一、專案背景
中國電信上海研究院作為中國電信集團安全產品開發和業務研究的主要科研機構,是中國電信集團研發和創新體系的重要組成部分。綠盟科技長期耕耘運營商行業市場,與中國電信上海研究院保持長期穩定的安全創新技術領域的合作。本次合作聚焦SASE(安全訪問服務邊緣)技術研究與開發,為雙方在新技術新產品的合作研發又邁進了一步。
綠盟科技具有豐富的安全防護經驗和深厚的技術實力,積極投入新技術新產品研發,並作為運營商的長期合作伙伴,持續跟進現網業務需求變化,透過長期不斷地技術積累,確保了本次合作的達成。
二、SASE概念介紹
Gartner對SASE(安全訪問服務邊緣)的定義是:一種結合了廣域網功能和全面的網路安全功能(例如Secure Web Gateway安全Web閘道器, Cloud Access Security Broker雲訪問安全代理, Firewall SaaS防火牆即服務和Zero Trust Network Access零信任網路訪問)的新興產品,能滿足數字化企業的動態安全訪問需求。
圖 1 SASE組成,Gartner《The Future of Network Security Is in the Cloud》
從業務角度來理解,SASE就是融合了網路服務和安全服務的SaaS服務。
國際市場上,大量安全、網路廠商湧入SASE領域。目前較成熟的SASE服務,如CATO network的CATO Cloud、ZScaler的ZIA服務(ZScaler Internet Access)、PaloAlto的PrismaAccess等,均依託於強大的全球化分佈PoP點的邊緣雲,向客戶提供安全可靠、網路質量佳的訪問接入+安全防護SaaS服務。例如ZScaler的ZIA服務,它可以為任意地點的所有辦公室和訪問者提供統一的安全防護,並使企業可彈性訂閱網路安全能力,減少整體建設投入。這些新興服務滿足了雲端計算時代的企業需求,尤其在疫情催化下,SASE需求快速增長,在全球範圍內得到了廣泛的應用。
運營商同樣也關注到了這一發展趨勢,SASE可以說是未來安全SaaS服務的發展方向。
三、綠盟科技SASE服務介紹
2021年綠盟科技推出SASE的兩大核心SaaS服務,分別是私有應用訪問服務(NSFOCUS Private Access)和網際網路安全訪問服務(NSFOCUS Internet Access)。綠盟科技SASE服務符合Gartner的SASE模型定義,PoP節點分佈全球,雲上整合SD-WAN網路服務和多種安全服務(包括零信任訪問控制、雲安全閘道器、雲威脅防護等),為客戶提供網路和安全一體化SaaS服務。
圖 2 綠盟科技SASE架構圖
私有應用訪問服務NPA,主要以零信任訪問控制技術解決企業使用者的私有網路/應用訪問安全問題。網際網路安全訪問服務NIA,主要解決企業上網安全問題,是企業與外部充滿威脅的網路環境的雲上安全隔離帶。兩大服務同時也結合SD-WAN提供訪問加速、QoS等能力,企業分支無需本地部署安全硬體,僅需即插即用SD-WAN CPE,即可將上網流量導向綠盟科技SASE,進行安全防護。
四、方案簡介
綠盟科技針對客戶需求,結合客戶實際安全資源池的部署應用情況,提出SASE管理平臺設計方案,以幫助客戶完成SASE業務的驗證。
圖3 SASE管理平臺總體架構
整體方案設計上,SASE管理平臺由網路服務、安全服務、運營服務三大模組組成。
其中網路服務模組主要實現PoP點間連線管理、企業固網和移動終端智慧就近接入PoP點,PoP選路演算法等能力。安全服務模組主要提供安全能力排程編排、安全策略下發、SDP接入、零信任訪問控制、使用者上下文行為分析等能力。運營服務模組主要做多PoP點的企業業務管理和安全資源池管理,包括企業使用者和應用配置管理、企業安全事件呈現等。
在綠盟科技智慧安全3.0理念指導下,綠盟科技SASE可讓使用者快速具備“全場景、可信任、實戰化”的安全運營能力,實現“全面防護,智慧分析,自動響應”的防護效果。未來,綠盟科技將緊跟技術發展趨勢,結合運營商行業安全需求,推進綠盟科技SASE服務的產品和技術不斷演進,為客戶的網路安全保駕護航。