如何避免
SASE=边缘零信任
在零信任领域,主要概念来自于两家世界级咨询公司Gartner与Forrester,而不得不澄清的是零信任与SASE的关系问题:
- 首先,Forrester提出零信任,成为近十年来最重要的安全创新理念。不妨把零信任比作如来佛祖。
- 然后,Gartner提出SASE(安全访问服务边缘),在零信任的基础上面向未来描绘了一幅美好边缘愿景。SASE的意图明显是想超越零信任,不妨把SASE比作齐天大圣,一心想跳出如来的手掌心。
- 最近,Forrester又提出ZTE(零信任边缘),且强调ZTE=SASE。意思是说,SASE你也别闹腾了,你不过就是零信任边缘或者边缘零信任,始终逃不出我零信任的手掌心。
本文评论了两家顶级咨询公司的三位顶级分析师提出的三个概念:零信任、SASE、ZTE。
总结一下:零信任=数据中心零信任 边缘零信任;边缘零信任=SASE=ZTE。SASE是零信任的一部分或子集;SASE是零信任面向未来的重要场景。
一、零信任的提出与发展
01 零信任的提出
零信任概念是由Forrester首席分析师John Kindervag于2010年提出的。
后来,其继任者(即现任)Forrester首席分析师Chase Cunningham,将零信任丰富为“零信任扩展(ZTX)生态系统”。包含零信任用户、零信任设备、零信任网络、零信任应用、零信任数据、零信任分析、零信任自动化等七大领域。
图1-零信任扩展(ZTX)生态系统的七大支柱
为此,Forrester还专门提供了一整套《零信任安全手册》,由12篇系列文章(持续更新)构成,为客户顺利融入零信任扩展生态系统,提供全面的参考文档。
02 零信任的发展
回顾历史,零信任的发展并不顺利。历经十年,才获得普遍认可。
Forrester将零信任概念扩大为ZTX生态系统,是为了将零信任做大做强。而2020年8月NIST SP 800-207零信任架构指南的正式发布,无疑就是零信任最好的名片和广告。
2020年5月,美国总统拜登发布行政命令以加强国家网络安全,明确指示美国联邦政府各机构实施零信任方法。美国国防部零信任参考架构也终于公开发布,其运行概念图如下所示:
图2-国防部零信任参考架构
该图最显著的特点是中间的两大块,分别代表了用户侧访问控制(客户端和身份保障)和数据侧访问控制(数据中心企业)。是一个相当完整的零信任架构。
二、SASE的提出与发展
01 SASE的提出
当Gartner认识到零信任的重要性后,其副总裁分析师Neil MacDonald在2018年12月发布的报告《零信任是CARTA路线图上的第一步》中提出,将零信任项目作为CARTA(持续自适应风险与信任评估)路线图的初始步骤。试图将零信任纳入CARTA框架。随后,在2019年4月又提出ZTNA(零信任网络访问)概念,它相当于SDP技术路线,从覆盖面上看有点狭窄。
接着,Gartner分析师Neil MacDonald再次于2019年8月放出大招——在《网络安全的未来在云端》报告中,提出面向未来的SASE(安全访问服务边缘,Security Access Service Edge)概念,开辟了边缘安全的新天地。
此后,Gartner大力推广SASE概念,在不到两年的时间里,获得了很大共识。
在本届RSAC上,Cisco在《Getting Started With SASE Connect Controland Converge With Confidence》报告中的一张图,非常形象地说明了SASE的含义:
图3-Cisco对SASE的名称解读
可以看出:
- SASE是集网络安全服务、下一代广域网、边缘计算于一体的云交付网络。
- SASE的实现必须以安全、网络、订阅、云四大条件为基础。
- SASE的难点:
- 在SASE的主要组成要素中,全球性分布式的边缘部署在实操层面中是最难的,而这也意味着对客户传统网络架构的重构。
02 边缘的概念
理解SASE的第一步,是理解边缘概念。在本届RSAC大会,Fortinet的议题《以面向所有边缘的安全驱动网络,增强混合劳动力》,对边缘概念解释得浅显易懂: