博客

陳家康：淺談安全存取服務邊緣SASE

Gartner發佈的《網絡安全的未來在雲端》報告中，提及到「安全存取服務邊緣」(Secure Access Service Edge)，或簡稱為 SASE (音：sassy) 的新型網絡及安全架構模型。此模型將顛覆傳統網路及安全架構的設計及管理模式，並助力企業全面走向數碼轉型(Digital Transformation)。   傳統企業的網絡架構，一般以數據中心作為核心建構，但隨著數碼轉型的進程，企業逐漸透過IaaS負載交易或直接使用SaaS服務，資料也由數據中心轉為存放到雲端。因此，以數據中心作為網絡架構中心點的需要已不復存在，而把網絡流量特意集中到數據中心進行監控，亦會增加延遲，降低服務體驗。另一方面，企業往往混合使用防火牆、IPS設備、軟件定義廣域網 (SD-WAN) 等不同安全方案保護企業網絡；鑑於這些安全方案的管控平台、架構及執行措施各不相同，以致不論是整合及運維管理，均對企業帶來沉重負擔。 上述問題窒礙了數碼化的發展，因此Gartner 提出一個新的網絡架構模型──SASE。SASE揉合網絡及安全服務的各項功能，由以往單點、分散的多個解決方案，整合成統一的全球化雲端服務。 SASE具備以下三大特徵：（一）以身份為主導：SASE具備符合零信任網路(Zero Trust Network)設計概念的網絡安全連接策略，不再依賴IP地址，改為利用連接者身份為基礎，並按交易特性加上其他資訊如時間、設備訊息、服務內容、數據內容等進行辨識及決定訪問權限級別。（二）全球分佈的雲平台：SASE利用雲架構的特性，提供一個具延伸性、敏捷驅動的高效率網絡架構，並在全球分佈部署，為散佈各地的全部邊緣設備提供隨處可用、安全、高流量及低延遲的服務。（三）整合企業網絡；SASE提供一個能夠動態建構及基於策略 (Policy Based) 的統一網絡架構，覆蓋範圍包括數據中心、分公司、設備及移動用戶等所有企業資源。 按照Gartner技術成熟度曲線，SASE目前仍處於起步階段，預計需要五到十年此才會成為主流技術。但在雲應用及數碼轉型的急速發展下，企業對於簡化網絡及安全架構的需求殷切，將成為SASE發展一大助力。各大企業安全服務供應商亦看好SASE前景，紛紛投入發展SASE，務求突圍而出。 本港不少大型企業如銀行、保險公司等，都有意通過數碼轉型提升自身的競爭力。但這些企業目前大部分應用系統與數據，仍部署於數據中心，並利用不同網絡安全組件，保護重要數據資產。此種中心化的網絡架構設計，與講求高效敏捷的數碼時代，顯得格格不入，或會成為企業數碼轉型中的瓶頸。因此企業大可深入了解SASE設計理念，並重新審視現有網絡服務架構的不足，規劃好適合未來發展的網絡架構，並納入在數碼轉型的工作範圍內。   撰文：陳家康   香港電腦學會企業架構專家小組執行委員會成員 [...]