下载掌阅APP,畅读海量书库
立即打开
SASE并非仅限于单一产品,它代表了网络和安全技术实现方式的一次架构性转变。SASE架构在当前企业网络发展中具有重要优势,主要体现在以下几个方面。
❑ 增强安全性: 非法入侵者采取各种手段攻击网络,因此,在整个网络范围内实现一致的安全策略和服务,以保护用户、基础架构和应用程序的安全至关重要。SASE架构提供更强大且易于部署的安全措施,通过分布式连接点的应用安全策略和威胁防御措施,实现了更高的端到端的安全性。
❑ 提升运维灵活性: 在整个网络范围内实现可见性对于迅速评估应用和网络运行状况、识别潜在恶意活动至关重要。通过降低复杂度,已有的资源可以发挥更大作用并产生更深远的影响。网络与安全功能的自然融合使系统管理员能够集中注意力。一致的策略有助于减少配置错误,提高整体安全效率。
❑ 简易使用: 在传统方式下,企业必须通过防火墙的多层防御和关键的“阻塞点”来过滤流量以确保安全。此外,还需要管理多种不同的控制措施。在采用SASE时,只关注从客户端设备连接到云端的安全即可。
SASE的设计理念在于通过一个边缘云作为中继,处理用户到应用、分支到云等多种连接,从而提供接入控制、安全防护和网络加速等能力。本章将在介绍SASE的国内外标准的基础上,进一步探讨SASE的“网络即服务”和“安全即服务”这两个核心服务及其技术。
提到SASE就不能不提零信任。SASE作为一种边缘安全理念,是基于零信任(Zero Trust)概念发展而来的。零信任的概念最早由Forrester前首席分析师John Kindervag于2010年提出,并在后来被其继任者Chase Cunningham丰富为“零信任扩展(ZTX)生态系统”,包含零信任用户、零信任设备、零信任网络、零信任应用、零信任数据、零信任分析、零信任自动化七大领域。为了帮助企业更好地理解和应用零信任理念,Forrester还发布了一系列关于零信任的文章和手册。
Gartner在意识到零信任的重要性后,将其纳入了持续自适应风险与信任评估(Continuous Adaptive Risk and Trust Assessment,CARTA)路线图的初始部分。2018年,Gartner的副总裁Neil MacDonald在一份报告中指出,零信任将成为CARTA路线图的起点。随后,Gartner在2019年提出了零信任网络访问(ZTNA)的概念,进一步推动了零信任理念在网络安全领域的应用。
Neil MacDonald于2019年提出了面向未来的SASE概念,在《网络安全的未来在云端》报告中详细阐述了SASE的核心思想,开辟了边缘安全领域的新局面。SASE将零信任等多种安全概念融合在一起,通过在边缘节点提供安全访问服务,为企业构建更加灵活、安全的网络环境。
SASE作为边缘安全的新范式,将零信任等概念融入其中,为未来的网络安全提供了创新性的解决方案。
近年来,国外已陆续出台了一些SASE的标准和规范,其中通信行业标准组织MEF(Metro Ethernet Forum,城域以太网论坛)发布了一份名为《MEF SASE服务框架》的SASE白皮书。这份白皮书在Gartner的SASE理念的基础上,进一步探讨了融合网络和安全概念的SASE,并给出了SASE服务框架的概要,目的是帮人们在抽象的软件定义网络和软件定义安全框架以及软件定义服务方面达成共识,引导技术和服务供应商专注于提供通用的核心功能,同时在其技术优势的基础上构建SASE领域的独特创新能力。
《MEF SASE服务框架》从全球网络安全产业的发展现状出发,以标准组织的视角,简要阐述了SASE与其他标准的关系。其中介绍了SASE的总体架构和核心技术,结合行业逐步发展演进的过程,阐明了SASE各个核心组件框架及其关联部署。此外,该白皮书还为SASE在不同适用场景下的技术成熟度提供了评估参考,以指导客户根据自身业务需求更好地实施和落地SASE。
1. MEF体系中的SASE
SASE服务的核心在于将网络和安全融合,以订阅式的形式在云端提供服务。MEF组织已经发布了一些SASE标准,为SASE的不同部分提供了抽象定义,这些标准为SASE的实现奠定了基础。
MEF 70.X对SD-WAN服务进行了标准化定义,为SASE架构中的网络部分提供了抽象定义;MEF W88对应用安全进行了标准化定义,为SASE架构中的安全部分提供了抽象定义。
在MEF中,SASE架构被划分为4个主要部分,即订阅终端、网络服务、安全服务和服务终端,如图2-1所示。
图2-1 MEF中的SASE架构
订阅终端的能力主要包括身份标识、访问环境的上下文分析和访问控制。客户端的身份标识可以通过用户姓名、雇员ID、客户端MAC地址和IoT(Internet of Things,物联网)设备ID等信息来实现。客户端访问环境的上下文可以通过诸如地域、时间、访问设备的风险值、认证状态的强弱、通信保密状态(X.509证书)、异常行为分析、第三方信任(SAML令牌)以及单点登录会话等因素进行分析和访问控制。
SASE的网络服务是通过网络技术以服务化的形式提供的,其能力涵盖路由选择、QoS(Quality of Service,服务质量)、VPN、广域网优化、带宽优化、数据备份、应用加速、流量整形、延时优化、数据缓存、CDN、弹性网络、链路备份、接入地理限制等。
SASE的安全服务则是通过安全技术以服务化的形式提供的,其能力涵盖防火墙、威胁保护、云端应用发现、异常行为发现、DNS保护、敏感数据发现、隐私数据混淆、Web应用防火墙、远端浏览器隔离、Wi-Fi保护、安全Web网关(Secure Web Gateway,SWG)、数据防泄露(Data Loss Prevention,DLP)、软件定义边界/零信任架构、加解密技术,以及云访问安全代理(CASB)等。
服务终端包括互联网站点、SaaS应用、云资源站点,以及自建站点(边缘节点)等。
这些能力共同构成了SASE服务的基础,使SASE能够在云环境中提供综合的网络和安全解决方案。
2. SASE各个核心组件的框架及部署
SASE架构的核心组件在保留订阅终端和服务终端的基础上,对SASE服务进行了模块级的细化。结合SD-WAN(MEF 70.X)的标准体系,SASE被划分为订阅边缘、网络服务(SD-WAN)、服务提供边缘、安全服务(安全能力节点)这四个核心组件。
这四个核心组件完成了整个数据流量从订阅终端到服务终端各种能力的承载和部署,包括流量的接入、网络服务、流量的接出以及安全服务。这些组件通过各自的控制接口实现了控制平面对数据平面的统一策略控制和管理。SASE的整体架构和各个核心组件的布局如图2-2所示。
