如何说服高层投资一种全新、复杂的安全策略?
这个问题的答案可不简单。尽管安全已成为大多组织高层的优先事项,但对于支持需要大量资源和组织变革的安全项目,高管往往犹豫不决。
很多安全主管在规划 SASE 采用时都会遇到这种尴尬处境。
无论是否使用 SASE(安全访问服务边缘)这个术语,很多安全 主管已经在组织内部倡议 SASE 所主张的实践。然而,这些实践——例如采用 Zero Trust 安全、保护员工的互联网浏览或将防火墙和 WAN 迁移到云端——需要来自整个组织的协作和财务支持。必须寻找并评估新的供应商,重新利用或替换现有供应商。整个组织的员工都可能需要学习新的安全流程。
这些要求可能招致非安全部门主管的质疑。有些人可能认为现有安全措施已经提供了足够的保护,因而不愿支持任何需要大量资源的变化。其他人可能会低估 SASE 紧迫性,要求将项目进一步推迟。
高效的安全主管知道,他们必须克服一定程度的阻力,才能推动 SASE 采用并更好地保护其组织。在与其他高管讨论 SASE 时,如能采用如下实践,安全主管将会取得成功:
除了 SASE 如何降低风险外,还要说明 SASE 更广泛的业务效益。
提供有关 Zero Trust 安全和网络转型的财务效益数据,证明 SASE 的投资回报率。
提供具体的后续步骤,包括一个行动计划,说明首先要做什么改变以及如何进行。
以下就是这些做法在实际执行中的情况。
任何有关 SASE 的讨论当然必须包括它能帮助预防的安全威胁。安全主管应帮助其他高管了解,企业网络流量迁移到互联网时会出现什么安全风险,并说明 SASE 能如何帮助保护组织免受这些风险影响。
但对话不应到此为止。原因何在?即使高管相信 SASE 能解决的问题,他们也未必相信 SASE 本身就是解决方案。当面对 SASE 采用将面临的众多后勤障碍时,高管们可能希望依赖于更简单、直接但可能不那么有效的解决方案,例如扩大 VPN 使用,或在云端采用单点安全解决方案。
为了使他们论据更强有力,安全主管还必须说明 SASE 采用能如何驱动更广泛的业务目标。考虑如下论据:
远程办公效率:很多高管都很想知道远程办公如何影响组织的整体效率。安全主管应帮助他们了解,传统的远程办公安全工具在广泛、持续的使用过程中如何变得不可靠,以及 SASE 如何提供帮助。例如,说明放弃 VPN 如何降低延迟和减少连接中断。或者,在单一云平台上统一安全服务能如何消除不同的单点安全解决方案之间的流量遭遇“长号”效应时带来的延迟。
更流畅的承包商接入:组织常会因紧急、高优先级的项目而聘用第三方承包商或服务提供者。然而,正如安全主管所了解的那样,从 IT 角度来看,接入这些承包商可能十分麻烦。(对新收购的公司也是如此。) 帮助高管了解,SASE 允许承包商使用自身设备,并向 IT 和安全团队提供用于管理和监控网络访问的单一平台,能使接入急需的第三方支持更加轻松。
IT 团队效率:多达 62% 的 IT 团队表示人手不足,这可能妨碍组织处理多种战略项目。安全主管可帮助高管了解,SASE 得以实施后将如何释放 IT 能力。例如,实施 SASE 后,IT 将不再需要:配置 VPN 许可证,对网络安全硬件打补丁和排除故障,或回应远程安全工具破坏网站体验时产生的支持工单。
进行以上对话时,安全主管应力求简洁,遵守“无供应商名称、没有缩写”的规则。很容易忽略在有关安全策略的讨论中混进了多少行话。每一个不必要的流行词和供应商名称都如同减速带,分散听众对论据实质的注意力。(“SASE”可能是这一规则的例外,但您依然应该给出这个术语的定义并谨慎使用。)
与高管讨论 SASE 时,不可避免会涉及到 SASE 采用的财务成本。鉴于 SASE 需要新的供应商合作关系,并可能需要新的 IT 技能集,这些成本在短期内可能显得相当高昂。
为了降低高管对这些成本的焦虑,安全主管应准备好证明,SASE 也能为组织节省成本。
其中一些节省可能以攻击预防和缓解的形式实现。例如,SASE 实践可减少攻击给目标造成的损失。根据《IBM 的数据泄露成本报告》,采用成熟 Zero Trust 策略的组织从数据泄露恢复的成本更低。采用成熟 SASE 策略的组织每次泄露的平均成本为 328 万美元,而没有实施 Zero Trust 策略的组织为 504 万美元。
