“在生活中,将兩種不同的東西融合在一起可能會産生非常棒的效果,比如漢堡配可樂;但也有一些東西混合在一起會變得很糟糕,比如氫氣遇火極易引起爆炸。如果将SASE和零信任相結合,是‘漢堡+可樂’,還是‘氫氣+火’?”Gartner進階研究總監高鋒在采訪一開始就抛出了一個非常有意思的問題。
近年來,随着企業數字化轉型的深入推進,網絡安全邊界變得越來越模糊,企業面臨的網絡安全風險持續增加。是以,建構防禦性強的網絡體系,以保障應用通路安全已變得迫在眉睫。
日前,比特網采訪到Gartner進階研究總監高鋒,他分享了Gartner在SASE和零信任領域的最新研究和見解。
網絡邊界模糊化,SASE應運而生
在五年前、甚至十年前,絕大多數企業的IT架構采用的是以資料中心為中心的模式。在這種模式下,無論是分支機構、承包商,還是合作夥伴,都需要通過資料中心對應用程式進行通路。這種模式有一個非常明确的邊界,即資料中心。也就是說,隻需要對資料中心進行保護就能基本上確定應用程式通路的安全。
現如今,使用者和應用可以說是無處不在,人們希望在任何地方、任何時間,使用任何裝置去通路應用程式。比如:任何地點,使用者可以在辦公室、在家中或者是在咖啡廳都能通路到應用程式。任何時間,可能是工作時間、也有可能是下班後。任何裝置,可以是企業終端,也可以是自己的手機移動終端。
如何在這種連接配接狀态下,實作應用程式的安全通路?這時,SASE逐漸走入人們的視野。
據介紹,SASE(安全通路服務邊緣)主要由兩大支柱組成,一是廣域網邊緣服務,包括:SD-WAN、廣域網優化、服務品質(QoS)、路由、SaaS加速、内容分發網絡(CDN)等。二是安全服務邊緣SSE,包括:安全網絡網關(SWG)、雲通路服務代理(CASB)、零信任網絡通路(ZTNA)/VPN、防火牆即服務(FWssS)、遠端浏覽器隔離、加密/解密等。
從下圖來看,左下角的“總部”中有着“私有網絡”。這可以了解為,傳統使用者在企業之中通路應用程式去完成工作,這些應用程式可以部署在資料中心、也可以部署在雲端。“私有網絡”在過去主要是通過專線、MPLS這種比較昂貴的線路進行連接配接,而且傳遞非常緩慢。如果要開一個新的分支機構,可能要花上幾個月的時間才能夠将線路網絡連接配接傳遞。而SD-WAN的出現,為企業提供了一種更加高效、靈活、安全的組網解決方案,并且具有降低企業運維成本這一突出的優勢。
在圖檔右側展示了企業員工可以在任何地方對應用程式進行通路。企業内部的員工可以通過SD-WAN連接配接到SSE層,使其對網際網路應用、企業之外應用的通路進行保護。高鋒指出,現在很多的企業并沒有完全部署SASE,其實可以将SD-WAN與SSE整合起來組成SASE。
零信任架構,打造安全新模式
再來看零信任。通常來說,以前,都是使用實物資産和位置的所有權和控制權作為信任的隐形代理。例如,員工使用企業終端去通路應用就是可以信任的,如果使用非企業終端就是不可信任。但現在,網絡邊界已經漸漸模糊甚至消失,這種安全範式已無法有效保證對于應用程式的安全通路,就需要做零信任安全防護。
零信任架構是一種将基于隐性信任的通路替換為基于不斷更新的身份和上下文的通路的體系結構,可根據計算的風險提供對資源的通路。如果風險是可以接受的,就對通路進行放行;如果風險是超出企業接受度的,就拒絕此次通路。
需要注意的是,風險是考量多種次元的因素,不僅僅是基于身份,還需要通路環境的各種信号,如時間、地點、使用者行為等,作出綜合判斷“是否授權”。
目前,絕大多數的攻擊,是通過釣魚攻擊獲得管理者賬号。管理者賬号可以做很多正常使用者無法執行的操作,甚至是像“拖庫”直接将資料全部導出,造成的風險非常大。不僅如此,這種方式還非常隐蔽,傳統的安全工具無法發現。是以,需要對每一次通路進行風險計算,并且是持續驗證是否是符合企業可接受的一個通路的風險。
據高鋒介紹,零信任主要由使用者、終端、應用、網絡、資料、監控和自動化七大支柱組成。具體來說,零信任是關于誰允許去通路什麼,這個“誰”可以是使用者,也可以是非使用者,如IoT終端可以作為“誰”去發起通路,它們通常去通路本地或雲端的應用,這些應用可以是自研或者購買的商業産品。一旦了解“誰”允許去通路什麼,就能夠對通路者進行安全控制。
當然,零信任也可以對網絡進行隔離,即使使用者能夠對應用程式進行通路,也能確定其無法做橫向移動,比如隻能通路被授權允許通路的應用。同時,零信任通過限制應用程式通路來保護資料,一般使用者不會直接通路,而是通過應用程式。
零信任還可以對通路者的安全屬性進行監控,這有助于更好作出“授權與否”的決定。另外,自動化也是成功的零信任環境的關鍵組成部分,如果無法做好自動化,就無法對零信任進行很好的運維。
高鋒以NIST零信任架構圖為例,介紹了零信任的架構工作原理。
左側的“實體”通常是指使用者,通過系統或者移動終端通路右側的“企業資源”。這些“企業資源”可以了解為應用程式。中間的“政策執行點PEP(PEP=Policy Enforcement Point)”,用來控制通路的允許與否。上方的“政策決策點PDP(PDP=Policy Decision Point)”是決策大腦,用來決定“是否允許通路”。
當使用者發起通路請求,政策執行點PEP會詢問PDP,PDP基于通路政策以及各種信号的輸入,做出“是否授權”的決定,PEP則根據PDP的決定來放行與否。
“實際上,SASE就是PDP和PEP,SASE代替了PDP、PEP的工作。簡單來說,零信任是一種用于将實體連接配接到資源的架構,SASE則是用來布局零信任架構的一組産品。兩者的關系可以概括為:SASE是做什麼,零信任是怎麼做。”高鋒說。
值得一提的是,為了助力企業更好地部署SASE和零信任,高鋒提出四點建議:
1、SASE可以成為建設零信任很好的起點。
2、SASE将使用者連接配接到應用程式,是以必須了解應用程式。
3、SASE隻能根據已知政策執行,是以零信任的基礎是能确定誰應該通路什麼,這樣才能夠成功地遷移應用。
4、最好從小做起。企業一定要一個一個做起,或者可以一次遷移多個應用,但一定不要多,因為遷移多的話,一定會造成零信任遷移失敗。
寫在最後:
SASE作為一項新興的網絡安全理念,能夠滿足雲和移動服務的動态通路和安全性的要求。而零信任憑借“持續校驗、基于風險偏好最小授權”的原則,成為數字時代下提升網絡整體安全性的有效方式。可以說,SASE和零信任相結合,無疑為數字化時代下的企業,提供了築牢網絡安全防線新思路。