安全访问服务边缘(SASE)是第三方风险的解决方案吗?
原创安全访问服务边缘(SASE)是第三方风险的解决方案吗?
原创
安全访问服务边缘(SASE)是第三方风险的解决方案吗?
什么是SASE?
安全访问服务边缘(SASE)是一种新兴的网络安全架构,由Gartner在2019年首次提出。这种架构旨在满足现代企业的需求,使员工能够从任何地方安全地访问工作资源。随着员工在地理上的分散,IT领导者需要一种新的方法来保护他们的网络和数据安全。
SASE架构将网络和安全功能融合到单个基于云的服务中,使企业能够更加灵活和高效地管理网络和安全。这种架构可以提供多种安全服务,如身份验证、访问控制、数据加密等,从而保护企业的网络和数据安全。此外,SASE还支持零信任网络访问(ZTNA)和服务质量(QoS)等先进技术,可以更好地保护企业的网络和数据安全。
SASE架构的优势在于可以提供高效、灵活和安全的网络访问体验。它可以通过使用云计算技术,实现快速部署、弹性扩展和自动化管理,大大提高了网络安全的效率和可靠性。此外,SASE还可以根据网络流量的重要性和敏感性,动态调整带宽和延迟,保证关键业务应用的稳定运行。
该框架使用以下五个组件将网络访问与云原生安全性融合在一起:
- 软件定义的广域网 (SD-WAN):一种根据策略、条件和监控指标在多个路径上动态路由流量来优化广域网连接和性能的服务。
- 防火墙即服务 (FWaaS):一种纯粹基于云的防火墙,用于检查“作为服务”而不是作为本地硬件设备提供的入站和出站网络流量。
- 云访问安全代理 (CASB):一种网络安全服务,位于用户和云提供商之间的网络上,强制执行基于云的数据访问策略。
- 安全 Web 网关 (SWG):一种基于云的服务,专注于 Web 浏览流量,可根据特定 IT 策略阻止不需要的和恶意的 Internet 流量。
- 零信任网络访问 (ZTNA):一种根据身份、上下文和策略向授权用户和设备授予细粒度和有条件的访问权限的服务。
但不要将SASE与安全服务边缘(SSE)混淆,SSE是SASE的一个子集,主要关注的是SASE云平台所需的安全服务。
SASE解决了哪些问题?
越来越多的企业开展远程工作,并正在采用混合工作方法,希望将其员工顺利转换为全职或兼职远程工作。如今,企业每天通常使用数十个SaaS应用程序,并且授予对管理和运营资源(例如文件共享系统)的远程访问权限。
传统的远程访问方法使用虚拟专用网络通过加密通道将用户连接通过隧道连接到单个位置。这使得集中应用和执行权限的策略成为可能。
然而,这种方法会造成网络瓶颈,影响用户体验。企业必须投资于能够管理和检查流量的技术,即使如此,虚拟网络也不能提供精细的网络访问控制,允许用户不受限制地访问整个网络。
其解决方案的一部分是引入安全Web网关(SWG)和防火墙即服务(FWaaS)提供商。这些基于云计算的服务在分布式当前点(PoP)部署检查引擎,并与SaaS提供商合作,使用云访问服务代理(CASB)保护他们的云环境。但这仍然不能解决连接到企业网络的问题。除了基于云计算的资源之外,企业仍然拥有本地网络,这一远程访问难题尚未解决。
SASE解决了这个缺失的部分。它的设计考虑了最终用户,并采用了零信任方法。SASE允许用户连接到任何资源,无论是在云平台中还是在内部部署设施。它首先验证他们的身份,并检查用户的设备是否具有最低限度的安全性。受信任的用户只能连接到他们想要访问的特定资源,而不能连接其他任何资源。这通常通过依赖微分段的零信任网络访问技术(ZTNA)来实现。
与集中安全检查的传统网络解决方案不同,SASE方法将这些检查分布在不同的区域,以提高网络资源的效率。这有助于降低将这些组件作为单独的单点解决方案进行管理的复杂性。SASE提供了一组集中的基于云的工具,可提高可见性和控制力。这些工具可以在云平台中完全编排,并在网络边缘立即实施策略。
SASE带给企业的好处
很显然,我们目前仍处于SASE演进的初期,而且许多组织尚未完全意识到采用这种方法所带来的好处。那么接下来,我们就一起探讨下SASE能够为企业带来的好处:
