图8-端到端零信任架构
VMware进一步给出了该架构的细节描述:
图9-端到端架构的组件
笔者认为,该图较好整合了零信任与边缘安全的概念。
03 网络安全的演进
在本届RSAC大会上,Fortinet在《以面向所有边缘的安全驱动网络,增强混合劳动力》议题中,给出了网络安全由碎片化向平台化发展的路线:
图10-网络安全向平台化发展
该路线融合了零信任、边缘安全、平台化的思路,非常符合安全的演进观念。图中最右侧实际上就是安全大脑:
- 安全大脑有两类完全不同的输入:一是威胁类(攻防派);二是身份类(管控派)。覆盖了威胁分析和零信任分析的全场景。
- 安全大脑连接各类DR(检测与响应)探针:包括CDR(云DR)、EDR(端点DR)、NDR(网络DR)、边缘DR等,符合典型的XDR模型。
- 这种"XDR 零信任"内外兼修的安全大脑,正是未来的发展方向。
04 结束语
既然大圣(SASE)已经被如来(零信任)收服,建议少用令人费解的"安全访问服务边缘(SASE)"术语,直接使用"零信任边缘(ZTE)"就好了。否则,我们还将在这些概念之间反复缠绕。
SASE与零信任,到底有什么关系?SASE(安全访问服务边缘)和零信任可以持续协同工作来保护企业资源,但它们不是一回事。
安全行业正在飞速发展,我们面临的威胁格局不断改变,企事业单位大规模数字化转型也不断深入发展。零信任作为新一代网络安全理念还饱受热议,但转眼间SASE也加入了赛道。各安全厂商纷纷阐述各自对SASE理解,推广相关产品和方案。在炒作和热议下,很多企业组织已经开始了零信任和SASE之旅,但建设之路似乎并不清晰。接下来,企业组织应该如何走好零信任和SASE建设之路?当威胁发生,我们如何能确保做好了充足的防护和应对准备?
在回答上述问题前,先来了解零信任与SASE分别是什么,它们之间有什么异同。
01 背景
自Gartner于2019年8月提出安全访问服务边缘(Secure Access Service Edge, SASE)至今,几乎所有大型安全厂商都发布了SASE安全架构或者解决方案或产品等服务。看了Gartner针对SASE的研究和调查,很多企业和组织可能会认为部署SASE就可以同时拥有零信任。然而,事实并非如此,部署零信任和SASE,企业需要采取各种不同的措施,才能正确地落地。
零信任101
零信任是一种安全理念,它强调不应该默认信任企业网络边界内外的任何事物,必须在授予访问权限之前进行身份验证。同时,信任也不应该基于特定连接、特定对象或者网络位置等某单一条件被授予给访问者。零信任要求用户(包括设备、数据、服务等)证明其应该被授予访问权限,并且仅授予其必要的、必需的访问权限。例如,若某员工不是财务部门人员,那么其账户不能访问财务数据。
为了防止账户冒用、泄漏等风险发生,企业员工还会使用无密码方式,如生物识别或安全密钥等方式登陆企业账户。相较于简单的用户名与密码登陆方式,这些方式使攻击者更难盗用账户。
SASE 101
与其他安全架构相似,SASE的目标也是为了保护用户、应用以及数据等。然而,如今用户、企业应用、数据等资产不仅存在于数据中心,还可能在云上、SaaS应用中,移动设备中。所以,SASE将安全能力转移到云端。
根据Gartner的定义,SASE是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。其中,实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。它可以提供多种网络与安全能力,包括软件定义广域网(SD-WAN), Web安全网关(SWG), 云访问安全代理(CASB), 零信任网络访问(ZTNA)以及防火墙即服务(FWaaS)等核心能力。
SASE 将网络接入和安全能力融合,统一在云端管理和交付,将安全执行点部署在离用户更近的边缘节点,克服了分散集成和地理位置约束解决方案的成本及复杂性,从而实现安全能力的服务化和企业安全服务的托管。
02 零信任和SASE有包含关系吗?
Gartner将零信任网络访问 (ZTNA) 作为SASE的核心组件之一,这可能是让大众误解SASE是包含零信任的原因。实际上,零信任架构不等于零信任网络访问或ZTNA。
零信任网络访问(ZTNA)可以主要理解是传统VPN解决方案的一种替代方案,目的是为了提供更安全的远程访问。但这并不意味着部署了ZTNA,整体企业IT环境中就全面实现了零信任架构。因此,零信任不是SASE的组成部分。零信任是一种安全理念,而不是单一的产品。
那么SASE 是零信任的一部分吗?答案是,有可能的。因为SASE可以帮助企业针对某些IT资产践行零信任原则,虽然这也并不意味着整体环境中全面部署了零信任。
无论两者之间是否存在包含关系,SASE和零信任都有相同的共同目标——保护业务、基于身份与上下文的策略分配。
03 零信任和SASE有什么共同之处?
