网络安全的未来在云端

网络安全的未来在云端数字业务转型颠覆了网络和安全服务的设计模式，将重心转到了用户和/或设备的身份上，不再聚焦数据中心。安全和风险管理者需要采用融合的云交付“安全访问服务边缘（SASE）”来应对这一转变。一、概要传统网络安全架构将数据中心置于连接的核心位置，会抑制数字业务的动态访问需求。数字业务和边缘计算拥有更多企业外部的用户、设备、应用、服务和数据，因此有着截然不同的网络访问需求。降低复杂性、延迟以及一次性解密和检查加密流量的需求，将推动将网络和安全即服务功能（SaaS）整合为云交付“安全访问服务边缘”（SASE）。检查和理解数据的上下文需要采用SASE策略。为了实现低延迟地随时随地访问用户、设备和云服务，企业需要具有全球POP点和对等连接的SASE产品。二、主要建议负责网络和终端安全的企业安全和风险管理者应考虑采取以下措施：以提升效率和敏捷的名义，将SASE定义为数字业务的赋能者。在架构上把检查引擎移动到靠近会话的地方，而不是把会话重新路由到检查引擎。把安全人员从安全设备管理转向提供基于策略的安全服务。现在就开始和网络架构师一起规划SASE能力。用SD-WAN和MPLS分载项目作为评估集成网络安全服务的催化剂。现在就转向能提供SWG（WEB安全网关）、CASB（云访问安全代理）、DNS、ZTNA（零信任网络访问）和RBI（远程浏览器隔离）的单一厂商迁移，降低网络安全的复杂性。三、趋势预测2023年，20%的企业将从同一厂商采购SWG、CASB、ZTNA和分支机构FWaaS（防火墙即服务）服务，2019年这一数字只有5%。2024年,

40%以上的企业将会有明确的

SASE

切换策略，2018年末仅为1%。2025年，最少将有一家IaaS领导服务商会提供有竞争力的SASE服务套件。四、分析网络和网络安全体系架构是针对日渐势微的时代而设计的，无法满足数字业务的动态安全访问需求。企业的数据中心不再是用户与设备访问需求的中心。数字化转型，SaaS等大量基于云计算服务的部署，以及新兴的边缘计算平台，颠覆了以往的架构模式，使企业网络架构出现“内外翻转”的现象。数字化企业的特点是：更多的用户工作在企业外网完成，而非企业内网。更多的企业工作负荷运行在

IaaS中，而非企业数据中心。企业采用更多

SaaS应用，而非企业基础设施。更多的敏感数据存储在企业数据中心以外的云服务，而非企业内部。更多的用户流量流向企业数据中心以外的公共云，而非企业数据中心。更多分支机构流量是流向企业数据中心以外的公共云，而非企业数据中心。数字业务转型需要随时随地访问应用和服务（很多应用与服务位于云端）。企业数据中心将在未来数年内还将继续存在，但进出企业数据中心的流量在企业总流量的占比将持续下降。这种模式数字使用模式将进一步扩展，越来越多的企业需要分布式的边缘计算，边缘计算更接近于需要低延迟访问本地存储和计算的系统和设备，5G技术还成为加速边缘计算应用的催化剂。在灵活支持数字业务转型的同时，通过支持反模式的访问，将系统复杂度保持在可控状态，这是SASE市场的主要驱动因素。它将网络即服务（如，SD-WAN）和网络安全即服务（如，SWG、CASB、FWaaS[防火墙即服务]）融合在一起。我们将其称为“安全访问服务边缘”（参见图1）。它主要是作为基于云的服务来交付。图1.SASE融合架构SASE产品能为弹性网络提供基于策略的“软件定义”安全访问，企业安全专业人员可以根据身份和上下文精确地指定每个网络会话的性能、可靠性、安全性和成本水平。SASE的出现将为安全和风险专业人员提供了一个重大的机遇，能够为各种分布式用户、场所和基于云的服务提供安全访问，从而安全地实现数字化转型所需要的动态访问。企业对基于云的SASE能力的需求、市场竞争与整合，将重新定义企业网络和网络安全体系架构，并重塑竞争格局。五、SASE定义安全访问服务边缘（SASE）作为一种新兴服务类型，将广域网与网络安全（如：SWG、CASB、FWaaS、ZTNA）结合起来，可以满足数字企业的动态安全访问需求。

