混合多雲的時代已經到來,企業業務突破傳統物理邊界,獲得了發展的新動能,但同時多雲也帶來更復雜的IT環境和更嚴峻的安全挑戰。目前,上雲企業正在尋求一種新的安全理念或者架構體系,來保障業務的正常運轉。零信任、SASE似乎已經成為了未來的新方向,引起了業界的廣泛關注。
日前,騰訊安全總經理楊育斌接受CSA首期安全“咖”啡館活動專訪,和CSA大中華區多雲安全工作組組長魏小強深度對話,作為CSA“咖”啡館開館第一位業界大“咖”,楊育斌圍繞多雲環境、零信任、SASE等行業熱詞,就新形勢下企業網路安全的架構帶來精彩分享。
(騰訊安全總經理楊育斌)
混合多雲時代
網路安全的新理念:零信任
Q:多雲時代和零信任的關係是什麼?
上雲打破了傳統企業邊界理念,隨著雲端計算和各種應用的融合,很多企業需要應用不同的雲環境保證業務的連續性和容災能力,多雲策略越來越普及。Gartner有報告指出,未來90%以上的企業都會採取多雲策略。
多雲是企業網路環境或者物理環境邊界的擴張,在擴張過程中,安全狀況會變得越來越複雜。越來越多的企業發現,傳統基於邊界防禦手段已經不能適應目前的安全防護需求,行業需要一種新的架構體系或者說理念來彌補傳統防護方式的不足。零信任遵循永不信任,持續驗證的理念,可以很好的解決傳統圈地式防禦顆粒度比較粗的問題,已經成為了網路安全行業的熱詞。
Q:零信任能解決所有的安全問題麼?
安全是沒有銀彈的,無論是傳統的安全體系還是現在的零信任,或許未來還會出現一個新的名詞和技術手段,但解決的都是一個階段的問題,在發展過程中行業會不斷發現還有新的問題沒有解決,然後持續去改進防護手段。而且,零信任和傳統的邊界防禦是可以並存的,他們解決的問題不太一樣。如果是基於可信的網路結構,傳統的邊界防禦還是有效且高價效比的防禦手段。
Q:零信任如何協調業務發展與網路安全之間的關係?
零信任最早的用途是讓辦公可以無處不在,讓企業員工即便在不信任的網路環境下也能接入到企業內網去辦公,安全邊界是從內網擴散到整個網路。如果用傳統的安全體系去評估,是很難辦到萬無一失的。零信任理念主張持續的驗證,顆粒度很小的授權,以及每次動態埠一次一密,雙向加密等各種嚴格的手段,是一種動態的防禦思想,能夠打破原有業務的邊界,讓業務走得更遠。
Q:如果沒有零信任,會發生什麼情況?
舉個典型的例子,曾經有客戶抱怨,他的防火牆上有幾千條策略,很多策略都是臨時加的,有時候需要臨時為業務合作伙伴開個埠,有時需要服務員工辦公環境的臨時變化,但他已經記不清這些策略到底哪些有用,什麼時候加的,為什麼加,所以在遷移機房的時候這些策略遷移還是不遷移,就成了難題,總體來說維護成本非常高昂。
零信任的特點在於放大了安全邊界,擴大了保護半徑,透過持續驗證來確保所有訪問動作是可信的,也可以透過很多資訊的融合分析,來確保整個鏈路的訪問過程對於網路管理員或者安全從業者來說都是可見的,對於客戶來說它打破了原有的安全策略靜態疊加的方法,採取更靈活的動態最小授權,提供了更好的使用者體驗,擴大了業務安全半徑。
安全訪問服務邊緣SASE的
應用難題
Q:如何看待最近很火的安全訪問服務邊緣SASE及其與零信任的關係?
