Zero Trust、SASE和SSE:新一代的網(wǎng)絡(luò)基礎(chǔ)概念

來源:Cloudflare
作者:Cloudflare
時間:2022-07-28
3323
如果您是安全、網(wǎng)絡(luò)或IT部門領(lǐng)導(dǎo)人,您很可能已經(jīng)聽說過Zero Trust、安全訪問服務(wù)邊緣(SASE)和安全服務(wù)邊緣(SSE)等描述企業(yè)網(wǎng)絡(luò)架構(gòu)新格局的術(shù)語。

640 (1).png

如果您是安全、網(wǎng)絡(luò)或IT部門領(lǐng)導(dǎo)人,您很可能已經(jīng)聽說過Zero Trust、安全訪問服務(wù)邊緣(SASE)和安全服務(wù)邊緣(SSE)等描述企業(yè)網(wǎng)絡(luò)架構(gòu)新格局的術(shù)語。這些框架正在形成新的一波技術(shù)浪潮,將從根本上改變企業(yè)網(wǎng)絡(luò)的構(gòu)建和運營方式,但這些術(shù)語經(jīng)常被交替使用,而且并不一致。我們很容易迷失在熱詞的海洋中,并失去它們背后的目標(biāo):為您的最終用戶、應(yīng)用程序和網(wǎng)絡(luò)提供更安全、更快、更可靠的體驗。今天,我們將詳細解析這些概念——Zero Trust、SASE和SSE——并概述實現(xiàn)這些目標(biāo)所需的關(guān)鍵組成部分。本內(nèi)容的持續(xù)更新版本位于我們的學(xué)習(xí)中心。

什么是Zero Trust?

Zero Trust是一種IT安全模型,它要求對試圖訪問私有網(wǎng)絡(luò)內(nèi)資源的每個人和設(shè)備進行嚴格的身份驗證,無論他們位于網(wǎng)絡(luò)邊界內(nèi)部還是外部。這與基于邊界的傳統(tǒng)的安全模型形成了對比。傳統(tǒng)的安全模型也被稱為“城堡+護城河”架構(gòu),用戶一旦被授予網(wǎng)絡(luò)訪問權(quán),就能夠訪問其中資源。

簡而言之:傳統(tǒng)IT網(wǎng)絡(luò)安全信任網(wǎng)絡(luò)內(nèi)的任何人和任何設(shè)備。Zero Trust架構(gòu)不信任任何人和任何設(shè)備??稍诖诉M一步了解Zero Trust安全。

什么是安全訪問服務(wù)邊緣(SASE)?

Gartner引入SASE,作為各類組織實施Zero Trust架構(gòu)的框架。SASE將軟件定義的網(wǎng)絡(luò)能力與多種網(wǎng)絡(luò)安全功能集合起來,全部通過單一云平臺交付。通過這種方式,SASE讓員工能夠從任何地方進行身分驗證并安全地連接到內(nèi)部資源,讓企業(yè)更好地管控進出其內(nèi)部網(wǎng)絡(luò)的流量和數(shù)據(jù)。

SASE的安全訪問(Secure Access)組件包括定義跨用戶設(shè)備和應(yīng)用程序以及分支機構(gòu)、數(shù)據(jù)中心和云流量的Zero Trust安全策略。服務(wù)邊緣(Service Edge)組件允許所有流量(無論位于何處)通過安全訪問控制,而無需回傳到執(zhí)行這些控制的中心“樞紐”??稍诖诉M一步了解SASE。

什么是安全服務(wù)邊緣(SSE)?

SSE是Gartner創(chuàng)造的另一個術(shù)語,是一個SASE功能子集,專注于安全執(zhí)行能力。它是實施全面SASE部署的一個常見過渡階段,將SSE安全控制擴展到企業(yè)廣域網(wǎng)(WAN),并包括軟件定義的網(wǎng)絡(luò)功能,如流量整形和服務(wù)質(zhì)量??稍诖诉M一步了解SSE。

SASE的組成部分

最常見的SASE定義列出了一系列安全功能,如Zero Trust網(wǎng)絡(luò)訪問(ZTNA)和云訪問安全代理(CASB),重點在于SASE平臺需要做什么。安全功能是其中的一個關(guān)鍵部分,但是這些定義是不完整的:它們沒有描述這些功能如何實現(xiàn),而這是同樣重要的。