SASE是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。

六、分析描述传统的企业网络和网络安全体系架构将企业数据中心作为访问的核心，这样的架构在云和移动的环境中中越来越无效和繁琐。即使采用了一些基于云的服务（如，基于云的SWG、CDN[内容交付网络]、WAF[WEB应用防火墙]等），企业数据中心仍然是大多数企业网络和网络安全体系架构的核心（见图2）。图2：传统以企业数据中心为核心的星型网络及网络安全架构在以云为中心的数字企业，用户、设备及其需要安全访问的网络能力无处不在。图2中以企业数据为中心的模型难以扩展。当用户所需的数据很少留在企业数据中心时，将流量引入到企业数据中心是没有意义的。更糟糕的是，我们会限制用户访问SaaS，除非用户在企业网络上或已使用VPN。这会对生产力、用户体验和成本带来负面影响。数字业务转型企业的安全和风险专业人员需要的是一种全球性的网络和网络安全能力，可以随时随地将实体连接到所需访问的网络。无论是将用户连接到内部应用、基于云的应用、SaaS或互联网，都面临相同的安全访问问题。在数字化企业中，安全访问的决策必须以连接源（包含用户、设备、分支机构、物联网设备、边缘计算场所等）的实体身份为中心。如图3所示，身份是访问决策的新中心，而不再是企业数据中心。图3：SASE身份为中心的架构用户、设备、服务的身份是策略中最重要的上下文因素之一。但是，还会有其他相关的上下文来源可以输入到策略中，这些上下文来源包括：用户使用的设备身份、日期、风险/信任评估、场地、正在访问的应用和/或数据的灵敏度。企业数据中心仍存在，但不再是网络架构的中心，只是用户和设备需要访问的众多互联网服务中的一个。

这些实体需要访问越来越多的基于云的服务，但是它们的连接方式和应用的网络安全策略类型将根据监管需求、企业策略和特定业务领导者的风险偏好而有所不同。就像智能交换机一样，身份通过SASE供应商在全球范围内的安全访问能力连接到所需的网络功能。SASE按需提供所需的服务和策略执行，独立于请求服务的实体的场所（图4的左侧）和所访问能力（图4的右侧）。

