為何市場會產(chǎn)生安全服務演進

時間：2022-04-24 10:30:01 | 來源：行業(yè)動態(tài)

時間：2022-04-24 10:30:01 來源：行業(yè)動態(tài)

傳統(tǒng)企業(yè)的數(shù)據(jù)中心架構（如圖一所示）大多為從分支機構上行的一個信息網(wǎng)絡連接到總部的數(shù)據(jù)中心，然后從互聯(lián)網(wǎng)區(qū)再連接到互聯(lián)網(wǎng)，此外還有云上部署的應用。目前，很多中國的數(shù)據(jù)中心基本為該架構。



圖一

但為何稱這樣一個從數(shù)據(jù)中心到互聯(lián)網(wǎng)再到云的架構較為傳統(tǒng)？因為企業(yè)的應用大多沒有上云、上云的應用基本為互聯(lián)網(wǎng)應用。隨著未來更多的企業(yè)應用上云，西方云優(yōu)先的市場目前已采用圖二所示的架構數(shù)據(jù)中心內(nèi)存在很多應用，且傳統(tǒng)應用遷移至云、企業(yè)的數(shù)據(jù)中心愈發(fā)強大。企業(yè)分支機構的員工在訪問數(shù)據(jù)中心應用時，不僅可以訪問數(shù)據(jù)中心應用，還能訪問數(shù)據(jù)中心以外以及遷至云上的應用。因此，每家分支機構具有兩條線一條代表通往數(shù)據(jù)中心，另一條代表通往云上的SaaS類應用。



圖二

我們亦可把圖二描繪成另一個場景企業(yè)員工或客戶通過多種數(shù)字化接觸訪問不同的數(shù)據(jù)和應用。數(shù)字化接觸可以是手機、物聯(lián)網(wǎng)或觸摸屏。在此情況下，保證訪問安全對企業(yè)而言至關重要，因為所有數(shù)字化接觸都會接入互聯(lián)網(wǎng)，但企業(yè)不可能在每一家分支機構或云上都部署一套邊緣棧。若用傳統(tǒng)數(shù)據(jù)中心的方式來管理目前新型廣域網(wǎng)及應用外遷到云的這樣一個現(xiàn)實場景的話，企業(yè)就需要很多套邊緣棧安全設備、防火墻來管理不同的安全邊界。然而，現(xiàn)在的安全邊界已不在數(shù)據(jù)中心，而是外擴到各種各樣的邊緣、云場景之中，因此企業(yè)需要新的網(wǎng)絡安全架構。

針對數(shù)字化接觸，企業(yè)需要具備基于策略（policy-based）的接入方式，即通過基于策略的接入到各種分布式的邊緣、再到互聯(lián)網(wǎng)邊緣、最后到互聯(lián)網(wǎng)或企業(yè)的核心應用。因此，SaaS其實是面對分布式邊緣所定義的全新安全及網(wǎng)絡架構。



圖三

當前的SD-WAN是非常重要的技術改進推動力。其在管理各種各樣下層網(wǎng)絡的同時，還可作為軟件被靈活部署在所有硬件之上。這當中的SD-WAN就變?yōu)榱藦V域網(wǎng)的邊緣，若廣域網(wǎng)下層架構發(fā)生改變，很多互聯(lián)網(wǎng)的出口不只在數(shù)據(jù)中心、會在眾多分支機構或邊緣的接入應用中，此時企業(yè)下層的網(wǎng)絡會有很多的非信任外部網(wǎng)絡，因此企業(yè)需要具備針對所有數(shù)據(jù)化接觸的安全策略來加以保護。如圖三所示，網(wǎng)絡安全接入服務保護所有的網(wǎng)絡接入，廣域網(wǎng)的邊緣與安全服務兼容、成為了一個新的安全服務接入邊緣融合架構。

當企業(yè)不清楚訪問流量是否存在風險時，應當考慮CASBCASB是云接入服務的中介。企業(yè)數(shù)據(jù)可能存放在數(shù)據(jù)中心或云上，當公有云上的SaaS服務要訪問數(shù)據(jù)時，企業(yè)可以用CASB來管理風險，即所有訪問先經(jīng)過CASB大門、SaaS應用與訪問相互集成，讀取的數(shù)據(jù)返至CASB應用、再返至授權數(shù)據(jù)，通過全程監(jiān)控保護數(shù)據(jù)安全。若用戶訪問企業(yè)專用應用，亦可用同樣方式進行保護。企業(yè)可以用CDN進行加速、SD-WAN進行連接，同時使用CASB、SWG等保護訪問安全。從這個角度來看，將網(wǎng)絡模塊與安全模塊融合成一個安全接入服務平臺即是SASE。SASE包含五個核心模塊：SD-WAN、Firewall as a service（FWaaS）、SWG、CASB和零信任網(wǎng)絡接入?，F(xiàn)在不少安全廠商具備兩至三個模塊，但鮮有具備全模塊者。



圖四

圖四展示了SASE中的各種技術，Gartner認為這些技術在未來十年會相互融合至SASE模塊中。目前，安全產(chǎn)品非常碎片化，不同產(chǎn)品具有自己的管理和控制界面，對企業(yè)使用而言不夠友好，所以這時就需要出現(xiàn)一個把這些碎片化的安全接入服務融合成一個安全接入服務的平臺。其實，SASE接入不單是基于公有云的互聯(lián)網(wǎng)接入方式，也會有很多接入到企業(yè)級私有數(shù)據(jù)中心。