英文原文:https://www.gartner.com/doc/reprints?id=1-6QW0Z4A&ct=190528
数字化转型将颠覆网络和安全服务的设计模式,将重点转移到用户和/或设备的身份,而不是数据中心。安全和风险管理领导者需要集成云交付“服务边缘安全访问(SASE)”应对这一变化。
一、概述
1.1 要点
-
网络安全系统架构将企业数据中心置于连接需求的核心位置,将抑制数字化转型的动态访问需求。
-
由于企业外的用户、设备、应用程序、服务和数据超过企业内部,具有这些特点的数字业务和边缘计算有完全不同的网络访问需求。
-
降低复杂性、低延迟和一旦涉及流量加密就会产生的解密和检查加密流量的需求将增加网络和安全服务(Security-as-a-Service)基于云交付的集成“安全访问服务边缘(缩写为:SASE,可以读作 “sassy” )”的需求。
-
上下文对数据的监控和理解是 SASE 战略的前提。
-
为了提供与地点无关的用户、设备和云服务的低延迟访问能力,企业需要具有全球 POP 点和对等连接能力 SASE 产品。
1.2 建议
负责网络和端点安全的安全和风险管理领导者应考虑:
-
从立场上看,SASE 是从速度和敏捷的角度帮助数字业务的推动者。
-
从架构上看,它是将检查引擎移动到接近会话的地方,而不是将会话重新通过检查引擎。
-
将安全人员从管理安全设备转向提供基于策略的安全服务。
-
从现在开始,我们应该和网络架构师一起规划 SASE 能力SD-WAN 和 MPLS 卸载项目是评估综合网络安全服务的催化剂。
-
现在就应该向单一供应商提供 SWG(WEB 安全网关),CASB(云访问安全代理),DNS、ZTNA(零信任网络访问)和 RBI理想状态的迁移(远程浏览器隔离)降低了网络安全的复杂性。
二、战略规划假设
-
2023年,20% 企业将从单一供应商购买 SWG、CASB、ZTNA 和分支机构 FWaaS(防火墙即服务)服务,2019年 只有5% 。
-
到 2024 年,至少有40% 的企业将明确切换到 SASE 策略,这个比例在 2018 年底只有 1% 。
-
到 2025 年,最少将有一家 IaaS 服务提供商的领导者将提供有竞争力的 SASE 套装。
三、分析
历史网络和网络安全系统架构是为一个被淘汰的时代设计的。它们不能有效地满足数字业务对动态安全访问的需求。企业数据中心不再是用户和设备访问需求的中心。数字转型业务使用 SaaS 等基于云计算的服务和新兴的边缘计算平台,使企业网络架构出现“内外翻转”这一现象颠覆了以往的结构模式。数字企业的特点是:
-
与企业内网相比,更多的用户使用企业网络以外的网络环境来完成工作。
-
与数据中心的工作负荷相比,企业更多地用于 IaaS 中间运行的工作负荷。
-
与企业基础设施的应用相比,企业使用 更多SaaS 模式的应用。
-
企业数据中心以外的云服务中存储的敏感数据比内部更多。
-
与企业数据中心相比,更多的用户流量是流向企业数据中心以外的公共云。
-
与企业数据中心相比,更多的分支机构流量向企业数据中心以外的公共云。
数字化转型需要随时随地访问应用序和服务(许多应用程序和服务现在都在云中)。虽然企业数据中心将在未来几年继续存在,但进出企业数据中心在企业总流量中的比例将继续下降。
“以数据中心为宇宙中心”传统的网络和网络安全系统架构已经过时,成为数字业务需求的障碍。
由于越来越多的企业需要边缘计算能力,这种反模式数字化将进一步扩展,这种边缘计算能力是分布式的,更接近需要低延迟访问本地存储和计算的系统和设备。5G 技术将作为加速边缘计算的催化剂(见 “Exploring the Edge: 12 Frontiers of Edge Computing”)。
在灵活支持数字化转型的同时,通过支持反模式访问来保持系统的复杂性,这是 SASE 新市场的主要驱动因素。这个市场将提供网络服务(例如,SD-WAN [软件定义的广域网])和网络安全即服务(如,SWG、CASB、FWaaS 【防火墙即服务】)融合在一起。我们称之为它。“服务边缘安全访问”(见图 1 和注 1)。主要作为基于云的服务交付。
