?本期講解嘉賓

安全訪問服務(wù)邊緣（Secure Access Service Edge，簡(jiǎn)稱SASE）自2019年由Gartner在《The Future of Network Security Is in the Cloud（網(wǎng)絡(luò)安全的未來在云端）》提出，迅速成為國內(nèi)外各大安全廠商和客戶的關(guān)注重點(diǎn)。SASE是一個(gè)融合了SD-WAN（軟件定義廣域網(wǎng)）和網(wǎng)絡(luò)安全功能的新興技術(shù)架構(gòu)，具備身份驅(qū)動(dòng)、云原生架構(gòu)、近源部署、分布互聯(lián)等4大主要特征，以支持?jǐn)?shù)字化企業(yè)轉(zhuǎn)型的安全需求。目前SASE理念和架構(gòu)已被大量正在進(jìn)行數(shù)字化轉(zhuǎn)型的企業(yè)接受。相信您不僅僅只想了解什么是SASE？更想知道SASE為何備受追捧。因此，華為安全專家齊聚一堂，開辟華為安全大咖談之-“走進(jìn)SASE”，敬請(qǐng)持續(xù)關(guān)注。

“云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和人工智能”等新型ICT技術(shù)的普遍應(yīng)用，不僅推動(dòng)了各個(gè)行業(yè)的數(shù)字化轉(zhuǎn)型，同時(shí)也帶來了諸多安全隱患和挑戰(zhàn)。近年來，發(fā)生在各大政企用戶的外部APT攻擊和內(nèi)部違規(guī)導(dǎo)致的大規(guī)模數(shù)據(jù)泄露等惡性安全事件層出不窮，各單位的信息安全負(fù)責(zé)人也逐漸意識(shí)到，傳統(tǒng)的邊界防護(hù)手段存在很多局限性，已無法滿足新形勢(shì)下的網(wǎng)絡(luò)安全需求。

首先，隨著網(wǎng)絡(luò)邊緣的不斷擴(kuò)展以及涵蓋云和本地等混合網(wǎng)絡(luò)環(huán)境的廣泛部署，企業(yè)網(wǎng)絡(luò)架構(gòu)日趨復(fù)雜。與此同時(shí)，企業(yè)依然面臨孤立運(yùn)行的安全產(chǎn)品和工具無法協(xié)同工作的嚴(yán)峻挑戰(zhàn)；其次，新型技術(shù)及應(yīng)用為網(wǎng)絡(luò)攻擊提供新的攻擊載體，攻擊實(shí)施更加靈活、過程更加隱蔽、技術(shù)更加智能。整個(gè)攻擊橫跨越網(wǎng)絡(luò)、應(yīng)用程序、內(nèi)容和設(shè)備，威脅檢測(cè)和溯源難度增大；最后，數(shù)字化轉(zhuǎn)型已經(jīng)成為各行業(yè)的發(fā)展趨勢(shì)，數(shù)據(jù)共享和流通將成為剛性業(yè)務(wù)需求，原來相互隔離的業(yè)務(wù)網(wǎng)絡(luò)將打破安全邊界走向融合，安全管控難度與泄密風(fēng)險(xiǎn)進(jìn)一步擴(kuò)大。

據(jù)Gartner調(diào)查顯示，“75%的企業(yè)組織正積極尋求安全供應(yīng)商的全面整合”。該調(diào)查還指出，“運(yùn)營效率低下以及無法有效應(yīng)對(duì)異構(gòu)安全架構(gòu)的集成挑戰(zhàn)，令安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者的擔(dān)憂持續(xù)升溫。用戶亟待部署更高效和全面集成的解決方案，而非孤立運(yùn)行的單點(diǎn)安全產(chǎn)品。”

為了應(yīng)對(duì)這些挑戰(zhàn)，站在新IT架構(gòu)的角度思考重構(gòu)安全，華為通過“云網(wǎng)邊端”的安全資源和能力集中統(tǒng)一管理和策略統(tǒng)一配置來實(shí)現(xiàn)安全業(yè)務(wù)鏈的統(tǒng)一編排、基于SASE的網(wǎng)安一體融合、統(tǒng)一零信任能力和多維事件統(tǒng)一分析和一體化響應(yīng)能力，從而構(gòu)筑完整的 “云網(wǎng)邊端”統(tǒng)一安全體系，是數(shù)字化時(shí)代構(gòu)建網(wǎng)絡(luò)安全防線的積極探索。

