一、什么是SASE

SASE(Secure Access Service Edge)是一种新兴的网络架构和安全模型,旨在将网络和安全功能融合在一起,并以云原生的方式提供这些功能。SASE的核心理念是将网络和安全服务从传统的分散式部署模式转移到云端,以实现网络边界的聚合和安全策略的一致性。

利用SASE和零信任保障应用访问安全-RadeBit瑞安全

上图是一张以传统的数据中心为中心的一个连接的图,在这种连接方式下、不管是分支机构、承包商或者是合作伙伴,都需要去通过数据中心对应用程序进行访问。在这种连接方式下,有一个非常明确的边界,就是数据中心。在这种连接方式下,只要对数据中心进行保护就能基本上确保应用程序访问的安全,这也是绝大多数企业在五年、甚至十年前的一个非常主流的连接方式,但是目前这种方式已经变得不再有效。

利用SASE和零信任保障应用访问安全-RadeBit瑞安全

上图是一张典型的SASE的Gartner视图,其实它主要介绍了SASE的一些能力。“广域网边缘服务”,SD-WAN可能是这些年来非常热门的技术。“安全服务边缘”是什么样的?像:安全网络网关(SWG),云访问服务代理(CASB),零信任网络访问(ZTNA/VPN),都是以前传统独立部署的安全技术。对应保护企业不同的一些访问场景,比如:SWG主要保护用户对于互联网的访问。云访问服务代理CASB针对的是SaaS访问的场景,现在随着更多应用程序的SaaS话。例如:office365、Selesforce,这种访问场景需要CASB来帮助保护他们的访问。零信任网络ZTNA/VPN更多是应用于远程办公的场景,比如:在家对于企业应用程序的访问,这些应用程序是企业私有的应用程序、它们过去更多在于远程访问,但是将来ZTNA也可以帮助我们对于企业内部应用程序的访问进行保护。

利用SASE和零信任保障应用访问安全-RadeBit瑞安全

上图是SASE的架构图,我们可以通过看这张架构图来了解SASE是如何工作的。SASE是建立在云原生架构之上的,利用云计算和虚拟化技术,以弹性和可扩展的方式提供网络和安全功能。SASE服务可以在全球范围内部署,为用户提供低延迟和高性能的访问。SASE将网络和安全功能集成在边缘节点中,将网络边界和安全边界聚合在一起。这些边缘节点可以是云服务提供商的全球数据中心、边缘计算设施或SD-WAN边缘设备。SASE架构通过统一的安全策略来管理和执行访问控制、安全检测、数据保护和应用程序安全等功能。这样可以确保在不同的网络边界和应用场景中应用一致的安全策略。SASE平台提供集中的管理控制台,以便管理员可以对网络和安全策略进行集中管理和配置。同时,SASE还提供实时的网络流量和安全事件的可见性和分析,以便及时检测和应对威胁。

同时SASE架构允许根据需求动态分配和调整网络和安全资源,以适应不断变化的业务需求和威胁情况。这种弹性和灵活性使组织能够根据实际情况快速部署和扩展网络和安全功能。SASE也集成了一系列网络和安全功能,包括但不限于网络访问控制、安全代理、边界防火墙、云原生安全、安全网关等。这些功能可以根据需要进行组合和配置,以满足组织的特定需求。

二、什么是零信任?

零信任(Zero Trust)是一种安全框架和理念,旨在改变传统网络安全模型,不再基于信任的前提。传统模型通常将内部网络视为相对可信任的区域,而将外部网络视为不可信的区域。相比之下,零信任模型认为无论是内部用户还是外部用户,都不应该被默认信任,而应该在每次访问和交互中进行验证和授权。

零信任架构的定义:“零信任架构是一种将基于隐性信任的访问替换为基于不断更新的身份和上下文的访问的体系结构。”,简而言之零信任是一种安全架构,可根据计算的风险提供对资源的访问。计算的风险就是我们对于用户的每一次访问去进行风险计算,如果这个风险是我们可以接受的、我们就对TA的访问进行放行。如果这个风险是超出企业接受度的,我们就拒绝这次访问、并且这个风险还是考量多种维度的因素、多种信号输入的,它不仅仅是基于我们的一个身份。

