“企业已经没有防御的边界了！”在近日举行的 2021 年 RSA 大会上，思科董事长兼首席执行官罗卓克在发表演讲时这样说。


时至今日，无论你是在办公室还是在家中，也无论你是在固定场所还是在移动之中，只要你的网络连通，只要你有数据访问，那么安全问题就会如影随行。

 

自新冠肺炎疫情爆发以来一年多的时间，我们似乎已经习惯了某些 “ 新常态 ” ：世界已转向更加分散的办公模式，并且混合办公模式将长期持续存在；越来越多的用户希望随时随地通过任何设备进行连接；安全团队现有的解决方案通常是复杂、零碎且耗时的……是时候重新考虑安全问题了！

 

“重新定义网络安全！安全必须简单、智能且无处不在！”这是思科安全的愿景。


图片

思科大中华区副总裁、安全事业部总经理 卜宪录



安全为何要重塑？


最新发布的《思科安全调查结果研究：终端设备篇》显示，超过 40% 的全球企业在过去两年中报告了重大安全事件；如果企业没有优先采用集成解决方案，它们遭受重大安全事件的可能性几乎提高了一倍。随着网络边界日渐模糊，人们倾向随时随地的办公模式，用户、终端设备及应用比以往任何时候更容易受到威胁。


图


思科大中华区副总裁、安全事业部总经理卜宪录指出，几乎各行各业都面临着相同的安全挑战：一方面，企业客户的数字化进程不断加速；另一方面，以云技术为代表的新技术、新架构，带来了更多的安全威胁和风险敞口。

 

如果企业用户愿意积极主动地采用新的技术、产品和解决方案，安全能力可能会有明显提升。更进一步，企业用户如果采用集成的安全解决方案，并能与企业现有的基础架构完美地融合在一起，对于安全防御来说可能会事半功倍。

 

安全变革的新基石之一便是安全访问服务边缘 (SASE)。

 

当前，应用发生了三大转变——用户访问分散，接入方式灵活多样，应用无处不在。正是应用的变革，引发了人们对于安全的重新思考。





“或许从网络架构的演变，我们可以更容易理解安全为什么要被重构。”卜宪录解释说，“在传统的网络架构中，总部是一切的核心，不管是在分支办公室，还是移动的用户，不管通过何种方式，都必须先连接到总部，然后通过总部再去访问相关的应用和数据。大约 80% 的流量都汇聚在总部，而只有 20% 的流量分散到互联网上。这就是传统的 ‘ 二八原则 ’ 。随着应用需求和架构的演变，今天，越来越多的服务、应用和数据都分布在混合、多云的环境中，无处不在。最佳的访问路径不是先回到总部，再去访问分散的数据和应用，而是在分支办公室或移动的场所，直接访问分散在各处的数据和应用，80% 的流量集中于公有云、混合云中。若想支撑这样一个新的网络架构，就必须增加一个网络的边界层，以云的方式提供网络和安全服务，并且这种网络安全服务应该是融合的、可视化的、自动化的。网络架构的变迁，引出了 SASE 的概念和架构。”


02

SASE 是一段旅程，因人而异


Gartner 将 SASE 定义为一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。SASE 用于从分布式云服务交付聚合的企业网络和安全服务。





对于 SASE 这个名词，可能很多人都不陌生。但是如何正确理解 SASE，并确保其平稳落地，还需要强调以下几点。

 

首先，SASE 结合了完整的网络与安全功能，支持企业多种形式的安全接入需求，可确保任意员工通过任意设备安全高效地访问任意应用。

 

其次，SASE 要求通过云的方式，在边缘提供安全和网络服务，在一些用户场景下，也兼容通过本地的方式提供这些服务。

 

最后，SASE 的实现水平和路径，取决于客户的实际需求以及现有的架构情况。

 

“其实，SASE 的部署没有一定之规。部署 SASE 的一个基本原则是，充分利用客户现有的网络和安全基础架构，最大程度保护客户已有的投资。通常来说，客户可以采用分阶段实施的方法，从接入方式入手，率先部署 SD-WAN 解决方案，再引入 SASE；或者反过来，在已有安全架构的基础上，再引入 SD-WAN，最终目标都是实现网络与安全策略的统一。”卜宪录表示，“对于用户来说，不是某个厂商设计了一个理想的 SASE 架构，所有客户都要照搬，且一次性到位，这是很难实现的。”

 

思科认为，最佳的 SASE 实践，是提供一个集成的、简单的、自动化的解决方案，帮助客户实现整个系统的最优化，而不是单点的最优，从而更好地保护用户的原有投资，同时降低整体运维成本。最新推出的思科安全接入服务边缘产品组合，支持用户一次性购买所有核心组件，并且可以在将来轻松、灵活地过渡到统一订阅服务。

 

思科提供了 SASE 架构的所有核心组件，包括一流的网络服务、远程访问、云安全、零信任网络访问和可观察性。思科致力于将这些功能整合到单一的订阅服务中，支持用户从任何地点、通过任何网络或云对任何应用程序进行无缝、安全的访问。

 

“思科的 SASE 不仅是产品和功能的集成，更是管理和策略的集成。思科让 SASE 的应用变得更加简单、智能。”卜宪录归纳说，“应用已经云化，并且部署了多云环境，同时采用灵活多样的接入方式，这类客户最适合部署 SASE。”

 

就像数字化转型是一段漫长的旅程一样，SASE 的部署和应用也是一段旅程，企业用户可以从任何一个阶段开始进入，部署和应用方式也要因人而异，因地制宜。SASE 安全厂商只是提供了诸多选择的可能性，企业用户应该根据自己的实际需求进行选择。

 

卜宪录强调说，企业部署 SASE，一定要先看具体的使用场景，谁来访问，具体访问的是什么等。在实现的过程中，尤其要解决好 “ 连接、控制、融合 ” 这三个核心问题。


03

云原生安全循序渐进


从虚拟化到云，进而到云原生，IT 基础架构和应用的现代化步伐不断加快。正是应用环境和需求的变化，使得网络安全愈加复杂。重新定义网络安全刻不容缓。

 

卜宪录表示：“客户正加速向多云和混合云迁移，攻击和威胁日益复杂并且无处不在。为帮助客户应对愈发严峻的挑战，思科在数据中心推出了 Tetration 云原生防火墙，帮助客户保护容器安全，并且能够和 Cisco NGFW 下一代防火墙实现安全策略的集成联动，这是业界首创的。”




思科安全防火墙云原生（SecureFirewall Cloud Native）针对 Kubernetes 环境设计，适用于开发人员，也是思科迄今为止构建的具有较高弹性的防火墙。它不同于传统防火墙，采用了分布式的架构，是一个完整的体系，包含控制节点、执行策略节点、负载均衡节点等，直接部署在云环境中。它还可以自动扩展、自动检测、自动治愈，并可根据业务的变化进行动态调整。比如，实际业务需要更多的安全容器以提高性能，它就会自动初始化一个新的容器。
 
安全并非铁板一块，是否部署基于安全容器，要看用户的实际需求。思科针对企业用户的不同需求，面向传统以硬件为主的环境、虚拟化环境和容器场景，都能提供有针对性的安全解决方案。