图1: SASE 融合
SASE 产品可以为无限可调的弹性网络提供基于策略的基础“软件定义”安全访问。在这个灵活的网络中,企业安全专业人员可以根据身份和上下文准确地指定每个网络对话的性能、可靠性、安全性和成本水平。SASE 的出现将为安全和风险专业人员提供安全访问的重要机会,为基于云的各种分布式用户、场所和服务提供安全访问,从而安全实现数字转型所需的动态访问。基于云的企业 SASE 能力需求、市场竞争与整合将重新定义企业网络和网络安全体系结构,重塑竞争格局。
云端网络安全的未来。
四、定义
服务边缘安全访问(SASE)它将广域网和网络安全(如:SWG、CASB、FWaaS、ZTNA)结合,满足数字企业动态安全访问需求。
SASE 是一种基于实体身份、实时上下文、企业安全/合规策略以及在整个会议中不断评估风险/信任的服务。实体身份可与人员、人员组(分支机构)、设备、应用程序、服务、物联网系统或边缘计算场所(见 “Zero Trust Is an Initial Step on the Roadmap to CARTA”)
五、描述
传统的企业网络和网络安全系统架构以企业数据中心为访问的核心,在云和移动环境中变得越来越无效和乏味。即使有一些基于云的服务(如基于云的 SWG、CDN [内容交付网络],WAF [WEB 应用防火墙] 等。),企业数据中心仍然是大多数企业网络和网络安全系统架构的核心(见图 2)。
图2:以企业数据中心为核心的传统星网和网络安全架构
在以云为中心的现代数字业务中,用户、设备和需要安全访问的网络能力无处不在。这导致了对“服务边缘安全访问”需求将无处不在。以企业数据为中心的图片 2 模型难以扩展。当用户需要的东西很少留在企业数据中心时,将流量路由到企业数据中心是没有意义的。更糟糕的是,我们经常限制用户访问 SaaS,除非用户在企业网络上使用虚拟专用网络或需要不同的代理软件来实现 SWG、CASB 和虚拟专用网络(这导致了代理软件的扩展和用户的混乱)。这种限制将对用户的生产力、用户体验和成本产生负面影响。在其他情况下,当用户访问任何基于云的资源时,分支机构的流量将被迫通过企业数据中心进行检查,以增加延迟和特殊 MPLS 专线相关成本。
数字转型企业的安全和风险专业人员需要一种全球网络和网络安全能力,可以随时随地将实体连接到他们需要访问的网络。
我们不需要通过企业数据中心的硬件设备(通过“调度”实现)。我们需要颠覆原来的想法,让检查引擎和算法尽可能靠近实体。
无论我们将用户连接到基于云的内部应用程序,SaaS 或互联网,这些都有相同的安全访问问题。分支机构只是多个用户集中的地方。同样,在一辆载有正访问 的车里salesforce 销售人员的汽车也是分支机构;IoT 边缘场地也是设备的分支机构。所有需要访问网络能力的端点的身份都分布在整个互联网上。在数字转型业务中,安全访问的决策必须以连接源(包括用户、设备、分支机构、物联网设备、边缘计算场所等)的实体身份为中心。如图所示, 3 是访问决策的新中心,而不是企业数据中心。
图 3:SASE 以身份为中心的架构
用户/设备/服务的身份是策略中最重要的上下文因素之一。然而,还有其他相关的上下文源可以输入到策略中,包括用户使用的设备的身份、日期、风险/信任评估、场地、应用程序和/或数据灵敏度。企业数据中心仍然存在,但它不再是架构的中心。它只是用户和设备需要访问的许多基于互联网的服务之一。
这些实体需要访问越来越多的基于云的服务,但其连接模式和应用的网络安全策略类型将根据监管需求、企业策略和特定业务领导者的风险偏好而有所不同。就像智能交换机一样,通过 身份SASE 供应商的全球安全访问能力连接到所需的网络功能。
考虑这些场景:
-
Sue,销售人员需要通过她的设备通过机场 Wi-Fi 网络在访问互联网的同时访问 saleseforce 提供的 CRM。SASE 通过提供 QoS(服务质量优化)和 SaaS 加速连接到 salesforce,并提供了 DLP、恶意软件检查,UEBA 和 Wi-Fi 保护DLP 的 SWG 保护。