SASE的完整定義建立在這一安全功能列表的基礎(chǔ)上,包括三個不同的方面:安全訪問、入口和服務(wù)邊緣。

640 (2).png

Cloudflare One:一個全面的SASE平臺

Cloudflare One是一個完整的SASE平臺,結(jié)合了一套完整的安全訪問功能,以及連接任何流量源和目的地的靈活入口,全部通過快速、可靠的服務(wù)邊緣——Cloudflare全球網(wǎng)絡(luò)交付。對于希望從SSE開始,作為實現(xiàn)SASE之過渡的組織而言,Cloudflare One也能滿足需求。它是完全可組合的,因此組件可以單獨部署,以服務(wù)即時用例,并按照您自己的節(jié)奏構(gòu)建完整的SASE架構(gòu)。

讓我們詳細介紹SASE架構(gòu)的每一個組件,說明Cloudflare One如何交付它們。

安全訪問:安全功能

安全訪問功能針對所有流量運行,以確保用戶、應(yīng)用、網(wǎng)絡(luò)和數(shù)據(jù)安全。在一種輸入/處理/輸出(IPO)模型中,可將安全訪問視為對流量進行監(jiān)控和操作的處理過程。

640 (3).png

Zero Trust網(wǎng)絡(luò)訪問(ZTNA)

Zero Trust網(wǎng)絡(luò)訪問(ZTNA)是使Zero Trust安全模型成為可能的技術(shù),要求在授權(quán)用戶和設(shè)備訪問內(nèi)部資源之前對它們進行嚴格的驗證。相比一次性授予對整個本地網(wǎng)絡(luò)訪問權(quán)的傳統(tǒng)虛擬專用網(wǎng)絡(luò)(VPN),ZTNA僅授權(quán)訪問所請求的特定應(yīng)用程序,且默認拒絕對應(yīng)用程序和數(shù)據(jù)的訪問。

ZTNA可與其他應(yīng)用安全功能協(xié)同工作,例如Web應(yīng)用防火墻、DDoS防護和機器人管理,為公共互聯(lián)網(wǎng)上的應(yīng)用程序提供全面的保護。有關(guān)ZTNA的更多信息,請參閱此處。

Cloudflare One包含一個ZTNA解決方案,Cloudflare Access,基于客戶端或無客戶端的模式運行,以授予對自托管和SaaS應(yīng)用程序的訪問權(quán)限。

安全web網(wǎng)關(guān)(SWG)

安全Web網(wǎng)關(guān)(SWG)在公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間運作,以執(zhí)行安全策略并保護公司數(shù)據(jù)。無論流量來自用戶設(shè)備、分支機構(gòu)還是應(yīng)用,SWG都能提供URL過濾、惡意軟件檢測和阻止、應(yīng)用控制等多層保護。隨著越來越高比例的公司網(wǎng)絡(luò)流量從專用網(wǎng)絡(luò)轉(zhuǎn)移到互聯(lián)網(wǎng),部署SWG已經(jīng)成為保護公司設(shè)備、網(wǎng)絡(luò)和數(shù)據(jù)免受各種安全威脅的關(guān)鍵。

SWG可與其他工具(包括Web應(yīng)用防火墻和網(wǎng)絡(luò)防火墻)協(xié)同工作,保護企業(yè)網(wǎng)絡(luò)上的傳入和傳出流量。它們也能與遠程瀏覽器隔離(RBI)協(xié)同工作,防止惡意軟件和其他攻擊影響企業(yè)設(shè)備和網(wǎng)絡(luò),而不完全阻止用戶訪問互聯(lián)網(wǎng)資源。有關(guān)SWG的更多信息,參見此處。

Cloudflare One包含一個SWG解決方案,Cloudflare Gateway,它為來自用戶設(shè)備和網(wǎng)絡(luò)位置的流量提供DNS、HTTP和網(wǎng)絡(luò)過濾。

遠程瀏覽器隔離(RBI)

