Deep Insight |《SASE架構下零信任技術落地和演進》演講實錄

億格云科技

+ 關注

2023-06-13 15:26

1101次閱讀

5月30日，在全國信息安全標準化技術委員會（簡稱“信安標委”）2023年第一次“標準周”活動期間，由全國信息安全標準化技術委員會主辦，奇安信集團承辦，零信任聯盟和中國電子技術標準化研究院聯合協辦的“零信任技術與應用發展研討會”在昆明順利舉行。會議邀請了產學研用各領域專家學者，以零信任架構為主題，以推進零信任技術標準化、共筑零信任產業發展為主題進行深入探討。

杭州億格云科技有限公司CEO葛岱斌在會議中帶來了主題分享《SASE架構下零信任技術落地和演進》，并與多位專家一起開展圓桌話題討論，從產學研用等維度出發，圍繞零信任架構理念落地難、產品各異以及人工智能等新技術如何融入體系架構等問題，共同探討解決方案和標準化需求。

葛岱斌演講中表示，SASE可以融合多種安全能力在一個平臺，解決目前網絡安全碎片化的問題，助力構建下一代辦公安全體系，成為零信任落地的一項最佳實踐。

以下為演講實錄整理稿，約2700字（全文讀完約6分鐘）

大家上午好！

非常容幸能夠作為一家創業公司代表參加本次會議。簡單介紹一下億格云，我們是一家成立不到兩年的創業公司，我是公司的創始人和CEO葛岱斌。

我們在過去這兩年里面快速發展，專注于通過SASE的架構來落地零信任安全。在過去一年多的時間，我們的團隊發展到100多人，分布在杭州、北京、上海、深圳等地。我們在全球也已經擁有30多個（網絡）節點，搭建全球的SASE網絡，服務全球客戶。到現在為止，億格云累計了服務120多家客戶。

今天想跟大家分享一下我們為什么來選擇SASE架構落地和零信任安全？

更重要的是我們是怎么搭建SASE架構以及技術細節等內容，在這里跟所有甲方跟乙方的朋友們作一個分享，希望借此可以有機會和業內伙伴有更多討論。

傳統辦公安全體系面臨挑戰

數字化企業業務互聯網化、基礎設施云化、辦公移動化引發了三大安全挑戰，數字化轉型給企業帶來最大的變化一個是主要的驅動力是業務互聯網化，所有企業在做數字驅動化轉型，整個基礎設施的變化是讓所有企業都上云，上云有可能是公有云，混合云，也可能是私有云。

在數字化轉型過程中，發現驅動整個企業組織往上述三個方向發展。這時我們怎么做安全？基于網絡邊界的辦公安全體系是否能夠真正解決？如何應對數字化轉型過程中的安全挑戰？

大家都知道零信任的核心是什么，剛才很多領導和專家都做了分析。為什么我們今天需要零信任？

因為零信任最關鍵點是企業邊界的消亡，企業邊界消亡的過程中，內網和外網邊界變得模糊，因為原來整個企業安全都是圍繞著企業網絡邊界來搭建的，但今天這個邊界基礎消亡了。

怎么樣真正落地安全，幫助企業做數字化轉型？我們也知道整個安全行業今天最大的痛點是什么？

碎片化！碎片化一句話總結就是網絡不是一個安全的網絡，安全是一個碎片化的安全。剛才提到，當企業邊界在被打破的過程中，其實會讓安全碎片化的問題變得更加嚴峻，會面對更多挑戰，怎樣真正解決？去落地零信任安全去針對企業邊界被打破的現狀，而關鍵點就是在于怎么樣來落地（零信任安全）？

零信任安全成為必要的一個需求點是因為企業邊界的消亡，而SASE架構的出現就是來解決企業邊界被打破的現狀，來重新搭建全新的安全架構，這個安全架構最核心的點是網絡跟安全融合！