-
Jorge,承包商需要在企业数据中心的企业网站上访问托管不受控制的设备。SASE 提供 ZTNA,通过 只允许访问特定地址WAPP 服务保护开启 WEB 应用程序避免攻击,并通过流量加密避免流量监控造成的敏感数据丢失。
-
一组风力发电机需要基于边缘计算的网络和传感器数据的数据分析,然后将结果传输到 AWS,隐藏风力发电机组的位置。SASE 为风力发电机组提供低延迟 ZTNA 访问边缘计算资源和隐藏风力发电机组 IP 地址、并建立一个低延迟敏感的加密连接到 AWS API。同时,边缘计算场地被 包围SASE 提供的 FWaaS 保护,避免进入风力发电机组。
SASE 根据需要提供所需的服务和策略,独立于所需服务的实体(图 4 左侧)和所访问能力(图 4 右侧)。
图 4:SASE 技术栈,基于身份和上下文的动态应用
结果是动态创建基于策略的安全访问服务边缘,无论是要求实体的位置还是要求访问的网络功能的位置。
企业数据中心边缘的硬件盒不再隐藏安全边界,而是在企业需要它的任何地方 ——基于战略的动态安全访问服务边缘。
此外,给定的实体还需要多个安全连接。例如,用户可能同时拥有:
-
到 Office 365 的连接不需要深入检查,但会选择最低延迟线。
-
到 Facebook 的连接会检查聊天对话的敏感数据,但延迟不是衡量因素之一。
-
到 Salesfore 会话将检查敏感数据和恶意软件。
-
连接到数据中心的企业私有应用程序监控。
-
连接到用户的个人在线银行应用程序,不会进行任何监控。
企业边界不再是一个位置;它是一组必要时作为云服务提供的动态边缘功能。
对于安全访问,这些都是共同基本需求的演变。不同之处在于,采用了实时网络和实时网络安全策略。另外,在应用策略的情况下,无论实体访问什么,都会进行一致的应用检查功能(例如,检查所有连接的内容以查找敏感数据和恶意软件)。减少延迟,SASE 产品应使用“单次通过”检查结构。打开业务会话(可能解密),并使用多个策略引擎并行检查,最好在内存中,而不是串行检查。
最后,SASE 新兴领导者将采用“持续的适应性风险和信任评估(CARTA)”战略方法(详见 “Seven Imperatives to Adopt a CARTA Strategic Approach” 和注 2)确保持续监控会话。通过保留在数据路径中并使用嵌入 UEBA 功能分析会话,以检测过度风险指标(如被盗凭证或内部威胁)。当用户行为分析发现风险增加或设备可信度降低时,SASE 应能够提供自适应响应(例如,用户需要额外的认证)。
六、效益与用途
SASE 将使安全团队以一致和集成的方式提供丰富的安全网络安全服务,以支持数字化转型、边缘计算和员工流动性的需求。SASE 将获得以下好处:
-
降低复杂性和成本。通过整合单个供应商的安全访问服务,将减少供应商总数、物理和/或虚拟设备的数量,并减少用户终端设备所需的代理数量。随着更多的 SASE 服务启用,长期来看成本会降低。同时,通过减少供应商和技术堆栈也可以节省成本。
-
激活新的数字业务场景。SASE 服务将使企业合作伙伴和承包商能够安全访问其应用程序、服务、API 和数据,用担心暴露传统架构中的虚拟专用网络和 DMZ(非军事区)带来的风险很大。
-
提高性能/延迟。SASE通过全球部署 的领先制造商POP 提供基于延迟优化的路由。这对于协作、视频、VoIP 和 WEB 会议。基于策略,用户可以通过 SASE 高带宽骨干路由供应商(及其对等连接伙伴)。
-
易用性/透明度。如果正确实现,SASE 将设备上所需代理的数量(或分支客户场所的 CPE 设备的数量)减少到单个代理或设备。它减少了代理和设备膨胀,应该自动应用访问策略而不需要用户交互。这为用户提供了一致的访问体验,无论用户在哪里、在访问什么、以及位于何处。
-
提高安全性。SASE 供应商可以检查任何访问会话,并应用相同的策略集。例如, salesforce、facebook,无论用户/设备在哪里,云托管应用中的敏感数据都是一致的。
-
