科技云报道:零信任和有什么不一样答案其实并不重要

核心提示科技云报道原创。IT领域永远不乏新的技术热点,譬如零信任好像刚流行起来,一个新概念SASE又横空出世。Gartner预计,到2024年,至少40%的企业将有明确的策略采用SASE,高于2018年底的不到1%。而且由于企业公有云流量的增多,导

云报原创。

IT领域总有新的技术热点出现,比如零信任好像刚刚流行起来,一个新概念SASE就诞生了。

Gartner预测,到2024年,至少40%的企业将有采用SASE的明确战略,高于2018年底的不到1%。而且由于企业公有云流量的增加,安全边界逐渐模糊,这将加速SASE的普及。

根据Gartner的定义,SASE是“一种新兴的架构,结合了全面的广域网功能和全面的网络安全功能,以支持数字化企业的动态安全接入需求。”

Gartner认为,ZTNA无论是端点启动模式还是服务启动模式,无论是单机部署模式还是软件即服务模式,都属于入门级的SASE。

那么,零信任是SASE的一部分吗?但这是市场概念混乱的开始。

很多企业和安全高管都提出了类似的问题,比如:SASE和零信任有什么区别?哪种模式最适合我的企业?我需要改变我的安全策略来达到同样的结果吗?

先说一下零信任和SASE的关系。

零信任与SASE的起源

首先,零信任是Forrester和Gartner提出的SASE。

零信任的概念是由Forrester首席分析师John Kindervag在2010年提出的。

后来,他的继任者,Forrester首席分析师蔡斯·坎宁安(Chase Cunningham)将零信任丰富为“零信任扩展生态系统”。它包括七个领域:零信任用户、零信任设备、零信任网络、零信任应用、零信任数据、零信任分析和零信任自动化。

当Gartner意识到零信任的重要性时,其副总裁分析师Neil MacDonald在2018年12月发布的《零信任是CARTA路线图的第一步》报告中提出,将零信任项目作为CARTA路线图的第一步,试图将零信任纳入CARTA框架。

然后在2019年4月提出了ZTNA的概念,相当于SDP的技术路线。

紧接着,Gartner分析师Neil MacDonald在2019年8月再次放出大招——在《云端网络安全的未来》报告中,他提出了面向未来的SASE概念,开启了边缘安全的新世界。

此后,Gartner大力推广SASE概念,不到两年的时间,就获得了极大的共识。

Forrester很快意识到“边缘安全”的概念具有前瞻性,于是中兴通讯在2021年1月发布的《引入安全和网络服务零信任边缘模型》报告中正式提出。

Forrester在这份报告中指出,零信任主要有两个概念:一个是数据中心零信任:即资源端零信任;二、边缘零信任:即边缘零信任接入安全,这就是中兴。

2021年2月,Forrester在《将安全带到零信任的边缘》报告中解释:Forrester的零信任边缘模型类似于Gartner的SASE模型。主要区别是零信任边缘模型侧重于零信任。

零信任和SASE有什么区别?

从零信任和SASE这两个概念的演变中,我们可以看到它们在不断地相互融合,它们有着共同的目标,即保护企业的业务、上下文和基于身份的策略配置。

如上所述,Gartner认为ZTNA属于入门类的SASE,很多人认为零信任是SASE的一部分,这其实是一种误解。

因为ZTNA是一种网络安全架构,其本质是一种新的以数据为中心的边界,是一种通过强认证保护数据的技术。

零信任作为一种安全概念,基于“永不信任,持续验证”的原则,进行身份验证和数据访问授权,没有明确定义任何类型的安全服务、技术或任何种类的架构。

相比之下,SASE指的是部署在边缘的云安全交付服务,可以为任何地方的数据提供广泛的保护。SASE阐明了企业应该如何部署和使用一些网络和安全服务。

在SASE模型的介绍中,Gartner列举了SASE的核心组件,包括SD-WAN、安全网关、零信任网络接入、防火墙即服务和云应用安全代理。

上述SASE核心组件为实现零信任原则“绝不信任,持续验证”提供了技术支持,ZTNA是整个SASE架构中的主要技术之一。

总的来说,如果零信任是企业想做的事情,那么SASE可以认为是实现的一种方式。如果企业想要部署SASE产品,遵循零信任框架也是必不可少的。

SASE如何践行零信任的理念?

