This post is also available in: English (英語) 简体中文 (簡體中文) 日本語 (日語) 한국어 (韓語)
作者:Palo Alto Networks 創始人暨 CTO,Nir Zuk
應用程式持續遷移到雲端,使用者行動力不斷提升,正促使交付網路與網路安全服務的方式有所變更。網路安全的未來就在雲端,這一新的模式稱為「安全存取服務邊緣」或 SASE (音同「sassy」)。Palo Alto Networks 創始人暨 CTO Nir Zuk 過去幾年始終在透過 Prisma Access 產品 (業界最為全面的 SASE 產品) 推動這一變革。藉由此次機會,Nir 將說明為何 SASE 對於網路安全而言是一種邏輯上的進化。Palo Alto Networks 的思維領袖們正在探索整合且有效 SASE 解決方案的核心原則,並在更廣泛的範圍內探索其實作與影響。本文是這一系列文章中的第一篇。
在雲端驅動的環境下,安全工具需要整合、一致且從其所應該保護的雲端中交付。這一說法貫穿了我的整個安全工作職業生涯,為此需要持續的演進才能跟上技術的變化,以及確保使用者、應用程式與數據的安全。現在這依然是我的工作重心。不過,在面臨網路安全的未來以及逐漸融合的趨勢時,傳統的單點產品方法將不再有效。
大約 25 年前,我是業界第一個具狀態檢查防火牆的首席開發人員。那是在網際網路的早期階段,當時引人矚目的防火牆技術為無狀態存取控制清單 (ACL)。ACL 無法處理新興的具狀態應用程式,像是網際網路音訊與視訊應用程式 (或甚至是當時熱門的 FTP),因此新的方法很顯然是必要的。嘗試使用 Proxy 技術證實是無用的,因為 Proxy 過於緩慢,導致妨礙這些應用程式的效能。具狀態檢查已經過實測兼具實用性與安全性,這也是為什麼此後它主宰了網路安全市場。
大約 15 年前,顯然網際網路應用程式的數量呈現爆炸性的成長,而這對具狀態檢查造成挑戰,因此採用新的方法再次成為必要措施。先前因應該挑戰的嘗試是採用新興的 Proxy 技術 (這是第二次了!)。結果是再次失敗,因為 Proxy 先天上效能不佳,而且其無法檢驗所有網路流量類型。我感覺我不得不再次修正防火牆,這促使我建立 Palo Alto Networks 並研發可取代具狀態檢查的產品,即以 App-ID 為基礎的新世代防火牆,至少目前為止這是市場上最先進的防火牆。
今天我們見證了另一項在應用程式中發生的變化,從而導致對於網路安全所帶來的其他變化。這一次,應用程式從公司數據中心移動至雲端,包含 SaaS 與公有雲。採用雲端對於防火牆架構再次帶來挑戰,需要採取相應對策。沒錯,初期同樣嘗試使用 Proxy 來因應這項挑戰,但與過去相同,依舊因為相同原因而失敗。
是時候再次修正網路安全了。
隨著時間推移,組織內通常會有不少的網路安全基礎結構。其中有一種基礎結構可保護分公司,而流量通常會透過 IP-VPN (想像成 MPLS) 網路回傳至公司總部或數據中心,至於網際網路流量則從那裡透過組織的網路安全堆疊進行路由。還有能允許遠端存取公司數據中心的網路安全基礎結構。
隨著應用程式移動至雲端,強制所有分公司、使用者與合作夥伴的流量透過公司總部或數據中心傳回的舊有方法便不再適用。從雲端提供相同網路安全堆疊的方法更為實際,此類以雲端為目標的流量不必抵達公司網路,需要送往公司數據中心的流量也更少。
透過從雲端提供網路安全,您可以保護位於任何位置的使用者、應用程式以及數據。
SASE:打造全方位的安全防護
Gartner 已針對雲端上的網路與網路安全提倡新的模式,稱為「安全存取服務邊緣」或 SASE,音同「sassy」。根據 Gartner 的說法:
「安全存取服務邊緣是一種新興的服務,結合了全方位的 WAN 功能與完備的網路安全功能 (例如 SWG、CASB、FWaaS 與 ZTNA),以支援數位企業對於動態安全存取的需求。」
實際上,Gartner 堅信 SASE 能夠滿足雲端與行動環境的需求,且能處理傳統網路與安全架構的挑戰。
我同意這項概念,而在我的認知中,它是相對簡化的。SASE 是一種將不同的存取與網路安全方法匯聚至一個共同平台的服務。然而最重要的是這個共同平台必須確保順暢的使用者體驗。它必須建置在高效能的全球網路之上,這代表著它已非多數較小型廠商所能處理的範疇。SASE 需要的整合層級在安全產業中是前所未有的。它不像是分散型安全產業中的其他方式,那種的進入門檻相當低。
過去的網路安全產業致力於說服客戶,他們需要與多家廠商合作,並使用多種單點產品與技術。然而,網路安全的未來就在雲端,而安全廠商必須持續演進,才能隨時隨地有效地確保客戶的安全。
在 Palo Alto Networks,我們已預見這樣的轉變,並打造了強大的 SASE 解決方案。Prisma Access 提供組織在 SASE 架構中所需的網路與網路安全,且面向所有流量、所有應用程式與所有使用者而設計。
若要深入瞭解 SASE,請閱讀 Gartner 的文件:網路安全的未來就在雲端。
Gartner 不為研究出版物中所提及之任何供應商、產品或服務背書,也不會刻意建議技術使用者僅選擇最高評等或其他指定的供應商。Gartner 研究出版物由 Gartner 調查與研究組織的觀點組成,不得解釋為事實陳述。Gartner 不對此研究做出任何明示或暗示擔保,包括對適銷性或特定用途適合性的任何擔保。
Gartner,網路安全的未來就在雲端 (The Future of Network Security Is in the Cloud),Neil MacDonald、Lawrence Orans、Joe Skorupa,2019 年 8 月 30 日。