每個人對這句話的理解是不一致的，最關鍵在于要達到的效果是：網絡所到之處，安全無處不在！用SASE架構落地零信任安全核心要解決的幾個問題！

第一，用戶體驗，用戶效率。

怎么幫助用戶更好執行業務、更好的數字化轉型。

第二，幫助行業去解決人才短缺問題。

人才短缺問題由于安全碎片化變得更加嚴峻。所以需要一個一體化的安全平臺，去真正幫助企業減低安全運維工作量，十多年前提出的零信任安全一直沒有得到規模性落地，而海外通過SASE真正規模性的落地零信任是在2019、2020年。這也是我們為什么選擇通過SASE架構落地零信任安全。

SASE零信任網絡架構及關鍵技術

零信任SASE網絡架構及關鍵技術從整個架構大層面來說，首先：是一個端，融合所有終端安全能力的一個端。就像剛才講到，我們在全球擁有30多個（網絡）節點來搭建全球網絡，還有集中管控安全云，當然安全云并非一定要部署公有云上，很多客戶把管控云放私有云上，或者放在混合云上。

接下來分享一下怎么樣實現從終端到網絡傳輸，再到安全網端到應用。

為什么講端到端的架構。因為在過去這三四年，大家會發現零信任落地是非常困難的，因為建設周期非常長，它作為一個全新安全概念要求企業改變整個安全架構，零信任不是一個單點技術或產品，也需要協同多個技術域去搭建多個平臺。

在今天，我們要真正落地零信任安全必須從架構層面是“端到端”一體化的形式，才能夠真正落地零信任安全。

像很多企業在落地零信任安全的時候，很多只是在其中一個點做建設，譬如剛才專家領導提到落地身份驗證加強，或者混合云，或者安全網關，而要跟現有安全架構做融合，是非常困難的。所以在此和大家一起討論我們怎么樣從端到端，分六步實現落地。

跟大家分享一個我們的技術系統：

一：客戶端

在終端方面，做了精細拆流和引流的，第一步從一個網絡IP的網絡訪問控制，轉變為應用訪問控制，最重要的是做訪問拆流，每一個訪問都是單獨的路由和安全策略，做端口級的流量拆分，并進行引流，后續就可以做到細粒度的可管可控。

二：傳輸協議

傳輸協議這層自研了端到端的加密協議，為什么要去做一個自研協議？是為了網絡性能和網絡穩定性，從客戶端到網絡端，端到端的加密，PoP為什么要做一個自有協議？

三：安全網關透明化

大家非常清楚，絕大部分的應用流量都變成加密流量，一定程度上是為了保護我們應用更安全，但這為安全增加了更大的工作量。怎么安全網關透明化，不僅通過終端上的精細化拆流引流，還在透明網關把所有訪問流量透明化，從而可以真正做到的應用層、數據層更詳細的解析。

四：怎樣搭建決策引擎？

不僅包含了用戶身份，還有終端設備上下游等多個維度，這些維度包括設備信息、網絡信息和網絡數據，更重要的是我們可以細粒度至進程數據，到底是哪一步進程搭建起訪問，這種精細化訪問是在端上進行了非常精細化的判斷。

五：通過全球的30多個PoP網絡節點，搭建全球加速網絡。

基于云SD-WAN跟端到端的加密保證數據安全的前提下，保障用戶辦公訪問的體驗，幫助實現越來越多的中國企業出海，保證所有企業員工，無論是境內，還是海外，都能就近的接入和保護。

六：應用側做了什么？

和國內的絕大多數零信任廠商選擇的技術路線稍微有些不一樣的地方，我們沒有選擇SPA的單包敲門，我們用云原生代理的反向連接，不需要企業改造現有的網絡架構，這就是為什么我們的客戶在10到15分鐘內就可以完成部署。除了網絡的便捷性，最大的優勢是安全可擴展性。剛才有專家提到SASE架構可以融合很多安全能力到一個平臺，怎么做的？要能夠做到這一點，不是把原有的安全產品一個一個串聯或者疊加進來，而是通過云原生代理模式，經過我們實踐可以真正做到安全能力的可拓展性，不僅僅是可以包括網絡安全，還有API安全，數據安全，都可以做到便捷接入。