此外,安全主管可以计算出简化复杂 IT 流程节约的具体成本,支持上一节中所概述的广泛业务效益。考虑如下投资回报率例子:
减少 IT 支持工单:SASE 淘汰了 VPN 等一次性远程访问所需的工具,而此类工具往往不可靠且延迟严重。当用户无需处理设备上的 VPN 客户端时,组织开始看到,用于处理访问相关工单的时间大幅减少,一些组织报称在用户问题上花费的时间减少多达 80%。
缩短员工接入时间。这方面的一个例子是,取代传统的远程访问方式,如 VPN 和基于 IP 的控制。像 eTeacher Group 这样的组织表示,他们在接入新用户方面花费的时间有所减少, 向新用户授权访问所需时间缩短多达 60%。
消除额外的硬件成本。安全硬件——如网络防火墙和 DDOS 缓解设备——带来的成本总是超过其标价。安装、保修、维修和补丁管理将需要额外的支出,并需要 IT 资源进行管理。通过将网络安全迁移到云端来消除这些成本,能够带来额外的节省。
最后,SASE 可减少网络硬件方面沉重的资本支出,从而在长期内创造更有利的财务状况。由于 SASE 服务完全从云端交付,它们仅使用标准的云订阅模型。这一模型将释放现金流,可用于资助其他高优先级投资。
帮助高管了解 SASE 的业务效益和财务影响,将非常有助于说服他们。但他们也要了解实际采用 SASE 看起来是什么样子的。
安全主管需要准备好详细回答这个问题。这意味着,准备一个假想的 SASE 采用计划,其中包括具体的步骤和时间表,资源要求和估计成本。这些细节对不同组织而言可能相差巨大。但可以考虑将如下“初始步骤”作为起点:
逐步淘汰第三方访问的 VPN:将顾问和合同员工迁移到一个现代身份验证服务上,让他们使用现有帐户或一次性密码登录到应用。这样做不但能简化接入流程,还能使第三方无法滥用 VPN 提供的完全网络访问权限。
对远程办公采用 Zero Trust 安全态势:使用一种遵循“从不信任,始终验证”原则的身份验证和访问管理服务,即在远程员工每次访问时都检查其身份,并跟踪其所有请求。这允许组织更好地控制高风险员工群体。
淘汰远程访问的 VPN:如第一步,将远程员工迁移到一个现代身份验证服务,如 SSO。这使攻击者更难利用被攻破的设备或泄露的 VPN 凭据进行横向移动。
在合同到期时整合 Zero Trust 工具:一次性取代全部的现有安全 web 网关、浏览器隔离工具和云访问安全代理几乎是不可能的。在合同到期时,将有关服务添加到单一 SASE 平台上,获得从单一位置管理服务的效率。
对办公场所采取 Zero Trust 安全态势:即使在传统的网络边界内,也要求员工通过 Zero Trust 平台进行身份验证。这有助于阻止数据丢失,保护员工免受来自公共互联网的威胁,并防止攻击者的横向移动。
安全不仅仅是安全团队的工作。高层在安全项目上投入越多,整个组织就会变得越安全。
SASE 以及使其变得必要的广泛社会变 革,是安全主管促进这一投资的绝佳机会。将 SASE 与更广泛的业务效益联系起来,证明它的投资回报率,并制定一个具体的行动计划并非易事——也不会在几次孤立的对话后就得以落地。然而,如果安全主管在实施这些最佳实践时坚持不懈且充满自信,他们就会培养起广泛的安全意识,这也会在未来有利于他们及其团队。
此外,欢迎探索我们的 Cloudflare One 平台,了解 Cloudflare 如何交付 SASE 和 Zero Trust。这个平台将基于身份的安全控制、防火墙、WAN 即服务和其他 SASE 功能置入一个统一且接近全球所有用户的网络上,帮助他们快速、安全地接入任何企业资源。而且,所有这些功能均是从零开始打造并开箱即用,有助于安全团队简化 SASE 采用。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
阅读本文后,您将能够了解:
为什么向高层推荐 SASE 要求一种特别的方式
向非技术人员描述 SASE 的优势需要采取的策略
SASE 采用的理想初始步骤