推進(jìn)SASE服務(wù)全面升級(jí)，互聯(lián)科技第一線逐浪云網(wǎng)安融合時(shí)代

隨著數(shù)字化轉(zhuǎn)型進(jìn)程推進(jìn)，云網(wǎng)融合加速發(fā)展，企業(yè)對(duì)于網(wǎng)絡(luò)信息安全提出了更高要求。如何將靈活的云網(wǎng)基礎(chǔ)能力和全面的安全防護(hù)能力更好地融合，逐漸成為市場(chǎng)關(guān)注的焦點(diǎn)。

“當(dāng)下，我們發(fā)現(xiàn)客戶除了擁有靈活組網(wǎng)需求，也更加關(guān)注安全服務(wù)訂閱需求，需要簡(jiǎn)化網(wǎng)絡(luò)安全能力部署和運(yùn)維、降低Capex投資，彈性升降速，這些需求在招標(biāo)項(xiàng)目中日益體現(xiàn)。”互聯(lián)科技第一線產(chǎn)品總監(jiān)徐頡在接受51CTO采訪時(shí)談到了他的觀察。

【資料圖】

SASE正是為了回應(yīng)這種期待而生。它并非單一技術(shù)的代稱，而更多地代表了一種融合“網(wǎng)絡(luò)+邊緣云化安全”的理念。作為近年來(lái)網(wǎng)絡(luò)安全領(lǐng)域的熱詞，SASE已經(jīng)從概念熱捧趨于冷靜，用戶接受度也日漸提高，開(kāi)始尋求服務(wù)廠商交流相關(guān)解決方案。

而入局SASE賽道的玩家，既有網(wǎng)絡(luò)服務(wù)商、云廠商，也有專業(yè)安全廠商。其中，互聯(lián)科技第一線正憑借其云網(wǎng)安一體化交付方案在多方競(jìng)逐中崛起為一股不可忽視的力量。

為何選擇SASE

過(guò)去企業(yè)數(shù)據(jù)存放在自建或托管的數(shù)據(jù)中心，因此傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的設(shè)計(jì)通常將數(shù)據(jù)中心作為訪問(wèn)需求的焦點(diǎn)，架構(gòu)復(fù)雜且存在延遲性問(wèn)題。

更重要的是，當(dāng)前企業(yè)的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)安全面臨著更多不確定性。首先，隨著業(yè)務(wù)全面上云，分布式部署、多云架構(gòu)帶來(lái)的運(yùn)維難度和安全風(fēng)險(xiǎn)也同步提高；再者，遠(yuǎn)程辦公、移動(dòng)辦公的普及，傳統(tǒng)網(wǎng)絡(luò)安全邊界被打破；最后，網(wǎng)絡(luò)建設(shè)和安全建設(shè)的割裂導(dǎo)致的成本和效率問(wèn)題愈發(fā)突出，企業(yè)更傾向于由云網(wǎng)安一體化服務(wù)商統(tǒng)一納管。

正是在這一背景下，SASE出現(xiàn)了，并作為一種顛覆傳統(tǒng)架構(gòu)的新范式受到廣泛關(guān)注。

作為Gartner在2019年提出的概念，SASE代表了一種新架構(gòu)，整合廣域組網(wǎng)網(wǎng)絡(luò)功能和安全功能，從而滿足企業(yè)的動(dòng)態(tài)安全訪問(wèn)需求。后來(lái)Gartner又從SASE內(nèi)部劃分出一個(gè)“子集”SSE（安全服務(wù)邊緣）。

簡(jiǎn)單來(lái)說(shuō)，SSE是SASE的組成部分，專注于安全服務(wù)部分，而SSE之外的另一半則專注于網(wǎng)絡(luò)服務(wù)部分。Gartner預(yù)測(cè)，到2025年，80%的企業(yè)將采取利用單一廠商的SSE平臺(tái)訪問(wèn)網(wǎng)絡(luò)、云服務(wù)和專用應(yīng)用的策略。

可見(jiàn)SASE的發(fā)展后勁毋庸置疑，企業(yè)對(duì)網(wǎng)絡(luò)安全訂閱服務(wù)的需求也是時(shí)之所驅(qū)。為滿足不斷提升的用戶需求，此前專注于企業(yè)網(wǎng)絡(luò)服務(wù)的第一線，開(kāi)啟了向SASE服務(wù)架構(gòu)的升級(jí)之路。

架構(gòu)升級(jí)：目標(biāo)劍指“融合、簡(jiǎn)化、彈性”