什么是“云網(wǎng)邊端”四維一體安全體系

如圖1-1所示，“云網(wǎng)邊端”四維一體安全體系包括一系列部署在“云網(wǎng)邊端”的安全資源和能力。其中：

云：包括面向公有云租戶和面向線下用戶的SaaS化安全云服務(wù)。

網(wǎng)：就是指?jìng)鹘y(tǒng)的廣域網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)和分支網(wǎng)絡(luò)部署的安全資源。

邊：主要指靠近用戶邊緣側(cè)的安全網(wǎng)關(guān)或邊緣安全資源池。

端：主要指部署在用戶終端或服務(wù)器上的安全能力。

圖1-1統(tǒng)一管理、智能分析、自動(dòng)響應(yīng)，
構(gòu)筑云網(wǎng)邊端一體安全防護(hù)體系

“云網(wǎng)邊端”統(tǒng)一安全體系最核心的能力是什么

集中統(tǒng)一管理是“云網(wǎng)邊端”統(tǒng)一安全體系最核心的能力。華為乾坤的云、網(wǎng)絡(luò)和安全統(tǒng)一控制器將“云網(wǎng)邊端”的安全資源和能力集成到統(tǒng)一的安全解決方案中—從企業(yè)園區(qū)、私有數(shù)據(jù)中心擴(kuò)展到網(wǎng)絡(luò)、云和遠(yuǎn)程辦公的簡(jiǎn)單易用的自動(dòng)化安全防御方案。

集中統(tǒng)一管理包括以下幾個(gè)方面，具體如表1-1所示。

表1-1集中統(tǒng)一管理包含的子項(xiàng)能力

以安全網(wǎng)關(guān)為例，為了能實(shí)現(xiàn)集中統(tǒng)一管理，華為安全網(wǎng)關(guān)平臺(tái)實(shí)現(xiàn)了“云網(wǎng)邊”安全能力的統(tǒng)一。如圖1-2所示，通過安全服務(wù)和網(wǎng)絡(luò)服務(wù)分層的架構(gòu)，適配不同的底層平臺(tái)演化成多種形態(tài)的安全網(wǎng)關(guān)資源（例如嵌入式安全網(wǎng)關(guān)、虛擬化和云原生FW以及FWaaS等）。因?yàn)橥惶状a，同樣的能力不僅可以將眾多安全資源整合到一個(gè)簡(jiǎn)化的單一策略和管理框架中，同時(shí)也保證了各種安全資源可以有統(tǒng)一配置和互操作的能力。

圖1-2安全服務(wù)和網(wǎng)絡(luò)服務(wù)業(yè)務(wù)分層適配不同
底層平臺(tái)演化成多種形態(tài)安全網(wǎng)關(guān)資源

下面重點(diǎn)描述華為是如何通過業(yè)務(wù)分層架構(gòu)來實(shí)現(xiàn)同一套代碼演化成多種形態(tài)安全網(wǎng)關(guān)資源的：

安全服務(wù)ASE（Adaptive Security Engine）：負(fù)責(zé)L4~L7層的安全業(yè)務(wù)處理，支持高級(jí)安全能力，如應(yīng)用協(xié)議識(shí)別、IPS、AV、內(nèi)容過濾、L7 SLB等。

網(wǎng)絡(luò)服務(wù)HPF（High Performance Forward）：負(fù)責(zé)網(wǎng)絡(luò)業(yè)務(wù)轉(zhuǎn)發(fā)，及L2~部分L4層的傳輸層業(yè)務(wù)處理，如SRv6、SD-WAN、NAT、WOC、隧道業(yè)務(wù)等。其中流表業(yè)務(wù)為FW策略的轉(zhuǎn)發(fā)插件，負(fù)責(zé)安全流表業(yè)務(wù)狀態(tài)的快速處理。

底層平臺(tái)適配：同時(shí)支持專有硬件（嵌入式），普通的VM或Docker平臺(tái)，或者直接調(diào)用云原生的服務(wù)拉起安全服務(wù)的能力。如果底層平臺(tái)有硬件加速能力，可以將網(wǎng)絡(luò)服務(wù)中的流表業(yè)務(wù)下發(fā)到平臺(tái)中，提升相應(yīng)的處理性能。

資源動(dòng)態(tài)分配：根據(jù)不同場(chǎng)景，如側(cè)重SD-WAN場(chǎng)景，則網(wǎng)絡(luò)服務(wù)HPF分配的計(jì)算資源更多；同理側(cè)重高級(jí)安全場(chǎng)景，則安全服務(wù)ASE分配的計(jì)算資源更多，支持容器間的資源動(dòng)態(tài)調(diào)整。

