freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

边缘安全:企业边界瓦解下的安全新解
2020-09-29 13:18:38

以三月为例,通过企业连接设备的互联网服务使用量增加了40%,而在这之中,恶意软件相关的网站访问量增加了400%以上。

Akamai的数据清晰地表明,网络空间的威胁始终存在,甚至愈发猖獗。即便在疫情期间,攻击者、黑客组织也没有停止攻击活动,甚至,DDoS等大量传统的网络攻击手段依然发挥巨大的破坏力,而更复杂、高级的新型攻击方式也不断给防御带来新的挑战,在多变的网络环境中,企业面临的威胁比想象的更多。

本文将分享我们和Akamai区域副总裁暨大中华区总经理李昇、Akamai大中华区产品市场经理刘炅就边缘安全问题进行的一些探讨。

“护城河”防护不再,架构走向去中心化

在对话中,刘炅反复提到一个词,去中心化。

过去,企业的IT基础架构是简单明了的,一条由防火墙等边界防护设备组成的“护城河”就能抵御攻击,因此,广泛认为护城河内是内网、是默认安全的;护城河外是外网、是不安全的。

然而,当下护城河正在失去作用,而根本原因是原本清晰的单线安全边界正在消亡。

造成这个结果的因素非常多,比如越来越多的企业进行数字化转型,更多关键资产以数据形态存储在互联网中;比如企业上云成为常态,数据的广泛流动和多地存储让攻击面较之以往更多;比如移动互联的发展,海量的智能联网设备让威胁大幅增长且无处不在……

1601356697_5f72c3996ecbe5412d067.png!small

Akamai区域副总裁暨大中华区总经理李昇

在李昇看来,边缘网络、去中心化架构的发展是互联网IT环境的又一次演进。在这一阶段,防火墙、用户上网行为管理等单一的防护手段效果甚微,混合性多层次的防护手段备受关注,而边缘安全就是企业提升防御的一个重要努力。

可以肯定的是,新的可扩展的混合IT环境让企业的防御已经从原本的“内网”转移到“边缘”,边缘侧布局成为企业安全策略的一大重点。

边缘安全:数字转型保护伞

那么边缘安全是什么?

随着物联网特别是智能物联网(AIoT)的发展,各种新型智能设备不断涌现,产生了海量的数据。这些数据同样受到攻击者的觊觎、存在很多风险,这时候第一个思路就是在边缘处就部署安全防护能力,第一时间处理响应。

安全产品边缘部署后,面临的是边缘数据处理问题。虽然云上存储、处理数据是可行的,但当一辆自动驾驶汽车每天会产生多达5 TB的数据、一个中等城市部署的公安监控摄像头30天的视频存储容量可以达36 PB——相当于36864块1TB硬盘的容量时……庞大的数据如果都要上云,那么以目前的云和网络状态来说,显然无法承受。因此,思路也就转变为将数据在边缘处直接进行处理。

因此,边缘安全更像是数字化转型中的保护伞,以Akamai为例,就是利用了本身网络边缘,以及流量边缘的优势,在网络边缘对各种各样的攻击进行识别。

很多时候,我们似乎会把边缘安全、边缘计算、云计算搞混。总体来说,近年来兴起的边缘计算是一种新的技术理念,它重新定义了企业信息系统中云、管、端的关系,凭借更靠近设备和数据源的天然优势,使得数据的处理更高效。而边缘安全则是解决边缘计算发展中的安全问题,也就是支撑边缘计算环境的防护能力。至于云计算,可以理解与边缘计算互相补充。

目前,之所以强调边缘安全正是因为边缘的不安全性。而在边缘部署安全防护产品具备众多优势,更能应对新的IT环境下的一些问题。

  • 适应性:适应数字化的环境,如多云化;适用多应用场景,如远程办公。
  • 部署简单,具备灵活性和可拓展性。
  • 安全策略在边缘执行具备更好的适配性。
  • 在位置上更接近威胁,使得命令执行和响应效率也更高。

趋势:安全访问服务边缘(SASE)

边缘安全体系化发展的趋势是什么?Gartner给出的答案是安全访问服务边缘(SASE)。

Gartner声称,SASE有潜力将已建立的网络和安全服务堆栈从一个基于数据中心的服务堆栈转变为一个将身份焦点转移到用户和终端设备的设计。事实上,SASE具备几个特征:身份驱动、云原生架构、支持所有边缘、全球分布。其理念就是借助SD-WAN搭建起来的虚拟化架构去集中化,将核心能力附加到边缘,使数据处理和安全能力都在边缘进行,从而能够满足未来云上和移动业务的动态需求。

Akamai海量分布式的节点、天然靠近边缘的优势让刘炅同样对于SASE有所感触:这个架构全面地把广域网的连接的功能,还有一些网络安全的功能结合在一起,支持数字化企业所要求动态的、安全防护的需求。

1601356670_5f72c37e474a990a0da7e.png!small

Akamai大中华区产品市场经理刘炅

架构中和网络互联相关的部分,会利用一些比如CDN和运营商的网络以及SD-WAN等把业务和应用联结在一起。在边缘安全架构中有很多重要的安全组件,例如WAAP、ZTNA以及基于云端的Secure Web Gateway。

理论终将落地,边缘防护对整体安全真的有效吗?

由于很多效果数据难以量化,很多时候,企业安全管理人员用经验来判断安全策略的实施和产品部署。Forrester关于Akamai边缘安全产品总体经济影响的报告(The Total Economic Impact™ Of Akamai Edge Security Products)给出了一个新的思路,量化安全防护产品的价值和有效性。

2019年8月,Forrester针对Akamai边缘安全产品进行研究,最后制成一个总体经济影响报告。(总体经济影响——Total Economic Impact、TEI,是由Forrester开发的一套方法,用于加强公司的技术决策流程,协助供应商向客户传达其产品及服务的价值定位。TEI方法有助于公司向其高管层和其他重要的业务利益相关方展示、论证和实现IT举措的实际价值。)

Forrester共计调研了35个Akamai的客户,涉及到的行业、区域还有受访者的职位都是不同的,且这些客户至少使用两个Akamai的边缘安全产品,使用时长不低于6个月。基于调研样本和数据,建立了基准模型,模拟一个平均年收入15亿美金的跨国企业、其248个应用程序受到Akamai的产品保护。结果显示,在三年的预期内,通过人员投入需求的减少、共计损失的降低、部分传统设备的淘汰等,客户的总收益会达到近600万美元。感兴趣的可以自行了解:

https://tools.totaleconomicimpact.com/go/akamai/edge-security/index.html

最后,边缘防护依然面临新的挑战,而对于边缘安全的关注,预计会是未来几年乃至十年的一大重点。

# 边缘计算 # 边缘安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者