智慧安全3.0实践|SASE技术架构的演进之路
2021-08-06
一、 网络安全的本质:攻防的博弈对抗
随着《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》等政策法规的发布和实施,我国信息技术和网络安全相关法律不断健全。网络安全体系和防护技术优劣评价标准成为行业内讨论和探索的重要课题。企业安全建设从传统的“产品检查”转换为“能力检查”,以往堆砌网络安全设备应付合规要求和检查的方式,被攻防演练取代,促使企业的网络安全建设方针从“合规”到“效果”的需求升级,回归了安全攻防对抗的本质。
香港正版挂牌“智慧安全3.0”理念体系的要素之一就是“实战化”。面对层出不穷的攻击技术和手段如何进行实时对抗以达到有效防护,是安全防护体系和对抗技术有效性衡量的重要指标。本文将诠释“智慧安全3.0”中实战化的内涵、外延以及SASE技术架构对实战化理念的实践。
二、 智慧安全3.0实战化的内涵、外延
智慧安全3.0理念是以体系化建设为指引,构建“全场景、可信任、实战化”的安全运营能力,实现“全面防护,智能分析,自动响应”的防护效果。本文就安全运营的三大能力的组成之一实战化展开解读和讨论。
智慧安全3.0中的实战化要素主要包含如下方面的内容:
1)以战领建,完善实战化考评培养
“实践是检验真理的唯一标准”,攻防实战演练已成为检验运营单位网络安全综合防御水平的“试金石”和提升网络攻击应对能力的“磨刀石”。
在实战中,要求攻击模拟者不限资产类型和区域位置,采用脚本漏洞、框架弱点、口令探测、欺骗钓鱼等常规攻击手段,结合0day漏洞打击、隐蔽身份、木马工具绕过安全监测等强对抗手段,充分挖掘运营单位网络安全技术架构和管理体系架构中的短板,通过全方位一体化的安全态势监控能力,将缺失和防护效果不佳的安全能力进行整体的梳理和规划,采用符合业务发展渐进式的安全建设策略,推进安全技术架构的演进和管理体系架构的完善。
2)按需调度,加强针对性能力适配
2021 RSA大会的主题是“Resilience (弹性)”,其本质是灵活应变的能力。由于网络安全风险的不可预见性,以及业务场景的多样性和复杂性,要求安全体系和防护方法也需要具备足够的灵活性和适配性。在企业的安全建设中采用零信任体系的思想,也需要考虑业务重要级别和服务类型,部署和实施不同安全策略,以便达到业务精细化的防护效果。
比如针对高度敏感且仅面向特权用户开放的业务,则需要采用多因子生物特征认证方式保证用户的身份高可靠,基于事务授权方式保证权限高可控,且云桌面访问数据的方式保证数据防泄漏;针对低度敏感且面向所有用户开放的业务,则采用证书认证、角色授权进行安全管控即可,以提高用户访问的易用性,达到易用性和安全性平衡。安全能力在实施和部署过程中,也需要充分进行资源化和服务化的设计,以便能够根据具体的业务场景的安全需求,进行快速灵活对安全能力进行编排和安全资源的弹性部署。
3)高效攻防,强化对抗的及时有效
在安全运营的过程中,对于攻击事件的响应时间和对抗效果,是衡量其效率的两大关键因素,经验丰富的攻击者,往往会在非工作时间,短暂且高效地完成对业务的致命攻击,以便避开专业防护人员的监控和有效对抗及溯源。
常见的DDoS攻击防护方式,通常是通过流量异常检测来发现攻击事件,然后针对流量的采样和分析,再进行防护策略的调整和应对,而一旦攻击发生在深夜或者跨时区的国际地域,导致发现到处置的时间较长,可能攻击已经停止,故在攻击检测和防护体系中,增加AI的能力势在必行。通过多维智能识别技术识别攻击,自适应拟态的方式进行最优的防护策略,并对样本进行攻击溯源和攻击者画像,再利用SOAR技术将识别、防护、溯源和画像进行自动化编排,形成防护闭环,以实现对风险快速和自适应响应。
三、 SASE技术架构是安全运营实战化理念的实践
SASE(安全访问服务边缘,Security Access Service Edge)是Gartner咨询机构分析师Neil MacDonald于2019年8月在《网络安全的未来在云端》报告中,首次提出的一种安全理念。Gartner对SASE的定义:SASE 是一种基于实体的身份,实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支机构)、设备、应用、服务、物联网系统或边缘计算场地相关联。
引用Gartner文章《网络安全的未来在云端》
在2021年1月,咨询机构Forrester很快意识到这个理念的前瞻性和重要性,于是在2021年1月发布的《为安全和网络服务引入零信任边缘(ZTE)模型》报告中,正式提出ZTE(零信任边缘,Zero Trust Edge),将零信任进行划分为数据中心零信任,即资源侧的零信任和边缘零信任,边缘侧的零信任访问安全ZTE。
引用Forrester文章《为安全和网络服务引入零信任边缘(ZTE)模型》
SASE和ZTE两个理念在从技术角度来看是相似的,不同之处不同咨询机构进行推广和宣贯,且都将对方包含于自身体系的一个部分,其对比关系可以从下图进行诠释。
