2019年前后，Gartner提出SASE（安全訪問服務邊緣）概念，其關于“網絡安全的未來在云端”報告闡明了在新的網絡和安全模型的基礎上進行云網絡和安全轉型的潛力。

自概念誕生后，迅速引爆安全買家、終端用戶和各類廠商。

云服務和網絡正在推動數字化業(yè)務的概念，但是傳統的網絡和網絡安全架構遠遠不能滿足數字化業(yè)務的需求。過去使用的基于設備的一種安全方式就不再變得適用，云端成為新領域。

我們下一代的安全架構應該如何設計？如何設計出未來五至十年依然能夠安全可靠的架構？

我們或許能從Akamai亞太區(qū)安全戰(zhàn)略總監(jiān)Siddharth Deshpande的分享中找到一些答案。

Akamai亞太區(qū)安全戰(zhàn)略總監(jiān)Siddharth Deshpande

傳統邊界被消解，網絡安全架構該如何選擇？

在回答這個問題之前，首先要明白一個問題：結構化框架為何如此重要。

它的重要性主要來源于三大原因：

1、它能夠為企業(yè)提供一種通用語言來評估和提高企業(yè)的安全計劃。

2、它能夠精準測量安全風險水平。

3、能使企業(yè)實現更有效的溝通——不僅局限于IT團隊間的溝通，而是更多地把IT團隊的做法與其他業(yè)務部門、高管團隊，進行有效的溝通和對話。

當前的結構化框架不少，有NIST網絡安全框架、MITER攻擊框架等。

Gartner的SASE的結構化框架的概念并非最新，但SASE的框架最新。在Siddharth Deshpande眼中它是“最有用的一個框架”。

那么在眾多結構化架構之間該如何決策呢？

先看NIST網絡安全框架。

NIST網絡安全框架頗受業(yè)內追捧，主要在于能夠幫助企業(yè)思考“應該要做哪些事情”，并在不同的功能之間實現一種權衡。

在功能上，NIST框架優(yōu)勢有二：識別、保護、檢測、響應、恢復等；幫助企業(yè)以更有效的方式與高管團隊進行溝通。

除此之外，其缺點明顯——它僅僅告訴企業(yè)開始思考要做什么，但并沒有告訴其如何去做。

例如，企業(yè)打算把60%的安全預算投入到“響應”或“檢測”活動中，但并不知道如何完成這個目標，這也并非NIST網絡安全框架設計的初衷。

再看MITER攻擊框架。

此框架優(yōu)勢明顯，技術上，它能夠良好地建立起威脅建模，且能夠非常好地幫助安全團隊構建風險路線圖。

但缺點也不容忽視，比如它無法很好地將“安全計劃”的有效性以及投入和預算跟高管團隊進行有效溝通，使得此框架成為非常具像化的操作層面、技術層面的框架，并不利于組織層面的溝通。

在數字化時代下，安全體系架構設計出現了新的需求，即“數字化業(yè)務和邊緣計算具有反向訪問要求”。

何意？

目前，許多應用程序不僅存在于企業(yè)的數據中心內，用戶也不僅在企業(yè)內部網絡中。換言之，不少企業(yè)的消費者遍布全球，傳統關于“應用定義”的邊界也不復存在。

此背景下，因要求企業(yè)將所有流量返回數據中心，所有部署以數據中心為一個核心，傳統的安全架構體系難以奏效。

例如，企業(yè)每一次做出一個“訪問”或“拒絕訪問”的安全決策時，每一個決策的“語言”都會轉送、重新路由回數據中心中，這將造成諸多流量問題。

SASE：重新定義網絡安全和架構

解決上述問題，需要回到“第一原則”，即最核心的底層設計原則。

Gartner SASE的“第一原則”是，所有流量不再強迫回流到數據中心，而是把所有的安全控制分布在離用戶、應用、所有消費者最近的地方，并通過安全邊緣來實現安全控制的分布。

Akamai是通過SASE框架，把安全控制分布在離用戶和應用程序最近的地方，而且結合了網絡即服務以及網絡安全即服務這兩個概念的優(yōu)勢，通過一個連接框架來實現。

“當SASE這個概念首先提出來的時候，我們發(fā)現它非常符合‘第一原則’、也非常符合Akamai在二十多年前就已經提出來的設計原則——即將安全控制分布在全球各地、而不是使用一種集中化的手段進行處理，這種互聯的框架可以使整個框架更具韌性、靈活性，可以更好地幫助企業(yè)實現其安全要求。”Siddharth Deshpande如此表示。