ZTNA被视为SASE核心要素之一,强调基于最小权限原则提供对服务的访问,它同时遵守一下几个零信任原则:
- 所有网络连接都应当经过身份验证,并且基于动态策略授予访问权限;
- 所有通信都是安全的,无论网络位置如何;
- 安全控制必须在最靠近资产的地方实施。
不同于像传统VPN远程访问解决方案,ZTNA 在应用层(第 7 层)保护对服务的访问。ZTNA向用户提供授权方式,并且通过身份验证的用户只能访问已批准的资产。
04 零信任和SASE有什么区别?
如前所述,零信任是一种安全理念,它并未聚焦在某些特定安全技术或者产品,而 SASE明确描述了几种网络和安全技术。
在零信任架构下,无论是部署*毒软件、防火墙、IPS 还是新一代NDR 解决方案,零信任原则都应适用于系统的各个方面:人员、流程和技术等。
SASE则明确描述了几种网络和安全技术。此外,它还探讨了云服务厂商应该如何部署这些服务,以及企业应该如何使用这些服务。
05 零信任和SASE如何协同工作以保护现代基础设施?
SASE 将安全性迁移至云端,更接近工作负载、应用程序、用户和数据,但它依然依赖于“预防-检测-纠正”的网络安全方法,它还是会使企业资源暴露在危险之中。
例如,攻击者可以运用社会工程研究进行网络钓鱼活动,通过恶意广告侵害可靠的网站,或使用虚假登录表单获取更多渗透机会。最后,即使检测到威胁存在,攻击者也可以通过简单的代码改变使其几乎无法被检测到。结果,网络安全团队不断修补系统中的漏洞,并希望漏洞不会导致灾难性破坏。
零信任和SASE解决方案应当结合起来,因为它们能够帮助企业将最小权限访问方法与云安全保护架构很好地结合在一起。
06 总结
零信任是一种思维方式,它专注于根据需要进行的身份验证和数据访问授权,而SASE指的是部署在边缘的云交付平台,可为任何地方的数据提供广泛的保护。SASE不能被视作部署零信任的快车道,而应将SASE与零信任结合,采用零信任原则更好地保护基于云的服务以及本地服务。
无论架构、技术、概念如何改变,网络安全的核心依旧是要明确需要保护的资产,了解它们的价值和分类,以及谁需要访问、谁能获取权限访问权限。企业始终需要进行风险评估了解安全态势,做好安全意识培训,制定风险应急响应计划。
2019年,Gartner在报告《Hype Cycle for Enterprise Networking 2019》中首次提出了SASE(Secure Access Service Edge)的概念,如下图:
从图中直观地看,灵活接入的网络 按需的安全,就是SASE,实际上大致也是这样,只是SASE包含了比较多的细节内容,需要花点时间来梳理和理解。
这几年,SASE非常火,SASE国外主要厂商有Cato、Zscaler、Paloalto,国内大厂如阿里云、深信服、绿盟,也都正式推出了SASE产品。相比较于单一的安全产品,SASE头绪较多,理解起来不太容易把握住核心。因此,有必要以一个通俗移动的例子,白话的方式来讲清楚SASE的来龙去脉。
要理解SASE,首先要理解SD-WAN。SD-WAN,即软件定义广域网络,是将SDN技术应用到广域网场景中所形成的一种服务。这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务,旨在帮助用户降低广域网的开支和提高网络连接灵活性。
SD-WAN本质上,是网络去中心化的产物。什么叫去中心化?举个例子:
古代有一个钱庄,开展存取放贷的业务。起初规模较小,位于都城且没有分店。于是,全国各地的人来办业务,都需要长途跋涉到都城,前往银号。银号的所有银两和来往钱账,都是集中于一处的,我们可以叫“中心化”的模式。
后来,钱庄信誉良好,越开越大,客户遍布全国各地,且人数众多。于是,位于都城的总店,决定开分店,在全国各地主要的大城市,都开了分店,分别屯放备用银两,分别办业务,总店周期性汇总盘点。这时候,银号的所有银两和来往钱账,开始逐渐集中于多处分店了,我们可以叫去“中心化”的模式。
如果把分店比作网络,那么我们可以认为,这个时候,因为去中心化模式的产生,网络也开始去中心化,遍布各地了。那么,为了便于存钱取钱,总店就需要一种能力:随时随地按照客户所需,在不同的地方开设分店,甚至为大项目开“移动银行”业务。也就是说,一个强大的全国性钱庄,需要具备随时随地按需开通网店的能力。
SD-WAN也是这个道理,因为企业的数据中心去中心化,员工接入方式的去中心化,一个现代的企业,需要具备随时、随地接入不同企业数据中心的网络动态开通和管理能力。因此,SD-WAN技术就应运而生,典型架构见下图: