SASE（安全访问服务边缘）：企业未来安全架构的起点 – 作者:你要的白不是黑

根据此前Gartner的预测，到2024年至少40%的企业将采用SASE。SASE作为又一个被Gartner带火的名词，会在企业里有效落地还是水土不服，是昙花一现还是成为安全发展演变的切实趋势，这些都是安全从业者们不断思考的问题。

Akamai亚太区安全战略总监Siddharth Deshpande的分享，或许可以拨散这些疑惑。

Akamai亚太区安全战略总监Siddharth Deshpande

边界瓦解，如何选择结构化框架

一个结构化框架对于企业整体安全体系的建设往往有着战略性的作用。如同Siddharth Deshpande的介绍，当前的结构化框架包括NIST网络安全框架、MITER攻击框架，还有最新的由Gartner提出的SASE。它们都能够帮助企业快速抓住战略重点和运营重点，比如：能够为企业提供一种通用语言来评估和提高企业的安全计划；能够精准测量安全风险水平；能使企业实现更有效的沟通，并且将沟通从IT团队内部拓展到其他业务部门、高管团队。

在多个可选择的框架中，如何选择成为第一个关键问题。

稍加对比可以发现，NIST网络安全框架可以帮助企业思考“应该要做哪些事情”，但是却无法告诉企业该如何达到那些安全目标，不能够“贴地”运行。MITER攻击框架作为近几年同样火热的框架，在威胁建模和攻击者知识库上有很好的表现，但整体更偏向技术型，无法帮助安全团队进行有效的组织层面的沟通。这一背景下，SASE（安全访问服务边缘）的出现，自然引起关注。

有趣的是，SASE的适用性恰恰应对了传统的数据中心逐渐瓦解的安全挑战。

Siddharth Deshpande表示，“数字业务和边缘计算具有反向访问要求”，当越来越多的企业的用户遍布全球，传统的有关“应用定义”的边界也不复存在。与此同时，在传统的安全架构体系中，所有部署都是以数据中心为核心，所有流量都需要返回到数据中心处理。例如，每一次“访问”或者“拒绝访问”安全决策都会转送、重新路由回数据中心，这也造成很多流量问题，而SASE框架解决了这些问题。

SASE是什么

SASE到底是什么？如同上文所说的“一个结构化框架”，也是一个集成了敏捷、自动化、CARTA（持续自适应风险与信任评估）、ZTNA（零信任网络访问）、Advance APT防护等技术的安全框架。

从功能上来解释的话，则可以用Gartner的定义表达：一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。

尽管涵盖甚广，但SASE的核心依然是“身份”，当所有用户都以分布式的形式存在，企业无法再依赖物理位置确定访问安全性的时候，“身份”的验证也就变得非常重要，这也可以解释为什么零信任也是SASE框架的一个重要功能。

此外，Siddharth Deshpande指出SASE的“第一原则”就是让所有流量不再强迫回流到数据中心，而是把所有的安全控制分布在离用户、应用、所有消费者最近的地方，通过安全边缘来实现安全控制的分布。

譬如在Akamai的SASE框架实践中，就是通过其全球分布的CDN网络，把安全控制分布在离用户和应用程序最近的地方，并且结合了网络即服务以及网络安全即服务两大服务概念，从而使得整个框架更具韧性、灵活性，同时也可以更好地帮助企业实现其安全要求。

在去年新冠疫情背景下，一家拥有两万名用户的企业急需把所有的“本地化”工作全部移至“远程办公”环境，而这一艰巨目标在两星期内就成功了。之所以在这么短的时间内就实现目标，是因为他们早在疫情开始之前就开始谋划“SASE旅程”、思考“如何构建未来的一种安全架构”，所以当外部环境发生变化、疫情来临的时候，就能从容不迫地进行调整和适应。

这家幸运的公司的案例，证明了SASE能够帮助企业快速启用新的数字化业务场景。除此之外，Siddharth Deshpande还介绍了SASE在提高效率并降低安全程序的复杂性、应对未来威胁场景和攻击、改善用户体验和安全性方面的优势。

安全建议

SASE并不会强制将流量回传到数据中心的检查引擎，而是发送到附近的PoP，这意味着SASE服务的供应商需要有强大的自建PoP或使用第三方提供的PoP连接，进一步来说，为了实现低延迟地随时随地访问用户、设备和云服务，供应商需要具有全球PoP点和对等连接的SASE产品。

尽管我们看到Akamai在过去花了大量时间在全球130多个国家部署了325000台服务器，拥有强大的自建网络基础，但这一结果并非一蹴而就。SASE的高门槛使得其他供应商进入这一服务赛道还需要相当长的一段时间积累，即便是依赖第三方提供的PoP连接而非自建的PoP也需要时间，甚至承担更多的来自供应链的安全威胁。

与此同时，在SASE的发展趋势下，企业势必逐渐走向这一结构化框架。在市场需求和供应商的“博弈”下，就如何选择合适的供应商这一问题，Siddharth Deshpande也给出了一些参考维度：

1、供应商在“安全用例”方面需具有广泛的覆盖范围，不仅针对某一具体的安全领域，还应涉及更广泛的用例。

2、供应商需要具有全球分布的边缘网络，在整个服务的可用性、可及性方面都有可被证明的韧性。

3、无论是从路线图、还是从规划来看，SASE产品愿景都必须是具有可持续性的。

最后，企业安全负责人可以从局部开始应用SASE，不需要担心对原有框架的全盘否定，这种循序渐进的转变也为企业安全框架的更迭留出更多空间，帮助安全团队说服组织管理者。

来源：freebuf.com 2021-03-31 10:57:50 by: 你要的白不是黑