图2-2 SASE的整体架构和各个核心组件的布局
3. SASE适用场景的技术成熟度建议
根据SASE核心组件的框架和每个组件不同类型的实例化的组合,可将SASE适用场景划分为四大类,且每个分类又可以根据是否包含SD-WAN进一步分为两个子类,即带+(包含SD-WAN)和不带+(不包含SD-WAN)两个类型。
(1)SASE服务类型A/A+
SASE服务类型A/A+即访问公有云服务(如阿里云等)的部署私有应用场景,如图2-3所示。
SASE服务类型A+场景对应的核心组件框架推荐的技术成熟度矩阵,如表2-1所示。
SASE服务类型A场景对应的核心组件框架推荐的技术成熟度矩阵,如表2-2所示。
图2-3 SASE服务类型A/A+场景
表2-1 SASE服务类型为A+时的技术成熟度矩阵
①CPE全称Customer Premises Equipment,即用户驻地设备。
②POP全称Point of Presence,即因特网接入点。
③ERP全称Enterprise Resource Planning,即企业资源计划。
④CRM全称Customer Relationship Management,即客户关系管理。
⑤SSL全称Secure Socket Layer,即安全套接字层。
表2-2 SASE服务类型为A时的技术成熟度矩阵
(续)
①TLS全称Transport Layer Security,即安全传输层协议。
②TCP全称Transmission Control Protocol,即传输控制协议。
(2)SASE服务类型B/B+
SASE服务类型B/B+场景即访问私有数据中心(自建)的私有应用场景,如图2-4所示。
图2-4 SASE服务类型B/B+场景
SASE的服务类型为B/B+时,核心组件框架下推荐的技术成熟度矩阵是一样的,如表2-3所示。
表2-3 SASE服务类型为B/B+时的技术成熟度矩阵
(续)
(3)SASE服务类型C/C+
SASE服务类型C/C+场景即访问应用服务云(如WPS等)订阅的企业应用场景,如图2-5所示。
图2-5 SASE服务类型C/C+场景
SASE的服务类型为C/C+时,对应的核心组件框架推荐的技术成熟度矩阵和SASE的服务类型为A/A+时相同,所以这里不再展开。
(4)SASE服务类型D/D+
SASE服务类型D/D+场景即访问公网应用场景,如图2-6所示。
图2-6 SASE服务类型D/D+场景
SASE的服务类型为D+时,核心组件框架推荐的技术成熟度矩阵如表2-4所示。
表2-4 SASE服务类型为D+时的技术成熟度矩阵
SASE的服务类型为D时,核心组件框架推荐的技术成熟度矩阵如表2-5所示。
表2-5 SASE服务类型为D时的技术成熟度矩阵
在国内,SASE标准在2021年6月发展显著。中国通信标准协会(CCSA)的TC1(互联网与应用标准技术工作委员会)WG5(云计算工作组)会议启动了《安全访问服务边缘产品能力评价方法》标准的立项工作。此举带来了多次研讨会,研讨会针对可信云SASE的成熟度能力要求标准进行了深入探讨,旨在建立适应国内行业的SASE成熟度模型。值得注意的是,这一标准与国际标准《MEF SASE服务框架》相比,不仅着眼于功能的完备性,还在衡量维度上增加了性能、兼容性、易用性、可靠性以及安全性等方面的要求。
功能性评价主要聚焦于以下6个部分。
❑ 网络安全接入评价: 评价内容包括针对PC端和移动终端的单台接入设备安装引流软件客户端时操作系统类型的满足度,网络出口设备的部署形式和多线路接入方式的满足度,基于地理位置和网络运营商的最佳匹配机制的POP最优接入方式,远程应用访问的加速能力,客户异地多分支的隧道组网和监管,以及全国多地POP的分布式布局。
❑ 身份认证评价: 涵盖身份管理,即身份识别、登录设备识别、用户账号管理和登录设备信息(IP/MAC)管理,多因素认证方式,以及对用户访问内外网资源权限的管控。
❑ 流量分析评价: 评价内容包括应用识别,即对URL(Uniform Resource Location,统一资源定位符)和应用的识别和分类;SSL识别,即对SSL加密传输信息的解密识别。这部分评价还涵盖了网站、Web邮件交互、网盘上传下载、移动应用、网络游戏和搜索引擎等的公网访问审计。
❑ 流量管控评价: 基于流量分析结果制定带宽整流和封堵等策略,同时也包括对用户访问内外网资源权限的管控。
❑ 零信任评价: 包含加密传输(用户到POP节点和POP节点到应用的全链路加密传输)、资产隐藏(未经身份识别和合规判断的用户无法看到访问资产)、身份授权(用户访问内外网资源的权限分配)、内网应用管理(提供内网应用的名称、域名、IP和端口信息)、多云部署(通过隧道将公有云、私有云和数据中心的网络互联)、访问日志(存储用户访问成功或阻断的日志并保留6个月)、连接器高可用(支持平滑的主备切换)和动态访问控制(在访问过程中出现风险时对访问进行阻断和二次认证等处置)。
❑ 安全检测与防护: 包括记录威胁等级、原因、风险危害和处置建议的安全事件报表,定时发送安全事件通告的安全事件告警,对终端上传和下载的恶意文件进行识别的恶意文件检测,对通过流量识别的失陷主机采取的检测及查杀操作。
非功能性评价涵盖了以下6个关键部分:性能、兼容性、易用性、可靠性、安全性和可维护性。
1) 性能评价: 主要关注3个方面,即POP并发性能、访问时延和流量分析能力。
❑POP并发性能:云原生并发能力要达到10GB,而本地硬件并发能力要达到1GB。
❑访问时延:用户通过POP节点访问互联网网站的延时不能超过30ms。
❑流量分析能力:流量分析时应能够识别千万级别的URL库和超过2000种主流应用。
2) 兼容性评价: 主要关注2个方面,即网络协议支持能力和多云对接能力。
❑网络协议支持能力:需要支持2种以上的隧道协议,如SSL、L2TP、GRE和IPSec等。
❑多云对接能力:要求支持公有云、私有云和本地数据中心的应用接入能力。
3) 易用性评价: 主要关注2个方面,即配置帮助和配置下发易用性。
❑配置帮助:需要支持配置帮助模块,以提供用户配置的辅助信息。
❑配置下发易用性:要求配置功能的策略易于操作和配置功能的说明易于理解。
4) 可靠性评价: 主要关注2个方面,即产品组件高可靠性和异常逃生能力。
❑产品组件高可靠性:需要支持控制中心、POP节点以及硬件和软件的高可靠部署。
❑异常逃生能力:要求在用户切换和关闭服务后,能够快速恢复上网功能。
