freeBuf
没有 SaaS 应用生态,国内 SASE 的安全故事如何讲
2023-08-26 08:02:50

"A secure access service edge(SASE) is technology used to deliver wide area network(WAN) and security controls as a cloud computingservice directly to the source of connection (user, device, Internet of things(IoT) device, or edge computinglocation) rather than a data center.

安全访问服务边缘技术,将广域网络连接和安全控制服务结合在一起,以云服务的形式进行交付,直接面向需要发起网络连接的源头(用户,设备,物联网设备,或者边缘计算节点)而不是对接传统的数据中心。"

                                                                                                                                          —— 维基百科


之前我在很多场合都提到过,国内的网络安全行业,以3-4年为一个周期,每个周期内都会以一个舶来的酷炫理念,演绎一场行业狂欢,狠狠地刷一波资本和大众心智。从态势感知,到 CASB ,UEBA ,到零信任,隐私计算,再到今天要讲的 SASE。这些词汇的创造源头,清一色的都来自于 Gartner。


Gartner 出品,必出爆品,其拥趸无数,曾经是我们在大型公司里向上汇报或者创业阶段面向投资人时,必定被无数次引用的圣经。然而当我自己开始经营一家公司,却极度反感团队的人员拿着某某报告或者国外定义的新名词,作为自己行动的指南或者说服我的理由,我会毫不客气地告诉对方“要么说人话,要么闭嘴原因很简单,在商业化的世界里,我们国人往往面对的是两个市场,国内市场和国外市场。Gartner 虽名义上是站在全球化的市场角度进行市场调研和预测,但其调研的市场基础往往还是因为种种原因根植于西方的欧美市场,其判断和预测结果因市场环境的差异在国内并不十分灵验。如果我们自己不能很好地理解所处的真实市场环境,那么就容易人云亦云,没头没脑,不知所措。


01/7    SASE 到底是什么

这里我们不耍流氓,一定不只强调 SASE 是一种安全理念,而是把 SASE 到底解决什么问题,以及怎么解决的给拆解出来,向大家真实还原 SASE 诞生的背景,要解决的问题,以及国内外的差异。


总的来说 SASE 包含四个部分,每个部分解决特定的网络连接或者应用安全的问题,每一个部分都包含特定的产品,也都是为大众所熟悉的各种产品技术。用一种比较粗俗的表达方式,SASE 是一个新的瓶子,里面混装了四种旧酒:

  1. Web 防火墙:URL 安全过滤(违禁站点,钓鱼网站)、病毒防护,可以是传统硬件防火墙,也可以是软件网关。
  2. 云服务安全访问代理(CASB):第三方公有云应用安全代理访问,权限控制、行为审计、数据加密等等。
  3. 零信任网络访问(ZTNA):身份验证、内网系统访问验证、内网打通、内部系统网络隐藏,替换 VPN。
  4. SD-WAN:组网,应用网络通道智能路由,用于分支机构网络连同,远程办公组网。


02/7    国外的企业为什么现在需要 SASE

我们用下面这张简化的图来描绘国外企业的办公形态,简化的模型旨在突出和便于理解核心问题,并非刻意隐藏其它关键信息。从这简化的模型里,我们能直观感受到的就是两点信息:

1、企业使用了大量第三方 SaaS 应用,且这些应用都是 Web 化的系统。

2、企业内网还有大量内网系统,在外网的环境下,需要通过 VPN 才能访问。


在这样的架构里企业到底面对了哪些新的问题需要被解决呢:问:SaaS 应用的网络访问,需要企业自己解决吗?答:不需要,SaaS 应用自己就能保证用户随时随地就能访问得到自己提供的服务。
问:SaaS 应用的安全性,需要企业自己解决吗?答:需要,第三方应用已经完全脱离企业管控范畴,如果没有主动的保护措施,应用访问的网络安全,账号安全,和企业自身的数据安全,只能听天由命。问:企业内网应用的网络访问,需要企业自己解决吗?答:需要,且企业已经通过 VPN 或者运营商专线早在几十年前就解决了这个问题。问:企业内网应用的安全性,需要企业自己解决吗?答:需要,且企业已经通过 VPN,内网防火墙等多种手段,早就解决了这个问题。从以上分析可以看出,企业近年来办公形态上唯一明显的变量,就是新引入了很多第三方 SaaS 应用。SaaS 应用的引入,带来最大的问题不是应用访问,而是安全的隐患。因此 Gartner 在早于 SASE 的概念之前提出了 CASB 的概念,目标就是解决第三方 SaaS 应用安全管理的诉求。因此企业的办公拓扑,重新变成了下面这样的形态,期待通过一个中心化的 CASB 服务来管理第三方应用。

03/7    CASB 要嵌入到 SaaS 应用里,得靠 SaaS 的主动允许

第三方 SaaS 应用,完全脱离了企业的掌控,如何才能插入一个 CASB 的服务呢。如题,唯有通过 SaaS 本身的许可和配合。


CASB:"老铁,能让我横插一杠不。"

SaaS:"兄弟,只要用户许可,干啥都行,你是要接口还是要流量?"

