维端网对于当今大多数企业而言,其安全团队曾经重点聚焦的传统安全边界已经发生了明显的位移:
随着更多的应用被推向云端,用户、设备、和业务数据的攻击面不断扩大,安全隐患一时间呈点状分布在数据中内部,也可同时出现在边缘侧。
思科视野中的SASE价值与优势
这一趋势从某种程度上提升了企业客户的高度警惕,并由此产生了一种颇为统一的安全需求:即企业用户倾向于选择一种适配于任何应用环境,既包含网络功能又包含安全功能的集成协作机制,从而可靠地执行企业安全策略,以进行边界内外的任何交互。
SASE(Security Access Service Edge,安全访问服务边缘),其定位于集下一代广域网、网络安全服务以及边缘计算于一体的云交付网络。它的使命担当体现在用户能够从任何地点、通过任何网络或云对任何应用程序进行无缝、安全的访问。
根据Gartner数据显示,到2024年,SASE市场规模将从2019年的19亿美元攀升至110亿美元。此外,该机构还预测,到2024年,至少有40%的大公司将采用SASE的战略。
面对如此巨大的市场,SASE将所擅长的服务能力主要集中在软件定义的网络、云服务访问管理、VPN 替换以及云访问安全代理服务等领域。
事实上,对于许多企业客户而言,SASE的优势多数仍然垂直在SASE的应用层面。而在思科的视野中,SASE潜在价值远比企业用户的认知更为丰富,也更具延展意义。
用思科大中华区副总裁、安全事业部总经理卜宪录话说,SASE不仅是一站式的解决方案,更是融合网络与安全的护航之旅。
重点在于,这一旅程中映射了SASE的要点架构、流程以及安全集成能力。
思科最新的一期《思科端点安全研究报告2021》,为这一观点提供了极为丰富的理论支撑以及成功实践。
首先,该报告总结的SASE的要点架构从解决方案的角度提供了不同于传统视角中SASE形态:
任意性,SASE结合了完整的网络与安全功能,支持企业多种形式的安全接入需求,确保任意员工可以通过任意设备安全高效的访问任意应用;
兼容性,通过云的方式在边缘提供安全和网络服务,在一些用户场景下也兼容通过本地的方式提供这些服务;
场景化,SASE的实现水平和路径取决于客户的实际需求与现有的架构,用以保护客户的现有投资;
集成性,SASE可以采用一家供应商可以减少系统的复杂度并实现系统最优表现,提供最佳的投资回报并降低运维成本。
在卜宪录看来,SASE的要点架构是实现SASE成功落地的基础,而SASE的部署流程决定了SASE提供安全周期服务的优先级与实现水平,可以说其在SASE的护航之旅中起到了决定性的作用。
SASE如何展示自身强大的“生命力”
那么,它的循环往复且强有力“生命力”到底是一种怎样的存在呢?
《思科端点安全研究报告2021》完成了对其极为清晰的勾勒:
企业在着眼于内外部安全策略时,第一要务即是要准确了解自身的应用环境-即以何种用户访问何种应用环境:从远程客户端到分支再到总部,客户需明确对应的SaaS、公有云以及混合云,是单一访问路径还是多种组合形式。
其二,企业需要进行对自身安全环境更为广泛,更为精准的评估——即思科实现SASE实现水平所强调的三“C”策略。
所谓三“C“是指Connect(联接)、Control(控制)、Converge(融合)。
Connect(联接)即当前企业选择的何种连接方式,例如VPN还是SD-WAN?搞清这一问题才能基于SASE实现任何用户,通过任何设备简单、自动访问任何应用程序;
Control(控制),是指用户已经采取了哪些的安全服务,在哪些位置?例如Fwaac亦或是SWG,以此为零信任接入控制以及为威胁防御提供较为实际的应用参考;
而Converge(融合),则是指安全服务是以怎样的状态实现集成?即从可视化、自动化以及可运维的各个角度来判定其是否是较为合适的融合解决方案。
由此就不难理解,《思科端点安全研究报告2021》所定义的SASE框架是专注于端点保护和云网融合,实现简单、智能且无处不在的安全屏障。
而思科于今年三月推出的全新可扩展的SASE架构,展现了其从端点到云的完整安全体系。正所谓“安谋之道,SASE为先”。从思科的SASE架构可见,思科重点不在于聚焦某个细分安全问题下的最佳安全工具,而是要选择一个更能实现集成协作功能的安全平台。
这也就是说,思科希望通过SASE将企业网络运维团队(NetOps)和安全运维团队(SecOps)的服务进行整合,实现用户与应用程序安全地连接。这样的集合实施所带来的益处是显而易见的 :
SASE架构的所有核心组件中,如网络服务、远程访问、云安全、零信任网络访问和可观察性,实现了整合到单一的服务平台,支持用户能够从任何地点、通过任何网络或云对任何应用程序进行无缝、安全的访问。
维端网认为,思科的目的很明确:随着网络和系统部署的复杂度让安全风险大大增加,SASE 工具将会因地制宜,灵活高效的帮助用户消除这些复杂性,同时提升企业内部网络与安全平台的运营效率。
场景应用即是说服力
