SASE欲来 步伐缓慢

无标题.png

小公司关注SASE,希望借此提升应用访问安全。大企业顾虑SASE稍显欠缺的成熟度、现有安全措施和数字转型投入,反而对SASE持观望态度。

过去十年来边缘计算和云基础设施的推广,加上近期远程办公的飞速增长,给传统网络架构和安全模式带来了严峻挑战。大型企业IT预算和熟练员工更多,更能适应这一新现实;但中小企业就难以紧跟防护自身本地及远程资产所需的访问控制、监视和威胁检测技术潮流了。

为应对这种趋势,安全供应商、云供应商和网络供应商推出了新型软件定义和云交付解决方案,将网络即服务和网络安全即服务功能整合到了一起。咨询公司Gartner将此新概念命名为安全访问服务边缘(SASE),称该概念的目标是让企业能够向任意用户轻松提供对其任何应用的安全访问,无论应用是托管在云端还是安装在本地,无论用户是从世界上哪个地方发起访问,而且企业无需依赖本地部署的安全设备来路由和检查流量。

Gartner最近的报告表明,这个围绕零信任网络打造的新网络安全模式最近一年来吸引了大量关注。该分析公司预测,到2024年,30%的企业将从同一供应商采纳云交付安全Web网关(SWG)、云访问安全代理(CASB)、零信任网络访问(ZTNA)和分公司防火墙即服务(FWaaS)功能。到2025年,超过60%的企业会明确安排围绕用户、分公司和边缘访问的SASE采纳策略和时间线。

▶ SASE推广的驱动力及面临的挑战

云网络安全服务推广的一大驱动力源自其降低管理复杂性和节约成本的能力,因为IT团队将不再需要管理不同供应商的不同硬件设备来获得不同安全功能。同一供应商的SASE产品应该支持通过同一控制台管理多项安全功能。

统一管理的概念不算新鲜,某种程度上,统一威胁管理(UTM)设备已经这么做了。但是,作为一项服务在云端进行统一管理,可以减少UTM类解决方案常会引入的可扩展性和性能问题,因为云服务天生容易扩展。

不过,不利的一面是,从同一家供应商选购所有安全解决方案并不能保证得到最佳防护,因为没有哪家供应商能够达到在所有类型的网络安全功能方面都是企业的最佳选择。

SASE推广的另一驱动力是,在软件定义广域网(SD-WAN)和网络即服务的帮助下,SASE产品能够解决远程员工和承包商为使用现有硬件设备的安全功能,而需要通过公司现有分支机构或VPN网关路由其流量的问题。因为,借助SASE,远程员工可以直接连接供应商遍布全球的网络,享受其提供的高性能路由和低延迟。

目前,SASE市场的成熟度是其推广道路上的一大挑战。打造SASE解决方案的供应商来自不同背景,或者说专精某一安全领域。其中一些安全供应商眼下正在构建其软件定义广域网和云功能,其他一些则是网络或内容分发网络(CDN)供应商,专注打造其安全功能。即便同是安全供应商,有些可能强于SWG技术但数据防泄漏(DLP)仍在完善中,又或者DLP是强项而需要补充一些其他的安全功能。这些都是需要通过合作乃至并购和市场整合来完善和加速的东西。

Gartner分析师Neil MacDonald向媒体表示:“毫无疑问,有些供应商产品种类较丰富,有些则在功能上更成熟,但如今有那么几家供应商拥有我们能想到的几乎所有功能,有些非常非常接近完备了。我会对公司讲:我们来看看你们的重点是什么好了。你们更重视什么?是敏感数据、安全网关,还是分支机构SD-WAN?另外,你们现在的供应商都是哪几家?我会考察哪些供应商最有可能开始整合周围,并最终收拢成为一家或两家更为完善的供应商。”

阻碍许多公司采纳SASE的其他大问题还包括漫长的硬件更新周期和现有的软件合约。大企业现有的硬件投资还需要摊销,又或者当前的数字转型计划要持续很长时间。很多公司都已经培训或招聘了具备特定技能的人员,来管理或使用特定供应商的现有安全解决方案;或者建立了只处理网络运营侧事务的专门团队;这些都会大幅降低公司采纳SASE的意愿。毕竟,重新培训和指派这些员工去适应重在策略创建的职能是需要时间的。

▶ 大型企业采纳SASE的步伐更缓

MacDonald称:“中小企业在采用SASE上动作更快,因为他们的安全和网络不是相互割裂的。甚至于,中小企业可能连专门的安全团队都不具备,他们倾向于采用更简单、更容易消费的云服务形式的解决方案。大企业也在朝这个方向迈进。可能时间会久一点,但终会转向SASE。”

国际数据公司(IDC)分析师Christopher Rodriguez对此表示同意,他认为,中小企业很有可能属意此类云交付安全功能,是构建此类服务的SASE供应商最容易得手的客户。收获大型企业客户或许会很困难。一些公司可能不愿意放弃他们选择的最佳解决方案,而且会认为从一家供应商购买所有安全解决方案的风险实在是太大了。此外,在网络方面,大企业或许不满足于SASE供应商目前能提供的功能。有些安全功能向来难以迁移到云端,比如网络防火墙,出于性能和其他原因,可能需要五年以上的时间才能迁移。

不过,尽管很难估计有多少现有网络安全功能终将变身云端服务,也不知道何时才能真正上云,Rodriguez认为,上云才是发展方向,因为云更富有弹性、更可扩展,而且有助于减少成本。“一旦上云,融合就是趋势,因为这就是个性能问题。你可不会想要在云端搞出一条20个不同服务的服务链,因为每个服务都不可避免地要耗去150毫秒或100毫秒。明天就切换到SASE是不现实的,但总在朝这个方向走。我可不会否认这个趋势。”

来源:数世咨询

上一篇:量子计算时代的物联网安全防护

下一篇:Security Fabric 安全无处不在