CASB:"666。"

举例说明,假设我们要去构建 CASB 服务,用于监听企业员工针对企业网盘 Dropbox 应用的所有操作,正确的做法是成为 Dropbox 开发者,并依据其开放的接口去监听每一次文件操作的变化即可。Dropbox 开放的接口极其细致,网盘本身会将每一次细微的用户动作都实时地传递给 CASB 应用。

其实在我更早的一篇文章里,已经更为细致的讲过,CASB 在国内还没有用武之地的原因,可以回过去再回顾一下,其中一个主要原因是国内 SaaS 几乎都没有开放性或者足够的开放性,用以培植 CASB 这样的服务出来。

04/7    SASE 在国内企业内有用武之地吗

相比于国外的企业办公模型,国内的企业相对更加纯粹和具有中国特色了。这里我们想要讨论的国内企业,特指站在一个安全厂商的视角,那些具有一定规模的成熟的,中大型的企业,特意抛开了小微企业。因为站在商业的视角,可以简单的概括小微企业既没有安全的诉求,也没有安全付费的意愿。那么这些国内的中大型企业办公模型是如何呢:

肯定有人要站出来反对,SaaS 应用呢,去哪了?


极具中国特色的地方就体现在这里了,国内成熟企业要求第三方 SaaS 也本地化部署到企业内部,变成内网系统了。或者财大气粗的都选择自研,也就没第三方什么事了。


以此可以看出,SASE 在国内已经少了半条命了,因为在公网没有 SaaS 应用的支持,在内网一切又回到了传统的模式,SASE 的 4 个组件,直接少了 2 个(Web 应用防火墙和 CASB),半条命已经没了。


05/7    SASE 的另外半条命,零信任和组网

零信任和 SD-WAN 在国内版本的 SASE 里是唯一具有确定性的两个特征,因为无论国界,只要有内网系统,就会有组网和安全认证的需求和场景,这是基本的 IT 信息化特征。


因此,国内的 SASE 玩家依据其基因的不同,明显地分为了两个阵营。一个是传统安全背景出身,以终端安全为切入点的厂商阵营;另一个则是有运营商基因,或者亲近运营商有网络整合经验,CDN 技术背景的,SDN 阵营,以低成本组网为切入点的厂商阵营。显然两者各自擅长的并不相同,也导致了各自的产品特色分明。


零信任和 SD-WAN,各自展开将是独立的大课题,以后分篇章再详细展开。这里只捎带简要描述下国内不同厂商的各自特点即可。


06/7    国内零信任产品特色

如前所述,国内零信任厂商主要由传统的安全厂商团队组成,其基因在于安全而不在于网络,决定了其打造的安全产品更加偏重于安全能力建设,而尤其在于终端安全能力。原因极其简单,国内零信任主打的是 VPN 替换场景,虽然背后技术有升级,但产品形态可以说并无任何变化。怎么理解呢,传统 VPN 是由 VPN 网关和 VPN 客户端组成,零信任产品并未改变这一点,既然还是有个终端客户端,那么依照国人一竿子做到底的习性,在这个客户端上尽可能多地去集成安全能力是个不错的选择。因此我们会看到国内零信任客户端呈现的趋势,是一个一体化的大安全客户端,逐步集成了桌管、设备管理、VPN、DLP、病毒查杀、EDR的能力于一体。


这样一个一体化的安全客户端是几乎所有安全厂商的选择,确实能解决目前客户电脑里装了太多安全客户端的弊端。同时在这个后疫情时代,所有企业都在降本增效的时候,那些处于安全从 0 到 1 建设阶段的企业,一份预算购买了多个安全产品的诱惑,是一般老板无法抗拒的。


对于这样的一体化安全终端趋势和做法,作者本人还是持非常谨慎的看法,它是否代表了未来还不敢下结论。作者本人应该算是国内最早一批终端一体化的发起者和建造者了,多年前从 0 到 1 主导了阿里巴巴内部终端安全产品的合并(DLP+EDR+AV),同时配合以大数据模型和一体化的风险运营平台。唯一遗憾的是因为部门墙的原因,无法将 VPN(俗称阿里郎)也一并整合进来。就时间顺序上来讲,应该是略早于腾讯的类似产品 iOA。


多端的整合并非难事,核心之一在于各个安全端自己的能力是否能达到要求。其中任何一个产品, EDR 也好,DLP 也罢,要单独做好都是极其困难的事。如果单一能力是短板,整合在一起也只是个表面功夫而已。另外更为重要的一点是数据计算的能力,这也是配合零信任持续验证理念背后的含义。唯有配合数据计算,风险模型,才能真正带来实际的安全价值。但是,任何以建模为底座的产品,本质的本质又在于数据的维度和丰富程度,而不在于计算的能力,这在第三方安全厂商的能力范围内永远是个无法逾越的天堑。背后的逻辑可以参考之前关于 DLP 描述里的,UEBA 章节。


07/7    国内 SD-WAN 产品特色

个人判断 SD-WAN 在未来并不会完全替代专线,而是与之相互补充的关系,尤其是针对一些大型机构和企业,在资金预算充足的前提下,专线将一直作为优先的选择。当然 SD-WAN 依然可以发挥作用,它可以将优质的专线与成本较低的其他线路(如 Internet 线路)统一管理起来,实现保障关键业务通讯质量和成本的平衡。


一些零售多门店的场景非常适合 SD-WAN 的组网方式,以及各个公司的远程办公场景,也更适合 SD-WAN 而无法依靠专线。


传统广域网建设一般都是采用基于互联网或者基于专线的形式,这两种方法各有利弊,互联网的带宽高费用便宜,但是线路质量和安全性缺乏保证,专线的线路质量好,但是开通周期长,费用较高。


目前国内的运营商,CDN 厂商,云(阿里,腾讯,华为等等)本身拥有运营商网络资源,也擅长网络建设,都是 SD-WAN 的有力竞争者,当然其产品目前更多的都包装在 SASE 的外衣之下。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
文章目录