SASE:理想與現(xiàn)實(shí)的五大差距
據(jù)預(yù)測(cè),未來SASE將改變網(wǎng)絡(luò)和安全團(tuán)隊(duì)向最終用戶提供服務(wù)的方式。SASE是一種軟件定義的云架構(gòu),它將網(wǎng)絡(luò)和安全功能合并到一個(gè)平臺(tái)中。
Gartner預(yù)計(jì),到 2024 年,30% 的企業(yè)將采用 SASE 相關(guān)功能,例如安全 Web 網(wǎng)關(guān) (SWG)、云訪問安全代理 (CASB)、零信任網(wǎng)絡(luò)訪問 (ZTNA) 和防火墻即服務(wù)。到 2025 年,60% 的企業(yè)將制定SASE戰(zhàn)略。
盡管這些趨勢(shì)表明 SASE 的采用正在逐步上升,但Gartner也指出,目前的SASE部署與理想中還存在五大主要差距。
孤島、現(xiàn)有IT環(huán)境和技能限制
SASE 的最大優(yōu)勢(shì)之一是它能夠在單個(gè)框架中管理網(wǎng)絡(luò)和安全功能。然而,這一優(yōu)勢(shì)也是 SASE 面臨的最大挑戰(zhàn)之一,因?yàn)樵S多企業(yè)都有獨(dú)立的網(wǎng)絡(luò)和安全團(tuán)隊(duì)。
Gartner表示,在完整的SASE模型中,網(wǎng)絡(luò)和安全團(tuán)隊(duì)?wèi)?yīng)該統(tǒng)一為一個(gè) IT 團(tuán)隊(duì),雖然這種整合過程在中小企業(yè)和大型企業(yè)中各不相同。
除了統(tǒng)一網(wǎng)絡(luò)和安全團(tuán)隊(duì)之外,大多數(shù)企業(yè)還需要很長一段時(shí)間才能進(jìn)入單供應(yīng)商階段。Gartner 表示,有些企業(yè)目前與供應(yīng)商簽訂了至少5 - 7年的軟件協(xié)議或綁定關(guān)系,因此企業(yè)從多供應(yīng)商 SASE 到單供應(yīng)商 SASE 的遷移被迫推遲,從而在團(tuán)隊(duì)管理云架構(gòu)的方式上產(chǎn)生了差距。
為了應(yīng)對(duì)這些挑戰(zhàn),Gartner 建議中型企業(yè)考慮從單一供應(yīng)商處購買 SD-WAN 和基于云的安全邊緣服務(wù)。大型企業(yè)也可以采用這種方法,或者考慮在安全供應(yīng)商和 SD-WAN 供應(yīng)商之間建立明確的合作伙伴關(guān)系。
Gartner 指出,為了能夠盡快向SASE過渡,大中小型企業(yè)都應(yīng)該考慮到以上因素。
不一致的體系架構(gòu)
Gartner 表示,目前SASE產(chǎn)品在策略執(zhí)行和策略管理方面都不一致。SASE 最引人注目的特性之一是它的云架構(gòu),它本質(zhì)上促進(jìn)了組織同時(shí)運(yùn)行網(wǎng)絡(luò)和安全功能。
然而,大多數(shù)SASE產(chǎn)品并沒有理想的使用基于云的架構(gòu),這主要是因?yàn)楣?yīng)商已經(jīng)根據(jù)現(xiàn)有技術(shù)組合構(gòu)建了他們的平臺(tái)。一些供應(yīng)商繼續(xù)向企業(yè)提供虛擬和傳統(tǒng)設(shè)備架構(gòu),通過公共云和 IaaS 平臺(tái)提供 SASE。
Gartner表示企業(yè)應(yīng)盡快轉(zhuǎn)向云架構(gòu),因?yàn)檫@些替代品并不適合完全集成的SASE。
這些替代方案還會(huì)增加策略管理的復(fù)雜性,特別是對(duì)于使用傳統(tǒng)架構(gòu)的供應(yīng)商的企業(yè)。傳統(tǒng)應(yīng)用的功能可能會(huì)出現(xiàn)與新技術(shù)不兼容的情況,其管理云網(wǎng)絡(luò)與本地網(wǎng)絡(luò)的方式也不同,以至于網(wǎng)絡(luò)管理員無法實(shí)現(xiàn) SASE 的標(biāo)準(zhǔn)化技術(shù)。