5) 安全性评价: 主要关注4个方面,即权限管理、登录行为控制、保密性和操作记录。
❑权限管理:需要支持两级管理员角色权限,且上级管理员可以分配下级管理员权限。
❑登录行为控制:要求支持合法账户的异常行为检测和非法防护登录。
❑保密性:必须支持数据只能在授权时才能被访问。
❑操作记录:要求对操作和安全事件进行记录且不能被删除。
6) 可维护性评价: 主要关注2个方面,即告警上报和配置备份。
❑告警上报:需要支持告警和安全事件的实时上报与呈现。
❑配置备份:要求支持配置导出和配置备份功能。
将采集到的证据与能力要求进行对照,根据满足程度对每个评估维度的每一项要求进行评分。能力要求的满足程度与得分对应关系如表2-6所示。这种全面的非功能性评价框架将确保SASE服务在性能、兼容性、易用性、可靠性、安全性和可维护性方面都能够得到全面且有效衡量和验证。
表2-6 能力要求满足程度与得分对应关系
将每项的评估分数和其权重进行累加,就可以得到最终的分数。成熟度主要可以分为5种。
❑基础规划级,应完成全部功能性测试,功能性测试总分达到60以上。
❑标准规范级,应完成全部功能性测试,功能性测试总分达到80以上。
❑集成增强级,应完成全部功能性、性能和安全性测试,且功能性测试、性能测试和安全性测试总分均达到80以上。
❑优化专业级,应完成全部功能性、性能、兼容性、易用性、可靠性、安全性和可维护性测试,且所有部分测试总分均达到80以上。
❑卓越引领级,完成全部功能性、性能、兼容性、易用性、可靠性、安全性和可维护性测试,且所有部分测试总分均达到95以上。若标准中不涉及产品质量特性内容,则可不测试。
在了解完SASE国内外的主要标准规范之后,我们再来看看,依据这些标准,SASE的相关服务和关键技术有哪些。
从国内外SASE相关标准的分析来看,SASE的核心服务主要包括网络服务和安全服务两个关键部分。接下来,我们将详细描述“网络即服务”和“安全即服务”的关键核心技术。
MEF将SASE总体架构划分为4个主要部分:订阅终端、网络服务、安全服务和服务终端。
实际上,在SASE概念提出之前,网络技术已经以服务形式存在,也就是“网络即服务”(Network as a Service,NaaS)。NaaS将软件定义网络(Software Defined Network,SDN)、可编程网络和基于API的操作引入了广域网服务、传输、混合云、多云、私有网络连接和互联网交换等领域。NaaS的概念随着云计算和网络技术的发展日益丰富,在SASE的概念中得到更加深入的阐释和完善,但其本质不变,仍然包括以下几个关键部分。
❑ 订阅硬件: 用户无须购买硬件设备,而是定期支付订阅费用,自行安装和维护这些硬件设备。
❑ 托管服务: 在订阅了硬件设备的前提下,用户还可以订购硬件运维的委托管理服务,由服务提供商对硬件进行管理。
❑ 纯NaaS服务: 服务提供商完全拥有并管理安全性和运营方面的所有设备,客户只须定期支付费用,使用这些设备提供的服务。
下面将分别对网络即服务的SD-WAN、VPN以及终端引流等典型技术进行详细说明。
SASE架构中的“网络即服务”必须具备基础的网络连接能力。它可以利用专线、互联网或者4G/5G移动网络等底层通信介质,借助SD-WAN(软件定义广域网)组网技术,实现以下关键能力。
❑ 多介质支持: SASE的“网络即服务”应该支持多种底层通信介质,包括专线、互联网和4G/5G移动网络等。
❑ SD-WAN: SD-WAN是SASE架构中“网络即服务”的关键支撑。它允许企业通过智能路由、带宽管理和应用优化等功能,实现用户终端、分支机构、企业总部以及数据中心之间的高效通信。
❑ 分布式连接: SASE的“网络即服务”应支持分布式连接,使得不同地点的用户和分支机构能够互相连接,实现无缝的数据通信。这种连接可以通过虚拟专用网络(VPN)或其他安全通信机制来保护数据的隐私和安全。
❑ 网络管理: “网络即服务”应该提供集中的网络管理功能,使企业能够监控和管理网络连接的状态,以及带宽利用率、延迟等指标。
❑ 应用加速: 通过SD-WAN的应用识别和流量控制功能,“网络即服务”能够实现应用加速,优化网络路径,提高关键应用的传输效率,从而改善用户体验。
1. SASE与SD-WAN的关系
根据Gartner的定义,SASE代表着网络和安全的融合解决方案。在这个框架中,SD-WAN扮演了SASE的基础网络支持技术角色,它能够提供高度灵活的网络组网服务,并充分利用可用的网络带宽资源。SD-WAN不仅是网络的连接手段,更是构建安全能力的基础,从而满足SASE场景下组织对于动态业务和安全防护的要求。
虽然没有SD-WAN,业务可能也不会受到很大的影响,但在业务的保障和用户体验方面,会有明显的减损。需要明确的是,SASE并不是SD-WAN的取代者,它们并非前后关系,而更像协同合作的搭档。
关于SASE与SD-WAN的关系,可以从以下几个方面来对比,如表2-7所示。
表2-7 SASE与SD-WAN的关系
由表2-7可知,SASE并没有取代SD-WAN,而是在其基础上为软件定义的广域网添加了安全功能。这两者可以独立使用,也就是说,SD-WAN不必依赖于SASE,同样,SASE的功能也可以在传统网络环境中实现。
SD-WAN和SASE都具备灵活的部署特性,它们可以部署在各种虚拟化或容器化环境中,不论是作为云服务中的网络即服务,还是在云基础设施上,甚至还可以进行混合部署。这种灵活性使得组织可以根据自身的需求和基础架构选择最合适的部署方式,以实现高效的网络和安全管理。
2. SD-WAN的2种架构
SD-WAN是将SDN技术应用于广域网场景时形成的一种服务,也是SASE提供的一种NaaS服务。SD-WAN可帮助用户降低广域网的开支,提高网络连接的灵活性。SD-WAN的4个典型功能如下:
❑支持多种连接方式,包括多协议标签交换(MPLS)、4G/5G、Internet等。
❑能够在多种连接之间动态选择链路,以达到负载均衡或者高资源弹性的目标。
❑具有简单的WAN管理接口。
❑支持VPN、防火墙、网关、WAN优化器等服务。
SD-WAN典型架构有以下2种。
(1)以企业边缘为核心的SD-WAN架构
此架构以企业边缘为核心,是延伸了传统IPSec VPN的方案(见图2-7)。在这个架构中,通过在企业各个站点边缘的CPE之间建立隧道,实现了站点之间的连接。无论是通过互联网、MPLS还是其他WAN线路,都可以在云中放置一个软件CPE,以支持各种传输方式。这样的架构下,企业的组网是在运营商的网络之上建立起来的。CPE可以放置在企业的总部、数据中心、分支机构以及服务网点,也可以放置在IDC或公有云的机房。在组网的拓扑上,可以采用P2P(点对点)、Hub & Spoke(中心辐射)、Regional Hub(区域中心)、Full Mesh(全网状)或Partial Mesh(部分网状)等不同的拓扑结构。