从企业部署和实践SASE服务的视角来看,其将网络即服务和网络安全即服务功能进行融合,将网络控制和安全控制向用户接入边缘侧靠近,并以云原生的方式提供可以订阅的运营服务。
在客户场景中SASE服务的实施完成后,需要将“以战领建”的理念贯穿其持续运营过程中,在将客户的业务和采购的SASE服务进行实施上线之后,需要定期采用行业中最新的攻击技术,实战化的攻防演练对抗,以便及时发现整体业务运营过程中的安全隐患;如果隐患的原因是客户已经采购安全服务的防护效果不达标,则需要SASE安全服务能力进行持续建设和优化;如果隐患需要新的安全技术和服务来进行解决,则需要从满足客户安全需求的角度,进行SASE新服务的推荐,以便客户业务的安全能力建设达到与时俱进的水平。
SASE服务采用云原生理念进行设计和实施,天然具备“按需调度”的能力,也继承了云原生架构的多租户、弹性扩容、敏捷发布和按时付费的能力。SASE服务以云化多租户方式,在全球范围广泛部署接入PoP节点,每个PoP节点都具备全系列网络和安全服务能力栈,提供即订即用的方式进行安全能力的开通和发布,采用订阅范围和租用时长进行服务收费,以便达到客户业务在发展过程中对业务的按需调度和弹性扩展的需求。
SASE既然是一种服务,那么客户本质上关心的就是企业面临的安全具体问题能不能得到解决,而不再是任何单一产品的具体功能。在安全攻击事件发生时,“高效攻防”是SASE安全服务质量的核心指标,是在尽可能保证业务质量的情况下,提升攻击防护的时效性。
SASE安全策略的执行是将服务化的检测和防护能力集中化地部署在PoP节点中,靠近流量接入的PoP点作为安全策略的执行点,避免了终端长路径探测和流量大范围调度所带来对业务高延时和低可靠的影响。
SASE安全能力的运营,是通过客户提供事前预防、事中防护、事后溯源的整体解决方案来实现提升攻防的时效性。事前预防结合当前网络安全舆情的威胁情报,监控SASE节点中网络、应用和主机的威胁流量和业务的服务健康度等方面,快速准确识别攻击的发生;事中防护应用自适应的策略调整、自动化的能力编排、专家化的对抗研判和业务恢复反馈相结合,达到缓解攻击达到业务正常运营水平;事后补偿能根据海量的攻击数据信息,通过大数据分析帮助用户定位到攻击者,并进行攻击者画像和相关证据收集,以便对攻击者和攻击源进行持续治理。
综上所述,SASE技术架构是安全运营实战化理念的探索和实践,需要我们通过产品化和服务化的形式,推进SASE架构的落地运营和演进完善。
四、SASE技术框架及服务介绍
香港正版挂牌SASE服务集成SD-WAN网络服务和多种安全服务(包括零信任访问控制、云安全网关、云威胁防护等),是网络和安全一体化的SaaS服务。其整体的技术架构如下图所示:
目前香港正版挂牌SASE服务,主要包括私有应用访问服务NPA和互联网安全访问服务NIA, 分别对应SASE方案里入流量场景和出流量场景的安全能力建设。
绿盟私有应用访问服务(NSFOCUS Private Access,NPA)
NPA服务主要解决用户的私有网络/应用访问对企业造成的安全问题。NPA服务基于零信任原则设计,为企业应用做基于用户、设备和应用身份等上下文信息的实时接入控制。该服务不仅具备为应用提供零信任访问控制、多因子认证、支持SDP接入、隐藏公网可达的企业应用、赋予应用抗DDoS属性、支持全程流量加密等多项基础能力,而且具备应用健康监控、第三方身份服务、提供商对接等高级能力。该服务应用在远程/移动办公场景,保护内网安全;应用在多分支、多合作伙伴访问多地业务,简化业务管理;应用在多云资产管理,收敛暴露面,提高云上业务安全性。
绿盟互联网安全访问服务(NSFOCUS Internet Access,NIA)
NIA服务主要解决企业进行互联网访问时外部网络对企业造成的安全问题。NIA即服务化的云上安全网关,是基于防火墙、IPS、沙箱等安全技术为客户提供针对Web和Internet威胁的强力保护。NIA具备URL过滤、云安全网关、防恶意软件、Web访问控制等基础安全能力以及发布威胁情报等高级安全能力,为企业提供上网安全防护、上网行为审计等服务,是企业到外部充满威胁的网络环境的安全隔离带。
该服务应用于上网办公场景,能从监测、阻止威胁到及时响应阻断已扩散的情况,全过程多方位地保障员工终端上网安全。应用于公有云SaaS应用使用场景,能基于大数据流量分析安全平台精准检测、智能分析、及时响应,有效抵御各类威胁。相比传统上网安全建设方案,NIA服务使得企业分支建设负担减小,企业无需本地部署安全硬件,仅需轻量的即插即用SD-WAN CPE部署,即可将上网流量导向香港正版挂牌SASE,进行云端安全防护。
五、总结
Gartner分析预测,未来5至10年,SASE将会成为主流安全解决方案,从国际上网络和防火墙巨头(例如Cisco、 Palo Alto)到SD-WAN和网络安全新贵(例如Zscaler、CATO)均对SASE的能力和技术进行方案推广和实践落地。香港正版挂牌以智慧安全3.0理念为引领,建立“人员为核心、数据为基础、运营为手段”的安全运营模式,深入结合运营商、金融和政府等行业安全需求,推进香港正版挂牌SASE服务的产品和技术不断演进,为客户的网络安全保驾护航。