SASE框架不僅告訴企業(yè)“要做什么”，還告訴“怎么去做”，相當于結合了上述兩種框架的優(yōu)勢。

具體來看，SASE方法主要在四個層面使安全計劃受益。

1、啟用新的數字化業(yè)務場景。

通過將“安全控制”進行分布化的部署之后，企業(yè)就能更加便捷、更加適應于外部的一些變化，這能讓企業(yè)快速調整自己的安全和技術策略，而無需做出很多安全方面的讓步。

去年新冠疫情，Akamai幫助了非常多的企業(yè)通過SASE架構構建安全運營。

其中，Akamai的一位企業(yè)客戶擁有兩萬名用戶，需要把所有的“本地化”工作全部移至“遠程辦公”環(huán)境，Akamai在兩周內完成這一艱巨任務，并使用了邊緣框架的方式幫助企業(yè)不影響業(yè)務的連續(xù)性和服務交付。

該企業(yè)的這次成功經歷，來源于疫情前“SASE旅程”的謀劃、“如何構建未來的一種安全架構”的思考。

2、提高效率并降低安全計劃的復雜性。

SASE框架能夠幫助很多企業(yè)很好地進行安全廠商數量整合。所以在選擇安全廠商的時候，企業(yè)會選擇用例范圍最廣的廠商，選擇那些在過去已被證明有效、有韌性的安全架構廠商。無論怎樣，僅僅從安全廠商數量的削減本身就已經釋放了企業(yè)非常大的精力，讓企業(yè)從帶寬和時間上更有余力從事一些附加值較高的業(yè)務。

3、針對未來威脅場景和攻擊而設計。

實際上，沒人能夠預測未來的攻擊，以及針對未來攻擊應采取的預防方式。但一旦企業(yè)有了合適的安全架構做好準備的話，就能夠對外部風險和威脅做好響應、保護自身安全。

Akamai發(fā)現不少企業(yè)受到第三方惡意腳本攻擊，企業(yè)內部敏感數據被竊取。于是，Akamai發(fā)布了Page Integrity Manager解決方案。

它基于之前跟企業(yè)合作搭建起的基礎架構平臺之上的、無需企業(yè)重新創(chuàng)立的新架構。通過構建這種邊緣架構，企業(yè)能在現有的平臺和架構上發(fā)起新的防御手段，而不需要再去構建新的硬件設備或架構。

4、改善用戶體驗和安全性。

網絡安全企業(yè)經常面臨一個悖論：為提高完全性，需要不斷增加安全控制，但如此又將損害用戶體驗。SASE框架可以讓企業(yè)“兩手”抓——既能夠提高安全性，也能改善用戶體驗。

Akamai的SASE實踐及建議

Akamai關于SASE框架的案例體現在“零信任安全訪問”上。

通過“零信任安全訪問”，Akamai幫助企業(yè)真正部署“云訪問”安全代理，無論企業(yè)的應用程序或用戶處于何時何地都能實現一致化的保護，而且通過“多因素身份驗證”來應對各式各樣的安全挑戰(zhàn)。此外，Akamai在終端部署安全控制以及Web安全網關等方面均能提供全方位的保護。

所以從廣意上講，“信任”并不是一項隱含屬性，也就是說企業(yè)不能一蹴而就、永遠不去管它了，企業(yè)需要不斷進行評估，這點跟“零信任”非常像。

“零信任”跟SASE的區(qū)別在于，零信任更多針對某一具體的安全領域，如應用程序訪問等具體安全領域。而SASE更多是從廣義上、更廣泛的范圍進行討論，它會針對如何使用“零信任”這個框架提出相應建議。

另一個經常被忽視的用例，是SASE可應用在Web、API、安全級服務領域。所以企業(yè)可以利用SASE應對諸如DDoS攻擊、API攻擊或跨站腳本攻擊等安全隱患。

很多攻擊者非常清楚企業(yè)的IP地址或域名，所以關于網站、API的保護也是SASE非常常見、卻常常忽視的一個用例。

在市場需求和廠商的博弈下，Siddharth Deshpande告訴雷鋒網可以三個維度對廠商進行綜合取舍。

首先，安全用例的涵蓋范圍。企業(yè)須保證廠商在“安全用例”方面的覆蓋范圍非常得廣，也就是不僅針對某一具體的安全領域、還應涉及更廣泛的用例。

第二，平臺的韌性和可及范圍。廠商應該有一系列業(yè)經證明的韌性，無論是平臺、框架還是基礎架構的構建。不能說這家廠商能提供云服務，就把它稱之為SASE廠商。廠商應該有全球分布的邊緣網絡，在整個服務的可用性、可及性方面都有可被證明的韌性，才能符合條件。

第三，產品愿景的深度。這個“愿景”應該是可持續(xù)性的，無論是從路線圖、還是從規(guī)劃來看，都應是廣博的愿景。雷鋒網雷鋒網雷鋒網

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。