行业专家共话零信任SASE,吉利控股首谈SASE架构落地实践
近日,由国际云安全联盟大中华区与亿格云联合举办的“长风破浪 SASE启航”研讨会在线上正式召开。本次研讨会共同探讨了SASE作为一种创新技术的由来与未来发展趋势,深入分析零信任SASE安全融合理念与架构,在数字化时代下对企业办公安全架构的颠覆与创新。通过吉利控股落地零信任SASE的实践,真实分享了其作为大型智能制造领先企业,在落地零信任SASE的抉择之路与建设经验。
数字化建设进一步赋能企业的业务高速发展,其中应用云化、混合办公使企业边界不可避免的进一步模糊化,对传统边界防御为核心的安全架构带来了严重的挑战。企业安全管理者迫切希望广域网组网与安全技术的深度融合,以应对数字化带来的安全挑战。
SASE作为Gartner提出的一项创新安全架构,基于零信任的理念并原生融合网络与安全能力,在大幅度降低企业安全建设投入的同时,适应数字化企业当前及未来的网络流量模型与安全需要。借助零信任SASE,困扰数字化企业的诸多办公安全问题将迎刃而解,为安全和风险管理人员提供了未来重新思考和设计网络和网络安全体系架构的机会。Gartner预测,到2025年,至少60%的企业将有明确的战略和时间表来采用SASE。
PART-01
SASE的发展演变与未来趋势
CSA大中华区SASE工作组联席组长 何国锋在解读《SASE安全访问服务边缘白皮书》时谈到Gartner 提出的 SASE架构,就是针对企业云化,混合办公(移动/远程/居家办公)模式兴起、企业分支机构多,传统的物理安全边界消失等问题提出的安全解决方案,很好地满足了分布式数字化网络和安全服务。
不仅如此,SASE作为一种新的服务架构,将广域网接入和网络安全服务结合,以身份为中心,建立网络连接和服务,并进行持续的风险性能评估。包含了云网基础设施、 管理平台、PoP节点、接入边缘。何老师讲到,SASE 有八种核心能力能很好地将割裂的、碎片化的云化本地安全能力进行整合,快速适应企业新兴办公安全的诉求。
赛博谛听创始人 金湘宇 认为传统软硬件堆砌的“串糖葫芦”式的安全部署模式已不可维系。伴随着5G、SDWAN、云计算、边缘计算、物联网等新技术兴起,企业的网络基础架构也在随之快速改变。SASE 已经成为近三年来网络安全最炙手可热的概念。区别于零信任,SASE除了融合零信任之外,还提供了独有安全和通信融合,以部分或全部牵引流量至企业外部的边缘侧的能力。
对于SASE的未来发展趋势,金湘宇预测,随着5G乃至6G的通信建设发展,未来运营商可以在专网专线里使用SASE安全的功能,实现安全通信和计算的融合。
何国锋认为,技术发展上SASE 系统将与新技术融合,产生更高效的服务。基于企业所有数据开展人工智能与网络智能。同时可对安全事件进行分析和检测,不断拓展新的安全服务场景。
PART-02
办公安全破局之道——零信任SASE
亿格云联合创始人 叶敏 在会上分享了当前企业办公安全挑战的现状与对策,基础设施的云化让企业的安全边界模糊,使得传统以边界为安全的安全体系逐渐失效,数据泄露、病毒入侵等安全隐患也随之而来。而解决企业云上安全问题的破局之道就是零信任SASE,零信任SASE基于云原生的架构,安全融合账号、身份、应用、数据、网络行为等全维度,用一体化的方案来覆盖所有办公安全风险场景,真正实现降本增效。
PART-03
吉利控股零信任SASE安全架构
本次研讨会中作为大型智能制造行业的典范企业,吉利控股CIO执行助理 成品耀 分享了吉利的安全挑战与布局。吉利控股办公安全起步较早且相对完善,但在全球疫情影响下,吉利控股面临着些许安全挑战:
01各基地访问总部安全风险
