智慧安全3.0實踐｜SASE技術架構的演進之路

一、 網路安全的本質：攻防的博弈對抗

隨著《中華人民共和國網路安全法》《中華人民共和國密碼法》《中華人民共和國資料安全法》等政策法規的釋出和實施，我國資訊科技和網路安全相關法律不斷健全。網路安全體系和防護技術優劣評價標準成為行業內討論和探索的重要課題。企業安全建設從傳統的“產品檢查”轉換為“能力檢查”，以往堆砌網路安全裝置應付合規要求和檢查的方式，被攻防演練取代，促使企業的網路安全建設方針從“合規”到“效果”的需求升級，迴歸了安全攻防對抗的本質。

綠盟科技“智慧安全3.0”理念體系的要素之一就是“實戰化”。面對層出不窮的攻擊技術和手段如何進行實時對抗以達到有效防護，是安全防護體系和對抗技術有效性衡量的重要指標。本文將詮釋“智慧安全3.0”中實戰化的內涵、外延以及SASE技術架構對實戰化理念的實踐。

二、 智慧安全3.0實戰化的內涵、外延

智慧安全3.0理念是以體系化建設為指引，構建“全場景、可信任、實戰化”的安全運營能力，實現“全面防護，智慧分析，自動響應”的防護效果。本文就安全運營的三大能力的組成之一實戰化展開解讀和討論。

智慧安全3.0中的實戰化要素主要包含如下方面的內容：

1）以戰領建，完善實戰化考評培養

“實踐是檢驗真理的唯一標準”，攻防實戰演練已成為檢驗運營單位網路安全綜合防禦水平的“試金石”和提升網路攻擊應對能力的“磨刀石”。

在實戰中，要求攻擊模擬者不限資產型別和區域位置，採用指令碼漏洞、框架弱點、口令探測、欺騙釣魚等常規攻擊手段，結合0day漏洞打擊、隱蔽身份、木馬工具繞過安全監測等強對抗手段，充分挖掘運營單位網路安全技術架構和管理體系架構中的短板，透過全方位一體化的安全態勢監控能力，將缺失和防護效果不佳的安全能力進行整體的梳理和規劃，採用符合業務發展漸進式的安全建設策略，推進安全技術架構的演進和管理體系架構的完善。

2）按需排程，加強針對效能力適配

2021 RSA大會的主題是“Resilience （彈性）”，其本質是靈活應變的能力。由於網路安全風險的不可預見性，以及業務場景的多樣性和複雜性，要求安全體系和防護方法也需要具備足夠的靈活性和適配性。在企業的安全建設中採用零信任體系的思想，也需要考慮業務重要級別和服務型別，部署和實施不同安全策略，以便達到業務精細化的防護效果。

比如針對高度敏感且僅面向特權使用者開放的業務，則需要採用多因子生物特徵認證方式保證使用者的身份高可靠，基於事務授權方式保證許可權高可控，且雲桌面訪問資料的方式保證資料防洩漏；針對低度敏感且面向所有使用者開放的業務，則採用證書認證、角色授權進行安全管控即可，以提高使用者訪問的易用性，達到易用性和安全性平衡。安全能力在實施和部署過程中，也需要充分進行資源化和服務化的設計，以便能夠根據具體的業務場景的安全需求，進行快速靈活對安全能力進行編排和安全資源的彈性部署。

3）高效攻防，強化對抗的及時有效

在安全運營的過程中，對於攻擊事件的響應時間和對抗效果，是衡量其效率的兩大關鍵因素，經驗豐富的攻擊者，往往會在非工作時間，短暫且高效地完成對業務的致命攻擊，以便避開專業防護人員的監控和有效對抗及溯源。

常見的DDoS攻擊防護方式，通常是透過流量異常檢測來發現攻擊事件，然後針對流量的取樣和分析，再進行防護策略的調整和應對，而一旦攻擊發生在深夜或者跨時區的國際地域，導致發現到處置的時間較長，可能攻擊已經停止，故在攻擊檢測和防護體系中，增加AI的能力勢在必行。透過多維智慧識別技術識別攻擊，自適應擬態的方式進行最優的防護策略，並對樣本進行攻擊溯源和攻擊者畫像，再利用SOAR技術將識別、防護、溯源和畫像進行自動化編排，形成防護閉環，以實現對風險快速和自適應響應。

三、 SASE技術架構是安全運營實戰化理念的實踐

SASE（安全訪問服務邊緣，Security Access Service Edge）是Gartner諮詢機構分析師Neil MacDonald於2019年8月在《網路安全的未來在雲端》報告中，首次提出的一種安全理念。Gartner對SASE的定義：SASE 是一種基於實體的身份，實時上下文、企業安全/合規策略，以及在整個會話中持續評估風險/信任的服務。實體的身份可與人員、人員組（分支機構）、裝置、應用、服務、物聯網系統或邊緣計算場地相關聯。

引用Gartner文章《網路安全的未來在雲端》

在2021年1月，諮詢機構Forrester很快意識到這個理念的前瞻性和重要性，於是在2021年1月釋出的《為安全和網路服務引入零信任邊緣（ZTE）模型》報告中，正式提出ZTE（零信任邊緣，Zero Trust Edge），將零信任進行劃分為資料中心零信任，即資源側的零信任和邊緣零信任，邊緣側的零信任訪問安全ZTE。

引用Forrester文章《為安全和網路服務引入零信任邊緣（ZTE）模型》

SASE和ZTE兩個理念在從技術角度來看是相似的，不同之處不同諮詢機構進行推廣和宣貫，且都將對方包含於自身體系的一個部分，其對比關係可以從下圖進行詮釋。

從企業部署和實踐SASE服務的視角來看，其將網路即服務和網路安全即服務功能進行融合，將網路控制和安全控制向使用者接入邊緣側靠近，並以雲原生的方式提供可以訂閱的運營服務。

