零信任和SASE有什么不一樣?答案其實并不重要

Gartner預計,到2024年,至少40%的企業(yè)將有明確的策略采用SASE,高于2018年底的不到1%。而且由于企業(yè)公有云流量的增多,導致安全邊界逐漸模糊,將加速SASE的普及。

本文來自科技云報道。

IT領域永遠不乏新的技術熱點,譬如零信任好像剛流行起來,一個新概念SASE(安全訪問服務邊緣)又橫空出世。

Gartner預計,到2024年,至少40%的企業(yè)將有明確的策略采用SASE,高于2018年底的不到1%。而且由于企業(yè)公有云流量的增多,導致安全邊界逐漸模糊,將加速SASE的普及。

在Gartner的定義中,SASE是“一種新興的體系結(jié)構(gòu),它結(jié)合了全面的廣域網(wǎng)功能和全面的網(wǎng)絡安全功能(如SWG、CASB、FWaaS和ZTNA),以支持數(shù)字化企業(yè)的動態(tài)安全訪問需求。”

Gartner認為,ZTNA(零信任網(wǎng)絡訪問)無論是端點啟動模式亦或是服務啟動模式,無論是獨立部署模式或者是軟件即服務模式,都屬于入口類的SASE。

所以,零信任是SASE的一部分嗎?但這正是市場概念混淆的開始。

很多企業(yè)和安全主管都提出了類似的問題,比如:SASE和零信任之間的區(qū)別是什么?哪種模式最適合我的業(yè)務?我是否需要改變安全策略來達到同樣的結(jié)果?

下面就來聊聊零信任和SASE之間有何關聯(lián)?

QQ截圖20211119092508.png

零信任和SASE的起源

首先,零信任是由Forrester提出的,SASE是由Gartner提出的。

零信任概念是由Forrester首席分析師John Kindervag于2010年提出的。

后來,其繼任者(即現(xiàn)任)Forrester首席分析師Chase Cunningham,將零信任豐富為“零信任擴展(ZTX)生態(tài)系統(tǒng)”。包含零信任用戶、零信任設備、零信任網(wǎng)絡、零信任應用、零信任數(shù)據(jù)、零信任分析、零信任自動化等七大領域。

當Gartner認識到零信任的重要性后,其副總裁分析師Neil MacDonald在2018年12月發(fā)布的報告《零信任是CARTA路線圖上的第一步》中提出,將零信任項目作為CARTA(持續(xù)自適應風險與信任評估)路線圖的初始步驟,試圖將零信任納入CARTA框架。

隨后,在2019年4月又提出ZTNA(零信任網(wǎng)絡訪問)概念,它相當于SDP技術路線。

接著,Gartner分析師Neil MacDonald再次于2019年8月放出大招——在《網(wǎng)絡安全的未來在云端》報告中,提出面向未來的SASE(安全訪問服務邊緣,Security Access Service Edge)概念,開辟了邊緣安全的新天地。

此后,Gartner大力推廣SASE概念,在不到兩年的時間里,獲得了很大共識。

Forrester很快認識到“邊緣安全”這個概念的前瞻性,于是在2021年1月發(fā)布的《為安全和網(wǎng)絡服務引入零信任邊緣(ZTE)模型》報告中,正式提出ZTE(零信任邊緣,Zero Trust Edge)。

Forrester在該報告中指出,零信任主要有兩類概念:一是數(shù)據(jù)中心零信任:即資源側(cè)的零信任;二是邊緣零信任:即邊緣側(cè)的零信任訪問安全,而這正是ZTE(零信任邊緣)。

2021年2月,F(xiàn)orrester在《將安全帶到零信任邊緣》報告中解釋說:Forrester的零信任邊緣(ZTE)模型與Gartner的SASE模型是相似的,主要區(qū)別在于:零信任邊緣模型的重點在零信任。

QQ截圖20211119092508.png

零信任和SASE之間

有什么區(qū)別?

從零信任和SASE概念的演變過程中,可以看到兩者是在不斷相互融合的,且有共同的目標,即保護企業(yè)的業(yè)務、上下文關系和基于身份的策略配置。

上文所提到,Gartner認為ZTNA(零信任網(wǎng)絡訪問)屬于入口類的SASE,很多人就認為零信任屬于SASE的一部分,這其實是一種誤讀。

因為ZTNA(零信任網(wǎng)絡訪問)是一種網(wǎng)絡安全架構(gòu),其本質(zhì)是一種以數(shù)據(jù)為中心的全新邊界,通過強身份驗證保護數(shù)據(jù)的技術。

而零信任作為一種安全理念,是基于“永不信任、持續(xù)驗證”的原則,進行身份驗證和數(shù)據(jù)訪問授權,并沒有明確規(guī)定任何類型的安全服務、技術,或者任何一種體系結(jié)構(gòu)。

相較之下,SASE指的是部署在邊緣的云安全交付服務,可為任何地方的數(shù)據(jù)提供廣泛的保護。SASE明確了企業(yè)應該如何部署和使用一些網(wǎng)絡和安全服務。

在對SASE模型的介紹中,Gartner列出了SASE的核心組件包括:SD-WAN、安全網(wǎng)關(SWG)、零信任網(wǎng)絡訪問(ZTNA)、防火墻即服務(FWaaS)和云應用程序安全代理(CASB)等。

上述SASE核心組件為實現(xiàn)零信任原則“永不信任、持續(xù)驗證”提供了技術支撐,而ZTNA(零信任網(wǎng)絡訪問)是整個SASE體系結(jié)構(gòu)中的主要技術之一。

總的來說,如果零信任是企業(yè)想做的事情,那么SASE可以被認為是實現(xiàn)的一種方式。如果企業(yè)想部署SASE產(chǎn)品,遵循零信任框架也是至關重要的。

QQ截圖20211119092508.png

SASE如何踐行零信任理念?

