#網絡安全##滲透測試##信息安全#如何避免#數據洩露##黑客#
SASE=邊緣零信任
在零信任領域,主要概念來自于兩家世界級咨詢公司Gartner與Forrester,而不得不澄清的是零信任與SASE的關系問題:
本文評論了兩家頂級咨詢公司的三位頂級分析師提出的三個概念:零信任、SASE、ZTE。
總結一下:零信任=數據中心零信任 邊緣零信任;邊緣零信任=SASE=ZTE。SASE是零信任的一部分或子集;SASE是零信任面向未來的重要場景。
一、零信任的提出與發展
01 零信任的提出
零信任概念是由Forrester首席分析師John Kindervag于2010年提出的。
後來,其繼任者(即現任)Forrester首席分析師Chase Cunningham,将零信任豐富為“零信任擴展(ZTX)生态系統”。包含零信任用戶、零信任設備、零信任網絡、零信任應用、零信任數據、零信任分析、零信任自動化等七大領域。
圖1-零信任擴展(ZTX)生态系統的七大支柱
為此,Forrester還專門提供了一整套《零信任安全手冊》,由12篇系列文章(持續更新)構成,為客戶順利融入零信任擴展生态系統,提供全面的參考文檔。
02 零信任的發展
回顧曆史,零信任的發展并不順利。曆經十年,才獲得普遍認可。
Forrester将零信任概念擴大為ZTX生态系統,是為了将零信任做大做強。而2020年8月NIST SP 800-207零信任架構指南的正式發布,無疑就是零信任最好的名片和廣告。
2020年5月,美國總統拜登發布行政命令以加強國家網絡安全,明确指示美國聯邦政府各機構實施零信任方法。美國國防部零信任參考架構也終于公開發布,其運行概念圖如下所示:
圖2-國防部零信任參考架構
該圖最顯著的特點是中間的兩大塊,分别代表了用戶側訪問控制(客戶端和身份保障)和數據側訪問控制(數據中心企業)。是一個相當完整的零信任架構。
二、SASE的提出與發展
01 SASE的提出
當Gartner認識到零信任的重要性後,其副總裁分析師Neil MacDonald在2018年12月發布的報告《零信任是CARTA路線圖上的第一步》中提出,将零信任項目作為CARTA(持續自适應風險與信任評估)路線圖的初始步驟。試圖将零信任納入CARTA框架。随後,在2019年4月又提出ZTNA(零信任網絡訪問)概念,它相當于SDP技術路線,從覆蓋面上看有點狹窄。
接着,Gartner分析師Neil MacDonald再次于2019年8月放出大招——在《網絡安全的未來在雲端》報告中,提出面向未來的SASE(安全訪問服務邊緣,Security Access Service Edge)概念,開辟了邊緣安全的新天地。
此後,Gartner大力推廣SASE概念,在不到兩年的時間裡,獲得了很大共識。
在本屆RSAC上,Cisco在《Getting Started With SASE Connect Controland Converge With Confidence》報告中的一張圖,非常形象地說明了SASE的含義:
圖3-Cisco對SASE的名稱解讀
可以看出:
02 邊緣的概念
理解SASE的第一步,是理解邊緣概念。在本屆RSAC大會,Fortinet的議題《以面向所有邊緣的安全驅動網絡,增強混合勞動力》,對邊緣概念解釋得淺顯易懂:
圖4-對邊緣的定義
上圖的要點是:
03 零信任和SASE的對比
理解SASE的第二件事,是理解零信任與SASE的區别。在本屆RSAC大會上,趨勢科技在《混合雲的零信任挑戰:真相與神話》議題中,對此做了澄清:
圖5-SASE和零信任的對比
上圖中有句反話:“得益于SASE供應商們的過度營銷,才使得我們對零信任和SASE更加困惑。” 筆者對此深有共鳴。
上圖中的關鍵是:
04 SASE的發展
在Gartner 2020年雲安全炒作周期圖中(因版權問題不便貼出),SASE已經站上希望之巅(Peak of Inflated Expectations)。但其深藍顔色仍然表明,還是需要5-10年才能得以成熟。而且該圖是針對國際而言的,在國内可能還要晚些。
值得期待的是,基于以下因素,SASE肯定會加速發展:
三、ZTE的提出和策略
01 ZTE的提出
