问模式的改变以及硬件为中心的设备的刚性和高成本所造成的,这些设备都带有插件硬件刀片,用于特定的网络安全功能。检查受到本地计算能力和硬件刷新周期的限制,基于硬件的形式因素,使得在支持数字化企业的流量模式方面效率低下。基于软件的分支机构。通过使用基于软件的刀片方法到内部分支 CPE,具有一组合作伙伴的供应商可以提供图 3 中的许多服务。或者,当需要时(例如:为了安全检查),CPE 可以调用基于云的服务。虽然云管理和云交付的分支机构可以提供 SASE,但分支机构只是一个要解决的边缘服务交付问题。此外,该方法仍然存在多个服务、控制台和策略的问题,这些服务、控制台和策略被缝合在一起,以构建完整的产品组合。通过服务链自己构建 SASE 。一些企业将尝试通过服务链接多个不同提供商的产品并使用多个端点代理,并把将 SASE 相关的功能集合在一起,构建自己的 SASE。这种方法具有难以管理的复杂性、高成本和高延迟。采用较新的加密标准,如 TLS1.3 将使服务链接检查变得困难。SD-WAN 来自一个服务商,而网络安全服务来自于另一个厂商。一些企业将采用的另一种方法是将“连接”的基础设施与图 1 所示的“安全”的基础设施分开,但两者都转移到基于云的服务。这具有解决组织政治的优势,但与使用单一的 SASE 提供商相比,具有更高的复杂性和成本。运营商编排的服务链。企业的另一种选择将是转向在网络、网络安全或运营商方面占主导地位的运营商,并让供应商代表客户执行所需的服务链接。使用服务链接和网络功能虚拟化,主要的运营商可以成为代理或总承包商,负责将不同的服务拼接在一起。多个供应商的管理控制台(谁管理和控制这些控制台)和不同的策略框架的问题使这一战略复杂化。
SASE 将对网络和网络安全体系结构造成破坏,就像 IaaS 对数据中心设计的体系架构的影响一样。SASE 为安全和风险管理专业人员提供了在未来十年内彻底重新思考和重新设计网络和网络安全体系架构的机会。业务数字化转型、采用云计算和越来越多地采用边缘计算平台这都将需要 SASE。尽管 SASE 刚刚出现,但今天安全和风险管理专业人员可以采取一些具体措施:
现在参与 SD-WAN 架构和规划会议。在可能的情况下,利用将网络安全服务作为架构的一部分的机会:
在企业 SD-WAN 评估中包括网络安全提供者。例如,Barracuda、Cisco、Forcepoint 和 Fortinet 都是著名的安全供应商,它们都提供有竞争力的 SD-WAN 服务(详见 “Magic Quadrant for WAN Edge Infrastructure”)。
要求 SASE 供应商提供第三方测试 SD-WAN 能力和安全功能的证据,理想情况下使用已知的信誉良好且独立的测试公司。
评估 ZTNA 作为一个立即采取 SASE 解决方案和应用零信任概念的机会(详见 “Market Guide for Zero Trust Network Access”)。可从特定的支持数字化业务的项目开始,例如对合作伙伴或承包商使用的非托管设备的精确标识和应用程序感知访问。
现在评估 SASE 服务合并降低复杂度的短期机会;例如,随着这些合同的续签,CASB、SWG、ZTNA、虚拟专用网络 和远程浏览器隔离功能之间的部分或完全合并。
避免将 SASE 产品拼接在一起。一个大供应商可能拥有收购或合作伙伴中所有的 SASE 元素。但是,要仔细评估服务的集成及其作为单个控制台和设置策略的单一方法进行编排的能力。
让您的 CISO 和首席网络架构师参与评估现有供应商和新兴供应商的产品和路线图,因为向 SASE 的技术过渡跨越了传统的组织边界,设备部署可能会带来团队成员抵制。
和 SASE 供应商签订最长期限为 1~2 年的短期合同,因为许可模式还在不断调整。SASE 供应商最好能在在所有产品中提供基于身份/实体的订阅许可(而不是基于带宽)。
由于 SASE 市场还正在出现,尽管有几个供应商拥有大多数必需的功能,但目前没有单一供应商提供整个 SASE 的产品组合。到2020年年底,我们预计几个供应商将提供完整的产品组合。因为这个市场跨越了以前不同的市场,涉及到能力交付方式的转变,所以不可能包括一个全面的列表。因此,这个列表包括了不同类别的具有代表性的供应商,我们预计这些供应商将竞争提供 SASE:
Akamai
Cato Networks
Cisco
Cloudflare
Forcepoint
Fortinet
McAfee
Netskope
Palo Alto Networks
Proofpoint
Symantec
Versa
VMware
Zscaler
在 SASE 市场中,主要的 IaaS 提供商(AWS、Azure和GCP)还没有竞争力。我们期望在未来五年中,至少有一个将移动到图3所示的Sase的大多数市场要求,因为它们都扩展了它们的边缘-网络存在和安全能力。
注 1:SASE 组件
核心组件: SD-WAN、SWG、CASB、ZTNA、FWaaS所有这些都具有识别敏感数据/恶意软件的能力,并且能够以在线速度对内容进行加密/解密,同时持续监控风险/信任级别的会话。
推荐能力:WEB 应用程序和 API 保护、远程浏览器隔离、递归 DNS、网络沙箱、基于 API 的数据上下文访问 SaaS,以及对托管和非托管设备的支持。
可选能力:Wi-Fi 热点保护、网络混淆/分散、传统虚拟专用网络和边缘计算防护(脱机/缓存保护)。
注 2:CARTA
持续适应性风险和信任评估是信息安全演变的战略框架,组织的网络安全态势不断调整,风险优化到预期水平。这是通过持续评估所有数字实体、它们的属性、它们的配置、它们的环境和它们的行为来实现的,以确定开发和生产中的相对风险和信任水平。当风险太高,或者信任太低时,安全基础设施(以及由此产生的安全态势)就会适应以达到预期的风险水平。
注 3:高级威胁防护
预计 SASE 供应商将提供高级威胁防护解决方案。一个例子是远程浏览器隔离,另一个例子是网络隐私保护(也称为网络隐私作为服务)和流量分散。这样做的目的是通过隐藏底层 IP 地址和可选地将流量分散到多个不同加密的流中,从而很难找到企业系统,从而使攻击者更难窃听。
