互联网被设计成一个庞大的分布式网络。因此,互联网天生具有韧性,允许计算机、服务器和其他设备按需连接和路由数据。在某个(或一组)设备发生故障或从互联网断开连接时,对网络其余部分运行的方式几乎没有任何影响。
尽管互联网天然具有韧性,但其构建方式并不能保证快速或可用的连接。互联网也缺乏一个安全框架,使其在保护设备免受数据窥探、恶意活动和其他网络攻击方面捉襟见肘。
因此,传统的网络基础设施是按照“城堡加护城河”模式设计的,即应用程序和数据保存在集中式的本地数据中心(“城堡”),并通过硬件防火墙、DDoS 设备和其他安全设备(“护城河”)组成的复杂配置来抵御外部威胁。授权用户可通过 VPN 方式进入城堡,VPN 相当于架在护城河上的吊桥。
城堡-护城河方式允许组织在基本层面保护其网络,但这远非完美。他们必须克服几个障碍:
配置和维护复杂:本地安全设备的配置及面对新兴威胁而更新的成本高昂,在攻击者找到利用现有系统漏洞的新方法时,安全团队
性能折衷:远程员工往往必须通过 VPN 连接到私有网络,但由于服务器距离遥远且过度拥挤,性能非常糟糕。
安全漏洞:任何突破网络边界的人都可以自由访问企业资源,使得内部和外部数据泄露的威胁难以防范。
对于许多企业来说,优化和加强传统网络基础设施是一项必要但艰巨的任务,而数字化转型更是使其难上加难。
技术格局的转变使网络 安全成为一项日益艰巨的任务。SaaS 和公共云提供商允许组织将其应用程序和数据移出本地数据中心,而智能手机和其他移动设备使员工能够越来越多地从远程位置连接到网络。
采用基于云的服务有助于分散本地数据中心,为组织提供比以往前所未有的灵活性和敏捷性。然而,这也意味着敏感的企业资源不再位于单一的“城堡”内,而是分散到多个地点,使得建立统一的安全防线面临挑战。
保护这种混合环境比预想更加困难。企业必须为本地和基于云的应用和数据分别采取安全解决方案,同时确保员工可以安全、方便地从任何位置访问网络资源。
因此,组织被迫配置和维护一系列复杂的单点安全解决方案,其中大多数都没有设计成无缝集成。这给安全团队造成了一些额外 的挑战:
消耗内部资源:对于安全团队来说,保护混合环境往往费时费力。由于本地设备无法为基于云的应用和服务提供安全保障,企业需要单独的安全系统来保护所有内部工具和资源,因而需要投入额外的成本、时间和人力。
多供应商:基于云的网络安全有很多组成部分——从云防火墙到安全 we 网关(SWG)、云访问安全代理(CASB)等等——找到一家能提供所有安全服务的供应商并非易事。对于大多数企业来说,从多家供应商采购服务是保护混合环境的必要组成部分,尽管这样做会带来额外的成本和复杂性。
安全漏洞:使用多家安全服务提供商时,难以确保网络的每个部分都得到充分保护——没有留下安全漏洞,如果不能通过单一控制面板来监视和维护您的网络安全基础设施,则更是如此。此外,远程办公环境下,员工往往会使用个人设备来连接到企业网络,带来更多安全风险。
“城堡加护城河”模式曾经使企业网络的配置、安全和维护变得相对简单,但如今这种模式与分布式的混合及基于云的环境不再兼容。这种过渡已经在进行,但 2020 年迫使这一进程迅速加快。员工比以往任何时候都更分散,距离更远,并已习惯于通过一系列个人设备访问企业资源。企业日益认识到,有必要容纳存在于互联网而非“城堡”内的员工、服务器和应用。
由于旧有网络安全模型无法跟上不断发展的威胁,而现代网络架构的复杂性也在增加,各组织已经开始转向一种新的基于云的安全模型:安全访问服务边缘(Secure Access Service Edge,简称“SASE”)
SASE 由 Gartner 于 2019 年首先提出,它将软件定义的广域网(WAN)与核心网络安全服务整合在一起,后者包括安全 web 网关(SWG)、云访问安全代理(CASB)、云防火墙(FWaaS)和 Zero Trust 网络访问策略(ZTNA),并在网络边缘交付。
SASE 不依赖低效的硬件设备或将孤立的安全服务拼凑在一起,而是提供一种优化的网络安全方法。它用互联网边缘取代复杂的回传,让企业可以一次性完成对流量的路由、检查和保护。SASE 将 Zero Trust 安全的概念(每个应用的每个用户都必须不断进行身份验证)提升到更高的水平。通过结合 Zero Trust 访问策略和网络层威胁防护,SASE 消除了对旧式 VPN、硬件防火墙和 DDoS 保护设备的需求,使组织可以更好地掌握和控制其网络安全配置。
在实践中,SASE 的实施可能因供应商和组织而迥然不同。不过,相比本地和混合网络安全配置,大多数 SASE 解决方案都具备若干关键优势:
供应商整合:组织可从单一 SASE 提供商获得全面的网络保护,无需同时处理多个供应商和单点解决方案,从而消除了不必要的成本和不同服务之间的复杂配置。
统一的安全边界:通过在网络边缘(地理位置靠近最终用户的服务器和设备的全球网络)提供这些服务,SASE 让企业从世界任何位置保护其应用、数据和用户。
更佳的可见性:通过整合网络和网络安全服务,并从单一云平台交付,SASE 消除了服务之间的安全漏洞,使 IT 和安全团队对网络活动具备更佳的可见性,并优化了云迁移过程。
SASE 承诺将网络安全提升到新的水平:孤立的网络和安全服务可被合并成为单一云平台,并作为服务交付。
这种方法如能正确实施,组织就能确保其企业网络始终保持全球性、分布式和始终连接,安全与性能均无懈可击。
Cloudflare 推出 Cloudflare One 以满足当今企业的需求;这是一个综合性的云网络即服务解决方案,以单一网络取代各种设备和 WAN 技术的拼凑,从统一的用户界面提供安全、性能和控制。由于这个网络是所有应用的共同特征,通过在网络中构建控制,无论是新老应用,在本地还是在云端运行,从自有基础设施还是多租户 SaaS 提供商交付,Cloudflare One 都能确保实施一致的策略。凭借 Cloudflare 庞大的全球覆盖,经过优化的骨干网使用实时互联网情报来保护、路由和过滤流量,从而能够防御最新威胁,并引导流量绕过恶劣的互联网环境或中断。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
阅读本文后,您将能够了解:
城堡加护城河安全模式相关的障碍
云服务导致的复杂性
SASE 的关键优势
SASE 的承诺