Gartner曾評(píng)估，SASE 市場(chǎng)處在不斷變化中，沒(méi)有哪家供應(yīng)商可以提供全部SASE功能組合。有的供應(yīng)商可以提供部分安全即服務(wù)，但缺乏SASE要求的SD-WAN功能。有的供應(yīng)商能提供安全即設(shè)備，但并未在云原生全球網(wǎng)絡(luò)中，不具備邊緣節(jié)點(diǎn)部署SASE服務(wù)的條件。綜合來(lái)說(shuō)，能力單一，POP點(diǎn)過(guò)少，嚴(yán)重限制了SASE的落地，云網(wǎng)安的一體化融合才是推進(jìn)SASE服務(wù)的要義。

為此，第一線將過(guò)去積累的云網(wǎng)建設(shè)資源作為依托，自研的SD-WAN架構(gòu)作為基礎(chǔ)支持，在產(chǎn)品、架構(gòu)、團(tuán)隊(duì)建設(shè)、交付模式等方面做了重定義與再升級(jí)。徐頡對(duì)此做了進(jìn)一步介紹：

第一，推進(jìn)POP節(jié)點(diǎn)支持SASE安全服務(wù)鏈功能，升級(jí)為SASE POP，提供如零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)、防火墻即服務(wù)(FWaaS)、安全Web網(wǎng)關(guān)(SWG)、數(shù)據(jù)防泄露（DLP）與防入侵（IPS）等SASE安全服務(wù)。企業(yè)可根據(jù)不同場(chǎng)景需求進(jìn)行靈活訂閱。據(jù)了解，第一線在100+城市建設(shè)了200+POP節(jié)點(diǎn)，服務(wù)能力覆蓋全球700+城市。目前，第一線已完成核心城市POP節(jié)點(diǎn)升級(jí)為SASE POP。

第二，推動(dòng)SD-WAN與SASE平臺(tái)管理能力的融合，在現(xiàn)有SD-WAN平臺(tái)集成支持SASE安全服務(wù)鏈各項(xiàng)功能，通過(guò)API靈活調(diào)用安全組件的配置和狀態(tài)，幫助企業(yè)通過(guò)網(wǎng)安一體化平臺(tái)精細(xì)地把控網(wǎng)絡(luò)和安全態(tài)勢(shì)。

第三，推動(dòng)整個(gè)服務(wù)交付團(tuán)隊(duì)能力升級(jí)，培養(yǎng)安全工程師技術(shù)能力，通過(guò)相關(guān)安全認(rèn)證機(jī)構(gòu)以及安全廠商的技術(shù)認(rèn)證，提升 “云網(wǎng)安”一站式解決方案交付能力，以整體業(yè)務(wù)視角保障SASE項(xiàng)目交付。

第四，從提供一站式網(wǎng)絡(luò)解決方案，升級(jí)為提供“網(wǎng)絡(luò)+安全規(guī)劃+項(xiàng)目落地實(shí)施+后期運(yùn)營(yíng)響應(yīng)”的一站式網(wǎng)安解決方案。建設(shè)NOC（網(wǎng)絡(luò)運(yùn)營(yíng)中心）+SOC（安全運(yùn)營(yíng)中心）雙運(yùn)營(yíng)響應(yīng)體系，為各類網(wǎng)絡(luò)故障和安全事件的解決提供敏捷高效的支撐保障。

徐頡談到，在SASE服務(wù)升級(jí)的過(guò)程中，第一線主要關(guān)注的就是三點(diǎn)——“融合、簡(jiǎn)化、彈性”。

“一是要融合，本身我們有SD-WAN，在此基礎(chǔ)上怎么將安全服務(wù)能力與之進(jìn)行融合；二是要簡(jiǎn)化，網(wǎng)絡(luò)服務(wù)可以訂閱，安全服務(wù)同樣可以訂閱，用戶不需要再自己去部署和維護(hù)，這對(duì)用戶來(lái)說(shuō)是做減法，對(duì)服務(wù)商來(lái)說(shuō)就是如何實(shí)現(xiàn)統(tǒng)一交付；三是彈性，安全服務(wù)要像網(wǎng)絡(luò)服務(wù)一樣具備彈性，客戶在其簽約的生命周期內(nèi)可以實(shí)現(xiàn)靈活縮容或擴(kuò)容。”

在這一目標(biāo)的驅(qū)使下，第一線在云網(wǎng)服務(wù)基礎(chǔ)上加碼“安全”，形成了集SSE、SD-WAN組網(wǎng)、網(wǎng)絡(luò)與安全統(tǒng)一可視化管理于一體的一站式融合解決方案，逐漸完成從云網(wǎng)服務(wù)商到云網(wǎng)安服務(wù)商的蛻變。

場(chǎng)景適配：對(duì)癥下藥，為遠(yuǎn)程辦公鑄就零信任防護(hù)

對(duì)于自身定位的升級(jí)，第一線有著清醒的認(rèn)識(shí)。徐頡提到，同樣是提供網(wǎng)安服務(wù)，轉(zhuǎn)型到云網(wǎng)安服務(wù)商的第一線，和專業(yè)安全廠商之間還是有著明顯的差異。