运营成本较低。随着威胁的发展和新检查机制的需要,企业不再受到多年硬件容量和硬件刷新率的限制,可以随时增加新的功能。基于云的 SASE 在产品中,更新威胁和策略不需要在企业中部署新的硬件或软件,以便更快地享受新的服务。
-
启用零信任网络访问。零信任网络方法的原理之一是基于用户、设备和应用程序的身份,而不仅仅是基于设备的 IP 地址或物理位置“Zero Trust Is an Initial Step on the Roadmap to CARTA.”)。这种逻辑定义策略的转变极大地简化了策略管理。假设网络环境恶意,SASE 产品将为整个会话端到端提供加密和可选WAAP(WEB 应用和 API 保护服务(详见 )“Defining Cloud Web Application and API Protection Services”)。SASE 通过最近建立端点设备,供应商的领导者将是 POP 节点隧道为用户提供公共 Wi-Fi 网络保护(咖啡店、机场等)。
-
提高网络和网络安全人员的效率。网络安全专业人员可以专注于了解业务、法规和应用程序的访问需求,并将这些需求映射到 SASE 功能,而不是基础设施的常规配置任务。
-
集中管理,地方有效战略。SASE 具有基于云的集中管理策略和临近实体的分布式执行点,包括必要时可用的本地决策点。例如,使用当地分支机构的 CPE 设备;使用托管设备上的本地代理软件进行本地决策。
6.1 采用率
SASE 还处于发展的早期阶段。由于数字化转型,SaaS 在其他云服务的驱动下,越来越多的办公室工作人员对分布式和移动的访问需求,从而促进了相关的变化和需求。SASE 早期的主流形态会表现为 SD-WAN 供应商增加了越来越多的网络安全能力,云安全服务提供商增加了 SWG、ZTNA、CASB 这些形式的服务。
正如在 “Hype Cycle for Cloud Security,2019,” 目前 SASE 还在 Hype Cycle 左边 20% (Innovation Trigger),还需要 5~10 年发展为主流。
全面的 SASE 服务刚刚出现,利用率不到 1%。然而,未来三年将为企业安全和风险管理领导者简化网络安全架构提供重要机会。
虽然 SASE 的广泛应用将在未来几年内发生,但领先制造商将在未来三年内迅速出现。目前,制造商面临着不同的挑战。
七、风险
随着 SASE 安全和风险管理专业人员应考虑以下风险:
-
不同的独立团队通常负责稳定的团队、文化和政治。即使在信息安全方面,SWG、CASB 也可能不同于网络安全设备的买家。不同的团队可能会 SASE 采购视为“领地之争”问题,或者一个团队可能试图控制 SASE 采购并阻止其他团队参与。要解决这个问题,SASE 必须以速度、敏捷性和降低复杂性的名义成为 CISO 和 CIO 级别提供跨领域价值命题。
-
足够好可能不够好。SASE 产品由以网络为中心的供应商开发和交付,这些供应商是安全领域的新进入者。同样,以安全为中心的供应商也可能不领先 WAN 边缘解决方案所期望的完整 SD-WAN 功能。因此,这是一个独立测试将发挥关键作用的领域,如 ICSA 实验室和 NSS 实验室等组织需要将其评估对象扩展到云服务。
-
复杂性。试图从不同的供应商和云产品中构建自己的 SASE 技术栈企业将其拼接在一起,将导致管理和执行不一致、性能低下和部署成本高。SASE 产品由多个收购和/或合作伙伴的供应商组合,也会出现类似的问题。
-
传统的供应商没有云起源的心态。以硬件为中心的网络和网络安全供应商将难以调整为云起源和基于云服务的交付模式。商业模式将变得和 salesforce 类似地,渠道激励也会发生变化。过去,销售特殊硬件的供应商可能会沿着阻力最小的商业路径发展,并基于单一租户架构(每个客户的特殊虚拟设备)提供初级 SASE 选项。
-
网络和防火墙厂商缺乏代理服务器的经验。SASE 的许多功能将使用代理模型获取干预数据路径,并为访问提供保护。网络和企业防火墙供应商在大规模分布式代理领域缺乏相关专业知识,这可能会给 SASE 服务买家带来更高的成本和/或性能差。
-
