网络安全的未来在云端.docxVIP

网络安全的未来在云端 数字业务转型颠覆了网络和安全服务的设计模式，将重心转到了用户和/或设备的身份上，不再聚焦数据中心。安全和风险管理者需要采用融合的云交付“安全访问服务边缘（SASE）”来应对这一转变。 一、概要 传统网络安全架构将数据中心置于连接的核心位置，会抑制数字业务的动态访问需求。 数字业务和边缘计算拥有更多企业外部的用户、设备、应用、服务和数据，因此有着截然不同的网络访问需求。 降低复杂性、延迟以及一次性解密和检查加密流量的需求，将推动将网络和安全即服务功能（SaaS）整合为云交付“安全访问服务边缘”（SASE）。 检查和理解数据的上下文需要采用 SASE 策略。 为了实现低延迟地随时随地访问用户、设备和云服务，企业需要具有全球 POP 点和对等连接的 SASE 产品。 二、主要建议 负责网络和终端安全的企业安全和风险管理者应考虑采取以下措施： 以提升效率和敏捷的名义，将SASE 定义为数字业务的赋能者。 在架构上把检查引擎移动到靠近会话的地方，而不是把会话重新路由到检查引擎。 把安全人员从安全设备管理转向提供基于策略的安全服务。 现在就开始和网络架构师一起规划 SASE 能力。用 SD-WAN 和 MPLS 分载项目作为评估集成网络安全服务的催化剂。 现在就转向能提供 SWG（WEB 安全网关）、CASB（云访问安全代理）、DNS、ZTNA（零信任网络访问）和 RBI（远程浏览器隔离）的单一厂商迁移，降低网络安全的复杂性。 三、趋势预测 2023 年，20% 的企业将从同一厂商采购 SWG、CASB、ZTNA 和分支机构 FWaaS（防火墙即服务）服务， 2019 年这一数字只有 5% 。 2024 年, ?40%以上 的企业将会有明确的?SASE?切换策略， 2018 年末仅为 1% 。 2025 年，最少将有一家 IaaS 领导服务商会提供有竞争力的 SASE 服务套件。 四、分析 网络和网络安全体系架构是针对日渐势微的时代而设计的，无法满足数字业务的动态安全访问需求。企业的数据中心不再是用户与设备访问需求的中心。数字化转型， SaaS 等大量基于云计算服务的部署，以及新兴的边缘计算平台，颠覆了以往的架构模式，使企业网络架构出现“内外翻转”的现象。数字化企业的特点是： 更多的用户工作在企业外网完成，而非企业内网。 更多的企业工作负荷运行在?IaaS 中，而非企业数据中心。 企业采用更多?SaaS 应用，而非企业基础设施。 更多的敏感数据存储在企业数据中心以外的云服务，而非企业内部。 更多的用户流量流向企业数据中心以外的公共云，而非企业数据中心。 更多分支机构流量是流向企业数据中心以外的公共云，而非企业数据中心。 数字业务转型需要随时随地访问应用和服务（很多应用与服务位于云端）。企业数据中心将在未来数年内还将继续存在，但进出企业数据中心的流量在企业总流量的占比将持续下降。这种模式数字使用模式将进一步扩展，越来越多的企业需要分布式的边缘计算，边缘计算更接近于需要低延迟访问本地存储和计算的系统和设备，5G 技术还成为加速边缘计算应用的催化剂。在灵活支持数字业务转型的同时，通过支持反模式的访问，将系统复杂度保持在可控状态，这是 SASE 市场的主要驱动因素。它将网络即服务（如，SD-WAN）和网络安全即服务（如，SWG、CASB、FWaaS [防火墙即服务]）融合在一起。我们将其称为“安全访问服务边缘”（参见图 1 ）。它主要是作为基于云的服务来交付。 图 1. SASE 融合架构 SASE 产品能为弹性网络提供基于策略的“软件定义”安全访问，企业安全专业人员可以根据身份和上下文精确地指定每个网络会话的性能、可靠性、安全性和成本水平。SASE 的出现将为安全和风险专业人员提供了一个重大的机遇，能够为各种分布式用户、场所和基于云的服务提供安全访问，从而安全地实现数字化转型所需要的动态访问。企业对基于云的 SASE 能力的需求、市场竞争与整合，将重新定义企业网络和网络安全体系架构，并重塑竞争格局。 五、SASE定义 安全访问服务边缘（SASE）作为一种新兴服务类型，将广域网与网络安全（如：SWG、CASB、FWaaS、ZTNA）结合起来，可以满足数字企业的动态安全访问需求。 ? SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。? 六、分析描述 传统的企业网络和网络安全体系架构将企业数据中心作为访问的核心，这样的架构在云和移动的环境中中越来越无效和繁琐。即使采用了一些基于云的服务（如，基于云的 SWG、CDN [内容交付网络]、WAF [WEB 应用防火墙] 等），企业数据中