利用SASE和零信任保障应用访问安全-RadeBit瑞安全

上图展现了零信任的一些能力,零信任其实是关于谁允许去访问什么,这个“谁”可以是我们的用户(通常也是用户)、但是也可以是我们的非用户。例如现在非常普遍的IoT终端它也可以作为“谁”去发起访问。访问对象通常就是应用,这些应用可以是在本地、也可以是在云端的。一旦我们了解“谁”允许去访问什么,我们就能够对TA进行一些安全的控制。当然,零信任也不仅仅是关于“谁允许去访问什么”,我们也可以对网络进行隔离、即使用户能够对这个应用程序进行访问。

三、SASE与零信任的融合

我们说:“零信任是一种将实体连接到资源的架构。SASE可以确定您可以购买的一组产品,以开始部署零信任架构。”所以我们说:SASE是做什么,零信任是怎么做。

利用SASE和零信任保障应用访问安全-RadeBit瑞安全

上图为NIST的零信任架构图,我们可以看到左边有实体,这个实体通常来说就是我们的用户。通过系统、可能是计算机或者是其它的一些系统,或者是移动终端、帮助我们去访问右边的“企业资源”。这些“企业资源”您可以理解为就是我们的应用程序,在中间有着“策略执行点PEP(PEP=Policy Enforcement Point)”,它是来帮我们控制访问的允许与否的。在上面有“策略决策点PDP(PDP=Policy Decision Point)”,它是我们的大脑可以做决定“是否允许访问”。它是基于策略的,所以我们要定义策略。当用户发起访问的请求时,策略执行点PEP会去询问PDP,PDP就基于访问策略、还有各种信号的输入来做出“是否授权”的决定,PEP就来决定授权“放行与否”、根据PDP的决定来放行与否。

利用SASE和零信任保障应用访问安全-RadeBit瑞安全

上图展现了零信任和SASE的联系,SASE就是PDP和PEP,SASE代替了PDP、PEP的工作,这就是SASE和零信任架构的关系。SASE如何知道“我们是否应该允许访问”呢?它需要很多洞察,不光是策略、不光是定义一个策略,还需要其它的一些洞察。比如:身份系统。如何知道这个用户的身份呢?就需要和身份系统进行集成。身份系统是否有AD、是否有AAD、是否有企业微信、是否有钉钉,它们都可以和SASE集成。

零信任与SASE之间的关系在于,SASE架构可以为零信任提供技术实现和支持。SASE平台提供了集成的网络访问控制和安全功能,可以在每个访问会话中实施零信任原则,即始终验证用户身份、限制访问权限,并对用户和设备行为进行实时监测和评估。SASE平台的网络边界防御和安全代理功能可以与零信任模型相结合,为访问提供多层次的安全验证和控制。

因此,可以说SASE提供了一种实现零信任模型的基础设施和技术支持。它通过将网络和安全功能集成在云端,并以综合的方式提供这些功能,为组织提供了实施零信任策略的灵活性和效率。同时,SASE平台的集中管理和统一策略可以使零信任的实施更加简化和一致,从而提高整体的安全性和用户体验。

四、SASE和零信任保障应用访问安全建议

利用SASE和零信任保障应用访问安全-RadeBit瑞安全

SASE可以成为建设零信任很好的起点。SASE可以将用户连接到应用程序,但是前提是需要了解我们的应用程序。往往在了解应用程序的上面是很多企业的一个难点。目前企业的应用程序数量非常多。我们认为一个中型的企业,可能至少会有几百个应用程序。SASE只能根据已知的策略进行执行,所以我们需要深入了解策略。最后是从小做起,谷歌花了五年才做到了零信任,谷歌也是一个应用、一个应用做的迁移。所以建议大部分企业也可以从一个一个做起,或者可以一次迁移多个应用、但是数量一定不要多。

五、记者问答

RadeBit瑞安全记者在利用SASE和零信任来保障应用访问安全时,在保证应用程序安全性的同时如何避免过度限制或阻碍合法用户的访问?如何平衡对用户体验的要求和对应用程序访问的安全性?