维持 需要投资POP 节点与网络对等交换资源。SASE 的战略决策和执行需要在任何端点都可能出现的地方提供支持。对于需要支持员工移动办公和分布式数字生态的大型组织来说,这意味着需要提供全球访问。较小的 SASE 供应商将无法获得保持足够竞争力的投资,导致性能下降。SASE如果只使用 产品IaaS 的因特网骨干能力但没有本地 POP 和边缘功能会有延迟和性能风险,导致最终用户不满。
-
更换供应商。对于一些企业来说,SASE 转型需要更换供应商,重新培训员工,开发新技能,学习新的管理和政策定义控制台。
-
缺乏数据上下文。许多以网络为中心的供应商对数据的上下文缺乏解决方案,无法判断内容是敏感还是恶意。数据上下文对于制定访问策略、了解风险、确定风险优先级和相应调整访问策略至关重要。没有上下文感知能力的供应商正在做出丰富的上下文感知自适应 SASE 决策能力有限。
-
投资领先的云提供商 API 检查能力SaaS 的访问,SASE 供应商需要了解其数据的上下文。这种上下文检测不能完全基于在线流量监控。因为这种对用户终端的在线流量监控将无法覆盖合作伙伴上传/共享的数据和云之间的数据交换。API 监测是一种非常关键的能力,在 CASB 的魔力象限是最基本的能力要求(详见 “Magic Quadrant for Cloud Access Security Brokers”)。然而,有些 SWG 供应商、聚焦于网络的供应商还不具备这方面的专业知识。
-
SASE 领导制造商需要部署代理。为了集成基于前代理的系统架构,并处理一些剩余的应用程序协议,将需要一个本地代理(例如,SWG、 用于旧应用程序ZTNA、本地 Wi-Fi 保护及当地设备安全状况评估)。SASE 供应商使用本地代理获得更多的设备。然而,如果必须使用多个代理来支持访问,代理将增加企业 SASE 部署的复杂性。本地代理需要与现有终点保护平台合作(EPP)统一端点管理(UEM)代理集成。(详见 “The Long-Term Evolution of Endpoints Will Reshape Enterprise Security.”)更近一步,如果 SASE 供应商在开发最终用户设备代理方面的专业知识有限,稳定性和可管理性可能是问题,或平台支持可能有限。
-
成本过高, SASE 市场震荡。SASE 市场在未来五年将经历重大变化,预计将进一步整合和收购。由于市场仍处于早期阶段,我们建议签署 1~2 年合同,合同中包含适当的收购保护条款。随着市场的巩固,开始有利于大型供应商的规模经济SASE 市场将面临降价的压力。此外,它还将从基于带宽的 开始WAN 边缘/ SD-WAN 模型转向基于订阅的模型,并根据应用的检查类型进行定价。
八、评价因素
对特定 进行评估SASE 功能(SD-WAN、SWG、CASB、FW 等),我们提供 Gartner 的推荐阅读材料将包括相关的市场指南和魔法象限材料的链接。为了本研究的目的,我们将重点关注 SASE 具体评价标准:
-
提供的 SASE 服务的广度。并不是每个供应商都能提供所有的功能。一些供应商将从以网络为中心的功能开始,另一些供应商将从以安全为中心的功能开始。SASE 领导应提供图 3 的大部分或全部服务。
-
SASE 战略决策点的位置。大部分 SASE 的决策是可以的,应该是基于云的交付和管理模式。然而,仍然会有一些决策需要依靠当地的端点 —— 为了实现基于策略的访问(设备),需要本地代理在 QoS 和分支机构之间的路径选择场景需要物理/虚拟化硬件。然而,这些应该集中在基于云的服务上。领先的 SASE 架构需要基于云的战略决策引擎,可以使用 CPE 轻分支/重 SASE 云模型应用于基于云或本地战略执行点(见图 5)。
图 5:从传统的重分支迁移到以云为核心的轻分支/重 SASE 模型
-
SASE 管理/控制平面位置。即使使用代理和 CPE 本地执行点的形式,SASE 管理控制台也应以云服务的形式交付。该策略应由云管理,并分发给当地执行点。
-