灵活、一致的安全性:SASE能够提供全面的安全服务,例如威胁预防、Web过滤、沙箱、DNS安全、数据防泄漏和下一代防火墙策略,确保零信任网络访问了解谁在你的网络上,以及您网络上的内容并保护网络内外的资产。
降低整体成本:该模型的成本效益将前期的资本转换为每月的订阅费用,合并了提供商和供应商,并减少了IT部门必须用于管理和维护物理及虚拟分支机构设备和软件代理的费用。除此之外,将维护、升级和硬件更新等任务委派给SASE提供商也可以帮助企业节省成本。
降低复杂性:通过将安全堆栈整合到基于云的网络安全服务模型中来简化IT基础架构,可以最大限度地减少IT团队管理以及需要更新和维护的安全产品数量,极大地降低了复杂性。
优化性能:利用云可用性,企业的团队成员可以轻松安全地连接到Internet、应用程序和公司资源,无论他们身处何处。
简化验证过程:IT管理人员可以通过基于云的管理平台集中设置策略,并在靠近终端用户的分布式PoP上实施策略。SASE通过对用户基于初始登录所请求的资源进行适当的策略调整,来简化身份验证过程。
威胁防护:通过将完整的内容检查集成到SASE解决方案中,用户可以从网络的更高安全性和可见性中受益。
数据保护:在SASE框架内实施数据保护策略有助于防止未授权访问和滥用敏感数据。
提升工作效率:SASE服务商可以提供不同质量的服务,因此每个应用程序都可以获得所需的带宽和网络响应能力。使用SASE可以减少企业IT员工与部署、监视、维护等相关的杂务,以便执行更高级别的任务。
通过零信任和SASE最大限度地降低第三方风险
第三方风险管理涉及解决源自企业外部可信来源的安全风险。这个定义很宽泛,但有一些值得注意的第三方风险来源:
第三方应用程序——所有企业都使用第三方开发的应用程序。企业通常信任这些应用程序,因为它们来自信誉良好的开发人员或受信任的软件公司。但是,第三方软件通常包含漏洞,如果开发人员的系统受到威胁,受信任的应用程序可能会成为恶意行为者的攻击向量。
受信任的外部用户——许多企业允许外部合作伙伴或供应商访问其受保护的系统和环境。但是,受损的第三方用户帐户可以作为网络攻击的平台,允许恶意行为者获得对内部网络的授权访问。
开源代码——大多数企业使用包含第三方软件组件和依赖项的应用程序。开源库和代码通常包含允许网络攻击者利用应用程序的后门。如果企业缺乏对其开源依赖项的可见性,那么未知的漏洞可能会带来攻击机会。
在每种情况下,企业都隐含地信任第三方以确保安全。如果网络攻击者利用这种信任,它可能会破坏企业的安全。企业对过时的安全策略的依赖可能会导致第三方风险的许多恶劣影响。
例如,许多企业使用传统的安全边界模型来保护他们的网络免受外部攻击。这种方法涉及在网络边界部署安全机制,以在渗透受保护的网络和系统之前识别和阻止威胁。
基于边界的安全模型假设安全威胁来自网络外部,然而这并不总是正确的。通过只关注外部威胁,企业通常会忽略已经渗透到其网络中的威胁。第三方应用程序和用户通常会为保护外部接入点的安全解决方案带来额外的安全挑战和潜在盲点。
管理第三方风险需要了解即使是受信任的系统或实体也可能对企业构成风险。简而言之,企业不得完全信任任何人或任何事物。这一假设构成了零信任的基础,这是一种将安全事件的可能性和潜在损害降至最低的安全方法。
采用零信任安全策略相对简单,尽管有时执行它可能更具挑战性。实施零信任需要在整个企业的整个基础设施中实施一致的访问控制。
企业应在网络级别强制实施零信任,以确保东西向流量和南北向流量的安全。安全访问服务边缘(SASE)提供两种功能:
东西向流量——SASE建立了企业WAN,将完整的安全堆栈集成到每个接入点(PoP)。它支持SASE PoP进行东西流量检查,并应用基于零信任模型的访问控制。
南北向流量——SASE建立软件定义边界(SDP)或零信任网络访问(ZTNA),对源自外部用户的对内部资源或应用程序的所有请求实施基于零信任的访问控制。它限制对企业应用程序的外部访问,以防止利用隐藏的漏洞。
结论
第三方风险管理通常是一项复杂的工作。零信任安全实施是最小化第三方风险的一个关键方面。除了零信任之外,使用SASE等适当的工具可以帮助保护企业的IT基础设施免受第三方访问带来的威胁。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。