瀏覽器隔離是一種通過將加載網(wǎng)頁的過程與顯示網(wǎng)頁的用戶設(shè)備分離來保證瀏覽活動安全的技術(shù)。這樣,潛在的惡意網(wǎng)頁代碼就不會在用戶的設(shè)備上運行,從而防止惡意軟件感染和其他網(wǎng)絡(luò)攻擊影響用戶設(shè)備和內(nèi)部網(wǎng)絡(luò)。

RBI與其他安全訪問功能協(xié)同工作。例如,安全團隊可配置安全Web網(wǎng)關(guān)策略來自動隔離到已知或潛在可疑網(wǎng)站的流量。有關(guān)瀏覽器隔離的更多信息,參見此處。

Cloudflare One包含瀏覽器隔離。傳統(tǒng)的遠程瀏覽器會向用戶發(fā)送網(wǎng)頁的一個緩慢而笨重的版本。相比之下,Cloudflare瀏覽器隔離會在用戶的設(shè)備上繪制一個頁面的精確副本,而且傳輸速度極快,感覺就像在使用普通瀏覽器。

云訪問安全代理(CASB)

云訪問安全代理掃描、檢測并持續(xù)監(jiān)視SaaS應(yīng)用程序中的安全問題。組織使用CASB的目的:

·數(shù)據(jù)安全,例如確保不會在Dropbox上公開共享錯誤的文件或文件夾

·用戶活動,例如在凌晨2時就可疑的用戶權(quán)限更改發(fā)出警告

·錯誤配置,例如防止Zoom錄制文件被公開訪問

·合規(guī),例如跟蹤和報告誰修改了Bitbucket分支權(quán)限

·影子IT,例如檢測用工作郵箱注冊了未經(jīng)批準的應(yīng)用程序的用戶

API驅(qū)動的CASB利用與各種SaaS應(yīng)用程序的API集成,只需幾分鐘就可以連接。CASB還可以與RBI協(xié)同使用,以檢測并防止對已批準和未批準SaaS應(yīng)用程序的有害行為,比如禁止下載文件或從文檔中復(fù)制文本。有關(guān)CASB的更多信息,參見此處。

Cloudflare One包括一個API驅(qū)動的CASB,它就SaaS應(yīng)用提供全面的可見性和管控,以便輕松地防止數(shù)據(jù)泄露和違規(guī)。

數(shù)據(jù)丟失防護(DLP)

數(shù)據(jù)丟失防護(DLP)工具能夠檢測和防止數(shù)據(jù)泄露(未經(jīng)公司授權(quán)的數(shù)據(jù)移動)或數(shù)據(jù)銷毀。許多DLP解決方案通過分析網(wǎng)絡(luò)流量和內(nèi)部“端點”設(shè)備來識別諸如信用卡號碼和個人身份信息(PII)等機密信息的泄露或丟失。DLP使用多種技術(shù)來檢測敏感數(shù)據(jù),包括數(shù)據(jù)指紋、關(guān)鍵字匹配、模式匹配和文件匹配。有關(guān)DLP的更多信息,參見此處。

Cloudflare One的DLP功能即將推出。其中將包括根據(jù)常見模式(如PII)檢查數(shù)據(jù)、對需要保護的特定數(shù)據(jù)添加標(biāo)簽和索引,以及將DLP規(guī)則與其他Zero Trust策略相結(jié)合的能力。

防火墻即服務(wù)

防火墻即服務(wù),也被稱為云防火墻,用于過濾潛在的惡意流量,而不需要在客戶網(wǎng)絡(luò)中使用物理硬件。有關(guān)防火墻即服務(wù)的更多信息,參見此處。

Cloudflare One包含Magic Firewall,這是一個防火墻即服務(wù),用于從單個控制平面過濾任何IP流量,并(新功能?。┰谀牧髁可蠄?zhí)行IDS策略。

電子郵件安全

電子郵件安全是防止基于電子郵件的網(wǎng)絡(luò)攻擊和有害通信的過程。電子郵件安全保護收件箱以防被接管,防止域名假冒,阻止網(wǎng)絡(luò)釣魚攻擊,預(yù)防欺詐,阻止惡意軟件傳遞,過濾垃圾郵件,并使用加密來保護電子郵件的內(nèi)容,以防被未授權(quán)人員查看。