以企业边缘为核心的SD-WAN架构扩展了传统的IPSec VPN方案,并在以下几个方面进行了增强。
❑ 集成智能功能: CPE内部集成了WAN线路监测、应用识别等智能能力。它可以根据不同的应用提供不同的WAN处理策略,从而更有效地利用WAN线路资源,提高投资回报率。
❑ 引入控制器: 架构引入了控制器的角色,能够自动识别CPE并推送密钥和路由。这消除了烦琐的手工配置,降低了配置错误的风险,在某些情况下,还可以实现路由的优化。
❑ 集成安全和加速: CPE内部集成了安全和广域网加速的功能,同时还支持添加其他增值服务,如虚拟机等,并将其串接起来,用户可以根据需求进行订购。
❑ 统一管理与配置: 通过集中式门户,可以统一管理和配置上述功能,提供丰富的可视化能力,涵盖网络、线路、流量、应用等方面。
图2-7 以企业边缘为核心的SD-WAN架构
(2)以运营商云端为核心的SD-WAN架构
以运营商云端为核心的架构,是对传统的MPLS VPN方案进行的延伸(见图2-8)。这个架构与传统的Overlay技术(一种虚拟技术)相比,仅在“最后一公里”的通信中采用了Overlay技术,而中间的骨干网络则由运营商的专网进行处理。出于安全性的考虑,通常会在“最后一公里”使用IPSec。中间的骨干网络部分,如果运营商支持,可以将MPLS VPN整合进来;如果暂时不支持,也可以采用MPLS over GRE或者VxLAN等技术。
为了整合运营商的线路资源,该架构在运营商的POP节点内部引入了接入网关。SD-WAN网关连接用户侧的CPE的“最后一公里”和网络侧的IP/MPLS骨干线路。因此,用户侧的CPE相当于CE(用户边缘)设备,而SD-WAN网关类似于PE(提供商边缘)设备,这与传统的组网模型相符。
引入SD-WAN网关后,流量模型可能变成CPE——SD-WAN网关——Internet,通过SD-WAN网关来实现Internet流量与VPN流量的分流。这种区域性的SD-WAN网关分流模式的优势在于,可以为本地的多个分支集中提供NAT、QoS、安全等服务,避免了分支级别的配置复杂性影响,并减少了Internet流量绕行集线器所带来的延迟和带宽消耗
。
图2-8 以运营商云端为核心的SD-WAN架构
VPN(Virtual Private Network,虚拟专用网络)是一种通过公共网络创建的安全的、虚拟的、隔离的网络连接,它使得远程用户或分支机构能够像在私有网络中一样进行通信。VPN通过加密和隧道技术,确保数据在公共网络上的传输过程中是安全的。
根据网络类型和实现方式,VPN可以分为多个不同类型,其中3个主要类型是MPLS VPN、EVPN和IPSec VPN。
1. MPLS VPN
MPLS VPN包括MPLS L2VPN和MPLS L3VPN,它们提供了不同层次的虚拟专网服务。这些服务基于MPLS网络,通过为用户和组织创建隔离的、安全的连接,使远程通信变得高度可靠和安全。
MPLS L2VPN提供了在MPLS网络中建立二层(数据链路层)虚拟专网的能力,使服务提供商能够为不同的数据链路层提供独立的虚拟专网。从用户角度看,MPLS网络就像是一个透明的二层交换网络,可以在不同的地理位置之间建立虚拟的二层连接。
MPLS L2VPN的模型由以下几个部分组成。
❑CE(Customer Edge,用户边缘)设备:位于用户网络边缘,直接连接到服务提供商的网络。CE设备可以是路由器、交换机或主机。它们与VPN的存在无关,也不必支持MPLS。
❑PE(Provider Edge,提供商边缘)路由器:位于服务提供商网络的边缘,与用户的CE设备相连。在MPLS网络中,PE路由器负责处理所有与VPN相关的操作。
❑P(Provider,提供商)路由器:位于服务提供商网络的骨干部分,不直接连接到用户设备。P设备仅需要基本的MPLS转发能力。
MPLS L2VPN利用标签栈实现用户数据在MPLS网络中的传输:
❑外层标签(隧道标签)用于将数据从一个PE路由器传递到另一个PE路由器。
❑内层标签(VC标签)用于区分不同VPN中的不同连接。
❑接收PE根据VC标签确定将数据转发给哪个CE设备。
图2-9是MPLS L2VPN转发过程中报文标签栈变化的示意图。其中L2PDU是链路层报文,PDU(Protocol Data Unit)为协议数据单元。
MPLS L3VPN是基于PE路由器的一种L3(网络层)VPN技术,使用BGP(Border Gateway Protocol,边界网关协议)在服务提供商网络的骨干网上发布VPN路由,并使用MPLS在服务提供商网络中转发VPN数据。
图2-9 MPLS L2VPN转发过程中报文标签栈变化的示意图
MPLS L3VPN组网方式灵活、可扩展性好,能够方便地支持MPLS QoS和MPLS TE(Traffic Engineering,流量工程),因此得到越来越多的应用。
在MPLS L3VPN中,CE、PE、P的概念与MPLS L2VPN相同。图2-10是一个MPLS L3VPN组网方案的示意图。
图2-10 MPLS L3VPN组网方案的示意图
MPLS L3VPN具有以下特点。
❑灵活的组网方式和良好的可扩展性,便于支持MPLS QoS和MPLS TE。
❑这里的CE、PE、P的概念与MPLS L2VPN中的相同,根据SP与用户的管理范围划分。
❑CE与PE之间通过BGP或IGP(Interior Gateway Protocol,内部网关协议)交换路由信息,CE可以是路由器。
❑PE与其他PE通过BGP交换VPN路由信息,每个PE仅维护与之相连的VPN路由。
❑PE仅需要了解到达PE的路由,不需要知道VPN路由的所有细节。
❑在MPLS骨干网上传输VPN流量时,入口PE被称为Ingress(入口)LSR(Label Switch Router,标记交换路由器),出口PE被称为Egress(出口)LSR,P路由器充当Transit(传输)LSR。
2. EVPN