簡單地說,Gartner的SASE(安全訪問服務邊緣)概念相當于“邊緣安全”。Forrester很快認識到這個概念的前瞻性,于是在2021年1月發布的《為安全和網絡服務引入零信任邊緣(ZTE)模型》報告中,正式提出ZTE(零信任邊緣,Zero Trust Edge)。
Forrester在該報告中指出,零信任主要有兩類概念:
Forrester零信任邊緣(ZTE)模型如下:
圖6-ZTE(零信任邊緣)模型
02 ZTE和SASE的對比
2021年2月,Forrester在《将安全帶到零信任邊緣》報告中解釋說:Forrester的零信任邊緣(ZTE)模型與Gartner的SASE模型是相似的。而主要區别在于:零信任邊緣模型的重點在零信任。
我們姑且将ZTE與SASE統稱為“邊緣安全”。既然ZTE與SASE相似,為什麼Forrester還要提出ZTE概念?筆者認為,這正是Forrester的高明之處。Forrester通過引入一個通俗易懂的零信任邊緣(ZTE)概念,就輕松地将SASE納入了零信任版圖。大家稍微想想就理解,雖然是同一回事,但"零信任邊緣"(ZTE)要遠比"安全訪問服務邊緣"(SASE)容易理解得多。
另外,筆者認為,ZTE和SASE在實施邊緣安全的路徑上有顯著區别:
筆者比較認同Forrester的思路,也就是網絡和安全解耦的方式。在本屆RSAC大會,趨勢科技的安全副總裁Greg Young,在議題《懷疑論者指南》中,旗幟鮮明地表達了這種觀點:"關于SASE、零信任、ZTE的定義,有些人會在裡面添加網絡技術,對此我表示懷疑。如果說一個零信任的解決方案裡,談論了很多關于SD-WAN的東西,你就要非常小心。我的零信任和SASE,當然要去适應和擁抱SD-WAN環境,但這并不意味着我自己一定要有SD-WAN。所以,對于把SD-WAN作為零信任解決方案進行售賣這樣的做法,大家一定要非常警惕。"
03 ZTE的推進策略
2021年2月,Forrester在《将安全帶到零信任邊緣》報告中,針對ZTE/SASE的推進路線,特别指出:ZTE要先解決戰術性“遠程訪問”問題,最後再解決戰略性“網絡重構”問題。原因在于,要重構企業網絡結構,是個極大挑戰,最好把這個硬骨頭放到最後再解決。
具體而言,Forrester的“先戰術、再戰略”的推進思路如下:
Forrester的邊緣安全推進策略,顯得相當務實,也更加重視零信任。相比之下,Gartner的邊緣安全推進策略,就太理想化了。
四、零信任與SASE的融合
通過上面的解釋,我們已經能夠看出,Forrester正在将零信任和邊緣安全融為一體(孫大聖已經被如來收入掌中)。
同時,我們注意到,在本屆RSAC大會上,很多安全專家也已經在零信任和邊緣安全相互融合的道路上做了探讨。
01 零信任的演進路線
在本屆RSAC大會上,趨勢科技在《混合雲的零信任挑戰:真相與神話》議題中,給出了通往零信任的各條路線:
圖7-通往零信任的路線
上圖可見:
02 端到端零信任架構
在本屆RSAC大會上,VMware在《零信任,零痛苦:一個具有内置安全性的實用實現》的議題中,給出了如下的端到端零信任架構:
圖8-端到端零信任架構
VMware進一步給出了該架構的細節描述:
圖9-端到端架構的組件
筆者認為,該圖較好整合了零信任與邊緣安全的概念。
03 網絡安全的演進
在本屆RSAC大會上,Fortinet在《以面向所有邊緣的安全驅動網絡,增強混合勞動力》議題中,給出了網絡安全由碎片化向平台化發展的路線:
圖10-網絡安全向平台化發展
該路線融合了零信任、邊緣安全、平台化的思路,非常符合安全的演進觀念。圖中最右側實際上就是安全大腦:
04 結束語
既然大聖(SASE)已經被如來(零信任)收服,建議少用令人費解的"安全訪問服務邊緣(SASE)"術語,直接使用"零信任邊緣(ZTE)"就好了。否則,我們還将在這些概念之間反複纏繞。
SASE與零信任,到底有什麼關系?SASE(安全訪問服務邊緣)和零信任可以持續協同工作來保護企業資源,但它們不是一回事。
安全行業正在飛速發展,我們面臨的威脅格局不斷改變,企事業單位大規模數字化轉型也不斷深入發展。零信任作為新一代網絡安全理念還飽受熱議,但轉眼間SASE也加入了賽道。各安全廠商紛紛闡述各自對SASE理解,推廣相關産品和方案。在炒作和熱議下,很多企業組織已經開始了零信任和SASE之旅,但建設之路似乎并不清晰。接下來,企業組織應該如何走好零信任和SASE建設之路?當威脅發生,我們如何能确保做好了充足的防護和應對準備?