图4：SASE技术栈，基于身份和上下文的动态应用其结果是动态创建基于策略的安全访问服务边缘，而不管请求这些能的实体所处位置以及它们请求访问的网络功能所处的位置。

不再将安全边界隐藏在企业数据中心边缘的硬件盒子中，而是在企业需要它的任何地方——

一个动态创建的、基于策略的安全访问服务边缘。

企业边界不再是一个位置；它是一组动态的边缘功能，在需要时作为云服务提供。对安全访问而言，这些都是共同、基本需求的演变。不同的是，采用了实时的网络和网络安全策略。此外，在应用策略的情况下，无论实体正在访问什么，都会进行一致的应用检查功能（例如，检查所有连接的内容，以发现敏感数据和恶意软件）。为了降低延迟，SASE产品应该使用“单次通过”架构进行检查。业务会话被打开（可能被解密）并使用多个策略引擎并行地检查一次，最好是在内存中，而不是多个检查引擎进行串行检查。最后，SASE的新兴厂商将采用“持续的适应性风险和信任评估（CARTA）”战略方法，确保对会话进行持续的监测。通过保留在数据路径中并使用嵌入的UEBA功能，对会话内容进行分析，以检测过度风险的指标（例如，被窃取的凭证或内部威胁）。当分析用户行为发现风险增加时，或者当设备可信度降低时，SASE可以提供自适应的响应（例如，需要用户进行额外的认证)。七、SASE主要特征SASE有四个主要特征：1.身份驱动不仅仅是IP地址，用户和资源身份决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由与每个网络连接相关联的身份所驱动。采用该方法，公司企业为用户开发一套网络和安全策略，无需考虑设备或地理位置，从而降低运营开销。2.云原生架构SASE架构利用云的几个主要功能，包括弹性、自适应性、自恢复能力和自维护功能，提供一个可以分摊客户开销以提供最大效率的平台，可很方便地适应新兴业务需求，而且随处可用。3.支持所有边缘SASE为所有公司资源创建了一个网络——数据中心、分公司、云资源和移动用户。举个例子，软件定义广域网(SD-WAN)设备支持物理边缘，而移动客户端和无客户端浏览器访问连接四处游走的用户。4.全球分布为确保所有网络和安全功能随处可用，并向全部边缘交付尽可能好的体验，SASE云必须全球分布。因此，必须扩展自身覆盖面，向企业边缘交付低延迟服务。最终，SASE架构的目标是要能够更容易地实现安全的云环境。SASE提供了一种摒弃传统方法的设计哲学，抛弃了将SD-WAN设备、防火墙、IPS设备和各种其他网络及安全解决方案拼凑到一起的做法。SASE以一个安全的全球SD-WAN服务代替了难以管理的技术大杂烩。八、效益和用途1、SASE效益使安全团队能够以一致和集成的方式，提供一组丰富的安全网络安全服务，从而支持数字化转型、边缘计算和员工移动性的需求。通过SASE将获得以下的效益：降低复杂度和成本。集成来自单个提供商的安全访问服务，将减少供应商的总数量，减少分支中的物理和/或虚拟设备的数量，并且减少用户终端设备上所需代理的数量。激活新的数字化业务场景。SASE服务将使企业的合作伙伴和承包商可以安全地访问其应用、服务、API和数据，而无需担心暴露传统架构中的VPN和DMZ（非军事区）而带来的大量风险。改善性能/延时。SASE的领导厂家会通过全球部署的POP提供基于延时优化的路由。这对于延时敏感的业务非常关键。用户的易用性/透明度。如果正确实现，SASE会把设备上所需代理的数量（或一个分支的客户场所的CPE设备的数量）减少到单个代理或设备。改善的安全性。对于支持内容检查（识别敏感数据和恶意软件）的SASE供应商，可以检查任何访问会话并应用相同的策略集。较低的运营费用。随着威胁的发展和新的检查机制的需要，企业不再受到硬件容量和多年硬件刷新速率的限制，可以随时增加新的功能。启用零信任网络访问。零信任网络方法的原理之一是，网络访问基于用户、设备和应用的身份，而不仅仅基于设备的IP地址或物理位置。提高网络和网络安全人员的效能。安全专业人员可以专注于理解业务、法规和应用的访问需求，并将这些需求映射到SASE功能，而不是陷入到基础设施的常规配置任务中。集中管理、本地生效的策略。SASE具有基于云的集中管理策略，以及临近实体的分布式执行点，还包括在需要时可用的本地决策点。2、采用率SASE还处于发展的早期阶段。正因为数字化转型、SaaS和其他云服务的驱动，越来越多办公人员产生了分布式和移动的访问需求，由此推动了相关的变革和需求。SASE早期的主流形态会表现为SD-WAN供应商增加越来越多的网络安全能力，以及云安全服务商增加SWG、ZTNA、CASB服务这些形式。正如在“HypeCycleforCloudSecurity,2019,”中所体现的，目前SASE还在HypeCycle左侧20%的位置（InnovationTrigger），还需要5～10年的时间发展为主流。