EVPN(Ethernet Virtual Private Network,以太网虚拟专用网络)是下一代全业务承载的VPN解决方案。它通过利用BGP扩展协议来传递二层或三层的可达性信息,实现了转发面和控制面的分离,从而统一了各种VPN业务的控制面。EVPN解决了MPLS L2VPN在负载分担、资源消耗等方面的局限性,并能够支持MPLS L3VPN业务,降低了协议复杂度。EVPN在以太网中引入IP VPN流量均衡和部署灵活性的优势,使其在大型数据中心二层网络互联场景中得到广泛应用。
以虚拟专用局域网服务(Virtual Private LAN Service,VPLS)技术为例,MPLS L2VPN在数据中心互联网络部署拓扑中提供多点到多点的广域以太网服务(见图2-11)。
图2-11 传统的MPLS L2VPN在数据中心互联网络部署拓扑
然而,VPLS技术存在一些局限性,无法满足大规模复杂数据中心的需求。
❑ 网络部署难: 在VPLS中,PE设备需要学习所有CE设备的MAC地址,由于MAC表容量有限且需要大量手工配置,要求PE设备具有较高规格。
❑ 网络规模不匹配: VPLS需要在PE设备之间建立全连接的众多伙伴关系,这使得它不适用于大规模网络。
❑ 无控制平面: 在VPLS中,当MAC地址变化或发生故障切换时,需要重新泛洪式学习L2转发表,这导致其收敛性较差。
❑ 链路带宽利用率低: 为避免CE侧到PE侧出现环路,VPLS只支持单活模式而不支持多活模式,导致链路利用率较低。
EVPN通过BGP扩展协议,将MAC地址学习和发布过程从数据平面转移到控制平面。这使设备可以像管理路由一样管理MAC地址,实现了目的MAC地址相同但下一跳不同的多条EVPN路由,从而实现了负载分担。
在EVPN网络中,PE设备之间不再需要建立全连接,而是通过BGP实现通信的。EVPN支持部署路由反射器,通过BGP的路由反射器功能,降低了网络复杂度,减少了网络信令数量。
PE设备通过ARP(Address Resolution Protocol,地址解析协议)和MAC/IP地址通告路由来学习本地和远端的MAC地址和其对应的IP地址,并将这些信息缓存至本地。当PE设备收到其他ARP请求时,会先从本地缓存中查找对应信息,如果查找到,则返回ARP响应报文,这减少了广播量,降低了网络资源消耗量。
3. IPSec VPN
IPSec VPN在网络安全中具有广泛的应用,主要应用场景可以分为以下3种。
❑ 站点到站点(Site-to-Site): 在这种场景下,处于不同地点的组织、机构或企业通过互联网连接,使用各自的VPN网关来建立VPN隧道。这些VPN网关实际上是网络的入口和出口,通过IPSec隧道,它们之间可以安全地传输数据。例如,一个跨多个地区的集团公司的分支机构,可以在每个地点设置一个VPN网关,在这些网关之间建立IPSec隧道,从而实现这些分支机构之间的安全通信,数据即使在互联网上传输也能够受到保护。
❑ 端到端(End-to-End): 在这种情况下,两个终端设备(如个人计算机、移动设备)之间的通信是由它们之间的IPSec会话保护的。这意味着两个终端之间的数据传输经过了加密和验证,确保数据在传输过程中的机密性和完整性。举例来说,两个远程工作者之间的通信可以使用端到端的IPSec VPN来保护,确保他们之间的数据不会被未授权的人访问。
❑ 端到站点(End-to-Site): 在这个场景中,一个远程终端设备(如个人计算机或移动设备)与远程网络中的VPN网关之间建立IPSec连接。这使得远程设备可以通过互联网安全地访问远程网络的资源,就像与本地网络连接一样。例如,一个外出办公的员工可以通过将其计算机与公司的VPN网关连接,在远程位置访问内部资源,同时确保数据传输的机密性和安全性。
IPSec VPN不仅是虚拟专用网络的应用方式,还是IP安全性的实现框架。它主要包括两类协议。
❑ AH(Authentication Header,验证头部)协议: 提供数据完整性确认、数据来源确认以及防止重放攻击等安全特性。常见的单向哈希函数(如MD5或SHA)就用于实现这些特性。
❑ ESP(Encapsulating Security Payload,封装安全负载)协议: 提供数据完整性确认、数据加密以及防止重放攻击等安全特性。ESP通常使用DES、3DES、AES等加密算法来实现数据加密,并使用MD5或SHA算法来保证数据的完整性。
IPSec提供了对两种模式(传输模式和隧道模式)的封装,示意分别如图2-12和图2-13所示。
对比一下传输模式和隧道模式,具体如下。
❑ 传输模式: 在传输模式下,IPSec处理前后IP头保持不变,主要应用于端到端的场景,如保护两个终端设备之间的通信。
❑ 隧道模式: 隧道模式在AH和ESP处理之后封装了一个外层IP头,这主要用于站点到站点的场景,如不同地点的网络通过VPN网关建立安全隧道。
图2-12 IPSec传输模式的封装
图2-13 IPSec隧道模式的封装
4. SASE场景下VPN技术应用示例
(1)租户与SASE POP节点的VPN连接
在SASE资源池部署场景中,多个租户需要通过公共互联网进行业务活动,例如访问托管在公有云上的SaaS服务。为确保租户数据的机密性和完整性,VPN被广泛应用于建立安全的连接。图2-14展示了一个典型的情况,租户A、租户B和租户C通过GRE over IPSec与SASE资源池的边界POP网关建立了安全通道。
图2-14 租户与SASE资源池POP节点的VPN连接示例
在这个场景中,租户的内部网络使用了私有IP地址,可能会出现地址重复的情况。为了正确处理租户业务并保障数据安全,POP网关需要具备支持多租户的能力。这意味着POP网关可以识别不同VPN隧道与各个租户之间的关联关系,确保租户业务在SASE资源池内得到正确处理。
在实现这种多租户VPN连接部署中,以下措施可能会被采用。
❑ VPN隧道建立: 每个租户通过使用IPSec协议来建立与SASE资源池的边界POP网关之间的安全VPN隧道。IPSec提供了加密和隧道建立功能,确保通信的机密性和安全性。
❑ 唯一标识: 为了区分不同租户之间的流量,每个VPN隧道都会有一个唯一的标识。这可以通过配置不同的VPN密钥、隧道参数和标识字段来实现,确保不同租户的流量被正确识别和隔离。
❑ 地址转换: 由于租户可能使用相同的私有IP地址,需要进行网络地址转换(Network Address Translation,NAT)以避免冲突。SASE资源池的POP网关在流量进出VPN隧道时执行网络地址转换,确保租户间的IP地址不冲突。
❑ 流量隔离: 在多租户环境中,POP网关需要确保各个租户之间的流量隔离,以防止未经授权的访问或干扰。这可以通过使用虚拟路由转发(Virtual Routing Forwarding,VRF)等技术来实现,确保租户之间的流量互不干扰。