在回答上述問題前,先來了解零信任與SASE分别是什麼,它們之間有什麼異同。
01 背景
自Gartner于2019年8月提出安全訪問服務邊緣(Secure Access Service Edge, SASE)至今,幾乎所有大型安全廠商都發布了SASE安全架構或者解決方案或産品等服務。看了Gartner針對SASE的研究和調查,很多企業和組織可能會認為部署SASE就可以同時擁有零信任。然而,事實并非如此,部署零信任和SASE,企業需要采取各種不同的措施,才能正确地落地。
零信任101
零信任是一種安全理念,它強調不應該默認信任企業網絡邊界内外的任何事物,必須在授予訪問權限之前進行身份驗證。同時,信任也不應該基于特定連接、特定對象或者網絡位置等某單一條件被授予給訪問者。零信任要求用戶(包括設備、數據、服務等)證明其應該被授予訪問權限,并且僅授予其必要的、必需的訪問權限。例如,若某員工不是财務部門人員,那麼其賬戶不能訪問财務數據。
為了防止賬戶冒用、洩漏等風險發生,企業員工還會使用無密碼方式,如生物識别或安全密鑰等方式登陸企業賬戶。相較于簡單的用戶名與密碼登陸方式,這些方式使攻擊者更難盜用賬戶。
SASE 101
與其他安全架構相似,SASE的目标也是為了保護用戶、應用以及數據等。然而,如今用戶、企業應用、數據等資産不僅存在于數據中心,還可能在雲上、SaaS應用中,移動設備中。所以,SASE将安全能力轉移到雲端。
根據Gartner的定義,SASE是一種基于實體的身份、實時上下文、企業安全/合規策略,以及在整個會話中持續評估風險/信任的服務。其中,實體的身份可與人員、人員組(分支辦公室)、設備、應用、服務、物聯網系統或邊緣計算場地相關聯。它可以提供多種網絡與安全能力,包括軟件定義廣域網(SD-WAN), Web安全網關(SWG), 雲訪問安全代理(CASB), 零信任網絡訪問(ZTNA)以及防火牆即服務(FWaaS)等核心能力。
SASE 将網絡接入和安全能力融合,統一在雲端管理和交付,将安全執行點部署在離用戶更近的邊緣節點,克服了分散集成和地理位置約束解決方案的成本及複雜性,從而實現安全能力的服務化和企業安全服務的托管。
02 零信任和SASE有包含關系嗎?
Gartner将零信任網絡訪問 (ZTNA) 作為SASE的核心組件之一,這可能是讓大衆誤解SASE是包含零信任的原因。實際上,零信任架構不等于零信任網絡訪問或ZTNA。
零信任網絡訪問(ZTNA)可以主要理解是傳統VPN解決方案的一種替代方案,目的是為了提供更安全的遠程訪問。但這并不意味着部署了ZTNA,整體企業IT環境中就全面實現了零信任架構。因此,零信任不是SASE的組成部分。零信任是一種安全理念,而不是單一的産品。
那麼SASE 是零信任的一部分嗎?答案是,有可能的。因為SASE可以幫助企業針對某些IT資産踐行零信任原則,雖然這也并不意味着整體環境中全面部署了零信任。
無論兩者之間是否存在包含關系,SASE和零信任都有相同的共同目标——保護業務、基于身份與上下文的策略分配。
03 零信任和SASE有什麼共同之處?