卜宪录强调,充分利用客户现有的网络和安全的基础架构,这样能最大程度保护客户已有的投资。
“通常情况下,客户的需求来自网络部门与安全部门。这也决定了SASE架构要灵活展现一种阶段性、定制化、场景化的集成解决方案实力。例如,思科会先从接入方式入手,如果客户已经采纳了SD-WAN的解决方案,那么我们会为客户提供相适配的安全解决方案,反之亦然,最终实现SASE策略各方面的统一化,集成化”。卜宪录如是说。
思科SASE愿景的最终服务对象是用户,而业务安全则是SASE能力转化最具说服力的层面。
行业场景应用即能让思科SASE的上乘实力一目了然:于国内拥有250家门店的某美妆集团,在依赖于专线网多年之后,意识到必须将其网络形态所带来的成本高、安全隐患高的劣势进行升级改造,以达到成本、效率以及安全上的最佳状态。
思科仅用了两周时间完成了新的解决方案的部署,并对其企业专线全部进行替换。
而这一大改直接显现出的结果如下:该企业由此节省了TCO 60%的成本;功能上,思科Meraki SD-WAN中集成了几乎所有主流安全功能如防火墙、入侵检测和防护、恶意代码检测和防护、URL过滤和安全连接通道等,同时由Talos提供安全智能支持;更重要的一点是,配合Meraki云端集中配置和管理功能,其能够帮助用户迅速搭建安全灵活的SD-WAN, 管理员可以做到一键实现多种安全策略的设定及应用落地。大幅度降低交付时间并减少运维成本。
实际上,这一方案最大的特点便是思科在SASE策略中帮助安全团队消除了因工具和解决方案的不同而引起的盲点。从一个单独的控制点保护本地应用程序与各端点的连接,以配置广泛的策略,从而确保了SASE安全集成的一致性。
用客户的话说:思科的SASE策略不仅提供了一致、全面的保护,而且还简化了管理,从而节省了企业成本。
向云重新定义并简化网络安全
如果说思科的SASE产品组合解决了用户与应用程序安全且无处不在地连接,那么,思科针对云原生平台的一系列创新,则进一步以更快、更有效地的云方式应对了来自新兴网络的威胁。
《思科端点安全研究报告2021》显示,31%的企业认为如今通过新技术能够达到自身应用的最大实践。而20%多的企业认为这些实践能够从相当程度上为自身业务节省成本。73%的人则认为,由于在使用新技术时缺乏可见性,对威胁的理解能力以及持续攻击的弱防御能力往往会带来致命的损失。
正是这73%的群体意识,道出了一个颇值得关注的安全真相:这些企业由于安全机制匮乏遭遇了对威胁应对能力不足,系统被损坏、客户数据严重丢失,以及企业核心财务数据的丢失现象的频发。
在重新定义网络安全的世界里,思科基于云原生架构推出的集成化方案,让企业客户不再为向云进程的安全问题而苦恼。
该方案具备了思科容器安全保护平台、安全负载平台、思科安全防火墙威胁防御系统7.0以及思科安全云原生防火墙。
首先,思科容器安全保护平台的发布,一方面深化了云网安全应用的集成联动;同时也帮助客户在加速向多云和混合云迁移过程中的安全护航。
该平台可与kubernetes、OpenShift以及Amazon EKS等编排系统进行合作,并推送适配的容器模块至客户自身应用的容器主机上。实现对流量的可视,容器之间访问的可视以及容器横向东西策略的控制。
其次,思科安全负载平台则保证了客户无论身处何处,都可以与思科安全防火墙同步动态的策略更新,并提供全面的可见性和可控性。
第三,思科安全防火墙威胁防御系统7.0通过更强大的功能保证了网络的绝对安全。
目前其集成的Snort开源系统已部署在超过80万台思科设备上,其灵活敏捷,可在不存在固定IP地址的动态环境中创建强健的策略,并且能够在大多数设备上将性能最多提高30%。
目前,Snort开源系统已进化到3.0版本,客户只需要调整动态属性里的映射关系,就可以去完成整个防御策略的变更。
第四,针对Kubernetes环境设计的思科安全防火墙云原生(Cisco Secure Firewall Cloud Native)专为开发人员打造,其也是思科迄今为止构建的具有较高弹性的防火墙。
“客户加速向多云和混合云迁移,由此也同步面对着新兴且多样化的网络攻击和威胁”。卜宪录总结,无论威胁来自哪里,思科最大的优势即是可以分别通过网络产品线以及安全产品线的技术优势同步应对。而且,思科可以将安全服务以硬件、软件以及云方式交付进行交付。
实际上,在Gartner的魔力象限中,思科在网络及安全领域始终处在领导者地位,这也由此让业界相信,思科无论是对安全威胁的判断、服务的精准度以及技术创新实力,都会为客户带来放心安心的体验。
“思科致力于让所有推向市场的最终产品和解决方案都具有简单、智能且无处不在的优质体验,安全领域我们在这方面的努力更是不遗余力。因此我们在全球各地,包括中国地区,去部署这些SASE解决方案的时候具有得天独厚的优势:庞大的网络用户的基础加上深厚的安全经验积累,SASE的安全发展路径,思科会走得更加稳健、更加完美,让用户始终感知到思科的安全护航”!卜宪录如是说。