SASE更加體現了融合的概念。零信任是一種安全的新思想,把各個分散的端和邊界做融合的安全管控。SASE是更大範圍的融合,從橫向來說,會把包括公有云和私有云在內的各個雲都給打通,縱向來說覆蓋了邊緣計算到各種感測器的網路。當然在連線、最小授權、如何在不可靠的連線環境下更安全的訪問網路等層面,SASE與零信任是相輔相成的。
Q:SASE在落地過程中有哪些難題?
SASE的玩家,主要有云廠商、網路運營商還有安全運營商。其中最難的問題就是這三者怎麼樣能夠真正的融合到一起,因為SASE的核心就是網路和安全還有服務的融合。網路運營商有固定網路保障模式,但是在網路保障的同時,如何保證一個業務異構環境下平行空間的安全同步,目前還沒有看到一個很成功的落地案例。
另外安全廠商需要有不同的運營商來提供不同的邊緣節點實現業務的就近接入,但是邊緣節點並不受控。如何讓不同運營商自建的網路真正實現融合,讓業務跨供應商的就近接入,同時保證安全,是行業需要共同努力探討的問題。
混合多雲時代
網路安全的未來展望
Q:IT環境越來越複雜,攻擊面增加,同時人們追求隨時隨地安全訪問的使用者體驗,有什麼手段來實現兩者的平衡?
融合的思路是不會變的,業務發展一定會打破傳統的網路邊界帶來新的應用場景。網路安全未來的複雜性也在於融合,比如說多雲融合和雲邊結合的環境會帶來無處不在的安全需求。結合傳統安全以及零信任的理念,對不安全的傳輸、網路進行最小授權和視覺化監控等策略,會是未來的發展方向。
另外,所有的邊界或者節點,慢慢的都變成了安全的感測器或者是感測節點,將新的安全思想或者手段植入到傳播層,在每一層的傳輸中,對流量進行視覺化的監控是更加容易落地的思路。而如何實現業務與業務之間的聯通和建立信任關係,並在這個過程中保證資料的安全,完成資料的合規審計等,會是更大的挑戰。
Q:網路安全有什麼新的服務模式?
安全產品原來是解決一個問題,未來安全更應該作為一種基礎平臺,來實現對資訊化IT系統的支撐,並完成自身的解耦,將安全服務能力模組化、元件化,由業務單元按需呼叫,並由專業的安全人員安全組織對異構元件進行安全運維乃至安全運營,為客戶提供更加敏捷、輕量、高價效比的XaaS服務模式。
Q:如何建設協調統一的網路安全生態?
安全無處不在,數字化轉型一邊帶來了便利,一邊也帶來了巨大的安全風險,安全從業者需要各種技術理念的融合,更需要生態的聯合協同,才足以應對未來複雜的安全風險。在協同的層面,當前各種的安全產品或者安全服務,包括安全的業務模式,面臨最大的問題還是控制面如何能夠統一。
借用零信任理念來說,無論是在邊界、網路、應用或者身份層面,零信任的各種服務都是一些元件,需要統一的安全策略體系來調動這些元件。安全運營商在給客戶設計安全體系的時候,首先要統一安全策略,把安全策略所用的場景確定清楚,之後採用哪些元件,元件與元件之間如何通訊,如何協調安全和通訊之間的排程關係,就比較容易往下梳理,產品的介面、標準也更容易統一。
Q:總結一下未來網路安全建設的幾個關鍵要點。
幾個關鍵詞。首先我們討論多雲環境、零信任或者是SASE,第一個關鍵詞就是融合,傳統安全架構和零信任等新架構,在各種雲和網路環境中,在各種業務場景下都要進行融合;
第二個詞是解耦,融合首先需要產品要解耦,要實現元件化,能夠被整合被呼叫,融合才有基礎,大家都各自為政,還是傳統的包圍圈防禦體系;
最後一個詞語是統一策略,一定要有統一的安全策略,在融合的環境裡面去完成元件化的呼叫,完成策略同步,才能真正做到零信任,實現每一步都驗證。