❑ 租户识别与分发: POP网关需要识别进入的流量属于哪个租户,并将流量分发到正确的租户网络。这通常涉及根据VPN隧道标识或其他标识字段对流量进行分类和处理,确保流量被正确路由。
(2)ECS VPN网关
在云环境中部署了SaaS服务,例如ECS(Elastic Compute Service,云服务器),当外部需要安全访问这些部署在公有云中的SaaS业务系统时(比如在进行SaaS等保服务的漏洞扫描场景下),可以通过在ECS业务系统前部署VPN网关来实现,如图2-15所示。
通过部署ECS VPN网关,可以建立ECS内部业务系统与SASE资源池之间的VPN网络连接,这样做可以带来以下益处。
❑ 解决NAT穿越问题: 由于ECS实例通常位于私有网络中,外部请求可能需要穿越NAT设备才能到达ECS。通过设置VPN连接,可以避免由于NAT穿越而引起的连接问题,确保请求能够正确到达ECS实例。
❑ 提高业务安全性: 通过建立VPN连接,云环境中的ECS实例和SASE资源池之间建立了一个加密的通信隧道。这确保了业务数据在传输过程中的机密性和完整性,防止敏感信息被未经授权的访问者获取。
❑ 实现业务连通性: VPN网关的部署允许外部安全地访问位于云环境中的业务系统,确保外部用户或扫描服务能够有效地与SaaS应用通信,无论它们是否在同一网络内部。
❑ 增强云环境控制: 通过VPN网关,可以更好地控制外部访问云环境的方式和权限,实现对入口点的有效管理,减少潜在的安全风险。
图2-15 ECS VPN网关部署
(3)其他VPN场景
通过SD-WAN提供的SASE网络即服务,涵盖了多种VPN技术,这样可以满足企业多样化的安全和连接需求。其中,MPLS VPN和EVPN等技术在SD-WAN架构中继续发挥重要作用,为企业创造安全的虚拟网络环境。MPLS VPN适用于对隔离性和稳定性要求较高的场景,而EVPN则为搭建灵活的二层网络提供了强大的扩展性和多租户支持。
此外,通过在IPSec的基础上引入进一步封装的VPN隧道,如GRE over IPSec和L2TP over IPSec,能够进一步增强SD-WAN的安全性和连接能力。这些技术允许数据在网络中进行双重封装,提供额外的安全性和隔离性。GRE over IPSec和L2TP over IPSec等VPN隧道不仅能够满足企业特定的数据隔离和通信需求,还能够为构建更复杂的SD-WAN拓扑结构提供支持。
综合而言,SD-WAN在提供SASE网络即服务时,能够集成多种VPN技术,为企业提供定制化的安全和连接解决方案。企业可以根据特定的需求和网络架构,选择最合适的VPN技术来实现安全、高效的数据通信,从而充分发挥SD-WAN在优化网络性能和保障数据安全方面的优势。
移动互联网对传统产业的深入渗透,推动了移动办公和远程办公市场的爆发式增长。这一趋势也引发传统的集中办公向分布式办公演变,固定办公场所被随时随地的办公方式所取代,用传统的PC设备办公逐渐向用移动设备办公转移。
随着移动办公的普及,用于办公的终端设备呈现多样化,笔记本电脑、平板电脑、智能手机等智能设备进入办公领域。然而,多样化的终端形态和网络接入方式也给企业的安全建设带来了挑战。如何保障广泛的终端设备的安全性,尤其是网络接入的安全性,成为企业安全部门需要解决的问题。
在传统的办公环境下,网络安全架构相对固定,所有办公终端都位于企业内部。通过在企业内部部署终端安全设备并在网络出口设置网络安全设备,安全部门就能够较好地保护办公环境。然而,在移动办公环境中,员工的工作环境暴露在互联网中,安全风险急剧增加。公司的办公业务安全风险也显著提升,一旦终端被攻陷,风险可能快速蔓延至内网,造成严重后果。
为平衡移动办公的便利性与安全性,终端引流(见图2-16)成为一种可行的解决方案。这种方式旨在确保移动终端通过受控的接入点接入企业网络,以保障数据的安全性。这种策略可以减轻安全风险,同时保证员工在移动办公中有好的体验。
终端引流的核心原理在于为所有办公终端设备安装一个安全引流终端。这个引流终端主要有两个作用:它可保障传统终端的安全,具有终端防病毒、终端检测与响应(Endpoint Detection and Response,EDR)等功能,部分强大的引流终端还可能具备终端安全沙箱能力,这些能力通常是企业的标配;它可提供终端引流服务,将需要防护的网络流量引入企业的安全资源池并进行集中安全防护处理。
终端引流的方式多种多样,可以基于传统的VPN隧道引流,也可以采用较新的软件定义边界(Software Defined Perimeter,SDP)引流。引流的方法也有不同,简单的方法是全量引流,将终端的所有网络流量引到企业内部进行防护。然而,全量引流可能会影响用户体验,因为并非所有流量都属于办公业务。因此,按需引流是主流方案。在按需引流场景下,终端与控制器保持通信,控制器根据企业内部业务的变化下发相应的引流策略。这样可以将办公业务流量引导到企业内部进行防护,而普通的上网流量则可以正常发送,实现安全与体验的平衡。
图2-16 终端引流方式
安全即服务(SECurity as a Service,SECaaS)是一种以云服务形式提供安全功能的方法,企业无须自行购买和维护专门的安全设备。这种模式降低了企业在安全领域的投资和运维成本。在SASE框架中集成了多种安全即服务的能力,以支持全面的安全运营,其中包括零信任网络访问、云访问安全代理、云安全态势管理、云工作负载保护平台、防火墙即服务、安全Web网关等典型功能。这些服务的集成和交付都在云环境中进行,使企业能够更灵活地应对不断变化的安全挑战,同时实现更高水平的安全性和便捷性。
零信任网络访问(Zero Trust Network Access,ZTNA)是一种主动防御的安全架构,其核心原则是不信任网络上的任何实体,无论是设备还是用户。这种架构依赖于设备评估和用户认证,并融合了持续分析和验证信任关系的方法,旨在确保网络上的实体不存在恶意行为,从而降低甚至消除安全风险(见图2-17)。
图2-17 零信任网络访问功能全集
零信任网络访问的核心包括以下4个关键功能。
1)全面感知:在零信任方案中,对整个访问环境进行全面管控至关重要。这涉及认知环境中的各种要素,包括资产稽查、数据分级分类和环境威胁感知等。环境资产的识别可以通过主动和被动资产发现、终端的主动上报等手段来实现。
