為 SASE 辯護
從公司高層獲得支援的實用建議
您如何說服主管投資全新而複雜的安全策略?
這個問題並沒有簡單的答案。儘管安全性已成為大部分組織高層考慮的優先事項,主管們通常對於支援需要大量資源和重大組織變更的安全性專案感到猶豫。
許多安全性領導者在規劃 SASE 採用時,都發現自己處於這種艱難的境況中。
不論安全性領導者是否使用 SASE 或安全存取服務邊緣這一術語,許多人都已經在他們的組織內倡導 SASE 要求的做法。然而,這些做法(例如採用 Zero Trust 安全性、保護員工的網際網路瀏覽,以及將防火牆和 WAN 連線移動到雲端)需要整個組織的協作和財務支援。必須尋找並評估新的供應商,而現有的供應商需要重新定位或予以更換。組織範圍內的所有員工可能都需要學習新的安全程序。
這些要求可能會讓非安全領域的主管產生許多懷疑。一些人可能相信現有的安全措施已經能夠提供足夠的保護,對於支援任何資源密集型的變更猶豫不前。另一些可能低估了 SASE 的緊迫性,想要逐步推進該專案。
有效的安全性領導者知道他們必須克服某種程度的阻力才能推動 SASE 的採用並更好地保護他們的組織。當與其他主管談論 SASE 時,安全性領導者可透過以下做法來獲得成功:
除了描述 SASE 如何降低風險外,還要說明 SASE 可帶來的廣泛業務利益。
透過提供有關零信任安全性和網路轉型的財務收益數據來證明 SASE 的投資回報。
提供具體的後續步驟,包括先改變什麼以及如何實現這些改變的行動計劃。
下面是如何落實這些做法。
說明 SASE 可帶來的廣泛業務利益
有關 SASE 的任何討論必然會包括其可幫助阻止的安全威脅。安全性領導者應幫助其他主管瞭解企業網路流量通過公用網際網路時出現的風險,並解釋 SASE 如何幫助保護組織免受這些風險。
但對話不應止步於此。其原因是,即使高管們相信 SASE 可解決的問題確實會出現,但他們可能不相信 SASE 就是答案。當面臨採用 SASE 的許多後勤障礙時,高管們可能希望依賴更簡單、更直接但可能效率較低的解決方案,例如擴展 VPN 的使用和在雲端新增單一功能的安全性解決方案。
為了使他們的論點更加有力,安全性領導者還必須解釋 SASE 的採用可如何推動實現更廣泛的業務目標。考慮以下論點:
遠端員工效率:許多高管都對遠端工作如何影響組織的整體效率感到好奇。安全性領導者應幫助他們瞭解傳統的遠端工作安全工具在廣泛、持續的使用過程中如何變得不可靠,以及 SASE 如何提供幫助。例如,說明棄用 VPN 可如何減少延遲和連線中斷。或者在單個雲端平台上統一網路安全服務可如何消除因流量在不同單一功能安全解決方案之間穿行而導致的延遲。
更順暢的承包商註冊引導:組織通常會僱用第三方承包商和服務提供者來完成緊急的高優先順序專案。然而,安全性領導者都知道,從 IT 角度而言,對這些承包商進行註冊引導是一件很麻煩的事情。(對於新收購的公司來說也同樣如此。)幫助高管瞭解 SASE 可如何透過讓承包商使用自己的裝置,以及為 IT 和安全性團隊提供單個平台來管理和監控網路存取,從而協助輕鬆且快速地獲得急需的第三方支援。
IT 團隊效率:多達 62% 的 IT 團隊聲稱他們人手不足,這可能導致組織無法處理各種戰略專案。安全性領導者可以幫助高管瞭解實作 SASE 可如何釋放 IT 能力。例如,藉助 SASE,IT 將不再需要:佈建 VPN 授權、對網路安全性硬體進行修補和疑難排解,或在遠端安全性工具中斷網站體驗時回應支援工單。
在進行這些對話時,安全領導者應該力求簡單,並堅持「沒有供應商名稱,沒有縮略字」的規則。人們很容易忽略在有關安全性策略的討論中參入了多少行話。每一個不必要的專業術語和供應商名稱都像是一個減速帶,會分散受眾對真正討論內容的注意力。(「SASE」可以是此規則的例外,但您仍然需要說明該術語的含義並盡量減少使用。)
證明 SASE 採用的財務利益
與高管進行有關 SASE 的對話必然會涉及到 SASE 採用的財務成本問題。這些成本在短期看來十分高昂,因為 SASE 需要與新供應商合作,且可能需要新的 IT 技能組合。
為了撫平高管對這些費用的憂慮,安全性領導者必須做好準備,證明 SASE 同樣能夠為組織省錢。