電子郵件可與其他安全訪問功能協(xié)同使用,例如DLP和RBI,電子郵件中的潛在可疑鏈接可在隔離瀏覽器中打開,而不阻止合法郵件。有關(guān)電子郵件安全的更多信息,參見此處。

Cloudflare One包括Area 1電子郵件安全,該平臺會在互聯(lián)網(wǎng)上搜集情報,用于在網(wǎng)絡(luò)釣魚、商業(yè)電子郵件攻擊(BEC)和電子郵件供應(yīng)鏈攻擊的最早期予以阻止。Area 1與Microsoft和Google的環(huán)境和工作流深度集成,增強云電子郵件提供商的內(nèi)置安全性。

入口:建立連接

為了對數(shù)據(jù)流量應(yīng)用安全訪問功能,您需要一種機制將流量從來源(無論是遠程用戶設(shè)備、分支機構(gòu)、數(shù)據(jù)中心還是云)傳輸?shù)竭@些功能運行的服務(wù)邊緣(見下文)。入口(On-ramp)就是這種機制——IPO模型中的輸入和輸出,也就是流量在應(yīng)用過濾后從A點到B點的方式。

640 (4).png

反向代理(適用于應(yīng)用程序)

反向代理位于Web服務(wù)器的前方,將客戶端(例如Web瀏覽器)請求轉(zhuǎn)發(fā)到這些Web服務(wù)器。實施反向代理通常為了幫助提高安全性、性能和可靠性。與身份和端點安全提供者協(xié)同使用時,反向代理可用于授予對Web應(yīng)用程序的網(wǎng)絡(luò)訪問權(quán)限。

Cloudflare One包括世界上最繁忙的反向代理之一,每天處理超過13.9億個DNS請求。

應(yīng)用程序連接器(適用于應(yīng)用程序)

對于私有或非基于Web的應(yīng)用程序,IT團隊可在其基礎(chǔ)設(shè)施上安裝輕量級后臺程序,創(chuàng)建對服務(wù)邊緣的僅傳出連接。這些應(yīng)用程序連接器允許連接到HTTP Web服務(wù)器、SSH服務(wù)器、遠程桌面和其他應(yīng)用程序/協(xié)議,而不會將應(yīng)用程序暴露給潛在攻擊。

Cloudflare One包含Cloudflare Tunnel。用戶可以安裝一個輕量級的后臺進程,在源Web服務(wù)器和Cloudflare最近的數(shù)據(jù)中心之間創(chuàng)建一條加密隧道,而無需打開任何公共傳入端口。

設(shè)備客戶端(適用于用戶)

為了將來自筆記本電腦和手機等設(shè)備的流量傳輸?shù)接糜谶^濾和專用網(wǎng)絡(luò)訪問的服務(wù)邊緣,用戶可以安裝客戶端。這個客戶端,即“漫游代理”,充當(dāng)正向代理,將設(shè)備的部分或全部流量傳送到服務(wù)邊緣。

Cloudflare One包含WARP設(shè)備客戶端。全球數(shù)百萬用戶正在使用這個客戶端,可用于iOS、Android、ChromeOS、Mac、Linux和Windows。

自帶或租賃IP(適用于分支機構(gòu)、數(shù)據(jù)中心和云)

根據(jù)SASE供應(yīng)商的網(wǎng)絡(luò)/服務(wù)邊緣的能力,組織可以選擇自帶IP或租賃IP,通過BGP宣告來實現(xiàn)整個網(wǎng)絡(luò)的連接性。

Cloudflare One包括自帶IP(BYOIP)租賃IP選項,兩者均涉及在我們整個Anycast上的宣告范圍。

網(wǎng)絡(luò)隧道(適用于分支機構(gòu)、數(shù)據(jù)中心和云)

位于物理網(wǎng)絡(luò)邊界的大多數(shù)硬件或虛擬硬件設(shè)備都能夠支持一種或多種行業(yè)標(biāo)準的隧道機制,例如GRE和IPsec。可建立從分支機構(gòu)、數(shù)據(jù)中心和公共云到服務(wù)邊緣的隧道,實現(xiàn)網(wǎng)絡(luò)級連接。

