SASE能否成为VPN的终结者?
随着全球疫情肆虐远程办公成为新常态,越来越多的安全人士认为,新冠疫情将推动“零信任”等安全架构的普及,而比零信任高一个维度的,2019年Gartner提出的SASE(安全访问服务边缘模型),也很有可能成为VPN的终结者,因为VPN只是SASE的一个默认功能。根据Gartner的预计,到2024年,至少40%的企业将有明确的策略采用SASE,高于2018年底的不到1%。但新冠疫情引发的全球远程办公潮,很有可能加速SASE的普及。
2019年7月,Gartner在网络炒作周期图中首次提出了SASE的概念(上图红色标记),简单来说SASE是将广域网或WAN和网络安全服务(如CASB、FWaaS和Zero Trust)整合为一个通过云交付的服务模型。
从上图可以看出,SASE还处于炒作周期的早期阶段,但这会给人错觉,事实上SASE涵盖的技术,例如SD-WAN、CASB和FWaaS等云安全服务,已经不是新鲜概念了。SASE给企业带来的价值主要有以下几个方面:
·灵活性:基于云基础架构提供多种安全服务,例如威胁预防、Web过滤、沙箱、DNS安全、数据防泄漏和下一代防火墙策略。
·节省成本:利用单一平台,无需购买和管理多点产品,可以大大降低成本和IT资源。
·降低复杂性:通过将安全堆栈整合到基于云的网络安全服务模型中来简化IT基础架构,可以最大限度地减少IT团队管理以及需要更新和维护的安全产品数量。
·提高性能:借助云基础架构,你可以轻松连接到资源所在的任何位置。可以在全球范围内访问应用程序、互联网和公司数据。
·零信任:基于云的零信任方法消除了用户、设备和应用程序连接时的信任假设。一个SASE解决方案能提供完整的会话保护,无论用户是在公司网络上还是在公司网络外。
·威胁防护:通过将完整的内容检查集成到SASE解决方案中,用户可以从网络的更高安全性和可见性中受益。
·数据保护:在SASE框架内实施数据保护策略有助于防止未授权访问和滥用敏感数据。
VPN的终结者?
SASE离我们并没有“炒作曲线图”中那么遥远,而VPN很可能成为SASE崛起的第一个牺牲品。
2020年新冠疫情大大提高了全球远程办公的比例。从某种意义上说,我们很庆幸现有的技术和基础设施允许我们这么做,人们通过家中的宽带、公司VPN、团队工作区和视频会议服务,可以像在常规办公环境中一样继续有效(如果不是更加高效)地完成工作。
但是,新冠疫情的“压力测试”也暴露很多企业网络安全短板,例如端点安全和VPN资源瓶颈显得尤为突出,而SASE可以快速增加远程办公工作者的容量,而无需企业部署新的VPN设备。
要知道,对于很多企业,甚至包括很多大企业,要支持突然暴增的远程办公员工人数面临很大挑战。
网络基础设施服务提供商Apcela的首席执行官Mark Casey认为,很多大型企业通常仍将传统的中心辐射型WAN固定在物理数据中心中。公司流量从分支机构和远程位置(如工人的家)回传到中央数据中心,以通过安全堆栈,然后再发送到互联网或云服务。不幸的是,这种传统的网络体系结构无法很好地适应大规模远程办公产生的截然不同的流量模式。
多年以来,我们在大企业网络中最常看到的是类似思科AnyConnect和ASA 防火墙的VPN安全组合,无数大型企业在其本地数据中心中拥有类似的硬件设备,无论是思科设备还是其他厂商的设备,VPN/防火墙的组合依然是主力军,但远程办公人员的暴增造成了压力。
下面这个场景如今正在全球各国上演:一名居家办公员工启动了VPN连接,创建安全隧道,直接连入数据中心。平日公司只有10%到20%的员工远程办公时,VPN表现良好,但疫情期间很多公司远程办公员工的比例可能接近50%或70%。这会导致资源争用,所有人的VPN体验都很差。此外,工作人员正在将大量互联网通信以及发往内部部署应用程序(例如Microsoft Office 365)的通信路由到数据中心,这也是疫情期间大型企业最常见的问题。
Casey说:
我们最近与许多公司进行了交谈,他们都表示需要扩展VPN容量,但是传统的网络架构阻碍了他们的发展。思科,帕洛阿尔托和其他公司提供免费的VPN客户端许可证,但企业仍然需要扩展VPN终端设备。在这种环境下,很难快速扩展容量。