那么,SASE到底應如何實現(xiàn)零信任安全模型的方法?

在Gartner的愿景中,SASE的各個核心組件需整合到一個集成的、易于使用的云交付平臺中。通過將網(wǎng)絡基礎結(jié)構(gòu)功能與網(wǎng)絡安全功能集成在一起,SASE可以在所有網(wǎng)絡連接點和端點上實施安全控制。

這種集成的、持續(xù)的流量檢查和分析以及動態(tài)的安全策略執(zhí)行功能,使SASE成為改變數(shù)字化轉(zhuǎn)型計劃的推動者,同時也是零信任架構(gòu)的理想載體和路徑。

目前,SASE的各個組件在市面上都有對應的產(chǎn)品,并且在不同程度上已為很多企業(yè)所使用。但由于SASE涵蓋的技術較多,如何整合組件、重構(gòu)網(wǎng)絡,都使得SASE的落地成為很大的挑戰(zhàn)。

中國信通院云計算與大數(shù)據(jù)研究所云計算部副主任馬飛表示,隨著網(wǎng)絡與安全功能的逐步完善,服務商SASE解決方案的統(tǒng)一管控能力成為SASE落地實踐的最大挑戰(zhàn)。

由于SASE是網(wǎng)絡安全能力的整合,SASE平臺需要兼?zhèn)渚W(wǎng)絡、安全、配置、運維、資產(chǎn)、API管理能力,因此打通各功能組件的底層連接實現(xiàn)交互,并且為用戶提供統(tǒng)一界面對資源進行管理編排,成為SASE落地的主要難點之一,也將會是接下來幾年各廠商努力的方向。

對此,F(xiàn)orrester在2021年的《將安全帶到零信任邊緣》報告中,針對ZTE/SASE提出了一條頗具可行性的推進路線:ZTE要先解決戰(zhàn)術性“遠程訪問”問題,最后再解決戰(zhàn)略性“網(wǎng)絡重構(gòu)”問題。

原因在于,要重構(gòu)企業(yè)網(wǎng)絡結(jié)構(gòu),是個極大挑戰(zhàn),最好把這個硬骨頭放到最后再解決。

具體而言,F(xiàn)orrester的“先戰(zhàn)術、再戰(zhàn)略”的推進思路如下:

第1步:先用ZTNA技術,解決遠程訪問問題;

第2步:再逐步追加其它的安全控制(如SWG、CASB、DLP);

第3步:最后使用SD-WAN技術,解決網(wǎng)絡重構(gòu)問題。

同樣是2021年,Gartner也發(fā)布了采用SASE的戰(zhàn)略路線圖,其目標是幫助企業(yè)從傳統(tǒng)安全架構(gòu)轉(zhuǎn)向SASE。

在Gartner的推進路線中,流程分解為可管理的步驟,并制定了短期和中長期的目標,以幫助組織完成流程。

其中,短期目標包括:

部署ZTNA(零信任網(wǎng)絡訪問):隨著遠程工作的快速增長,為遠程用戶替換傳統(tǒng)的虛擬專用網(wǎng)絡(VPN)是一個主要優(yōu)先事項。SASE的ZTNA功能使其成為傳統(tǒng)遠程訪問解決方案的更安全替代方案,允許組織實施零信任策略以更好地保護其數(shù)據(jù)和用戶。

制定淘汰計劃:Gartner建議執(zhí)行完整的設備和合同清單,并制定逐步淘汰本地周邊和分支機構(gòu)安全設備的時間表。然后,這些解決方案可以替換為托管在云中的SASE功能。

整合供應商:SASE提供了廣泛的安全功能的完整集成,消除了對來自多個供應商的獨立解決方案的需要。切換到SASE可以簡化和簡化從解決方案獲取到長期監(jiān)控和維護的安全的各個方面。

執(zhí)行分支機構(gòu)轉(zhuǎn)型:部署在每個物理位置的安全設備創(chuàng)建了一個復雜而龐大的安全架構(gòu)。努力將這些解決方案遷移到云端集中并簡化了組織的安全性。

除了這些短期目標之外,Gartner還概述了組織應該追求的一些長期目標。這些主要集中在利用SASE的安全集成和ZTNA功能來集中和簡化整個企業(yè)的安全操作。

大多數(shù)公司將需要制定一項多年戰(zhàn)略以遷移到SASE。雖然這一戰(zhàn)略因公司而異,但Gartner提出了一條適用于所有公司的建議:立即開始這一過程。

不難發(fā)現(xiàn),無論是Forrester還是Gartner,都將SASE的落地分為了多個步驟,并建議從ZTNA(零信任網(wǎng)絡訪問)技術替代入手,之后再持續(xù)不斷地淘汰和完善安全和網(wǎng)絡功能,這表明實現(xiàn)SASE或零信任,從來不是一蹴而就的事。

回到開頭的問題,零信任和SASE模式是什么關系?哪種模式更適合自己的業(yè)務?相信看完本文就能明白,答案在很大程度上無關緊要,因為答案不會影響任何人的業(yè)務或安全策略。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論