那么,SASE应该如何实现零信任安全模型呢?

在Gartner的愿景中,SASE的所有核心组件都需要集成到一个集成且易于使用的云交付平台中。通过集成网络基础设施功能和网络安全功能,SASE可以在所有网络连接点和端点实施安全控制。

这种集成、持续的流量检查和分析以及动态安全策略执行功能使SASE成为改变数字化转型计划的推动者,也是零信任架构的理想载体和路径。

目前,SASE的所有组件在市场上都有相应的产品,并被许多企业不同程度地使用。但是由于SASE涵盖了很多技术,如何整合组件,重构网络,使得SASE的落地面临很大的挑战。

中国信通院云计算与大数据研究所云计算部副主任马飞表示,随着网络和安全功能的逐步完善,服务商SASE解决方案的统一管控能力成为SASE落地实践的最大挑战。

由于SASE是网络安全能力的集成,SASE平台需要具备网络、安全、配置、运维、资产和API管理的能力。因此,打通各种功能组件的底层连接实现交互,为用户提供统一的界面管理和安排资源,是SASE落地的主要难点之一,也将是未来几年各厂商努力的方向。

对此,Forrester在2021年的《将安全带到零信任的边缘》报告中,为ZTE/SASE提出了可行的推进路线:中兴首先要解决战术上的“远程接入”问题,然后再解决战略上的“网络重构”问题。

原因是重构企业网络结构是一个很大的挑战,最好把这块硬骨头放在最后。

具体来说,Forrester的“先战术,后战略”思想如下:

第一步:先用ZTNA技术解决远程访问问题;

第二步:逐步添加其他安全控件。

第三步:最后用SD-WAN技术解决网络重构问题。

同样在2021年,Gartner还发布了采用SASE的战略路线图,其目标是帮助企业从传统安全架构转向SASE。

在Gartner的推进路线中,该流程被分解为可管理的步骤,并设定短期和中期目标来帮助组织完成该流程。

其中,短期目标包括:

部署ZTNA:随着远程办公的快速增长,为远程用户替换传统的虚拟专用网络是一个主要的优先事项。SASE的ZTNA功能使其成为传统远程访问解决方案的更安全的替代方案,允许组织实施零信任策略,以更好地保护他们的数据和用户。

制定淘汰计划:Gartner建议实施一份完整的设备和合同清单,并制定淘汰本地外围和分支安全设备的时间表。然后,这些解决方案可以被托管在云中的SASE特性所取代。

供应商:SASE提供了广泛的安全功能的完全集成,消除了对来自多个供应商的独立解决方案的需求。切换到SASE可以简化和简化安全性的所有方面,从解决方案采购到长期监控和维护。

执行分支机构转型:部署在每个物理位置的安全设备创建了一个复杂而庞大的安全架构。努力将这些解决方案迁移到云中,并简化组织的安全性。

除了这些短期目标,Gartner还概述了一些组织应该追求的长期目标。这些主要集中在利用SASE的安全集成和ZTNA功能来集中和简化整个企业的安全操作。

大多数公司将需要制定一个迁移到SASE的多年战略。虽然这种策略因公司而异,但Gartner提出了一个适用于所有公司的建议:立即开始这一过程。

不难发现,无论是Forrester还是Gartner,都将SASE的落地分成了几个步骤,并建议先从ZTNA技术的替代开始,然后不断淘汰和完善安全和网络功能。这表明,实现SASE或零信任绝不是一蹴而就的过程。

回到开头的问题,零信任和SASE模型有什么关系?哪种模式更适合自己创业?相信看完这篇文章,你就能明白答案很大程度上是无关紧要的,因为答案不会影响任何人的业务或安全策略。

[技术云报告]

专注原创企业级内容专家——科技云报告。成立于2015年,是前沿企业IT领域Top10媒体。经工信部权威机构批准,可信云,全球云计算大会官方指定媒体之一。深度覆盖云计算、大数据、人工智能、区块链等领域。

 
友情链接
鄂ICP备19019357号-22