從SASE到Q-SASE
SASE是Gartner在2019年推出的一套新的企業(yè)網(wǎng)絡安全服務架構(gòu)�����。通過將網(wǎng)絡和安全二者的功能融合為統(tǒng)一服務,分支機構(gòu)和移動辦公的員工均能高效且安全的接入云端的安全節(jié)點(POP點)�����,在不影響辦公體驗的前提下����,安全地訪問互聯(lián)網(wǎng)、云上以及公司內(nèi)部的業(yè)務系統(tǒng)����。
僅從網(wǎng)絡安全角度出發(fā)���,SASE架構(gòu)的意義也是變革性的���。首先,SASE是以運營服務的方式交付,保障的不是產(chǎn)品的建設交付���,而是統(tǒng)一安全運營效果;其次����,充分融合基于云技術實現(xiàn)的安全能力�����,符合“十四五”數(shù)字化轉(zhuǎn)型加速���、升級以及企業(yè)上云的大趨勢;再次���,引入零信任這一關鍵能力后�,能夠滿足后疫情時代對遠程辦公安全性保障的需求;最后�����,基于SD-WAN不僅收斂了互聯(lián)網(wǎng)出入口���,更再次劃清了網(wǎng)絡與安全邊界,企業(yè)的安全投入不再因為過于分散而出現(xiàn)明顯“短板”��,為安全的統(tǒng)一規(guī)劃����、建設和運營提供了架構(gòu)基礎和技術手段。
這一點從美國國防部在其零信任實施方案Thunderdome(雷霆穹頂)中����,正式引入SASE安全框架這一決定中可見一斑。
奇安信安全訪問服務(Q-SASE)不是SASE架構(gòu)簡單的復制黏貼��,而是基于中國國情���、市場現(xiàn)狀、客戶需求等綜合考量后�����,SASE架構(gòu)的本土化演進的產(chǎn)物�����?��;诮y(tǒng)一的安全防護與運營服務架構(gòu)����,擁有多分支機構(gòu)的大型央國企、民企���、政府機構(gòu)���、學校等客戶,能夠以相對輕量化的投入�����、更簡易的部署����,實現(xiàn)安全管理與運營的降本增效,并為業(yè)務未來的發(fā)展變化預留靈活擴展的空間����。
Q-SASE的核心能力擁有清晰的5層架構(gòu)。包括最底層的網(wǎng)絡資源層���,資源之上的安全能力層���,能力之上的運行策略層���,策略之上的安全運營層,以及縱向貫穿的安全管理層�。特別在安全運營層,Q-SASE運營服務可通過標準化的服務框架�、服務規(guī)范�、服務流程、服務評估��,有效地保障服務質(zhì)量����。
歸納而言�,與傳統(tǒng)拼湊式的安全建設方案相比,Q-SASE有以下三大優(yōu)勢:
1. 安全能力云化部署����、服務化提供���,通過統(tǒng)一的安全運營中心集中監(jiān)測預警,客戶投入更加輕量;
2. 提供統(tǒng)一的安全能力和運營管理���,避免因分支機構(gòu)眾多���、防護能力不足、水平難以拉齊等原因出現(xiàn)安全短板;
3. 疫情驅(qū)動遠程辦公�����,通過統(tǒng)建零信任實現(xiàn)終端環(huán)境感知和動態(tài)訪問控制,降低大量使用VPN引入風險的同時�,兼顧良好辦公體驗。
不只運營�����,Q-SASE助力中國電子通過國家級攻防大考
Q-SASE不僅集高成熟度的安全架構(gòu)和運營服務于一體�����,更有特大型央企的“平戰(zhàn)一體”的應用實踐加以佐證參考。
此次獲獎的案例“中國電子基于SD-WAN的SASE落地與服務化實踐”�,便是Q-SASE在中國電子,這樣一家擁有600余家分布在全球31個國家和地區(qū)所屬企業(yè)�����、19余萬名員工����、2021全年營收2781億元的國有骨干企業(yè)的應用實踐。
作為以網(wǎng)絡安全和信息化為主業(yè)的中央企業(yè)�,中國電子在“十四五”規(guī)劃期間,以“數(shù)字CEC”建設為數(shù)字化轉(zhuǎn)型工作抓手���,通過全集團構(gòu)建一個運營監(jiān)控中心�、五大共享平臺���,來實現(xiàn)“提能力、提效率���、控成本����、控風險”這一重要目標。
安全和云����、網(wǎng)一樣,是數(shù)字化支撐技術的重要組成��。SASE體系的核心價值���,便是將中國電子的“一云一網(wǎng)”和“安全”三者融合�,并通過全集團自上而下的統(tǒng)一規(guī)劃��、建設和運營���,解決中國電子19余萬名員工在世界各地安全訪問中國電子云����、互聯(lián)網(wǎng)以及移動辦公����。
對于實戰(zhàn)攻防演習,中國電子運營管理部副主任唐路曾在近期BCS2022·大灣區(qū)網(wǎng)絡安全峰會的主旨演講中坦言�����,在落地SASE之前,中國電子最頭疼的就是大量互聯(lián)網(wǎng)出入口散落在各地���,“戰(zhàn)時”的安全防護很難有一個滿意的效果��?;赟D-WAN做互聯(lián)網(wǎng)出入口的收斂��,首先解決了縮小暴露面的需求�����。
在攻防演習真正進入對抗階段后��,遵從“重兵防御�、集中研判、聯(lián)防聯(lián)控”這一整體策略�����,中國電子能夠基于Q-SASE可對197家已接入法人單位的互聯(lián)網(wǎng)訪問白名單進行統(tǒng)一設置和維護�����,快速發(fā)現(xiàn)和隔離失陷終端���,加密流量在統(tǒng)一出入口的SSL集中卸載����,以及通過統(tǒng)建零信任代替?zhèn)鹘y(tǒng)VPN以實現(xiàn)關鍵業(yè)務應用訪問策略的細粒度動態(tài)管控�����。
唐路主任還表示��,“查����、打一體”的設計,結(jié)合北京冬奧期間“應接盡接”的“零事故”成功經(jīng)驗���,中國電子基于Q-SASE體系在此次攻防演習中成功實現(xiàn)了“秒級”自動化處置和“零誤封”�����,并為溯源提供足量的數(shù)據(jù)支持�����,真正在減少安全值守人員投入的同時,實現(xiàn)了整體防守效率效果的提升����,真正做到了“戰(zhàn)時”網(wǎng)絡安全“攻擊可追溯、態(tài)勢可感知��、事件可預警�����、安全可閉環(huán)”���。
作為國內(nèi)零信任安全理念的首倡者���,奇安信零信任此前順利通過了由中國信通院算網(wǎng)融合團隊發(fā)起的“Zero Trust Ready”項目SDP解決方案能力測試評估,是首批首家獲得此項權威認證的企業(yè)��。在中國電子數(shù)字安全防護體系中�����,也充分運用了基于PKS的零信任動態(tài)授權體系能力��,以數(shù)據(jù)資源為中心,以身份為基石�,實現(xiàn)了對應用、數(shù)據(jù)���、服務等的精準管控,幫助中國電子構(gòu)建業(yè)務動態(tài)可信訪問控制機制�,實現(xiàn)全面身份化、授權動態(tài)化��、風險度量化����、管理自動化的新一代網(wǎng)絡安全架構(gòu)�。