在客戶場景中SASE服務的實施完成後，需要將“以戰領建”的理念貫穿其持續運營過程中，在將客戶的業務和採購的SASE服務進行實施上線之後，需要定期採用行業中最新的攻擊技術，實戰化的攻防演練對抗，以便及時發現整體業務運營過程中的安全隱患；如果隱患的原因是客戶已經採購安全服務的防護效果不達標，則需要SASE安全服務能力進行持續建設和最佳化；如果隱患需要新的安全技術和服務來進行解決，則需要從滿足客戶安全需求的角度，進行SASE新服務的推薦，以便客戶業務的安全能力建設達到與時俱進的水平。

SASE服務採用雲原生理念進行設計和實施，天然具備“按需排程”的能力，也繼承了雲原生架構的多租戶、彈性擴容、敏捷釋出和按時付費的能力。SASE服務以雲化多租戶方式，在全球範圍廣泛部署接入PoP節點，每個PoP節點都具備全系列網路和安全服務能力棧，提供即訂即用的方式進行安全能力的開通和釋出，採用訂閱範圍和租用時長進行服務收費，以便達到客戶業務在發展過程中對業務的按需排程和彈性擴充套件的需求。

SASE既然是一種服務，那麼客戶本質上關心的就是企業面臨的安全具體問題能不能得到解決，而不再是任何單一產品的具體功能。在安全攻擊事件發生時，“高效攻防”是SASE安全服務質量的核心指標，是在儘可能保證業務質量的情況下，提升攻擊防護的時效性。

SASE安全策略的執行是將服務化的檢測和防護能力集中化地部署在PoP節點中，靠近流量接入的PoP點作為安全策略的執行點，避免了終端長路徑探測和流量大範圍排程所帶來對業務高延時和低可靠的影響。

SASE安全能力的運營，是透過客戶提供事前預防、事中防護、事後溯源的整體解決方案來實現提升攻防的時效性。事前預防結合當前網路安全輿情的威脅情報，監控SASE節點中網路、應用和主機的威脅流量和業務的服務健康度等方面，快速準確識別攻擊的發生；事中防護應用自適應的策略調整、自動化的能力編排、專家化的對抗研判和業務恢復反饋相結合，達到緩解攻擊達到業務正常運營水平；事後補償能根據海量的攻擊資料資訊，透過大資料分析幫助使用者定位到攻擊者，並進行攻擊者畫像和相關證據收集，以便對攻擊者和攻擊源進行持續治理。

綜上所述，SASE技術架構是安全運營實戰化理念的探索和實踐，需要我們透過產品化和服務化的形式，推進SASE架構的落地運營和演進完善。

四、SASE技術框架及服務介紹

綠盟科技SASE服務整合SD-WAN網路服務和多種安全服務（包括零信任訪問控制、雲安全閘道器、雲威脅防護等），是網路和安全一體化的SaaS服務。其整體的技術架構如下圖所示：

目前綠盟科技SASE服務，主要包括私有應用訪問服務NPA和網際網路安全訪問服務NIA， 分別對應SASE方案裡入流量場景和出流量場景的安全能力建設。

綠盟私有應用訪問服務（NSFOCUS Private Access，NPA）

NPA服務主要解決使用者的私有網路/應用訪問對企業造成的安全問題。NPA服務基於零信任原則設計，為企業應用做基於使用者、裝置和應用身份等上下文資訊的實時接入控制。該服務不僅具備為應用提供零信任訪問控制、多因子認證、支援SDP接入、隱藏公網可達的企業應用、賦予應用抗DDoS屬性、支援全程流量加密等多項基礎能力，而且具備應用健康監控、第三方身份服務、提供商對接等高階能力。該服務應用在遠端/移動辦公場景，保護內網安全；應用在多分支、多合作伙伴訪問多地業務，簡化業務管理；應用在多雲資產管理，收斂暴露面，提高雲上業務安全性。

綠盟網際網路安全訪問服務（NSFOCUS Internet Access，NIA）

NIA服務主要解決企業進行網際網路訪問時外部網路對企業造成的安全問題。NIA即服務化的雲上安全閘道器，是基於防火牆、IPS、沙箱等安全技術為客戶提供針對Web和Internet威脅的強力保護。NIA具備URL過濾、雲安全閘道器、防惡意軟體、Web訪問控制等基礎安全能力以及釋出威脅情報等高階安全能力，為企業提供上網安全防護、上網行為審計等服務，是企業到外部充滿威脅的網路環境的安全隔離帶。

該服務應用於上網辦公場景，能從監測、阻止威脅到及時響應阻斷已擴散的情況，全過程多方位地保障員工終端上網安全。應用於公有云SaaS應用使用場景，能基於大資料流量分析安全平臺精準檢測、智慧分析、及時響應，有效抵禦各類威脅。相比傳統上網安全建設方案，NIA服務使得企業分支建設負擔減小，企業無需本地部署安全硬體，僅需輕量的即插即用SD-WAN CPE部署，即可將上網流量導向綠盟科技SASE，進行雲端安全防護。

五、總結

Gartner分析預測，未來5至10年，SASE將會成為主流安全解決方案，從國際上網路和防火牆巨頭（例如Cisco、 Palo Alto）到SD-WAN和網路安全新貴（例如Zscaler、CATO）均對SASE的能力和技術進行方案推廣和實踐落地。綠盟科技以智慧安全3.0理念為引領，建立“人員為核心、資料為基礎、運營為手段”的安全運營模式，深入結合運營商、金融和政府等行業安全需求，推進綠盟科技SASE服務的產品和技術不斷演進，為客戶的網路安全保駕護航。