高峰:我们要定义我们的策略、我们要了解“现在我们的访问策略是什么时候的”,因为零信任访问、还有包括SASE是构建于零信任访问架构之上的一个框架或者是一个产品。我们的目标一定是最小的授权,最小授权的颗粒度一定会比大部分企业现在所去执行安全的颗粒度要细得多的。怎么样去掌握好?比如:现在可能大部分企业都是在内网什么都能访问,我一旦用了零信任之后可能并不是这样了、我发现很多时候并不能访问有些我想访问的系统,因为TA没有达到最低安全的要求。这个确实会对用户的体验会有影响,因为我们控制的颗粒度更细了,一定是有很多场景之前是能访问、现在不能访问了。我觉得第一点,一定是要去定义相应的策略。我们要了解哪些用户需要对哪些应用进行访问,我们不希望说让任何用户去访问任何的程序。某商业银行有两千个应用,一定不是说所有的用户都要对这两千个应用都可以进行访问的。

我们要先了解策略,这个策略是我们的基础。如果您不知道谁要去访问什么,一定是做不好零信任的。第二步,我们需要进行调优。零信任并不是一蹴而就的,并不是今天做完了、系统上线就结束了。一定不是这样的,最佳策略一定是不断进行调优的,通过用户的反馈、收集的信息、日志,分析看看哪里有什么问题,是不是有许多的“误拦截”使得用户不能访问了。如果有的话,我们就需要改善这些策略、对策略不停的进行调优。这个平衡点,一定是每个企业所不同的。做的好的企业,策略定义清楚、有较多的洞察,例如集成更多的一些洞察。有些企业可能只是跟身份系统集成或者跟威胁情报集成,这样你有比较少的洞察可能做出来的判断可能更加有限。像那个企业做到跟工单系统都集成了,那么它一定是有更多的洞察帮它做好更多的控制,这样能在用户体验上做的更好、一定是这样的。我觉得这个可能是企业要去开始做的,就是一个是要考虑到我有没有一些策略、我的策略是否正确。另外,通过不断的调优去平衡用户的体验和应用程序访问的安全性。最后我们可以不断增加的对这个系统的洞察,我们一开始可能少量的几个系统集成、但是将来可能可以集成更多的安全系统或者安全的信息,或者是其它的一些日志访问的信息到我的SASE,让它能够更好的帮助我们去判断这个访问的允许与否。

RadeBit瑞安全记者在SASE平台中如何实现对网络流量的细粒度控制和审计,来确保只有经过授权的用户才可以访问特定的网络资源和服务?

 高峰:SASE是基于零信任架构的一个产品,我们可以去这么理解它。传统的“零信任”理念非常大,但是它落地的场景大部分还是基于网络的,不管是CPNA还是微隔离、其实更多还是基于网络,所以它本身、我们零信任的理念更多的是基于网络控制。如何对网络的颗粒度进行审计呢?我觉得您可以通过分析。

这边的“分析”是可以对网络流量进行很多感知的,因为“分析”里面可以包括我们的一些日志。这些日志可以包括用户访问关系、IP地址、网络信息,另外您可以对于一些网络流量分析,这个工具是可以帮助我们去收集网络流量进行分析,但是其实它的成本会比较高。现在我们看到大部分的比较大型的企业、特别是金融企业会部署NDR(网络威胁检测及响应),因为它的成本比较高、因为它的流量的收集数量级非常大,你要对它进行存储、进行分析,其实这个成本是比较高的。我们可以集成一些对网络流量分析的一些工具,来帮助我们去更好的进行访问。但是SASE本身基于零信任的架构,现在零信任架构是更多在网络层面进行控制会比较多一些,所以它本身如果您是基于零信任架构去部署的时候,网络这一块的流量控制其实已经是比较全面了。