ZTNA被視為SASE核心要素之一,強調基于最小權限原則提供對服務的訪問,它同時遵守一下幾個零信任原則:
不同于像傳統VPN遠程訪問解決方案,ZTNA 在應用層(第 7 層)保護對服務的訪問。ZTNA向用戶提供授權方式,并且通過身份驗證的用戶隻能訪問已批準的資産。
04 零信任和SASE有什麼區别?
如前所述,零信任是一種安全理念,它并未聚焦在某些特定安全技術或者産品,而 SASE明确描述了幾種網絡和安全技術。
在零信任架構下,無論是部署殺毒軟件、防火牆、IPS 還是新一代NDR 解決方案,零信任原則都應适用于系統的各個方面:人員、流程和技術等。
SASE則明确描述了幾種網絡和安全技術。此外,它還探讨了雲服務廠商應該如何部署這些服務,以及企業應該如何使用這些服務。
05 零信任和SASE如何協同工作以保護現代基礎設施?
SASE 将安全性遷移至雲端,更接近工作負載、應用程序、用戶和數據,但它依然依賴于“預防-檢測-糾正”的網絡安全方法,它還是會使企業資源暴露在危險之中。
例如,攻擊者可以運用社會工程研究進行網絡釣魚活動,通過惡意廣告侵害可靠的網站,或使用虛假登錄表單獲取更多滲透機會。最後,即使檢測到威脅存在,攻擊者也可以通過簡單的代碼改變使其幾乎無法被檢測到。結果,網絡安全團隊不斷修補系統中的漏洞,并希望漏洞不會導緻災難性破壞。
零信任和SASE解決方案應當結合起來,因為它們能夠幫助企業将最小權限訪問方法與雲安全保護架構很好地結合在一起。
06 總結
零信任是一種思維方式,它專注于根據需要進行的身份驗證和數據訪問授權,而SASE指的是部署在邊緣的雲交付平台,可為任何地方的數據提供廣泛的保護。SASE不能被視作部署零信任的快車道,而應将SASE與零信任結合,采用零信任原則更好地保護基于雲的服務以及本地服務。
無論架構、技術、概念如何改變,網絡安全的核心依舊是要明确需要保護的資産,了解它們的價值和分類,以及誰需要訪問、誰能獲取權限訪問權限。企業始終需要進行風險評估了解安全态勢,做好安全意識培訓,制定風險應急響應計劃。
2019年,Gartner在報告《Hype Cycle for Enterprise Networking 2019》中首次提出了SASE(Secure Access Service Edge)的概念,如下圖:
從圖中直觀地看,靈活接入的網絡 按需的安全,就是SASE,實際上大緻也是這樣,隻是SASE包含了比較多的細節内容,需要花點時間來梳理和理解。
這幾年,SASE非常火,SASE國外主要廠商有Cato、Zscaler、Paloalto,國内大廠如阿裡雲、深信服、綠盟,也都正式推出了SASE産品。相比較于單一的安全産品,SASE頭緒較多,理解起來不太容易把握住核心。因此,有必要以一個通俗移動的例子,白話的方式來講清楚SASE的來龍去脈。
要理解SASE,首先要理解SD-WAN。SD-WAN,即軟件定義廣域網絡,是将SDN技術應用到廣域網場景中所形成的一種服務。這種服務用于連接廣闊地理範圍的企業網絡、數據中心、互聯網應用及雲服務,旨在幫助用戶降低廣域網的開支和提高網絡連接靈活性。
SD-WAN本質上,是網絡去中心化的産物。什麼叫去中心化?舉個例子:
古代有一個錢莊,開展存取放貸的業務。起初規模較小,位于都城且沒有分店。于是,全國各地的人來辦業務,都需要長途跋涉到都城,前往銀号。銀号的所有銀兩和來往錢賬,都是集中于一處的,我們可以叫“中心化”的模式。