全面的SASE服务才刚刚出现，其采用率还不到1%。然而，未来三年将为企业安全和风险管理领导者简化其网络安全架构提供重要的机会。虽然SASE的广泛采用在今后几年才会发生，但在未来三年内将很快出现领导厂商，当前厂商都各自面临不同挑战。九、评价因素在评估SASE功能（SD-WAN、SWG、CASB、FW等）时，我们提供Gartner的推荐阅读材料中会包含相关的市场指南和魔力象限材料的链接。为了本研究的目的，我们将重点研究SASE特定的评价标准：提供的SASE服务的广度。并不是每个供应商都能力提供所有的功能。一些供应商将从以网络为中心的功能开始，另一些将从以安全为中心的功能开始。新兴的SASE的领导者应当提供图3中大部分或全部服务。SASE策略决策点的位置。大多数SASE的决策都可以且应该是基于云的交付和管理模型的。领先的SASE架构需要基于云的策略决策引擎，该引擎可以使用CPE轻分支/重SASE的云模型应用于基于云或本地策略执行点（参见图5）。图5：从传统的重分支迁移到云为核心的轻分支/重SASE模型SASE管理/控制平面的位置。即使使用代理和CPE形式的本地执行点，SASE管理控制台也应该以基于云的服务方式来交付。应该对策略进行云管理，并将其分发到本地的执行点。架构。SASE架构非常重要。理想情况下，该产品是基于云的内置微服务，可根据需要扩展。用户侧CPE部署选项。现场（物理或虚拟）CPE设备仍然是需要的，但应该使用基于云的管理和配置模型。这类CPE设备的设计模式应该是交钥匙的黑盒子，开机然后就可以把它给忘了。租赁模式。云原生的SASE架构总是会使用多租户和多客户共享的底层数据平面。有一些供应商会坚持使用每个用户使用独立的实例。企业用户也许不会也不感兴趣知道自己使用的是哪个实例，但架构会影响到SASE供应商的扩展能力。POP节点和对等连接的地点和数量。在SASE场景中，对于某些应用来说延迟是重要的。SASE解决方案应提供POP与数字化企业的访问延迟和数据驻留要求相一致的业务对等连接的组合。使用IaaS的通用计算进行非延迟敏感操作。一些SASE供应商将使用带有互联网边缘和POP节点的混合模型进行低延迟的在线检查，并使用商业化的计算资源（CPU/GPU）和IaaS供应商提供的存储进行低延迟敏感操作，例如：网络沙箱、远程浏览器隔离、审计日志存储和分析。大范围进行加密流量的监测。SASE厂商必须具备提供大范围在线加密流量监测的能力（解密及后续再加密），理想情况下应该是云交付，而不使用专有硬件。必须支持TLS的最新版本。一次通过扫描。应该打开给定会话的流量并对嵌入的内容进行一次且仅一次的并检查。一旦解密，多个扫描和策略引擎可以以扩展的方式并行运行，理想情况下无需通过服务链串接检查服务。可选的流量重定向、检查和日志记录能力。全球范围内对数据隐私的监管要求（例如，通用数据保护法规GDPR）的增加，将为SASE带来基于策略进行流量处理的企业需求，这将用于检查、路由和记录特定地理辖区的流量。支持IoT/边缘计算的场景。对于SASE而言，IoT边缘计算平台只是需要支持的另一个端点身份。关键的区别将是假设边缘计算位置将具有间歇性连通性和对系统的物理攻击的风险。威胁防护。这方面的例子包括使用恶意软件和内容的沙箱来检测会话上下文。在公共的Wi-Fi网络中，SASE解决方案需要提供基于DNS的保护服务，建立到本地POP节点的加密会话，避免被监听。能够识别敏感数据并适应。SASE产品应理解正在访问的数据/应用程序的上下文，并且当检测到过度风险时，能够采取自适应操作（例如，阻止敏感数据的上载/下载）。用户隐私。SASE供应商应根据政策提供不检查流量的选项（例如，GDPR、HIPAA和类似的个人隐私保护条例）。此非检查策略可以与远程浏览器隔离相结合，以进一步将会话与企业系统和日志隔离开来。支持代理。需要支持最终用户使用的终端设备包括Windows、Mac和特定版本的Linux发行版。Android和iOS为基础的设备未来也需要能够支持。管理不受控的设备。企业往往很难做到100%强制使用代理，特别是在他们不拥有或无法控制的系统上。轻量级移动应用程序或浏览器插件可以用于增加可见性。可选的精细的可见性和详细的日志记录。SASE交付应在访问应用程序和服务时提供对用户进行细颗粒的活动监控（最好在使用ZTNA保护时将此可见性应用于企业应用程序）。在会话中监测行为。在Gartner的CARTA战略方法指引下，SASE会话代理应该使用内嵌的UEBA进行过度的风险和异常的持续监测。如果检测到过度风险，应至少提供提高警报的能力。基于角色管理控制台和面板。最终，安全架构师、网络运营经理或CISO可能希望获得所有安全访问会话的快照视图。收费模型。

