Gartner發佈的《網絡安全的未來在雲端》報告中,提及到「安全存取服務邊緣」(Secure Access Service Edge),或簡稱為 SASE (音:sassy) 的新型網絡及安全架構模型。此模型將顛覆傳統網路及安全架構的設計及管理模式,並助力企業全面走向數碼轉型(Digital Transformation)。
傳統企業的網絡架構,一般以數據中心作為核心建構,但隨著數碼轉型的進程,企業逐漸透過IaaS負載交易或直接使用SaaS服務,資料也由數據中心轉為存放到雲端。因此,以數據中心作為網絡架構中心點的需要已不復存在,而把網絡流量特意集中到數據中心進行監控,亦會增加延遲,降低服務體驗。另一方面,企業往往混合使用防火牆、IPS設備、軟件定義廣域網 (SD-WAN) 等不同安全方案保護企業網絡;鑑於這些安全方案的管控平台、架構及執行措施各不相同,以致不論是整合及運維管理,均對企業帶來沉重負擔。
上述問題窒礙了數碼化的發展,因此Gartner 提出一個新的網絡架構模型──SASE。SASE揉合網絡及安全服務的各項功能,由以往單點、分散的多個解決方案,整合成統一的全球化雲端服務。
SASE具備以下三大特徵:(一)以身份為主導:SASE具備符合零信任網路(Zero Trust Network)設計概念的網絡安全連接策略,不再依賴IP地址,改為利用連接者身份為基礎,並按交易特性加上其他資訊如時間、設備訊息、服務內容、數據內容等進行辨識及決定訪問權限級別。(二)全球分佈的雲平台:SASE利用雲架構的特性,提供一個具延伸性、敏捷驅動的高效率網絡架構,並在全球分佈部署,為散佈各地的全部邊緣設備提供隨處可用、安全、高流量及低延遲的服務。(三)整合企業網絡;SASE提供一個能夠動態建構及基於策略 (Policy Based) 的統一網絡架構,覆蓋範圍包括數據中心、分公司、設備及移動用戶等所有企業資源。
按照Gartner技術成熟度曲線,SASE目前仍處於起步階段,預計需要五到十年此才會成為主流技術。但在雲應用及數碼轉型的急速發展下,企業對於簡化網絡及安全架構的需求殷切,將成為SASE發展一大助力。各大企業安全服務供應商亦看好SASE前景,紛紛投入發展SASE,務求突圍而出。
本港不少大型企業如銀行、保險公司等,都有意通過數碼轉型提升自身的競爭力。但這些企業目前大部分應用系統與數據,仍部署於數據中心,並利用不同網絡安全組件,保護重要數據資產。此種中心化的網絡架構設計,與講求高效敏捷的數碼時代,顯得格格不入,或會成為企業數碼轉型中的瓶頸。因此企業大可深入了解SASE設計理念,並重新審視現有網絡服務架構的不足,規劃好適合未來發展的網絡架構,並納入在數碼轉型的工作範圍內。
撰文:陳家康 香港電腦學會企業架構專家小組執行委員會成員