行業(yè)專家共話零信任SASE,吉利控股首談SASE架構(gòu)落地實踐

  • 人閱讀
  • 2022-08-04 17:26:17

  • 來源:頭條新聞網(wǎng)

  • 相關(guān)關(guān)鍵詞

近日,由國際云安全聯(lián)盟大中華區(qū)與億格云聯(lián)合舉辦的“長風(fēng)破浪 SASE啟航”研討會在線上正式召開。本次研討會共同探討了SASE作為一種創(chuàng)新技術(shù)的由來與未來發(fā)展趨勢,深入分析零信任SASE安全融合理念與架構(gòu),在數(shù)字化時代下對企業(yè)辦公安全架構(gòu)的顛覆與創(chuàng)新。通過吉利控股落地零信任SASE的實踐,真實分享了其作為大型智能制造領(lǐng)先企業(yè),在落地零信任SASE的抉擇之路與建設(shè)經(jīng)驗。

數(shù)字化建設(shè)進一步賦能企業(yè)的業(yè)務(wù)高速發(fā)展,其中應(yīng)用云化、混合辦公使企業(yè)邊界不可避免的進一步模糊化,對傳統(tǒng)邊界防御為核心的安全架構(gòu)帶來了嚴(yán)重的挑戰(zhàn)。企業(yè)安全管理者迫切希望廣域網(wǎng)組網(wǎng)與安全技術(shù)的深度融合,以應(yīng)對數(shù)字化帶來的安全挑戰(zhàn)。

SASE作為Gartner提出的一項創(chuàng)新安全架構(gòu),基于零信任的理念并原生融合網(wǎng)絡(luò)與安全能力,在大幅度降低企業(yè)安全建設(shè)投入的同時,適應(yīng)數(shù)字化企業(yè)當(dāng)前及未來的網(wǎng)絡(luò)流量模型與安全需要。借助零信任SASE,困擾數(shù)字化企業(yè)的諸多辦公安全問題將迎刃而解,為安全和風(fēng)險管理人員提供了未來重新思考和設(shè)計網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)的機會。Gartner預(yù)測,到2025年,至少60%的企業(yè)將有明確的戰(zhàn)略和時間表來采用SASE。

01 SASE的發(fā)展演變與未來趨勢

CSA大中華區(qū)SASE工作組聯(lián)席組長 何國鋒在解讀《SASE安全訪問服務(wù)邊緣白皮書》時談到Gartner 提出的 SASE架構(gòu),就是針對企業(yè)云化,混合辦公(移動/遠(yuǎn)程/居家辦公)模式興起、企業(yè)分支機構(gòu)多,傳統(tǒng)的物理安全邊界消失等問題提出的安全解決方案,很好地滿足了分布式數(shù)字化網(wǎng)絡(luò)和安全服務(wù)。

不僅如此,SASE作為一種新的服務(wù)架構(gòu),將廣域網(wǎng)接入和網(wǎng)絡(luò)安全服務(wù)結(jié)合,以身份為中心,建立網(wǎng)絡(luò)連接和服務(wù),并進行持續(xù)的風(fēng)險性能評估。包含了云網(wǎng)基礎(chǔ)設(shè)施、 管理平臺、PoP節(jié)點、接入邊緣。何老師講到,SASE 有八種核心能力能很好地將割裂的、碎片化的云化本地安全能力進行整合,快速適應(yīng)企業(yè)新興辦公安全的訴求。

賽博諦聽創(chuàng)始人金湘宇認(rèn)為傳統(tǒng)軟硬件堆砌的“串糖葫蘆”式的安全部署模式已不可維系。伴隨著5G、SDWAN、云計算、邊緣計算、物聯(lián)網(wǎng)等新技術(shù)興起,企業(yè)的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)也在隨之快速改變。SASE 已經(jīng)成為近三年來網(wǎng)絡(luò)安全最炙手可熱的概念。區(qū)別于零信任,SASE除了融合零信任之外,還提供了獨有安全和通信融合,以部分或全部牽引流量至企業(yè)外部的邊緣側(cè)的能力。