WAN边缘/SD-WAN产品通常根据带宽计费。然而，CASB、SWG和远程浏览器隔离往往是按照每用户、每年来计费。由于SASE同时包含了多种服务，SASE供应商将在逐步淘汰基于带宽的定价模式。十、替代SASE的主要选择使用基于硬件的分支机构维持现状。这是当今大多数企业采用的模式，由于访问模式的改变以及硬件为中心的设备的刚性和高成本造成受限。设备都带有插件硬件刀片，用于特定的网络安全功能。基于软件的分支机构。通过使用基于软件的刀片方法，向内部分支机构部署客户本地设备（CPE），具有一组合作伙伴的供应商可以提供图3中的许多服务。或在需要时（例如：为了安全检查），CPE可以调用基于云端服务。

通过服务链自己构建SASE。一些企业将尝试通过服务链接不同厂商的产品并使用多个终端代理，将SASE相关的功能集合在一起，构建自己的SASE。这种方法具有高复杂性、高成本和高延迟的问题。SD-WAN来自一家厂商，网络安全服务来自于一家。一些企业将采用的方法是将“连接”的基础设施与图1所示的“安全”的基础设施分开，但两者都转移到基于云的服务。这具有解决组织政治问题的优势，但与单一的SASE供应商相比，复杂性和成本更高。运营商编排的服务链。另一种选择是转向在网络、网络安全或运营商方面占主导地位的厂商，让其代表客户执行所需的服务链接。使用服务链接和网络功能虚拟化，主导的厂商可以成为代理或总承包商，负责将不同的服务拼接在一起。十一、潜在安全风险随着SASE的出现和采用，安全和风险管理专业人员应考虑以下风险：稳定的团队、文化和政治。网络和网络安全架构通常是由不同的团队单独负责。即使在信息安全方面，SWG、CASB和网络安全设备的购买负责人员也可能不同。不同的团队可能会将SASE的采购视为“领地之争”。足够好可能不够好。一些SASE产品是由以网络为中心的厂商开发和交付对，是安全领域的新进入者。同样，以安全为中心的提供商可能没有领先的WAN边缘解决方案所期望的完整SD-WAN功能。复杂度。对试图从不同的厂商和云产品中构建SASE技术栈的企业来说，将其拼接在一起将导致管理和执行的不一致、性能低下和成本高昂。传统的供应商没有云原生的心态。以硬件为中心的网络和网络安全供应商将难以调整成为云原生和基于云服务的交付模式。网络和防火墙厂商缺乏代理服务器的经验。SASE的许多功能将使用代理模型来获取介入数据路径并为访问提供保护。需要投资来维持POP节点和网络对等交换资源。SASE的策略决策和执行需要在任何端点可能出现地方都提供支持。更换供应商。对一些企业来说，向SASE转型将需要更换供应商，从而对工作人员进行再培训，发展新技能，并学习新的管理和政策定义控制台。缺乏数据上下文。许多以网络为中心的供应商的解决方案对数据的上下文理解不足，无法判断内容是敏感的还是恶意的。数据上下文对于制定访问策略、理解风险和确定风险优先级以及相应地调整访问策略至关重要。投资领先的云提供商API检查能力。因为很多用户终端都需要连接到SaaS的访问，SASE供应商需要理解其数据上下文。SASE领导厂商的要求部署代理。为了与基于前向代理的体系架构集成，并处理一些遗留的应用程序协议，将需要一个本地代理（例如，SWG、用于旧应用程序的ZTNA、本地Wi-Fi保护和本地设备安全态势评估）。费用过高和SASE市场震荡。SASE市场在未来五年将经历重大变化，预计将进一步整合和收购。由于这个市场还在早