2)最小授信:在ZTNA中,确保对资源的访问仅限于必要权限。这需要定义与资源访问相关的属性、规则和策略,这些策略可以在引擎中编码实现或者动态生成。最小授信数据访问策略为企业的账户和应用程序提供基本的访问权限,作为授权访问资源的起点,应当以实际任务角色和需求为基础。
3)持续评估:动态决策的基础是风险与信任评估。这种评估包括围绕访问主体对象(如用户、终端、应用等)的风险和信任级别,给出量化的风险评分,结合当前的访问行为进行决策。同时,还要判断访问行为的信任级别与所访问资源的安全等级是否平衡,以确保只有在平衡状态或者信任级别高于资源安全等级时,才允许主体对象访问和使用数据。
4)动态决策:用户在不同的访问环境中,所处的安全性等级也不同。为了在任何访问场景下都能选择最合理的访问策略,ZTNA引入了动态决策。动态决策模型基于风险与信任评估模型,解决初始策略基线和隐式信任区的配置问题。在零信任方案中,从宽松到试点再到严格零信任的过渡期中,初始策略基线的设置会发生变化。配置完策略基线后,需要设定风险控制策略,基于策略基线、风险控制策略以及风险与信任评估结果,进行决策并选择策略执行点,从而执行相应的安全指令。
ZTNA方案需要对资源和访问行为进行精细化控制,为此,安全编排自动化与响应(SOAR)是不可或缺的。安全编排不仅用于自动响应风险行为,还用于策略的优化,基于执行效果进行策略分析和自动调整,以实现安全策略的持续优化。这种综合性方法在支持企业移动办公和分布式环境下的终端安全的同时,还可提供精细的访问控制,确保安全性和用户体验的平衡。
云访问安全代理(Cloud Access Security Broker,CASB)是2010年提出的云安全技术,最早用于解决影子资产问题。但是随着SaaS服务的快速发展,从底层硬件资源到上层软件资源,最终用户都无法进行有效管理和控制。CASB技术的运用和发展能很好解决此类问题。另外,很多企业IT管理者发现,在使用CASB产品之后,企业的云服务数量是他们认知的10倍之多。
CASB的功能主要以SaaS应用程序为基础,有时也可以用于本地的虚拟机和物理设备,在多数用例中,SaaS交付方式更受欢迎。CASB的核心价值在于解决以下4类问题(见图2-18)。
图2-18 CASB主要解决的4类问题
❑ 全局可视化: CASB提供了企业影子IT的发现功能和资产全景图。这包括为分布在多个云服务提供商中的资产提供统一视图,同时为企业用户从任何设备或位置访问云服务中的资产提供可视化的活动视图。
❑ 数据安全性: CASB能够实施以数据为中心的安全策略,防止出现因数据分类、数据发现以及监控敏感数据访问引发的异常行为。通过基于角色的访问控制(RBAC)和属性访问控制(ABAC)等机制,识别越权访问。CASB通过审计、警报、阻止、隔离、删除和只读等控制手段来实施这些策略。其中,数据防泄露(DLP)是除了可视化之外最常用的控制手段。通常,DLP技术可以通过终端DLP和网关DLP进行部署和实施。
❑ 威胁防护: CASB通过提供自适应访问控制(AAC)来防止恶意设备、用户和应用程序版本访问云服务。根据登录前后观察到的异常情况,可以修改可访问的云应用程序功能。CASB使用嵌入式用户和实体行为分析(UEBA)来识别异常行为,还利用威胁情报、网络沙箱和恶意软件等技术来识别和缓解威胁。
❑ 合规性: CASB可以帮助组织证明其对云服务的使用情况进行了管理。它提供信息来确定云风险偏好并衡量风险承受能力。通过各种可视化、控制和报告功能,CASB有助于满足数据驻留和法律合规性的要求。
在实际的抽象业务场景中,CASB主要以两种模式实现。
❑ API模式: 通过调用SaaS应用的API来实现CASB业务。在这种模式下,CASB会与SaaS提供商的API进行交互,以监控和控制数据传输,访问行为和安全策略。这使得CASB能够直接集成到SaaS应用程序中,实现对数据流和用户活动的可视化和管控。
❑ 代理模式: 通过代理通信流量来实现CASB业务。在这种模式下,CASB在客户端或网络中部署代理,拦截和检查通信流量,确保数据传输符合安全策略。代理模式使得CASB能够在数据在网络中传输的过程中进行实时的监测和保护,无须依赖SaaS应用的内部集成。
图2-19是CASB在业务场景中的抽象部署图。
图2-19 CASB在业务场景中的抽象部署图
在具体详细的业务场景中,CASB可以运用以下4种模式,如图2-20所示。
❑ API模式: 通过调用SaaS应用的API来实现CASB业务。在这种模式下,CASB通过与SaaS提供商的API进行通信,实现对数据传输的监控和对安全策略的执行。
❑ 正向代理模式: 通过在终端上部署代理引流进行接入认证,实现CASB业务。在这种模式下,终端上的代理负责引导数据流量,并对用户进行身份验证,以确保数据的安全传输和合规性。
❑ 反向代理模式: 在这种模式下,需要进行DNS引流代理,并结合单点登录(SSO)认证接入。CASB在网络中部署代理,拦截流量并将其重定向到CASB以进行身份验证和安全分析,然后再将数据传递给SaaS应用。
❑ SWG/ENFW模式: 在已有的安全Web网关或网络功能(如防火墙)上部署代理,实现正向代理。CASB在这种情况下与现有的网络安全基础设施集成,共同保护数据的安全传输和应用访问。
图2-20 CASB业务场景图
云安全态势管理(Cloud Security Posture Management,CSPM)旨在持续管理云安全配置风险。该过程涵盖了对基础设施安全配置的持续分析与管理,包括账号特权、网络和存储配置,以及安全配置(如加密设置)。CSPM的目标是不断改进和适应云安全状态,以降低攻击成功的可能性,并在攻击者获得访问权限的情况下减少可能的损害。CSPM通过检测、记录、报告和自动化来解决问题,涵盖从云服务配置到安全设置的过程,通常涉及云资源的治理、合规性和安全性。
公有云中的IaaS和PaaS服务的高度自动化以及用户自助特性,使正确的云配置和合规性变得尤为重要。一个小错误可能会导致大量系统或敏感数据立即暴露。随着云服务的普及和平台服务的增多,企业信息和工作负载面临高风险。此外,由于程序化云基础架构的复杂性,可能需要很长时间才能发现配置错误和合规性问题。尽管底层云提供商的基础架构本身可能是安全的,但大多数企业缺乏确保安全使用云服务的流程和成熟工具。
因云基础架构始终处于不断变化之中,因此,CSPM策略应该在云应用从开发到运维(见图2-21)的整个生命周期中进行持续评估和改进,并根据需要进行响应和改进。同时,随着新的云功能不断涌现和新法规的颁布,云使用安全的策略也在不断演进。如图2-21顶部所示,CSPM策略应不断发展,以适应新情况的不断出现、行业标准的不断变化以及外部威胁的持续存在,同时根据在开发和运维中观察到的风险进行持续改进。