Gartner 表示,為了實(shí)現(xiàn)全面的功能,SASE必須在云中實(shí)施,并集中地運(yùn)行。團(tuán)隊(duì)可以更輕松地在整個(gè)網(wǎng)絡(luò)中應(yīng)用一致的策略,并在向云管理轉(zhuǎn)變的過程中利用人工智能、機(jī)器學(xué)習(xí)和自動(dòng)化 API。
敏感數(shù)據(jù)的可見性較弱
SASE部署供應(yīng)商需要解決的最緊迫和最困難的挑戰(zhàn)之一與數(shù)據(jù)可見性有關(guān)。SASE必須能夠保護(hù)網(wǎng)絡(luò)和用戶免受惡意攻擊。
Gartner 表示,當(dāng)前的 SASE 供應(yīng)商幾乎沒有提供數(shù)據(jù)保護(hù)。有些供應(yīng)商提供了數(shù)據(jù)丟失防護(hù)和惡意軟件保護(hù),而有些則為存儲(chǔ)在本地的數(shù)據(jù)或存儲(chǔ)在終端的數(shù)據(jù)提供保護(hù)。
供應(yīng)商通常也沒有自己的保護(hù)軟件。他們的系統(tǒng)是從第三方獲得許可的,這可能會(huì)帶來高昂的成本或帶來數(shù)據(jù)風(fēng)險(xiǎn)。另一方面,云架構(gòu)將使供應(yīng)商能夠使用 API 來監(jiān)控和檢查流量。供應(yīng)商也能夠運(yùn)營自己的保護(hù)服務(wù),這給了他們更多的管理選擇。
Gartner 表示,在尋找 SASE 供應(yīng)商時(shí),這一點(diǎn)是應(yīng)該優(yōu)先考慮的問題。具體來說,企業(yè)應(yīng)該考慮具有SASE架構(gòu)的供應(yīng)商,以檢查流量中是否存在惡意軟件和其他有害的數(shù)據(jù)形式。
Gartner 還強(qiáng)調(diào)了 SASE 供應(yīng)商實(shí)施 ZTNA 的必要性,因?yàn)橐恍┕?yīng)商沒有提供該功能,盡管它是SASE體系結(jié)構(gòu)的關(guān)鍵組件。沒有 ZTNA,企業(yè)就沒有能力管理他們的數(shù)據(jù)或檢查他們的網(wǎng)絡(luò)是否有惡意軟件。
安全能力的差距
SASE安全能力差異很大。有些供應(yīng)商能夠提供 SWG、CASB 和 ZTNA 服務(wù),但有些可能沒有,這導(dǎo)致安全能力不均衡。
Gartner 建議供應(yīng)商使用 SASE 將所有這些服務(wù)(包括 SD-WAN)整合到一個(gè)單一的基于云的供應(yīng)商系統(tǒng)。此外,隨著數(shù)據(jù)保護(hù)技術(shù)的發(fā)展,企業(yè)將能夠同時(shí)管理其安全和數(shù)據(jù)策略。
Gartner 表示,全面的安全服務(wù)至少還需要幾年時(shí)間。
缺少完整的 SASE 產(chǎn)品
目前只有不到 10 家供應(yīng)商符合 Gartner 對(duì)完整 SASE 平臺(tái)的定義。由于采用 SASE 的方式各不相同,用戶使用起來十分復(fù)雜。一些供應(yīng)商提供基于云的服務(wù),但是以犧牲SD-WAN為代價(jià)的。其他擁有成熟 SD-WAN 產(chǎn)品的供應(yīng)商則是提供的安全功能有限。
為了縮小以上列出的五大差距,企業(yè)可以將它們的網(wǎng)絡(luò)和安全功能合并到一個(gè)團(tuán)隊(duì)中,由一個(gè)供應(yīng)商運(yùn)營,該供應(yīng)商為它們的業(yè)務(wù)提供必要的SASE功能。隨著時(shí)間的推移,他們可以逐步淘汰傳統(tǒng)硬件,并過渡到他們喜歡的模型。企業(yè)應(yīng)該盡快開始規(guī)劃采用SASE戰(zhàn)略。