无论是面对眼下的冠状病毒还是其他会使传统网络环境承受压力的外在因素,我们都建议企业应实现多元化,将其部分网络架构转移到云中。从长远来看,这将为他们提供更大的灵活性,以便为其员工提供安全和远程访问服务。
Casey特别推荐了SASE框架作为重新架构企业网络的模型。正如本文开头介绍的,SASE是Gartner提出的概念,是将广域网或WAN和网络安全服务,例如安全web网关(SWG)、云访问安全代理(CASB)、FWaaS和零信任框架整合为一个通过云交付的服务模型。
简而言之,SASE产品通过提供高度可定制的,基于策略的控制来帮助简化网络管理,该控制可根据用户身份、会话上下文以及应用程序对性能和安全性的需求进行定制,并且是通过云来交付的。
Casey举例说明了SASE的概念:
假设某位员工正在从纽约的家中通过VPN接入其公司网络,数据中心位于芝加哥。通常来说,所有流量都会被定向到芝加哥,但是如果他正在访问互联网内容,则最优的路由策略此部分流量分流到用户驻地所在的安全web网关(SWG),而不是将所有流量一股脑导向芝加哥的企业数据中心。而纽约的这个安全web网关,就是所谓的“服务边缘”。
公司的虚拟防火墙位于企业网络的Hub核心,无需导向数据中心的互联网流量在本地网络Hub的VPN分配器中从VPN流量中分离出来,通过安全的Web网关流出,而发往数据中心中应用程序的流量则通过安全专网传输。这实际上是回到数据中心的另一条隧道。这是用来解释SASE的一个很好的用例,企业可以通过SASE将一些核心安全组件提取出来移至云中。
人们用云这个词来形容AWS、Azure或Google Cloud Platform,但是Casey对云的定义更为广泛。Casey说:
云其实是软件即服务,就像Salesforce和ServiceNow一样。如果您是一家企业,那么云就是数据中心。云可以是能够作为服务交付的任何东西。
安全在“服务边缘“虚拟化
用Apcela的话来说,SASE中的“SE”——服务边缘,其实是应用程序中心或AppHub。也有公司称之为通信中心、云中心或简称为存在点(PoP)。无论名称如何,指向的概念都是相同的。
这些Hub由交换和路由设备组成,通常部署在独立于运营商的托管中心中。然后,将这些数据中心通过高容量,低延迟的链路互联,组成高性能核心网络。SD-WAN、VPN和安全技术堆栈通常部署在Hub中。在这个“网络边缘“,企业可以直接连接自己的数据中心、分支机构、远程和移动用户,甚至第三方合作伙伴。领先的SASE提供商在全球范围内建立了Hub(或PoP),以便企业员工可以连接到最近的Hub以获得他们所需的通信和安全服务。每个企业都选择要使用的服务。
在考虑如何将安全作为虚拟服务部署时,Casey说:
你不一定要将所有安全性都放在AWS中,因为即使这些安全服务可以与AWS一起很好地工作,但可能并不适用于GCP或Azure,这对于你的SaaS应用程序来说可不是什么好事。因此,应用程序云(Salesforce、Office 365、Workday等)与用户以及企业的中间地带是放置这些安全服务的理想位置。而且由于Hub本质上是一种基础架构即服务,因此您不必迁移到某些专有的云平台上。
SASE基础架构本质上是按需提供的,因此新客户很容易采用它,并不存在复杂性的门槛。Casey指出:
无论你在世界何处,总能通过SASE的私有链接连回企业基础设施,SASE的一切都非常像云,它具备云的敏捷性和云的速度,并使您能够迅速完成任务。
SASE框架的另一个好处是流量通过私有核心网络而不是公共互联网传输(例如VPN)。Casey说:
对于关键任务平台来说,互联网不应成为您的新WAN的选择。对于云应用程序,你需要一种类似MPLS的专用网络,这是SASE平台要做的。流量是在安全边缘从互联网上分离出来,导入专用安全网络上,然后直接路由到相应的SaaS或IaaS平台数据中心。
目前,拥有专用核心网络显得尤为重要,因为有如此多的人在家里工作,由于流量和内容模式的变化,公共互联网承受着空前巨大的压力。欧洲委员会甚至要求Facebook和Netflix降低内容码率以节约带宽。正如Casey所说,任何一家公司都不希望公司流量与Netflix以及大量视频会议甚至游戏内容竞争带宽。