“在生活中,将两种不同的东西融合在一起可能会产生非常棒的效果,比如汉堡配可乐;但也有一些东西混合在一起会变得很糟糕,比如氢气遇火极易引起爆炸。如果将SASE和零信任相结合,是‘汉堡+可乐’,还是‘氢气+火’?”Gartner高级研究总监高锋在采访一开始就抛出了一个非常有意思的问题。
近年来,随着企业数字化转型的深入推进,网络安全边界变得越来越模糊,企业面临的网络安全风险持续增加。因此,构建防御性强的网络体系,以保障应用访问安全已变得迫在眉睫。
日前,比特网采访到Gartner高级研究总监高锋,他分享了Gartner在SASE和零信任领域的最新研究和见解。
网络边界模糊化,SASE应运而生
在五年前、甚至十年前,绝大多数企业的IT架构采用的是以数据中心为中心的模式。在这种模式下,无论是分支机构、承包商,还是合作伙伴,都需要通过数据中心对应用程序进行访问。这种模式有一个非常明确的边界,即数据中心。也就是说,只需要对数据中心进行保护就能基本上确保应用程序访问的安全。
现如今,用户和应用可以说是无处不在,人们希望在任何地方、任何时间,使用任何设备去访问应用程序。比如:任何地点,用户可以在办公室、在家中或者是在咖啡厅都能访问到应用程序。任何时间,可能是工作时间、也有可能是下班后。任何设备,可以是企业终端,也可以是自己的手机移动终端。
如何在这种连接状态下,实现应用程序的安全访问?这时,SASE逐渐走入人们的视野。
据介绍,SASE(安全访问服务边缘)主要由两大支柱组成,一是广域网边缘服务,包括:SD-WAN、广域网优化、服务质量(QoS)、路由、SaaS加速、内容分发网络(CDN)等。二是安全服务边缘SSE,包括:安全网络网关(SWG)、云访问服务代理(CASB)、零信任网络访问(ZTNA)/VPN、防火墙即服务(FWssS)、远程浏览器隔离、加密/解密等。
从下图来看,左下角的“总部”中有着“私有网络”。这可以理解为,传统用户在企业之中访问应用程序去完成工作,这些应用程序可以部署在数据中心、也可以部署在云端。“私有网络”在过去主要是通过专线、MPLS这种比较昂贵的线路进行连接,而且交付非常缓慢。如果要开一个新的分支机构,可能要花上几个月的时间才能够将线路网络连接交付。而SD-WAN的出现,为企业提供了一种更加高效、灵活、安全的组网解决方案,并且具有降低企业运维成本这一突出的优势。
在图片右侧展示了企业员工可以在任何地方对应用程序进行访问。企业内部的员工可以通过SD-WAN连接到SSE层,使其对互联网应用、企业之外应用的访问进行保护。高锋指出,现在很多的企业并没有完全部署SASE,其实可以将SD-WAN与SSE整合起来组成SASE。
零信任架构,打造安全新模式
再来看零信任。通常来说,以前,都是使用实物资产和位置的所有权和控制权作为信任的隐形代理。例如,员工使用企业终端去访问应用就是可以信任的,如果使用非企业终端就是不可信任。但现在,网络边界已经渐渐模糊甚至消失,这种安全范式已无法有效保证对于应用程序的安全访问,就需要做零信任安全防护。
零信任架构是一种将基于隐性信任的访问替换为基于不断更新的身份和上下文的访问的体系结构,可根据计算的风险提供对资源的访问。如果风险是可以接受的,就对访问进行放行;如果风险是超出企业接受度的,就拒绝此次访问。
需要注意的是,风险是考量多种维度的因素,不仅仅是基于身份,还需要访问环境的各种信号,如时间、地点、用户行为等,作出综合判断“是否授权”。
目前,绝大多数的攻击,是通过钓鱼攻击获得管理员账号。管理员账号可以做很多常规用户无法执行的操作,甚至是像“拖库”直接将数据全部导出,造成的风险非常大。不仅如此,这种方式还非常隐蔽,传统的安全工具无法发现。因此,需要对每一次访问进行风险计算,并且是持续验证是否是符合企业可接受的一个访问的风险。
据高锋介绍,零信任主要由用户、终端、应用、网络、数据、监控和自动化七大支柱组成。具体来说,零信任是关于谁允许去访问什么,这个“谁”可以是用户,也可以是非用户,如IoT终端可以作为“谁”去发起访问,它们通常去访问本地或云端的应用,这些应用可以是自研或者购买的商业产品。一旦了解“谁”允许去访问什么,就能够对访问者进行安全控制。
当然,零信任也可以对网络进行隔离,即使用户能够对应用程序进行访问,也能确保其无法做横向移动,比如只能访问被授权允许访问的应用。同时,零信任通过限制应用程序访问来保护数据,一般用户不会直接访问,而是通过应用程序。
零信任还可以对访问者的安全属性进行监控,这有助于更好作出“授权与否”的决定。另外,自动化也是成功的零信任环境的关键组成部分,如果无法做好自动化,就无法对零信任进行很好的运维。
高锋以NIST零信任架构图为例,介绍了零信任的架构工作原理。
左侧的“实体”通常是指用户,通过系统或者移动终端访问右侧的“企业资源”。这些“企业资源”可以理解为应用程序。中间的“策略执行点PEP(PEP=Policy Enforcement Point)”,用来控制访问的允许与否。上方的“策略决策点PDP(PDP=Policy Decision Point)”是决策大脑,用来决定“是否允许访问”。
当用户发起访问请求,策略执行点PEP会询问PDP,PDP基于访问策略以及各种信号的输入,做出“是否授权”的决定,PEP则根据PDP的决定来放行与否。
“实际上,SASE就是PDP和PEP,SASE代替了PDP、PEP的工作。简单来说,零信任是一种用于将实体连接到资源的架构,SASE则是用来布局零信任架构的一组产品。两者的关系可以概括为:SASE是做什么,零信任是怎么做。”高锋说。
值得一提的是,为了助力企业更好地部署SASE和零信任,高锋提出四点建议:
1、SASE可以成为建设零信任很好的起点。
2、SASE将用户连接到应用程序,因此必须了解应用程序。
3、SASE只能根据已知策略执行,因此零信任的基础是能确定谁应该访问什么,这样才能够成功地迁移应用。
4、最好从小做起。企业一定要一个一个做起,或者可以一次迁移多个应用,但一定不要多,因为迁移多的话,一定会造成零信任迁移失败。
写在最后:
SASE作为一项新兴的网络安全理念,能够满足云和移动服务的动态访问和安全性的要求。而零信任凭借“持续校验、基于风险偏好最小授权”的原则,成为数字时代下提升网络整体安全性的有效方式。可以说,SASE和零信任相结合,无疑为数字化时代下的企业,提供了筑牢网络安全防线新思路。