這種架構(gòu)可以支持多種安全場(chǎng)景，如園區(qū)、數(shù)據(jù)中心、云原生、SD-WAN等，同時(shí)還可以根據(jù)不同的場(chǎng)景來分配資源，實(shí)現(xiàn)了資源的靈活調(diào)配。在提高安全性能和可靠性的同時(shí)也可以降低運(yùn)維成本。

“云網(wǎng)邊端”的統(tǒng)一安全體系能給客戶帶來哪些價(jià)值

華為“云網(wǎng)邊端”的統(tǒng)一安全體系提出了“一體管理、一體分析、一體決策、一體處置”的建設(shè)理念，顛覆了傳統(tǒng)單臺(tái)、靜態(tài)、被動(dòng)的安全防護(hù)思路，旨在打造智能化的網(wǎng)絡(luò)安全架構(gòu)，實(shí)現(xiàn)風(fēng)險(xiǎn)實(shí)時(shí)檢測(cè)、威脅主動(dòng)研判、智能全局防控。

一體管理

通過統(tǒng)一管理平臺(tái)，集中管理所有的安全資源和能力，提高安全管理效率。

統(tǒng)一制定、按需下發(fā)執(zhí)行安全策略，確保所有安全策略的一致性和有效性。整體降低網(wǎng)絡(luò)安全運(yùn)維和管理成本，提高企業(yè)的網(wǎng)絡(luò)安全投資回報(bào)率。

一體分析

全面采集云、網(wǎng)絡(luò)、終端多維威脅數(shù)據(jù)，云上云下數(shù)據(jù)協(xié)同，提升威脅分析準(zhǔn)確率，安全態(tài)勢(shì)全域統(tǒng)一呈現(xiàn)。

為了提升安全事件分析的準(zhǔn)確性，需要收集盡可能多的信息，特別是終端（含服務(wù)器）風(fēng)險(xiǎn)信息、網(wǎng)絡(luò)流量信息、安全設(shè)備的日志信息。這些信息分別散落在不同的網(wǎng)絡(luò)位置，必須對(duì)“云網(wǎng)邊端”進(jìn)行統(tǒng)一納管，設(shè)置唯一的安全運(yùn)營中心，以獲得更精準(zhǔn)的分析結(jié)果。

一體決策

基于對(duì)終端、網(wǎng)絡(luò)、用戶行為等多維風(fēng)險(xiǎn)數(shù)據(jù)，并結(jié)合位置、用戶、時(shí)間等信息進(jìn)行決策，實(shí)時(shí)動(dòng)態(tài)調(diào)整授權(quán)或安全策略。

盡可能對(duì)核心資源進(jìn)行保護(hù)，在初次認(rèn)證通過后，需要從終端風(fēng)險(xiǎn)、網(wǎng)絡(luò)流量異常和用戶違規(guī)行為（例如用戶訪問位置的突然變化）等維度，對(duì)終端和用戶的風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)評(píng)估?；诙嗑S的評(píng)估結(jié)果，對(duì)終端或用戶風(fēng)險(xiǎn)評(píng)分，結(jié)合終端或用戶的身份對(duì)其權(quán)限進(jìn)行調(diào)整，實(shí)行降級(jí)、阻斷等操作。

一體處置

“云網(wǎng)邊端”全局攻擊溯源，選擇最合理的方式和最接近攻擊源的安全資源進(jìn)行自動(dòng)化處置。

當(dāng)識(shí)別到嚴(yán)重威脅時(shí)，需要立即確認(rèn)，并對(duì)威脅進(jìn)行遏制，以避免威脅進(jìn)一步擴(kuò)散。通過不同設(shè)備之間的自動(dòng)化協(xié)同聯(lián)動(dòng)，實(shí)現(xiàn)威脅源分鐘級(jí)快速定位，秒級(jí)近源快速處置的能力。

總結(jié)與展望

華為“云網(wǎng)邊端”統(tǒng)一安全體系的理念不同于傳統(tǒng)割裂式的單點(diǎn)防護(hù)，是基于“體系化”的思路，將安全能力融入云、網(wǎng)、邊、端和業(yè)務(wù)系統(tǒng)，從業(yè)務(wù)系統(tǒng)的視角解決安全問題，使得客戶能夠去應(yīng)對(duì)日益復(fù)雜并不斷變化的攻擊。通過保證業(yè)務(wù)的韌性來應(yīng)對(duì)傳統(tǒng)安全邊界的消失和網(wǎng)絡(luò)邊緣不斷擴(kuò)展的難題。

點(diǎn)擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！