對于SASE的未來發(fā)展趨勢,金湘宇預(yù)測,隨著5G乃至6G的通信建設(shè)發(fā)展,未來運營商可以在專網(wǎng)專線里使用SASE安全的功能,實現(xiàn)安全通信和計算的融合。何國鋒認(rèn)為,技術(shù)發(fā)展上SASE 系統(tǒng)將與新技術(shù)融合,產(chǎn)生更高效的服務(wù)?;谄髽I(yè)所有數(shù)據(jù)開展人工智能與網(wǎng)絡(luò)智能。同時可對安全事件進行分析和檢測,不斷拓展新的安全服務(wù)場景。

02 辦公安全破局之道——零信任SASE

億格云聯(lián)合創(chuàng)始人葉敏在會上分享了當(dāng)前企業(yè)辦公安全挑戰(zhàn)的現(xiàn)狀與對策,基礎(chǔ)設(shè)施的云化讓企業(yè)的安全邊界模糊,使得傳統(tǒng)以邊界為安全的安全體系逐漸失效,數(shù)據(jù)泄露、病毒入侵等安全隱患也隨之而來。而解決企業(yè)云上安全問題的破局之道就是零信任SASE,零信任SASE基于云原生的架構(gòu),安全融合賬號、身份、應(yīng)用、數(shù)據(jù)、網(wǎng)絡(luò)行為等全維度,用一體化的方案來覆蓋所有辦公安全風(fēng)險場景,真正實現(xiàn)降本增效。

03 吉利控股零信任SASE安全架構(gòu)

本次研討會中作為大型智能制造行業(yè)的典范企業(yè),吉利控股CIO執(zhí)行助理 成品耀分享了吉利的安全挑戰(zhàn)與布局。吉利控股辦公安全起步較早且相對完善,但在全球疫情影響下,吉利控股面臨著些許安全挑戰(zhàn):

1、各基地訪問總部安全風(fēng)險:專線建設(shè)成本高且無法全面覆蓋小型基地,而采用VPN又面臨用戶體驗及安全風(fēng)險的問題;此外,各個基地上網(wǎng)行為管理等策略難以按照集團總部的統(tǒng)一標(biāo)準(zhǔn)執(zhí)行,跨基地出差場景下用戶體驗割裂;

2、多端防護體驗不佳:吉利對于辦公安全一直非常重視,先后采用多個國際一流的安全產(chǎn)品解決辦公安全問題,在安全取得良好成果的同時,也增加了終端負(fù)擔(dān),辦公電腦需要安裝并運行多個安全客戶端軟件,影響用戶體驗;

3、遠(yuǎn)程辦公數(shù)據(jù)安全風(fēng)險:使用傳統(tǒng)VPN進行遠(yuǎn)程訪問時,通常僅關(guān)注員工身份合法性,而對于設(shè)備維度缺乏安全評估,導(dǎo)致BYOD難以區(qū)分授權(quán)管理,存在泄密隱患。

跟大部分企業(yè)一樣,吉利控股集團的安全建設(shè)也是從 0 到 1 逐步建立起來的。原先圍繞著邊界在做安全產(chǎn)品和解決方案:部署防入侵檢測、 DNS 安全、網(wǎng)絡(luò)防泄漏DLP和物理邊界DMZ等產(chǎn)品。以及集團內(nèi)圍繞終端安全部署防病毒、終端 DLP 、磁盤加密或網(wǎng)絡(luò)準(zhǔn)入等產(chǎn)品打造信息安全體系。而伴隨著混合辦公、全球化分布的到來,高成本、繁冗的運維管理,不統(tǒng)一的安全水位、使用體驗差等傳統(tǒng)安全體系的弊端也愈發(fā)明顯。

基于此,吉利控股開始采用了零信任SASE一體化的辦公安全解決方案。與億格云深度合作,打造基于混合云架構(gòu)的內(nèi)部產(chǎn)品——易連,采用了主要基地私有化部署POP節(jié)點和出差場景租用億格云POP節(jié)點的方式構(gòu)建覆蓋全球的應(yīng)用訪問網(wǎng)絡(luò),用戶側(cè)將終端Agent能力以SDK集成于易連的軟件,實現(xiàn)用戶無感知的能力集成。