架构。SASE 的结构非常重要。理想情况下,该产品基于云,内置微服务,可根据需要扩展。为了最大限度地减少延迟,数据包应复制到内存中,并处理并转发/阻止它,而不是从虚拟机(VM)传输到虚拟机(VM),它不应该从云传递到云。软件技术栈不应具体依赖硬件,必要时应实例化,以将基于风险和策略的能力传递给终点身份。
-
用户侧 CPE 部署选项。现场(物理或虚拟) CPE 设备仍然需要,但应使用基于云的管理和配置模型。CPE 设备的设计模式应该是交钥匙的黑盒子,启动后可以忘记。作为评估的一部分,将评估供应商的结构,以确保 CPE 可在生命周期内提供更新和报废。有些企业会更喜欢使用 SASE 的 CPE 硬件。硬件应具有安全指导和秘密保护(如加密钥和证书)的系统架构,不能具有虚拟设备的形式因素。
-
租赁模式。云原生 SASE 架构总是使用多租户和多客户共享的底层数据平面。一些供应商将坚持使用每个用户的独立实例。企业用户可能对知道他们使用的实例不感兴趣,但架构会影响 SASE 供应商的扩展能力。单一租赁通常会导致密度较低,成本可能会给企业带来更高的成本。然而,一些企业更倾向于将单一租赁模式隔离开来。
-
POP 节点和对等连接的位置和数量。SASE在 场景中,延迟对某些应用程序很重要。SASE 解决方案应提供 POP 与数字企业访问延迟和数据停留要求一致的业务平等连接的组合。这对本地化的最终用户体验也至关重要。企业流量很少通过公共互联网。相反,互联网被用来缩短连接 SASE 网络条数SASE 在网络中进行基于策略的检查,并通过使用快速路径路由和连接来优化最佳性能。SASE 供应商必须能够显示分布式拒绝服务(DDoS)攻击能力,因为攻击平面会移动到 SASE 供应商。
-
使用 IaaS 通用计算进行非延迟敏感操作。SASE 供应商使用互联网边缘和 POP 节点的混合模型进行低延迟的在线检查,并使用商业化的计算资源(CPU/GPU)和 IaaS 供应商提供的存储具有网络沙箱、远程浏览器隔离、审计日志存储和分析等低延迟敏感操作。
-
大规模监测加密流量。SASE 制造商必须有能力提供大规模的在线加密流量监控(解密和后续再加密)。理想情况下,它应该是云交付,而不是专有硬件。必须支持 TLS 的最新版本。
-
一次扫描。打开给定会话的流量,只检查嵌入的内容一次。一旦解密,多个扫描和策略引擎可以扩展并行运行,理想情况下不需要通过服务链接检查服务。例如,敏感数据和恶意软件的检查应该通过内容检查来完成。
-
可选的流量重定向、检查和日志记录能力。全球对数据隐私的监管要求(如通用数据保护法规 GDPR) 的增加SASE 带来基于战略流量处理的企业需求,用于检查、路由和记录特定地理区域的流量。
-
支持 IoT/边缘计算场景。SASE 而言,IoT 边缘计算平台只是另一个需要支持的端点身份。关键区别是假设边缘计算位置将具有间歇性连接和系统物理攻击的风险。SASE 架构应支持离线决策(如缓存访问策略),并在本地保护数据和秘密。IoT 和边缘设备可能不支持代理,因此可能需要本地 SASE 网关或 CPE 设备。远程设备的网络访问控制是增值服务。
-
威胁防护。这方面的例子包括使用恶意软件和内容的沙箱来检测会话上下文。在公共的 Wi-Fi 网络中,SASE 解决方案需要 的解决方案DNS 的保护服务建立在当地 POP 节点加密会话,避免被监控。如果用户正在处理的内容表示风险,则可以采取自适应行动(例如,隔离内容或阻止下载)。更先进的威胁保护服务通常需要额外的费用(见 3)。
-
能够识别和适应敏感数据。SASE 产品应了解访问数据/应用程序的上下文,并在检测过度风险时采用自适应操作(例如,防止敏感数据上载/下载)。关键评价标准将是如何定义敏感数据的战略丰富性。使用 了解云的敏感数据API 检查数据对于理解数据的上下文非常重要,并在数据离开云之前应用有用的策略(如加密或水印)。
-
用户隐私。SASE 供应商应根据政策提供不检查流量的选项(例如,GDPR、HIPAA 和类似的个人隐私保护规定)。这种非检查策略可以与远程浏览器隔离相结合,以进一步隔离会话和企业系统和日志。
-
