近日,国际权威分析机构IDC最新发布《IDC MarketScape: 中国公有云网络边缘安全即服务(NESaaS)市场,2022 年厂商评估》报告,阿里云在报告中处于绝对领导者位置,营收和能力均位列第一。
报告指出,阿里云能够提供完整的公有云网络边缘安全即服务相关产品和解决方案,实现了主动应用程序安全、安全访问和隔离、零信任边缘的功能,相关产品和解决方案在互联网、金融、政府、制造等行业得到广泛采用,受到客户的广泛认可
网络边缘安全即服务
IDC 首次提出的全新概念,定义是:Network Edge Security-as-a-Service(NESaaS)作为综合网络安全能力堆栈,能够很自然地将各类安全能力高效整合,从而全面体现软件定义安全访问的理念。
报告显示,NESaaS 在全球主要是基于公有云模式交付,但我国IT 环境有所差异,在国内将基于公有云、私有云、混合云等多种模式提供这项服务。
那为什么上云之后软件可以定义安全访问,安全可以作为一种服务形式交付客户?我们先来看看云下是怎么做的。
上云以前,网络规划和管理是一件非常专业的事情,企业需要专业的网络规划设计师设计整体网络架构,需要专业的网络管理员负责网络运维,才能保证来自互联网的外部访问和内部的互联互通正常运转。
以国际上认可度最高的CCIE(思科认证网络专家)证书为例,据统计,CCIE的持有者占思科认证总人数的不到3%,不到全球网络从业者的1%。
高难度的网络设计和管理给安全访问带来的直接挑战有三个:
黑盒式网络拓扑,安全设备接入复杂,难以具备全局视角
对于企业安全团队或者第三方安全厂商来说,企业的整体网络拓扑结构是一个黑盒,当有部署网关、边界类安全产品需求时,就像在这张现有的网络体系里塞进一个外来新物种,会遭遇各种“排异反应”,来自不同厂商的网络设备不兼容,非标接口不统一等等,都需要一一去适配。更重要的是,新物种接入会造成业务中断。
同时,黑盒式的网络拓扑使得单一安全产品很难具备全局网络视角,安全产品只能看到经过自身的流量,安全防护效果难以最大化。
安全与网络的信息差,易造成安全盲区
云下网络变更靠人工维护。小到一个子公司新开一个域名,需要报备网络管理员才能更新到整体网络架构,然后再同步安全团队,这个信息流转到安全能力上线需要的时间至少按天算;大到变更子网配置,网络管理员需要重新规划网络架构,之后安全团队再根据新架构重新规划安全配置,这个过程就会更长,可能以月计。
无论是按天计还是按月计,在这个时间段内,新开通域名以及新变更的网络架构就是一个没有被安全覆盖到的盲区,对于毫秒之争的攻防来说,都有可能造成灾难性伤害。
固定资产式安全部署模式,难以满足业务频繁动态变化需求
云下,网络是一种固定式资产,企业的办公网络、业务网络都需要提前从运营商处申请和购买,就像自己家需要找运营商装宽带一样,如果需要扩大带宽需要再找运营商申请、购买,所以企业的网络带宽相对固定。网关、边界类安全产品也类似,每个硬件安全产品在购买时选定的带宽是固定的。例如所购买的防火墙能承载的最大流量是1G,线上业务淡季,资源闲置,业务高峰期有可能超过1G,造成网络拥堵,业务卡顿甚至中断。
以前,企业线上业务种类少,变化少,这种部署模式没有太大问题。但是随着企业数字化转型不断深入,疫情导致的全员远程办公间歇性需求,使得企业网络以及安全产品需要有极强的弹性扩缩容能力。
云上全球一张网,原生安全无缝集成
SECaaS落地有声
企业上云之后,网络和安全不再是一种固定资产,而是一种可以随取随用的资源。阿里云遍布全球的网络基础设施云化之后形成一张整体大网,而因云而生的原生安全通过与云网络的无缝集成,带来了网络安全访问本质上的改变:
1
不需要关注复杂的网络基建和接入问题,只需根据自身需求选择合适的安全产品;
2
摆脱原来物理部署的局限与性能瓶颈限制,按需、快速、极简体验;
3
全局网络拓扑可视,单一安全产品也能站在整体视角研判风险,洞察潜在隐患;
4
安全与网络底座天然一体,任何单点或整体变更,安全产品可瞬间感知,防护无盲区;
5
全网威胁信息共享,实时同步,0day漏洞最快小时级防御;
6
遇到突发安全事件,云上统一大边界能最早感知威胁,多种策略并发,瞬间联动网端安全产品进行联防联控,及时止损。
云上可以实现大数据闭环处理,既看到网络流量又看到端上安全事件,通过联合分析来判断和预测整个攻防态势,从而更加针对性防御。线下缺乏数据处理、支撑情况,数据不好回流处理,基本摸瞎状态。
在云上,我们正在将SECaaS的理念落地:
按需使用,按量计费
云防火墙、WAF、DDoS服务、云防火墙等原生安全产品支持按量付费、弹性后付费等多种服务模式 ,业务淡季减少投入,避免资源浪费,业务波峰到来时快速扩容:DDoS防护提供10Tbps+防护网络总带宽;WAF自带负载均衡,单一客户最大支持数百万QPS;云防火墙弹性扩缩容,单一客户可支持数万个IP同时接入。
极简、易用、更富生产力的使用体验
云上原生的安全能力通过与云网络的无缝集成,产生1+1大于2的效果:安全产品具备了云网络极致弹性、易于部署的特点,同时赋能云网络,给客户带去更加安全的服务。
- 阿里云DDoS防护与弹性公网IP集成而生的高防EIP,不需要架构改造就可以实现EIP上直接防护Tb级攻击,国内8线BGP高防线路、全球Anycast覆盖保证低延迟,在部署形态上尤其适合服务器节点多、对网络速度及服务连续性高要求的企业客户。
- 阿里云WAF与CDN集成,将防爬、web安全能力前置到业务边缘,让用户在使用内容分发服务CDN获得业务访问加速的同时获得安全保障。
- 阿里云云防火墙通过与云网络的集成,降低产品接入难度,实现产品开通,东西向流量自动接入,可视化呈现。
- 阿里云原生办公平台SASE基于与云网络的集成,针对混合、多云等异构环境可以将来自于全球不同终端的办公流量快速收口,统一经过SASE安全检测模块,构建零信任访问体系。
全局流量可视、可管、可控,
构建立体化流量防御体系
- 东西南北向流量全局管控:所有互联网入向流量统一经过阿里云WAF、DDoS防护、云防火墙安全检测,主机主动外联行为云防火墙实时监控;VPC间、ECS间流量云防火墙精细化管控,容器防火墙精细化呈现容器网络拓扑结构,避免攻击者入侵成功后横向扩展。
- 办公网入口统一部署云原生办公安全解决方案SASE,快速构建零信任网络架构。
SECaaS落地才刚刚开始,借助云的优势,我们致力于为客户在云上提供越来越简单的使用体验,越来越智能的安全产品和服务,让云上没有难做的安全。