從SASE到Q-SASE
SASE是Gartner在2019年推出的一套新的企業(yè)網(wǎng)絡(luò)安全服務(wù)架構(gòu)。通過將網(wǎng)絡(luò)和安全二者的功能融合為統(tǒng)一服務(wù)�����,分支機構(gòu)和移動辦公的員工均能高效且安全的接入云端的安全節(jié)點(POP點)���,在不影響辦公體驗的前提下��,安全地訪問互聯(lián)網(wǎng)�����、云上以及公司內(nèi)部的業(yè)務(wù)系統(tǒng)����。
僅從網(wǎng)絡(luò)安全角度出發(fā)�,SASE架構(gòu)的意義也是變革性的。首先���,SASE是以運營服務(wù)的方式交付����,保障的不是產(chǎn)品的建設(shè)交付����,而是統(tǒng)一安全運營效果;其次,充分融合基于云技術(shù)實現(xiàn)的安全能力�����,符合“十四五”數(shù)字化轉(zhuǎn)型加速���、升級以及企業(yè)上云的大趨勢;再次��,引入零信任這一關(guān)鍵能力后�,能夠滿足后疫情時代對遠程辦公安全性保障的需求;最后����,基于SD-WAN不僅收斂了互聯(lián)網(wǎng)出入口,更再次劃清了網(wǎng)絡(luò)與安全邊界�����,企業(yè)的安全投入不再因為過于分散而出現(xiàn)明顯“短板”���,為安全的統(tǒng)一規(guī)劃���、建設(shè)和運營提供了架構(gòu)基礎(chǔ)和技術(shù)手段�����。
這一點從美國國防部在其零信任實施方案Thunderdome(雷霆穹頂)中�,正式引入SASE安全框架這一決定中可見一斑�。
奇安信安全訪問服務(wù)(Q-SASE)不是SASE架構(gòu)簡單的復(fù)制黏貼,而是基于中國國情���、市場現(xiàn)狀�����、客戶需求等綜合考量后��,SASE架構(gòu)的本土化演進的產(chǎn)物����?���;诮y(tǒng)一的安全防護與運營服務(wù)架構(gòu),擁有多分支機構(gòu)的大型央國企���、民企�����、政府機構(gòu)��、學(xué)校等客戶�,能夠以相對輕量化的投入��、更簡易的部署����,實現(xiàn)安全管理與運營的降本增效,并為業(yè)務(wù)未來的發(fā)展變化預(yù)留靈活擴展的空間�����。
Q-SASE的核心能力擁有清晰的5層架構(gòu)���。包括最底層的網(wǎng)絡(luò)資源層����,資源之上的安全能力層�,能力之上的運行策略層,策略之上的安全運營層�,以及縱向貫穿的安全管理層�。特別在安全運營層��,Q-SASE運營服務(wù)可通過標準化的服務(wù)框架���、服務(wù)規(guī)范��、服務(wù)流程���、服務(wù)評估,有效地保障服務(wù)質(zhì)量���。
歸納而言����,與傳統(tǒng)拼湊式的安全建設(shè)方案相比�����,Q-SASE有以下三大優(yōu)勢:
1. 安全能力云化部署����、服務(wù)化提供,通過統(tǒng)一的安全運營中心集中監(jiān)測預(yù)警����,客戶投入更加輕量;
2. 提供統(tǒng)一的安全能力和運營管理���,避免因分支機構(gòu)眾多、防護能力不足�����、水平難以拉齊等原因出現(xiàn)安全短板;
3. 疫情驅(qū)動遠程辦公���,通過統(tǒng)建零信任實現(xiàn)終端環(huán)境感知和動態(tài)訪問控制,降低大量使用VPN引入風(fēng)險的同時���,兼顧良好辦公體驗����。
不只運營���,Q-SASE助力中國電子通過國家級攻防大考
Q-SASE不僅集高成熟度的安全架構(gòu)和運營服務(wù)于一體��,更有特大型央企的“平戰(zhàn)一體”的應(yīng)用實踐加以佐證參考����。