“對(duì)于安全廠商來(lái)講，擅長(zhǎng)的是安全技術(shù)加安全解決方案，通常賣的都是一次性的軟硬件打包的解決方案。而第一線的優(yōu)勢(shì)是為客戶提供專業(yè)一站式服務(wù)。所以，未來(lái)在SASE服務(wù)中，第一線會(huì)與頭部安全廠商合作，集成其安全功能，提供全生命周期的服務(wù)。雙方各自發(fā)揮所長(zhǎng)?！?/p>

“服務(wù)”是第一線SASE的核心。而要提供貼近用戶需求的SASE服務(wù)，第一線從一開(kāi)始就意識(shí)到要扎根場(chǎng)景，提煉出最基本的場(chǎng)景需求再進(jìn)行設(shè)計(jì)、研發(fā)和迭代。

“第一線大量的存量客戶都是組網(wǎng)類型客戶，這類客戶的訪問(wèn)需求通常是訪問(wèn)分支機(jī)構(gòu)、訪問(wèn)總部/數(shù)據(jù)中心，還有疫情以來(lái)，遠(yuǎn)程辦公用戶有所增多，遠(yuǎn)程訪問(wèn)需求量提升?！?/p>

因此，第一線SASE面向的三類基本場(chǎng)景分別為企業(yè)內(nèi)網(wǎng)安全、互聯(lián)網(wǎng)訪問(wèn)、遠(yuǎn)程安全接入。

針對(duì)總部/數(shù)據(jù)中心到分支的內(nèi)網(wǎng)安全，企業(yè)可通過(guò)SASE POP敏捷組建企業(yè)安全內(nèi)網(wǎng)，結(jié)合IPS實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)威脅流量的把控與攔截，結(jié)合DLP防止關(guān)鍵文件被非法拷貝下載；針對(duì)企業(yè)訪問(wèn)互聯(lián)網(wǎng)與SaaS服務(wù)，企業(yè)可基于SASE POP作為統(tǒng)一訪問(wèn)出口，以收斂攻擊面，減小入侵與惡意攻擊威脅。結(jié)合SWG能力可提供網(wǎng)站動(dòng)態(tài)分類，自動(dòng)屏蔽對(duì)有安全威脅網(wǎng)站的訪問(wèn)行為；針對(duì)分散的遠(yuǎn)程辦公人員接入企業(yè)，第一線零信任圍繞訪問(wèn)者身份，賦予其對(duì)應(yīng)用的最小操作權(quán)限，通過(guò)微隔離和動(dòng)態(tài)身份驗(yàn)證，進(jìn)而實(shí)現(xiàn)對(duì)企業(yè)數(shù)據(jù)訪問(wèn)的“貼身”保護(hù)。

就遠(yuǎn)程辦公場(chǎng)景來(lái)說(shuō)，零信任模型的引入可以基于不同用戶實(shí)現(xiàn)差異化應(yīng)用授權(quán)，提升用戶接入安全性控制。因?yàn)榱阈湃螐?qiáng)調(diào)“永不相信，始終驗(yàn)證”。但是近年來(lái)關(guān)于“零信任”的議題也屢屢引起爭(zhēng)議，比如零信任改造的成本問(wèn)題，零信任是否有“過(guò)度防御”之嫌。

對(duì)此，徐頡認(rèn)為，零信任的實(shí)施首先要關(guān)注用戶需求?！耙獙?shí)施零信任，需要企業(yè)用戶提前規(guī)劃好各類應(yīng)用定義以及不同用戶的授權(quán)策略，以實(shí)施精細(xì)化的管理，安全管控效果肯定是增強(qiáng)的，但這需要理念的轉(zhuǎn)變和花費(fèi)相當(dāng)?shù)臅r(shí)間。如果一個(gè)客戶沒(méi)有特別復(fù)雜的應(yīng)用，訴求也比較簡(jiǎn)單，硬要實(shí)施零信任會(huì)導(dǎo)致成本的提升?！?/p>

在徐頡看來(lái)，零信任對(duì)傳統(tǒng)安全策略來(lái)說(shuō)更像是一種替代升級(jí)?！八皇峭耆嵏布韧募夹g(shù)，整體而言，零信任是對(duì)傳統(tǒng)安全策略的一次迭代升級(jí)。零信任和傳統(tǒng)安全策略可以融合共生，兩者在能力上相輔相成，共同為企業(yè)提供更加完善的安全防護(hù)。”

落地：打造差異化優(yōu)勢(shì)，向云網(wǎng)安一體化時(shí)代邁進(jìn)