部分節省以預防和緩解攻擊的形式來體現。例如,SASE 做法可以減少目標遭受攻擊後所造成的損失。根據 IBM 的《資料外洩成本報告》,具有成熟的 Zero Trust 採用水準的組織用於從資料外洩中復原的費用更低。成熟的 Zero Trust 組織對於每次洩露所花費的平均費用為 328 萬美元,而未採用 Zero Trust 策略的組織為 504 萬美元。
此外,安全性領導者可以透過計算簡化複雜 IT 程序所帶來的具體節省,來證實上一節中概述的廣泛業務利益。考慮以下投資報酬率範例:
減少 IT 支援工單。SASE 消除了對 VPN 之類的一次性遠端存取工具的需求,因為後者不太可靠且容易造成延遲。當使用者無需在其裝置上處理 VPN 用戶端時,組織會發現其用於解決存取相關工單的時間大幅度減少,部分組織報告用於解決使用者問題所花費時間減少了高達 80%。
縮短員工註冊引導時間。這方面的一個範例是取代傳統的遠端存取方法,如 VPN 和基於 IP 的控制。據 eTeacher Group 等組織報告,他們用於引導新使用者註冊的時間大為減少,將授予新使用者存取權限所花費時間量減少了高達 60%。
消除額外的硬體成本。網路防火牆和 DDoS 緩解工具箱之類的安全性硬體往往會帶來除標價之外的額外成本。安裝、擔保、維修和修補程式管理都會帶來額外的支出,且需要 IT 資源進行管理。將網路安全性移動到雲端可消除這些成本,從而節省支出。
最後,SASE 可以透過減少在網路硬體上繁重的資本支出來創造更有利的長期財務條件。由於 SASE 服務完全從雲端交付,它們使用標準的雲端訂閱模式。這一模式釋放了現金流,可用於進行其他高優先順序的投資。
提供具體的後續步驟
幫助高管瞭解 SASE 的業務利益和財務影響對於說服他們轉變立場大有幫助。但他們也想要瞭解 SASE 採用在實際做法中的情形。
安全性領導者需要做好準備來詳細回答此問題。這意味著需要準備一個假設的 SASE 採用計劃,其中包括具體的步驟和時間表、資源需求以及估計成本。部分此類細節在不同組織之間大為不同。但可以考慮以下「首要步驟」作為著手點:
逐步淘汰使用 VPN 進行第三方存取:將顧問和合約員工轉移到現代化的驗證服務,讓他們使用現有帳戶或一次性密碼登入應用程式。除了簡化註冊引導程序外,這讓第三方無法濫用 VPN 提供的全權網路存取。
為遠端工作採用 Zero Trust 安全狀態:使用遵循「從不信任,始終驗證」方法的驗證和存取管理服務,每當遠端員工存取應用程式時都確認其身分,並追蹤其所有請求。這可讓您更好地控制高風險員工群組。
淘汰使用 VPN 進行遠端存取:和步驟 1 中一樣,將遠端員工轉移到現代化的驗證服務,如 SSO。這讓攻擊者更難以使用遭入侵的裝置或 VPN 認證橫向移動。
隨著合約的更新,合併 Zero Trust 安全性工具:很難一次性替換所有現有安全 Web 閘道、瀏覽器隔離工具和雲端存取安全性代理程式。當合約到期時,將這些服務新增到單一 SASE 平台,並從一個位置有效管理這些服務。
為辦公室位置採用零信任安全狀態:要求員工透過零信任平台進行驗證,即使他們身處傳統網路邊界內也是如此。這有助於阻止資料丟失、保護員工免受公用網際網路上的威脅,並阻止攻擊者橫向移動。
長期宣傳安全性優先事項
安全不只是安全性團隊的工作。高層主管們在安全性專案上投入越多,整個組織就會變得更安全。
SASE,以及使其成為必要的全面社會變革,是安全性領導者促進這項投資的絕佳機會。將 SASE 與更廣泛的業務利益聯繫起來、證明其投資報酬率及制定具體的行動計劃都並不簡單,也並不是在幾次孤立的對話之後就能夠實現。但是,如果安全性領導者在踐行這些最佳做法方面能夠保持一致和自信,他們將培養一種廣泛的安全意識,讓他們自己和他們的團隊在未來從中獲益。
此外,探索我們的 Cloudflare One 平台,瞭解 Cloudflare 如何交付 SASE 和 Zero Trust。它將基於身分的安全控制、防火牆、WAN 即服務和其他 SASE 功能置於一個統一的網路上,該網路靠近地球上任何地方的使用者,幫助他們快速、安全地連線到任何企業資源。所有這些都是從零開始構建,可以開箱即用地協同工作,幫助安全性團隊簡化 SASE 的採用。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
重點
閱讀本文後,您將能夠瞭解:
為何向公司高層宣傳 SASE 需要獨特的方法
向非技術受眾描述 SASE 優勢的策略
採用 SASE 的理想第一步