此次獲獎的案例“中國電子基于SD-WAN的SASE落地與服務(wù)化實踐”,便是Q-SASE在中國電子����,這樣一家擁有600余家分布在全球31個國家和地區(qū)所屬企業(yè)、19余萬名員工�����、2021全年營收2781億元的國有骨干企業(yè)的應(yīng)用實踐����。
作為以網(wǎng)絡(luò)安全和信息化為主業(yè)的中央企業(yè),中國電子在“十四五”規(guī)劃期間��,以“數(shù)字CEC”建設(shè)為數(shù)字化轉(zhuǎn)型工作抓手�,通過全集團構(gòu)建一個運營監(jiān)控中心、五大共享平臺�,來實現(xiàn)“提能力、提效率���、控成本����、控風(fēng)險”這一重要目標。
安全和云��、網(wǎng)一樣�,是數(shù)字化支撐技術(shù)的重要組成。SASE體系的核心價值����,便是將中國電子的“一云一網(wǎng)”和“安全”三者融合,并通過全集團自上而下的統(tǒng)一規(guī)劃�、建設(shè)和運營,解決中國電子19余萬名員工在世界各地安全訪問中國電子云����、互聯(lián)網(wǎng)以及移動辦公�����。
對于實戰(zhàn)攻防演習(xí)���,中國電子運營管理部副主任唐路曾在近期BCS2022·大灣區(qū)網(wǎng)絡(luò)安全峰會的主旨演講中坦言��,在落地SASE之前����,中國電子最頭疼的就是大量互聯(lián)網(wǎng)出入口散落在各地��,“戰(zhàn)時”的安全防護很難有一個滿意的效果?����;赟D-WAN做互聯(lián)網(wǎng)出入口的收斂����,首先解決了縮小暴露面的需求。
在攻防演習(xí)真正進入對抗階段后����,遵從“重兵防御、集中研判����、聯(lián)防聯(lián)控”這一整體策略,中國電子能夠基于Q-SASE可對197家已接入法人單位的互聯(lián)網(wǎng)訪問白名單進行統(tǒng)一設(shè)置和維護�����,快速發(fā)現(xiàn)和隔離失陷終端�,加密流量在統(tǒng)一出入口的SSL集中卸載,以及通過統(tǒng)建零信任代替?zhèn)鹘y(tǒng)VPN以實現(xiàn)關(guān)鍵業(yè)務(wù)應(yīng)用訪問策略的細粒度動態(tài)管控�����。
唐路主任還表示,“查�����、打一體”的設(shè)計���,結(jié)合北京冬奧期間“應(yīng)接盡接”的“零事故”成功經(jīng)驗��,中國電子基于Q-SASE體系在此次攻防演習(xí)中成功實現(xiàn)了“秒級”自動化處置和“零誤封”�����,并為溯源提供足量的數(shù)據(jù)支持,真正在減少安全值守人員投入的同時���,實現(xiàn)了整體防守效率效果的提升�����,真正做到了“戰(zhàn)時”網(wǎng)絡(luò)安全“攻擊可追溯��、態(tài)勢可感知���、事件可預(yù)警����、安全可閉環(huán)”�����。
作為國內(nèi)零信任安全理念的首倡者�,奇安信零信任此前順利通過了由中國信通院算網(wǎng)融合團隊發(fā)起的“Zero Trust Ready”項目SDP解決方案能力測試評估,是首批首家獲得此項權(quán)威認證的企業(yè)��。在中國電子數(shù)字安全防護體系中���,也充分運用了基于PKS的零信任動態(tài)授權(quán)體系能力���,以數(shù)據(jù)資源為中心,以身份為基石�����,實現(xiàn)了對應(yīng)用���、數(shù)據(jù)����、服務(wù)等的精準管控,幫助中國電子構(gòu)建業(yè)務(wù)動態(tài)可信訪問控制機制�����,實現(xiàn)全面身份化�����、授權(quán)動態(tài)化��、風(fēng)險度量化��、管理自動化的新一代網(wǎng)絡(luò)安全架構(gòu)�。