縱觀國(guó)內(nèi)外SASE市場(chǎng)，入局者眾多，但市場(chǎng)競(jìng)爭(zhēng)格局尚不穩(wěn)定。第一線要脫穎而出，打造差異化優(yōu)勢(shì)是必然路徑。徐頡談到，第一線將圍繞以下四個(gè)方面發(fā)力。

其一，敏捷交付。“第一線有標(biāo)準(zhǔn)的網(wǎng)絡(luò)節(jié)點(diǎn)，但有些客戶還是希望能有就近的接入點(diǎn)。如何把安全服務(wù)鏈的能力下沉到更多POP點(diǎn)是我們一直在考慮的問(wèn)題。目前，第一線SASE可實(shí)現(xiàn)最快一小時(shí)內(nèi)搭建SASE POP，滿足客戶就近獲取安全的要求。”

其二，彈性伸縮?！癝ASE要作為SaaS服務(wù)的一種形態(tài)，必須保證彈性伸縮落到實(shí)處。客戶下單后無(wú)需等待，馬上可依據(jù)自身發(fā)展需求，對(duì)安全與網(wǎng)絡(luò)服務(wù)進(jìn)行按需訂閱，實(shí)現(xiàn)最優(yōu)的成本投入。”

其三，一站式管理?！拔覀兲峁┓?wù)是在SD-WAN平臺(tái)上把相應(yīng)的SSE功能集成支持進(jìn)去，讓客戶通過(guò)第一線SD-WAN & SASE管理平臺(tái)，對(duì)全局網(wǎng)安態(tài)勢(shì)進(jìn)行可視化監(jiān)控與分析，以精準(zhǔn)處置問(wèn)題?！?/p>

其四，精細(xì)化管控。除了統(tǒng)一配置之外，管理平臺(tái)還要支持編排安全與網(wǎng)絡(luò)策略，基于策略驅(qū)動(dòng)，以便各應(yīng)用可以獲得最佳的網(wǎng)絡(luò)資源與安全防護(hù)支撐。

如何以差異化優(yōu)勢(shì)推進(jìn)SASE落地？徐頡以某消費(fèi)電子客戶為例進(jìn)行了介紹，該客戶希望能為各分支機(jī)構(gòu)提供統(tǒng)一安全互聯(lián)網(wǎng)出口訪問(wèn)Internet和SaaS，避免外部入侵和惡意攻擊。同時(shí)，客戶還比較注重內(nèi)網(wǎng)的數(shù)據(jù)資產(chǎn)安全，但不想過(guò)多參與安全的部署中，希望簡(jiǎn)化客戶側(cè)的運(yùn)維管理。最終，第一線基于SASE POP向客戶提供統(tǒng)一的互聯(lián)網(wǎng)出口，并按需開(kāi)啟“防火墻、入侵檢測(cè)、數(shù)據(jù)防泄漏、URL過(guò)濾、防病毒、反爬蟲(chóng)”等互聯(lián)網(wǎng)出口安全訂閱功能?？傮w來(lái)說(shuō)，客戶對(duì)交付的方案比較滿意。第一，安全策略基于云端統(tǒng)一管理，網(wǎng)絡(luò)安全一站式編排，簡(jiǎn)化了客戶側(cè)運(yùn)維管理。第二，客戶可基于各個(gè)分支機(jī)構(gòu)實(shí)際的業(yè)務(wù)規(guī)模和流量，訂閱不同階梯的SASE服務(wù)，且在合約期內(nèi)可支持彈性擴(kuò)縮容，有效節(jié)約了成本。

在云網(wǎng)安一體化的構(gòu)建之路上，第一線邁出了堅(jiān)實(shí)的一步。展望未來(lái)的征程，面向云網(wǎng)安融合的時(shí)代，立足云網(wǎng)安服務(wù)商的定位，第一線有著更多的藍(lán)圖需要實(shí)現(xiàn)：繼續(xù)升級(jí)擴(kuò)建SASE服務(wù)接入能力；與頭部安全廠商加深合作，打造定制網(wǎng)安方案；引入AI功能，對(duì)網(wǎng)絡(luò)故障和安全事件預(yù)判、檢測(cè)、告警，增強(qiáng)網(wǎng)安智能化運(yùn)維……

“道阻且長(zhǎng)，行則將至；行而不輟，未來(lái)可期?！币粚?shí)數(shù)字經(jīng)濟(jì)底座，推動(dòng)數(shù)字基礎(chǔ)設(shè)施的互聯(lián)互通與創(chuàng)新發(fā)展，離不開(kāi)產(chǎn)業(yè)鏈上下游企業(yè)的攜手共進(jìn)。徐頡表示，第一線會(huì)以SASE產(chǎn)品發(fā)布為契機(jī)，未來(lái)將與更多合作伙伴及企業(yè)用戶攜手同行，打造產(chǎn)業(yè)共贏新生態(tài)。

關(guān)鍵詞：