图2-21 CSPM持续评估和改进
云工作负载保护平台(Cloud Workload Protection Platform,CWPP)是以保护工作负载为中心的安全产品,专为现代混合云和多云数据中心基础架构中的服务器工作负载的独特保护和安全性需求而设计。
随着在公共云中部署的工作负载日益增多,企业意识到需要将安全性整合到工作负载创建工具链中,并在运行时维护工作负载的可见性、可控性和完整性。为解决云工作负载保护的速度、规模和复杂性,必须使用专门为云设计的解决方案,仅使用为内部数据中心或终端用户端点设计的解决方案是不够的。
企业正在采用混合数据中心架构,工作负载跨越内部和公共云IaaS提供商,利用容器和无服务器功能。这些工作负载有独特的安全需求,与面向终端用户的系统有很大的区别。CWPP的出现旨在满足上述需求,保护这些工作负载,从而安全地利用公有云和本地云应用程序的动态特性。
CWPP无视地理位置,可为物理机、虚拟机、容器和无服务器工作负载提供统一的可视化和控制能力。典型的CWPP产品结合网络分段、系统完整性保护、应用程序控制、行为监控、基于主机的入侵防御以及可选的反恶意软件保护等措施来保护工作负载免受攻击。
图2-22是CWPP控制措施结构图,该图体现了在现代混合多云数据中心架构中保护工作负载的策略的主要构成要素。
图2-22 CWPP控制措施结构图
CWPP的控制措施结构为一个分层金字塔形,其底部是一个矩形的基座。工作负载的安全性源于基座所提供的良好运维实践。任何工作负载保护策略都必须从此处开始,并确保满足以下条件。
❑任何人(攻击者或管理员)都难以在物理和逻辑上访问工作负载。
❑工作负载镜像只包含必需的代码。服务器镜像应禁止包含浏览器和电子邮件等不必要的组件。
❑更改服务器工作负载需要经过严格的管理流程,并通过强制强身份验证来严格控制和管理访问。
❑收集和监控操作系统和应用程序的日志。
❑对工作负载进行固化、容量缩减并定期打补丁,以减少潜在的攻击面。
除了上述列出的功能,还有其他方法可以在深度分层的防御策略中保护服务器工作负载。是否需要额外的保护措施取决于多个因素,包括合规性要求、受保护工作负载的敏感性,以及网络防火墙、网络入侵检测等缓解控制的可用性,还涉及服务器能否及时打补丁,以及应用程序、产品或服务所有者的风险承受能力等因素。
防火墙即服务(FireWall as a Service,FWaaS)又称云防火墙,依托于先进的防火墙技术,在云端提供一系列安全保护功能,如URL过滤、病毒检测、高级威胁防护(ATP)、入侵检测系统(IDS)等。
在当前分布式环境中,用户和计算资源越来越多地分布在网络边缘,因此,基于云的弹性防火墙正成为一项至关重要的服务,这种防火墙可以有效地保护这些边缘节点。随着边缘计算的扩展以及物联网设备的日益智能和强大,这一功能的重要性也逐渐凸显出来。
将防火墙作为服务的概念融入SASE平台中,使得企业可以更加轻松地管理网络安全,制定一致的安全策略,及时检测异常并迅速做出调整。
以下是使用FWaaS的主要优势。
❑ 阻止恶意Web流量: FWaaS能够有效地阻止恶意软件和恶意机器人等恶意Web流量,同时还有能力阻止敏感数据泄露。
❑ 无网络阻塞点: 由于流量不需要经过硬件设备,因此不会产生网络阻塞,确保了流量的流畅传输。
❑ 云基础设施集成: 云防火墙可以轻松地与云基础架构集成,为云环境提供全面的安全保护。
❑ 多云部署保护: 云防火墙支持多个云部署的同时保护,只要云防火墙供应商支持每个云平台。
❑ 灵活的扩展性: 云防火墙具备快速扩展的能力,可以处理不断增长的流量需求。
❑ 减轻维护负担: 企业无须自行维护云防火墙,供应商会负责处理所有的更新和维护工作。
随着企业对云服务的广泛应用,FWaaS成为保护云环境和边缘计算节点的重要手段,它不仅强化了网络安全,还为企业提供了更加便捷和高效的安全管理方式。在一个不断变化和发展的网络威胁环境中,FWaaS为企业提供了稳固的安全防护基础。
安全Web网关(Secure Web Gateway,SWG)是Gartner于2012年提出的一种安全概念,其核心功能包括URL过滤、恶意代码防护、Web应用程序控制检查,以及数据防泄露(DLP)等。
SWG旨在满足企业强制执行互联网出口策略的需求,基于其设计的产品既可以基于云端SaaS进行交付,也可以以硬件形式部署于网络出口。通过对互联网出口流量的安全检查和监控,SWG有助于确保企业网络的安全性。
在实际的部署和应用中,SWG产品需要与以下4个关键能力协同合作。
❑ 身份联动: 与企业的身份和访问管理系统进行对接,以获取用户身份信息。这有助于根据用户的身份应用特定的安全策略。
❑ 情报联动: 与云端威胁情报数据库进行联动,从中获取最新的威胁情报信息。这可以使SWG更有效地识别和阻止恶意活动。
❑ 识别联动: 与威胁分析和识别(Threat Analysis and Classification,TAC)系统进行联动,用于识别恶意文件和活动。这有助于更准确地检测和拦截潜在的威胁。
❑ 处置联动: 与网络防火墙等系统进行联动,以实现对出口流量的阻断和处置。在检测到威胁时,可以迅速采取措施阻止恶意流量传出。
这些联动能力使得SWG不仅是一个独立的安全解决方案,还可与其他关键安全组件合作,形成更加综合和强大的网络安全体系。通过这样的联动,SWG能够更好地识别、拦截和处置各种网络威胁,为企业网络提供全面的保护。SWG整体部署联动如图2-23所示。
在实际的部署场景中,SWG主要有以下3种部署方式。
1.显性部署
在显性部署中,终端设备将Web流量分流至SWG,而非Web流量继续传输在正常路径中。这种部署方式要求终端能够识别并分流Web流量,以便通过SWG进行安全检测。这种方式可以有效控制Web流量的安全性,如图2-24所示。
2.串联部署
在串联部署中,所有的出口流量都指向SWG,而SWG则会对Web流量进行安全检测,对非Web流量直接进行转发处理。这种部署方式不需要终端区分流量类型,所有流量都经过SWG的检测,如图2-25所示。
图2-23 SWG整体部署联动
图2-24 SWG显性部署方式
图2-25 SWG串联部署方式
3.云地混合部署
云地混合部署就是本地用户通过隧道接入云端SWG,同时,通过终端设备的分流设置,将Web流量指向云端SWG进行安全检测。这种方式让本地和移动用户能够在云端和本地结合使用SWG进行安全保护,如图2-26所示。
图2-26 SWG云地混合部署方式