Cloudflare One包含Anycast GRE和IPsec隧道選項,其配置類似于傳統(tǒng)的點對點隧道,但授予對Cloudflare的整個Anycast網(wǎng)絡(luò)的自動連接性,以便于管理和提供冗余。這些選項還允許方便地從現(xiàn)有的SD-WAN設(shè)備進行連接,從而實現(xiàn)簡單的管理或完全自動化的隧道配置。

直連(適用于分支機構(gòu)和數(shù)據(jù)中心)

對于有高可靠性和容量需求的網(wǎng)絡(luò),最后一個入口選擇是直接連接到服務(wù)邊緣,要么通過物理交叉連接/最后一英里連接,要么通過虛擬網(wǎng)絡(luò)提供商進行虛擬互連。

Cloudflare One包含Cloudflare Network Interconnect(CNI),允許您通過直接的物理連接或通過合作伙伴的虛擬連接接入Cloudflare的網(wǎng)絡(luò)。Cloudflare for Offices將CNI直接帶到您的物理住所,實現(xiàn)更簡單的連接。

服務(wù)邊緣:驅(qū)動一切的網(wǎng)絡(luò)

安全訪問功能需要在某個地方運行。在傳統(tǒng)的邊界架構(gòu)中,這個地方就是企業(yè)辦公室或數(shù)據(jù)中心內(nèi)的一堆硬件盒子;而在SASE架構(gòu)中,這是一個分布式的網(wǎng)絡(luò),盡可能接近用戶,無論用戶處于世界任何位置。然而,并非所有服務(wù)邊緣都生而平等:對SASE平臺來說,要為您的用戶、應(yīng)用和網(wǎng)絡(luò)提供良好的體驗,底層網(wǎng)絡(luò)需要快速、智能、可互操作、可編程和透明。讓我們更詳細地分析下這些平臺功能。

640 (5).png

性能:位置,互聯(lián)性,速度,容量

一直以來,IT團隊不得不在安全性和性能之間做出艱難的取舍。其中可能包括:是否回傳及回傳哪些流量到中央位置以進行安全過濾,使用哪些安全功能來平衡處理開銷與吞吐量。使用SASE,這些權(quán)衡將不再需要考慮,前提是該服務(wù)邊緣具備如下條件:

·地理上分散:重要的一點是服務(wù)邊緣的位置盡可能靠近用戶和應(yīng)用所在地,后者日益分布到世界上的任何地方。

·互連:您的服務(wù)邊緣需要與其他網(wǎng)絡(luò)互連,包括主要的傳輸、云計算和SaaS提供商,以便可靠、快速地連接到流量的路由目的地。

·快速:隨著對用戶體驗的期望不斷提高,您的服務(wù)邊緣也需要跟上。感知到的應(yīng)用程序性能受到眾多因素的影響,包括從最后一英里快速連接的可用性到安全過濾和加密/解密步驟的影響,因此SASE提供商需要采取一種全面的方法來測量和提高網(wǎng)絡(luò)性能?!昂?/p>

·高容量:使用SASE架構(gòu)模型,您應(yīng)該永遠不需要考慮安全功能的容量規(guī)劃——“買多大的盒子”是過去的問題。這意味著您的服務(wù)邊緣需要在您的網(wǎng)絡(luò)流量可以到達的每個位置都有足夠的容量,并且能夠智能地負載平衡流量,以便在服務(wù)邊緣高效使用該容量。

Cloudflare One構(gòu)建于Cloudflare的全球網(wǎng)絡(luò)之上,后者覆蓋100多個國家/地區(qū)的270多個城市,與10500個網(wǎng)絡(luò)互連,容量高達140+Tbps。

流量情報:整形,QoS,基于遙測的路由

除了網(wǎng)絡(luò)/服務(wù)邊緣的固有性能屬性外,能夠根據(jù)個別網(wǎng)絡(luò)的特征影響流量也很重要。流量整形、服務(wù)質(zhì)量(QoS)和基于遙測的路由等技術(shù)可以通過為優(yōu)先向關(guān)鍵應(yīng)用程序提供帶寬,并在路由時避開擁塞、延遲和中間路徑上的其他問題,從而進一步提高安全服務(wù)邊緣的流量性能。

