零信任和SASE有什么不一樣？答案其實并不重要

科技云報道

+ 關注

2022-07-21 16:23

548次閱讀

IT領域永遠不乏新的技術熱點，譬如零信任好像剛流行起來，一個新概念SASE（安全訪問服務邊緣）又橫空出世。

Gartner預計，到2024年，至少40%的企業將有明確的策略采用SASE，高于2018年底的不到1%。而且由于企業公有云流量的增多，導致安全邊界逐漸模糊，將加速SASE的普及。

在Gartner的定義中，SASE是“一種新興的體系結構，它結合了全面的廣域網功能和全面的網絡安全功能（如SWG、CASB、FWaaS和ZTNA），以支持數字化企業的動態安全訪問需求。”

Gartner認為，ZTNA（零信任網絡訪問）無論是端點啟動模式亦或是服務啟動模式，無論是獨立部署模式或者是軟件即服務模式，都屬于入口類的SASE。

所以，零信任是SASE的一部分嗎？但這正是市場概念混淆的開始。

很多企業和安全主管都提出了類似的問題，比如：SASE和零信任之間的區別是什么？哪種模式最適合我的業務？我是否需要改變安全策略來達到同樣的結果？

下面就來聊聊零信任和SASE之間有何關聯？

零信任和SASE的起源

首先，零信任是由Forrester提出的，SASE是由Gartner提出的。

零信任概念是由Forrester首席分析師John Kindervag于2010年提出的。

后來，其繼任者（即現任）Forrester首席分析師Chase Cunningham，將零信任豐富為“零信任擴展（ZTX）生態系統”。包含零信任用戶、零信任設備、零信任網絡、零信任應用、零信任數據、零信任分析、零信任自動化等七大領域。

當Gartner認識到零信任的重要性后，其副總裁分析師Neil MacDonald在2018年12月發布的報告《零信任是CARTA路線圖上的第一步》中提出，將零信任項目作為CARTA（持續自適應風險與信任評估）路線圖的初始步驟，試圖將零信任納入CARTA框架。

隨后，在2019年4月又提出ZTNA（零信任網絡訪問）概念，它相當于SDP技術路線。

接著，Gartner分析師Neil MacDonald再次于2019年8月放出大招——在《網絡安全的未來在云端》報告中，提出面向未來的SASE（安全訪問服務邊緣，Security Access Service Edge）概念，開辟了邊緣安全的新天地。

此后，Gartner大力推廣SASE概念，在不到兩年的時間里，獲得了很大共識。

Forrester很快認識到“邊緣安全”這個概念的前瞻性，于是在2021年1月發布的《為安全和網絡服務引入零信任邊緣（ZTE）模型》報告中，正式提出ZTE（零信任邊緣，Zero Trust Edge）。

Forrester在該報告中指出，零信任主要有兩類概念：一是數據中心零信任：即資源側的零信任；二是邊緣零信任：即邊緣側的零信任訪問安全，而這正是ZTE（零信任邊緣）。

2021年2月，Forrester在《將安全帶到零信任邊緣》報告中解釋說：Forrester的零信任邊緣（ZTE）模型與Gartner的SASE模型是相似的，主要區別在于：零信任邊緣模型的重點在零信任。

零信任和SASE之間

有什么區別？

從零信任和SAS E概念的演變過程中，可以看到兩者是在不斷相互融合的，且有共同的目標，即保護企業的業務、上下文關系和基于身份的策略配置。

上文所提到，Gartner認為ZTNA（零信任網絡訪問）屬于入口類的SASE，很多人就認為零信任屬于SASE的一部分，這其實是一種誤讀。

因為ZTNA（零信任網絡訪問）是一種網絡安全架構，其本質是一種以數據為中心的全新邊界，通過強身份驗證保護數據的技術。

而零信任作為一種安全理念，是基于“永不信任、持續驗證”的原則，進行身份驗證和數據訪問授權，并沒有明確規定任何類型的安全服務、技術，或者任何一種體系結構。

相較之下，SASE指的是部署在邊緣的云安全交付服務，可為任何地方的數據提供廣泛的保護。SASE明確了企業應該如何部署和使用一些網絡和安全服務。

在對SASE模型的介紹中，Gartner列出了SASE的核心組件包括：SD-WAN、安全網關（SWG）、零信任網絡訪問（ZTNA）、防火墻即服務（FWaaS）和云應用程序安全代理（CASB）等。