支持代理。需要支持最终用户使用的终端设备包括 Windows、Mac 和特定版本的 Linux 发行版。Android 和 iOS 基础设备在未来也需要支持。最近,无论是使用 SASE 供应商仍在使用 UEM 供应商的终端代理,SASE 交付必须能够收集设备的上下文(如健康、状态、行为等),以改善安全访问决策(详见 “Magic Quadrant for Unified Endpoint Management Tools”)。
-
管理无法控制的设备。企业往往很难强制使用代理,特别是在他们没有或无法控制的系统中。轻量级移动应用程序或浏览器插件可用于增加可见性(详见 “Market Guide for Mobile Threat Defense”)。或者,无法控制的设备应支持反向代理或重定向远程浏览器隔离服务(本质上创建托管会话,该策略可以应用于无法控制的端点)。
-
可选的精细可见性和详细的日志记录。SASE 交付应在访问应用程序和服务时提供对用户进行细颗粒的活动监控(最好在使用 ZTNA 这种可见性应用于企业应用程序的保护)。应记录会话中的所有活动,这需要 SASE 产品可以按比例创建和管理分布式日志,并根据策略将用户和设备日志保存在客户的首选地理位置。
-
监控会话中的行为。Gartner 的 CARTA 在战略方法的指导下,SASE 会话代理应使用内嵌 UEBA 进行过度的风险和异常的持续监测。如果检测到过度风险,应至少提供提高警报的能力。与企业安全信息和事件管理(SIEM)工具集成应为标准功能。
-
基于角色管理控制台和面板。最后,安全架构师、网络运营经理或 CISO 可能希望获得所有安全访问会话的快照视图。SASE 提供商应提供基于角色的可定制风险控制面板/热图,以了解特定角色,以获得整体网络性能(网络运行)、云风险和安全情况(安全运行)的可见性。
-
收费模型。WAN 边缘/ SD-WAN 产品通常按带宽收费。CASB、SWG 和远程浏览器的隔离通常是根据每个用户和每年计费的。SASE 还包含多种服务,SASE 供应商将逐步淘汰基于带宽的定价模式。大多数模型将根据受保护的实体数量收费 —— 无论是独立实体(设备、用户、应用程序、系统)还是聚合实体(分支办公室/IoT 边缘位置)。
九、SASE 替代品
目前,基于硬件的分支解决方案。这是当今大多数企业采用的有限模型,这是由于访问模式的变化和硬件为中心设备的刚性和高成本造成的。这些设备都具有插件硬件刀片,用于特定的网络安全功能。检查受当地计算能力和硬件刷新周期的限制。基于硬件的形式因素,支持数字企业的流量模式效率较低。基于软件的分支机构。通过使用基于软件的刀片到内部分支 CPE,有一组合作伙伴的供应商可以在图 3 中提供许多服务。或者,必要时(如安全检查),CPE 可以调用基于云的服务。虽然云管理和云交付的分支机构可以提供 SASE,然而,分支机构只是一个需要解决的边缘服务交付问题。此外,该方法仍存在多种服务、控制台和策略问题。这些服务、控制台和策略缝合在一起,以构建完整的产品组合。通过服务链构建 SASE 。一些企业将尝试通过服务链接多个不同提供商的产品,并使用多个端点代理,并将 SASE 相关功能集合在一起,建立自己的 SASE。该方法具有难以管理的复杂性、高成本和高延迟性。新的加密标准,如 TLS1.3 将使服务链接检查变得困难。SD-WAN 来自一个服务提供商,而网络安全服务来自另一个制造商。一些企业将采用的另一种方法是“连接”图 1 所示的基础设施“安全”基础设施是分开的,但两者都转移到基于云的服务中。它具有解决组织政治问题的优势,但与使用单一 SASE 提供商相比,具有更高的复杂性和成本。运营商编排的服务链。企业的另一种选择将是转向在网络、网络安全或运营商方面占主导地位的运营商,并让供应商代表客户执行所需的服务链接。使用服务链接和网络功能虚拟化,主要的运营商可以成为代理或总承包商,负责将不同的服务拼接在一起。多个供应商的管理控制台(谁管理和控制这些控制台)和不同的策略框架的问题使这一战略复杂化。
十、建议