专线建设成本高且无法全面覆盖小型基地,而采用VPN又面临用户体验及安全风险的问题;此外,各个基地上网行为管理等策略难以按照集团总部的统一标准执行,跨基地出差场景下用户体验割裂。
02 多端防护体验不佳
吉利对于办公安全一直非常重视,先后采用多个国际一流的安全产品解决办公安全问题,在安全取得良好成果的同时,也增加了终端负担,办公电脑需要安装并运行多个安全客户端软件,影响用户体验。
03 远程办公数据安全风险
使用传统VPN进行远程访问时,通常仅关注员工身份合法性,而对于设备维度缺乏安全评估,导致BYOD难以区分授权管理,存在泄密隐患。
跟大部分企业一样,吉利控股集团的安全建设也是从 0 到 1 逐步建立起来的。原先围绕着边界在做安全产品和解决方案:部署防入侵检测、 DNS 安全、网络防泄漏DLP和物理边界DMZ等产品。以及集团内围绕终端安全部署防病毒、终端 DLP 、磁盘加密或网络准入等产品打造信息安全体系。而伴随着混合办公、全球化分布的到来,高成本、繁冗的运维管理,不统一的安全水位、使用体验差等传统安全体系的弊端也愈发明显。
基于此,吉利控股开始采用了零信任SASE一体化的办公安全解决方案。与亿格云深度合作,打造基于混合云架构的内部产品——易连,采用了主要基地私有化部署POP节点和出差场景租用亿格云POP节点的方式构建覆盖全球的应用访问网络,用户侧将终端Agent能力以SDK集成于易连的软件,实现用户无感知的能力集成。
而借助上述架构,在不大幅度改变原有网络框架及用户习惯的基础上。吉利控股集团的员工可随时随地的加速访问任何位置的内部应用,很大幅度提升员工体验及业务效率。同时,将零信任网络访问(ZTNA)能力原生融合进应用访问网络,所有内部应用对互联网完全隐身,无需映射、暴露任何端口,只有集成了亿格云零信任访问SDK的易连才可接入访问,其他任何非法请求均无法访问,在不改变员工体验及访问习惯的同时,大幅度降低办公应用被攻击的风险。
一体化的办公安全解决方案带来的不仅是保证安全,同时实现降本增效、更能改善安全运维管理繁复问题,成品耀认为未来信息安全的建设方向,应该是做减法,并将安全能力“隐身化”。
PART-04
安全架构新未来
早在SASE被正式定义之前,北美因业务普遍云化的背景,已进行了多年的相关探索与实际应用。在国内数字化建设的背景下,也必将面临业务云化所带来的一系列办公安全挑战,而零信任SASE无疑是原生就能适用于数字化架构的最佳选择。
在最后《企业SASE安全架构讨论》的圆桌环节,网络安全专家 聂君 提到,SASE并不局限于某个行业,比如互联网金融,相比传统银行 IT 环境,它所带来的云计算环境中面临了更多来自开放环境带来的安全挑战,如对外开放接口增多,远程办公需求增多,精细化访问控制能力要求等等,而通过零信任SASE架构来交付,能够一站式解决这些问题。
谈到一些大型企业落地SASE可能会遇到的阻力。杨宁(鸟哥)是这样认为的,一是对SaaS化上云的顾虑,二是SASE需要技术栈和业务架构进行安全融合,三是SASE的产品形态和部署方式、订阅式付费模式等。这些可能都是遇到的阻力。但长期来看,企业上云SaaS化是一个必然的趋势。
数据安全作为大家都一直非常关注,但又觉得非常难解决的一个痛点。在葛岱斌看来SASE 作为一个安全架构,更多是能够帮助全链路监测所有数据在企业内部的流转,良好实现数据可视、可管、可控,从而保障数据安全。
金湘宇等一众嘉宾都认同,SASE将改变目前网络安全产品中以软硬件结合来进行销售的方式,解决安全碎片化的问题。真正实现安全融合。伴随着云化在我国企业的普及,云化阶段的不断演进,SASE架构在我国的接受度也会越来越高,零信任SASE架构带来的多级容灾负载、弹性扩容等优势,将给业内带来一场新的安全技术革命。