上述SASE核心組件為實現零信任原則“永不信任、持續驗證”提供了技術支撐，而ZTNA（零信任網絡訪問）是整個SASE體系結構中的主要技術之一。

總的來說，如果零信任是企業想做的事情，那么SASE可以被認為是實現的一種方式。如果企業想部署SASE產品，遵循零信任框架也是至關重要的。

SASE如何踐行零信任理念？

那么，SASE到底應如何實現零信任安全模型的方法？

在Gartner的愿景中，SASE的各個核心組件需整合到一個集成的、易于使用的云交付平臺中。通過將網絡基礎結構功能與網絡安全功能集成在一起，SASE可以在所有網絡連接點和端點上實施安全控制。

這種集成的、持續的流量檢查和分析以及動態的安全策略執行功能，使SASE成為改變數字化轉型計劃的推動者，同時也是零信任架構的理想載體和路徑。

目前，SASE的各個組件在市面上都有對應的產品，并且在不同程度上已為很多企業所使用。但由于SASE涵蓋的技術較多，如何整合組件、重構網絡，都使得SASE的落地成為很大的挑戰。

中國信通院云計算與大數據研究所云計算部副主任馬飛表示，隨著網絡與安全功能的逐步完善，服務商SASE解決方案的統一管控能力成為SASE落地實踐的最大挑戰。

由于SASE是網絡安全能力的整合，SASE平臺需要兼備網絡、安全、配置、運維、資產、API管理能力，因此打通各功能組件的底層連接實現交互，并且為用戶提供統一界面對資源進行管理編排，成為SASE落地的主要難點之一，也將會是接下來幾年各廠商努力的方向。

對此，Forrester在2021年的《將安全帶到零信任邊緣》報告中，針對ZTE/SASE提出了一條頗具可行性的推進路線：ZTE要先解決戰術性“遠程訪問”問題，最后再解決戰略性“網絡重構”問題。

原因在于，要重構企業網絡結構，是個極大挑戰，最好把這個硬骨頭放到最后再解決。

具體而言，Forrester的“先戰術、再戰略”的推進思路如下：

第1步：先用ZTNA技術，解決遠程訪問問題；

第2步：再逐步追加其它的安全控制（如SWG、CASB、DLP）；

第3步：最后使用SD-WAN技術，解決網絡重構問題。

同樣是2021年，Gartner也發布了采用SASE的戰略路線圖，其目標是幫助企業從傳統安全架構轉向SASE。

在Gartner的推進路線中，流程分解為可管理的步驟，并制定了短期和中長期的目標，以幫助組織完成流程。

其中，短期目標包括：

部署ZTNA（零信任網絡訪問）：隨著遠程工作的快速增長，為遠程用戶替換傳統的虛擬專用網絡 (VPN) 是一個主要優先事項。SASE的ZTNA功能使其成為傳統遠程訪問解決方案的更安全替代方案，允許組織實施零信任策略以更好地保護其數據和用戶。
制定淘汰計劃：Gartner建議執行完整的設備和合同清單，并制定逐步淘汰本地周邊和分支機構安全設備的時間表。然后，這些解決方案可以替換為托管在云中的SASE功能。
整合供應商：SASE提供了廣泛的安全功能的完整集成，消除了對來自多個供應商的獨立解決方案的需要。切換到SASE可以簡化和簡化從解決方案獲取到長期監控和維護的安全的各個方面。
執行分支機構轉型：部署在每個物理位置的安全設備創建了一個復雜而龐大的安全架構。努力將這些解決方案遷移到云端集中并簡化了組織的安全性。

除了這些短期目標之外，Gartner還概述了組織應該追求的一些長期目標。這些主要集中在利用SASE的安全集成和ZTNA功能來集中和簡化整個企業的安全操作。

大多數公司將需要制定一項多年戰略以遷移到 SASE。雖然這一戰略因公司而異，但Gartner 提出了一條適用于所有公司的建議：立即開始這一過程。

不難發現，無論是Forrester還是Gartner，都將SASE的落地分為了多個步驟，并建議從ZTNA（零信任網絡訪問）技術替代入手，之后再持續不斷地淘汰和完善安全和網絡功能，這表明實現SASE或零信任，從來不是一蹴而就的事。

回到開頭的問題，零信任和SASE模式是什么關系？哪種模式更適合自己的業務？相信看完本文就能明白，答案在很大程度上無關緊要，因為答案不會影響任何人的業務或安全策略。