後來,錢莊信譽良好,越開越大,客戶遍布全國各地,且人數衆多。于是,位于都城的總店,決定開分店,在全國各地主要的大城市,都開了分店,分别屯放備用銀兩,分别辦業務,總店周期性彙總盤點。這時候,銀号的所有銀兩和來往錢賬,開始逐漸集中于多處分店了,我們可以叫去“中心化”的模式。
如果把分店比作網絡,那麼我們可以認為,這個時候,因為去中心化模式的産生,網絡也開始去中心化,遍布各地了。那麼,為了便于存錢取錢,總店就需要一種能力:随時随地按照客戶所需,在不同的地方開設分店,甚至為大項目開“移動銀行”業務。也就是說,一個強大的全國性錢莊,需要具備随時随地按需開通網店的能力。
SD-WAN也是這個道理,因為企業的數據中心去中心化,員工接入方式的去中心化,一個現代的企業,需要具備随時、随地接入不同企業數據中心的網絡動态開通和管理能力。因此,SD-WAN技術就應運而生,典型架構見下圖:
關于SD-WAN的詳細技術細節,因為内容太多,此處暫不詳細介紹了。
SD-WAN是好,但是安全怎麼保證呢?
還是舉上面的例子,錢莊總部,自然安保森嚴,但是分店呢?為了保護儲戶的安全,分店也需要建立如堅固的金庫、有戰鬥力的保安、以及能保證路上安全的镖局隊伍。這就是SASE在第一幅圖中,右側的部分:安全能力。簡要來說,安全部分能力需要和SD-WAN相配稱,即網絡即服務的同時,要求安全如影随形,做到“安全即服務”。中外的SASE落地方案區别,主要是根據不同實際情況提供的安全服務内容不同,其實本質上是相似的。
2、主要的客戶場景先鋪墊一下,對于SASE,客戶的需求最核心的就是:在任何場景,任何用戶、任何設備、能夠方便的訪問任何的企業應用,且不降低安全性。簡單歸納就是“四個任何”加“安全”。主要場景有三個,國内外這一點其實都比較類似:
1)遠程辦公場景
這種場景,企業的數據中心位于本地IDC和雲上(公有雲),移動辦公用戶,使用VPN/SDP通過互聯網連接到企業數據中心或者雲上數據中心,訪問企業級數據和應用。移動辦公,理論上屬于企業内網的虛拟延伸。風險很容易感受到:用戶身份會不會被盜用?移動設備是否帶病毒木馬?接下來他會不會洩露企業數據?按照數據流向視角看,有四處存在安全風險,見上圖紅圈标注位置。
現在再回頭看SASE定義框圖,安全部分,如下:
随着數字化轉型不斷加速,新興技術與創新業務不斷打破企業原有安全邊界,企業信息安全面臨着前所未有的挑戰。
零信任是應對上述挑戰的重要方法。采用零信任方案可以統一身份管理,構築身份邊界,實時感知風險,實現動态和細粒度授權。
零信任核心原則企業基于持續驗證,動态授權和全局防禦三個核心原則構建自己的零信任網絡。
零信任核心原則
華為根據零信任核心原則與各行業監管部門共同制定了零信任的标準構架。
華為零信任架構
華為零信任架構分為策略執行層、策略控制層、安全管理層三個邏輯層。通過三個邏輯層的相互聯動實現持續驗證、動态授權和全局防禦。
當前實施零信任是一個持續的漸進的工作。首先企業需要與華為一起評估如何在現有網絡下部署零信任組網,典型組網如下所示,詳細實施步驟請參見HUAWEI HiSec零信任安全解決方案最佳實踐。然後根據華為提供的指導評估哪些應用或資源可以優先實施零信任,實現持續認證和動态授權。最後根據經驗逐步全面實施。
華為零信任典型組網
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