Cloudflare One包括Argo Smart Routing,通過優(yōu)化第三層到第七層的流量,可以智能地繞過網(wǎng)絡(luò)上的擁塞、丟包等問題。額外的流量整形和QoS功能也在Cloudflare One的路線圖上。

威脅情報

為了驅(qū)動安全訪問功能,您的服務(wù)邊緣需要不斷更新情報,包括跨OSI堆棧所有層的已知和新生攻擊類型。集成第三方威脅源的能力是一個很好的開始,但來自服務(wù)邊緣流量的原生威脅情報甚至更為強大。

Cloudflare One包括從Cloudflare網(wǎng)絡(luò)上2000萬+互聯(lián)網(wǎng)資產(chǎn)收集的威脅情報,這些情報會持續(xù)反饋到我們的安全訪問策略中,以保護客戶并防范新出現(xiàn)的威脅。

互操作性:集成、標(biāo)準和可組合性

您的SASE平臺將取代傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中的很多部件,但您可以選擇保留部分現(xiàn)有工具,并在將來引入新的工具。您的服務(wù)邊緣需要與現(xiàn)有的連接提供商、硬件和工具兼容,以便順利遷移到SASE。

同時,服務(wù)邊緣也應(yīng)該有助于您走在新技術(shù)和安全標(biāo)準(如TLS 1.3和HTTP3)的前面。它還應(yīng)該是完全可組合的,每個服務(wù)協(xié)同工作,以產(chǎn)生比一堆單點解決方案更好的結(jié)果。

Cloudflare One與各種平臺集成,例如身份提供商和端點保護解決方案,SD-WAN設(shè)備,互連提供商,以及安全事件與時間管理工具(SIEMs)?,F(xiàn)有的安全和IT工具可與Cloudflare One一起使用,集成工作量極低。

Cloudflare還是推動互聯(lián)網(wǎng)和網(wǎng)絡(luò)標(biāo)準的領(lǐng)導(dǎo)者。任何新的網(wǎng)絡(luò)標(biāo)準和協(xié)議都可能受到了我們研究團隊的影響。

Cloudflare One也是完全可組合的,允許您從一個用例開始,并添加額外的功能,為您的網(wǎng)絡(luò)創(chuàng)造“1+1=3”的效果。

編排:自動化與可編程性

在規(guī)模超過少數(shù)用戶、應(yīng)用程序和位置后,部署和管理您的SASE配置可能變得復(fù)雜起來。您的服務(wù)邊緣應(yīng)該提供完全的自動化和可編程性,包括使用Terraform這樣的工具通過代碼來管理基礎(chǔ)設(shè)施的能力。

Cloudflare One包含完整的API和Terraform支持,便于部署和管理配置。

可見性:分析與日志

您的團隊?wèi)?yīng)該對通過服務(wù)邊緣的所有流量具備完全的可見性。在傳統(tǒng)的邊界安全模型中,IT和安全團隊可以通過在流量進出公司網(wǎng)絡(luò)的少數(shù)幾個位置配置網(wǎng)絡(luò)分流器(TAP)來獲得可見性。隨著應(yīng)用程序離開數(shù)據(jù)中心和用戶離開辦公室,獲得這些數(shù)據(jù)的難度大幅提高。在SASE架構(gòu)中,因為所有的流量均通過一個擁有單一控制平面的服務(wù)邊緣路由,因而您可以通過流數(shù)據(jù)和包捕獲等熟悉的格式及豐富的日志和分析重新獲得可見性。

Cloudflare One的所有安全訪問組件都可以生成豐富的分析和日志,可直接在Cloudflare One儀表板中進行評估,或推送到SIEM工具中進行高級分析。

使用Cloudflare One開始您的SASE之旅

接下來的一周內(nèi),我們將宣布進一步增強Cloudflare One平臺能力的新功能,使您的團隊更易實現(xiàn)SASE的愿景。

原文鏈接:點擊前往 >
文章來源:Cloudflare
版權(quán)說明:本文內(nèi)容來自于Cloudflare,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除!
個人VIP
小程序
快出海小程序
公眾號
快出海公眾號
商務(wù)合作
商務(wù)合作
投稿采訪
投稿采訪
出海管家
出海管家