SASE 会像 一样破坏网络和网络安全系统的结构IaaS 对数据中心设计的系统架构有同样的影响。SASE 为安全和风险管理专业人员提供了机会,在未来十年内彻底重新思考和设计网络和网络安全系统架构。业务数字化转型、云计算和边缘计算平台的使用将需要 SASE。尽管 SASE 刚刚出现,但今天安全和风险管理专业人员可以采取一些具体措施:
-
现在参与 SD-WAN 架构和规划会议。如有可能,利用网络安全服务作为架构的一部分:
-
在企业 SD-WAN 评估包括网络安全提供商。Barracuda、Cisco、Forcepoint 和 Fortinet 都是著名的安全供应商,都提供有竞争力的 SD-WAN 服务(详见 “Magic Quadrant for WAN Edge Infrastructure”)。
-
要求 SASE 供应商提供第三方测试 SD-WAN 能力和安全功能的证据,理想情况下使用信誉良好、独立的已知测试公司。
-
-
评估 ZTNA 作为一个立即采取 SASE 解决方案和应用零信任概念的机会(详见 “Market Guide for Zero Trust Network Access”)。可以从支持数字业务的具体项目开始,如准确识别合作伙伴或承包商使用的非托管设备和应用程序。
-
现在评估 SASE 短期机会降低服务合并的复杂性;例如,随着这些合同的续签,CASB、SWG、ZTNA、虚拟专用网络与远程浏览器隔离功能的部分或完全合并。
-
避免将 SASE 产品拼接在一起。大供应商可能在收购或合作伙伴中拥有所有 SASE 元素。但是,应仔细评估服务集成及其作为单个控制台和设置策略的单一方法的能力。
-
让您的 CISO 由于向 SASE 技术过渡跨越了传统的组织边界,设备部署可能会带来团队成员的抵制。
-
和 SASE 供应商签订最长期限为 1~2 年短期合同,由于许可模式仍在调整。SASE 供应商最好在所有产品中提供基于身份/实体的订阅许可证(而不是基于带宽)。
十一、代表供应商
由于 SASE 市场仍在出现。虽然有几家供应商有大多数必要的功能,但没有单一供应商提供整个 SASE 产品组合。到2020年底,我们预计几家供应商将提供完整的产品组合。由于市场跨越了不同的市场,涉及到能力交付方式的转变,因此不可能包括一个全面的列表。因此,该列表包括不同类别的具有代表性的供应商,我们预计这些供应商将竞争 SASE:
-
Akamai
-
Cato Networks
-
Cisco
-
Cloudflare
-
Forcepoint
-
Fortinet
-
McAfee
-
Netskope
-
Palo Alto Networks
-
Proofpoint
-
Symantec
-
Versa
-
VMware
-
Zscaler
在 SASE 市场主要 IaaS 提供商(AWS、Azure和GCP)没有竞争力。我们希望未来五年至少有一个将移动到图3所示Sase大多数市场要求,因为它们都扩大了它们的边缘-网络存在和安全能力。
注 1:SASE 组件
-
核心组件:SD-WAN、SWG、CASB、ZTNA、FWaaS所有这些都有能力识别敏感数据/恶意软件,并能够以在线速度加密/解密内容,并继续监控风险/信任级别的对话。
-
推荐能力:WEB 应用程序和 API 保护,远程浏览器隔离,递归 DNS、网络沙箱,基于 API 上下文访问 SaaS,支持托管和非托管设备。
-
可选能力:Wi-Fi 热保护、网络混淆/分散、传统虚拟专用网络及边缘计算保护(脱机/缓存保护)。
注 2:CARTA
持续的适应性风险和信任评估是信息安全演变的战略框架组织的网络安全趋势不断调整,风险优化到预期水平。这是通过不断评估所有数字实体、其属性、配置、环境和行为来确定开发和生产中的相对风险和信任水平。当风险过高或信任过低时,安全基础设施(以及由此产生的安全趋势)将适应以达到预期的风险水平。
注3:高级威胁防护
预计 SASE 供应商将提供先进的威胁保护解决方案。一个例子是远程浏览器隔离,另一个例子是网络隐私保护(也称为网络隐私作为服务)和流量分散。这样做的目的是隐藏底部 IP 地址和可选地将流量分散到多个不同的加密流中,因此很难找到企业系统,使攻击者更难窃听。