而借助上述架構(gòu),在不大幅度改變原有網(wǎng)絡(luò)框架及用戶習(xí)慣的基礎(chǔ)上。吉利控股集團的員工可隨時隨地的加速訪問任何位置的內(nèi)部應(yīng)用,很大幅度提升員工體驗及業(yè)務(wù)效率。同時,將零信任網(wǎng)絡(luò)訪問(ZTNA)能力原生融合進應(yīng)用訪問網(wǎng)絡(luò),所有內(nèi)部應(yīng)用對互聯(lián)網(wǎng)完全隱身,無需映射、暴露任何端口,只有集成了億格云零信任訪問SDK的易連才可接入訪問,其他任何非法請求均無法訪問,在不改變員工體驗及訪問習(xí)慣的同時,大幅度降低辦公應(yīng)用被攻擊的風(fēng)險。

一體化的辦公安全解決方案帶來的不僅是保證安全,同時實現(xiàn)降本增效、更能改善安全運維管理繁復(fù)問題,成品耀認(rèn)為未來信息安全的建設(shè)方向,應(yīng)該是做減法,并將安全能力“隱身化”。

早在SASE被正式定義之前,北美因業(yè)務(wù)普遍云化的背景,已進行了多年的相關(guān)探索與實際應(yīng)用。在國內(nèi)數(shù)字化建設(shè)的背景下,也必將面臨業(yè)務(wù)云化所帶來的一系列辦公安全挑戰(zhàn),而零信任SASE無疑是原生就能適用于數(shù)字化架構(gòu)的最佳選擇。

04 安全架構(gòu)新未來

在最后《企業(yè)SASE安全架構(gòu)討論》的圓桌環(huán)節(jié),網(wǎng)絡(luò)安全專家聶君提到,SASE并不局限于某個行業(yè),比如互聯(lián)網(wǎng)金融,相比傳統(tǒng)銀行 IT 環(huán)境,它所帶來的云計算環(huán)境中面臨了更多來自開放環(huán)境帶來的安全挑戰(zhàn),如對外開放接口增多,遠(yuǎn)程辦公需求增多,精細(xì)化訪問控制能力要求等等,而通過零信任SASE架構(gòu)來交付,能夠一站式解決這些問題。

談到一些大型企業(yè)落地SASE可能會遇到的阻力。楊寧(鳥哥)是這樣認(rèn)為的,一是對SaaS化上云的顧慮,二是SASE需要技術(shù)棧和業(yè)務(wù)架構(gòu)進行安全融合,三是SASE的產(chǎn)品形態(tài)和部署方式、訂閱式付費模式等。這些可能都是遇到的阻力。但長期來看,企業(yè)上云SaaS化是一個必然的趨勢。

數(shù)據(jù)安全作為大家都一直非常關(guān)注,但又覺得非常難解決的一個痛點。在葛岱斌看來SASE 作為一個安全架構(gòu),更多是能夠幫助全鏈路監(jiān)測所有數(shù)據(jù)在企業(yè)內(nèi)部的流轉(zhuǎn),良好實現(xiàn)數(shù)據(jù)可視、可管、可控,從而保障數(shù)據(jù)安全。

金湘宇等一眾嘉賓都認(rèn)同,SASE將改變目前網(wǎng)絡(luò)安全產(chǎn)品中以軟硬件結(jié)合來進行銷售的方式,解決安全碎片化的問題。真正實現(xiàn)安全融合。伴隨著云化在我國企業(yè)的普及,云化階段的不斷演進,SASE架構(gòu)在我國的接受度也會越來越高,零信任SASE架構(gòu)帶來的多級容災(zāi)負(fù)載、彈性擴容等優(yōu)勢,將給業(yè)內(nèi)帶來一場新的安全技術(shù)革命。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )