華為安全大咖談 | 走進SASE 第01期：“云網(wǎng)邊端”統(tǒng)一安全，構(gòu)建韌性安全體系

?本期講解嘉賓

安全訪問服務(wù)邊緣（Secure Access Service Edge，簡稱SASE）自2019年由Gartner在《The Future of Network Security Is in the Cloud（網(wǎng)絡(luò)安全的未來在云端）》提出，迅速成為國內(nèi)外各大安全廠商和客戶的關(guān)注重點。SASE是一個融合了SD-WAN（軟件定義廣域網(wǎng)）和網(wǎng)絡(luò)安全功能的新興技術(shù)架構(gòu)，具備身份驅(qū)動、云原生架構(gòu)、近源部署、分布互聯(lián)等4大主要特征，以支持?jǐn)?shù)字化企業(yè)轉(zhuǎn)型的安全需求。目前SASE理念和架構(gòu)已被大量正在進行數(shù)字化轉(zhuǎn)型的企業(yè)接受。相信您不僅僅只想了解什么是SASE？更想知道SASE為何備受追捧。因此，華為安全專家齊聚一堂，開辟華為安全大咖談之-“走進SASE”，敬請持續(xù)關(guān)注。

“云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和人工智能”等新型ICT技術(shù)的普遍應(yīng)用，不僅推動了各個行業(yè)的數(shù)字化轉(zhuǎn)型，同時也帶來了諸多安全隱患和挑戰(zhàn)。近年來，發(fā)生在各大政企用戶的外部APT攻擊和內(nèi)部違規(guī)導(dǎo)致的大規(guī)模數(shù)據(jù)泄露等惡性安全事件層出不窮，各單位的信息安全負(fù)責(zé)人也逐漸意識到，傳統(tǒng)的邊界防護手段存在很多局限性，已無法滿足新形勢下的網(wǎng)絡(luò)安全需求。

首先，隨著網(wǎng)絡(luò)邊緣的不斷擴展以及涵蓋云和本地等混合網(wǎng)絡(luò)環(huán)境的廣泛部署，企業(yè)網(wǎng)絡(luò)架構(gòu)日趨復(fù)雜。與此同時，企業(yè)依然面臨孤立運行的安全產(chǎn)品和工具無法協(xié)同工作的嚴(yán)峻挑戰(zhàn)；其次，新型技術(shù)及應(yīng)用為網(wǎng)絡(luò)攻擊提供新的攻擊載體，攻擊實施更加靈活、過程更加隱蔽、技術(shù)更加智能。整個攻擊橫跨越網(wǎng)絡(luò)、應(yīng)用程序、內(nèi)容和設(shè)備，威脅檢測和溯源難度增大；最后，數(shù)字化轉(zhuǎn)型已經(jīng)成為各行業(yè)的發(fā)展趨勢，數(shù)據(jù)共享和流通將成為剛性業(yè)務(wù)需求，原來相互隔離的業(yè)務(wù)網(wǎng)絡(luò)將打破安全邊界走向融合，安全管控難度與泄密風(fēng)險進一步擴大。

據(jù)Gartner調(diào)查顯示，“75%的企業(yè)組織正積極尋求安全供應(yīng)商的全面整合”。該調(diào)查還指出，“運營效率低下以及無法有效應(yīng)對異構(gòu)安全架構(gòu)的集成挑戰(zhàn)，令安全和風(fēng)險管理領(lǐng)導(dǎo)者的擔(dān)憂持續(xù)升溫。用戶亟待部署更高效和全面集成的解決方案，而非孤立運行的單點安全產(chǎn)品?！?/span>

為了應(yīng)對這些挑戰(zhàn)，站在新IT架構(gòu)的角度思考重構(gòu)安全，華為通過“云網(wǎng)邊端”的安全資源和能力集中統(tǒng)一管理和策略統(tǒng)一配置來實現(xiàn)安全業(yè)務(wù)鏈的統(tǒng)一編排、基于SASE的網(wǎng)安一體融合、統(tǒng)一零信任能力和多維事件統(tǒng)一分析和一體化響應(yīng)能力，從而構(gòu)筑完整的 “云網(wǎng)邊端”統(tǒng)一安全體系，是數(shù)字化時代構(gòu)建網(wǎng)絡(luò)安全防線的積極探索。

什么是“云網(wǎng)邊端”四維一體安全體系

如圖1-1所示，“云網(wǎng)邊端”四維一體安全體系包括一系列部署在“云網(wǎng)邊端”的安全資源和能力。其中：

云：包括面向公有云租戶和面向線下用戶的SaaS化安全云服務(wù)。

網(wǎng)：就是指傳統(tǒng)的廣域網(wǎng)絡(luò)、園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)和分支網(wǎng)絡(luò)部署的安全資源。

邊：主要指靠近用戶邊緣側(cè)的安全網(wǎng)關(guān)或邊緣安全資源池。

端：主要指部署在用戶終端或服務(wù)器上的安全能力。

圖1-1統(tǒng)一管理、智能分析、自動響應(yīng)，
構(gòu)筑云網(wǎng)邊端一體安全防護體系

“云網(wǎng)邊端”統(tǒng)一安全體系最核心的能力是什么

集中統(tǒng)一管理是“云網(wǎng)邊端”統(tǒng)一安全體系最核心的能力。華為乾坤的云、網(wǎng)絡(luò)和安全統(tǒng)一控制器將“云網(wǎng)邊端”的安全資源和能力集成到統(tǒng)一的安全解決方案中—從企業(yè)園區(qū)、私有數(shù)據(jù)中心擴展到網(wǎng)絡(luò)、云和遠(yuǎn)程辦公的簡單易用的自動化安全防御方案。

集中統(tǒng)一管理包括以下幾個方面，具體如表1-1所示。

表1-1集中統(tǒng)一管理包含的子項能力

以安全網(wǎng)關(guān)為例，為了能實現(xiàn)集中統(tǒng)一管理，華為安全網(wǎng)關(guān)平臺實現(xiàn)了“云網(wǎng)邊”安全能力的統(tǒng)一。如圖1-2所示，通過安全服務(wù)和網(wǎng)絡(luò)服務(wù)分層的架構(gòu)，適配不同的底層平臺演化成多種形態(tài)的安全網(wǎng)關(guān)資源（例如嵌入式安全網(wǎng)關(guān)、虛擬化和云原生FW以及FWaaS等）。因為同一套代碼，同樣的能力不僅可以將眾多安全資源整合到一個簡化的單一策略和管理框架中，同時也保證了各種安全資源可以有統(tǒng)一配置和互操作的能力。

圖1-2安全服務(wù)和網(wǎng)絡(luò)服務(wù)業(yè)務(wù)分層適配不同
底層平臺演化成多種形態(tài)安全網(wǎng)關(guān)資源

下面重點描述華為是如何通過業(yè)務(wù)分層架構(gòu)來實現(xiàn)同一套代碼演化成多種形態(tài)安全網(wǎng)關(guān)資源的：

安全服務(wù)ASE（Adaptive Security Engine）：負(fù)責(zé)L4~L7層的安全業(yè)務(wù)處理，支持高級安全能力，如應(yīng)用協(xié)議識別、IPS、AV、內(nèi)容過濾、L7 SLB等。

網(wǎng)絡(luò)服務(wù)HPF（High Performance Forward）：負(fù)責(zé)網(wǎng)絡(luò)業(yè)務(wù)轉(zhuǎn)發(fā)，及L2~部分L4層的傳輸層業(yè)務(wù)處理，如SRv6、SD-WAN、NAT、WOC、隧道業(yè)務(wù)等。其中流表業(yè)務(wù)為FW策略的轉(zhuǎn)發(fā)插件，負(fù)責(zé)安全流表業(yè)務(wù)狀態(tài)的快速處理。

底層平臺適配：同時支持專有硬件（嵌入式），普通的VM或Docker平臺，或者直接調(diào)用云原生的服務(wù)拉起安全服務(wù)的能力。如果底層平臺有硬件加速能力，可以將網(wǎng)絡(luò)服務(wù)中的流表業(yè)務(wù)下發(fā)到平臺中，提升相應(yīng)的處理性能。

資源動態(tài)分配：根據(jù)不同場景，如側(cè)重SD-WAN場景，則網(wǎng)絡(luò)服務(wù)HPF分配的計算資源更多；同理側(cè)重高級安全場景，則安全服務(wù)ASE分配的計算資源更多，支持容器間的資源動態(tài)調(diào)整。

這種架構(gòu)可以支持多種安全場景，如園區(qū)、數(shù)據(jù)中心、云原生、SD-WAN等，同時還可以根據(jù)不同的場景來分配資源，實現(xiàn)了資源的靈活調(diào)配。在提高安全性能和可靠性的同時也可以降低運維成本。

“云網(wǎng)邊端”的統(tǒng)一安全體系能給客戶帶來哪些價值

華為“云網(wǎng)邊端”的統(tǒng)一安全體系提出了“一體管理、一體分析、一體決策、一體處置”的建設(shè)理念，顛覆了傳統(tǒng)單臺、靜態(tài)、被動的安全防護思路，旨在打造智能化的網(wǎng)絡(luò)安全架構(gòu)，實現(xiàn)風(fēng)險實時檢測、威脅主動研判、智能全局防控。

一體管理

通過統(tǒng)一管理平臺，集中管理所有的安全資源和能力，提高安全管理效率。

統(tǒng)一制定、按需下發(fā)執(zhí)行安全策略，確保所有安全策略的一致性和有效性。整體降低網(wǎng)絡(luò)安全運維和管理成本，提高企業(yè)的網(wǎng)絡(luò)安全投資回報率。

一體分析

全面采集云、網(wǎng)絡(luò)、終端多維威脅數(shù)據(jù)，云上云下數(shù)據(jù)協(xié)同，提升威脅分析準(zhǔn)確率，安全態(tài)勢全域統(tǒng)一呈現(xiàn)。

為了提升安全事件分析的準(zhǔn)確性，需要收集盡可能多的信息，特別是終端（含服務(wù)器）風(fēng)險信息、網(wǎng)絡(luò)流量信息、安全設(shè)備的日志信息。這些信息分別散落在不同的網(wǎng)絡(luò)位置，必須對“云網(wǎng)邊端”進行統(tǒng)一納管，設(shè)置唯一的安全運營中心，以獲得更精準(zhǔn)的分析結(jié)果。

一體決策

基于對終端、網(wǎng)絡(luò)、用戶行為等多維風(fēng)險數(shù)據(jù)，并結(jié)合位置、用戶、時間等信息進行決策，實時動態(tài)調(diào)整授權(quán)或安全策略。

盡可能對核心資源進行保護，在初次認(rèn)證通過后，需要從終端風(fēng)險、網(wǎng)絡(luò)流量異常和用戶違規(guī)行為（例如用戶訪問位置的突然變化）等維度，對終端和用戶的風(fēng)險進行實時評估?；诙嗑S的評估結(jié)果，對終端或用戶風(fēng)險評分，結(jié)合終端或用戶的身份對其權(quán)限進行調(diào)整，實行降級、阻斷等操作。

一體處置

“云網(wǎng)邊端”全局攻擊溯源，選擇最合理的方式和最接近攻擊源的安全資源進行自動化處置。

當(dāng)識別到嚴(yán)重威脅時，需要立即確認(rèn)，并對威脅進行遏制，以避免威脅進一步擴散。通過不同設(shè)備之間的自動化協(xié)同聯(lián)動，實現(xiàn)威脅源分鐘級快速定位，秒級近源快速處置的能力。

總結(jié)與展望

華為“云網(wǎng)邊端”統(tǒng)一安全體系的理念不同于傳統(tǒng)割裂式的單點防護，是基于“體系化”的思路，將安全能力融入云、網(wǎng)、邊、端和業(yè)務(wù)系統(tǒng)，從業(yè)務(wù)系統(tǒng)的視角解決安全問題，使得客戶能夠去應(yīng)對日益復(fù)雜并不斷變化的攻擊。通過保證業(yè)務(wù)的韌性來應(yīng)對傳統(tǒng)安全邊界的消失和網(wǎng)絡(luò)邊緣不斷擴展的難題。

點擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！