科技云报道原创。
近日全国多地疫情,导致大面积的居家隔离,让企业再次深刻认识到移动办公和远程接入的常态化。
远程办公的同时,随之而来的网络安全风险也不容易忽视。
SASE作为一项新兴的网络安全理念,得到了越来越多用户的关注,其中不乏很多用户尝了鲜,却也有一些用户仍在观望,他们关心的问题无外乎如下几种:
- 针对拥有多分支机构的大型企业、跨国企业,以及拥有大量外包团队、移动办公人员的企业,SASE能否对来自任何网络的访问和超大流量提供保护?
- SASE提供的安全能力能否明显提升企业原有的安全水平?
- SASE能否为疫情下缩减开支的企业进一步节约IT成本?
作为国内最早布局SASE的安全厂商,深信服早在2016年就开启了SASE创新业务的研发,并于2020年正式推出深信服SASE方案。
时隔两年,深信服再一次带来技术革新,在近日的“SASE战略升级发布会”上推出了SASE 3.0版本,并提供了面向更多行业的解决方案,交出了全面覆盖各安全场景的SASE服务。
此次深信服SASE升级,到底能为行业用户带来哪些新的价值? 深信服SASE 3.0三大技术革新,全面提升用户体验 在过去的两年中,深信服以SASE架构为核心,以零信任理念为基础,陆续实现了将上网行为管理、上网安全防护、内网安全接入等安全能力以服务化的形式交付,满足企业用户在总部、分公司、移动办公等多场景下的办公安全需求。 但在通往理想SASE的道路上,依然存在很多挑战,比如:
- 基于虚拟机的NFV架构有先天的限制,需要预先部署资源到指定的POP节点,当企业要实现全球的接入,就需要在全球的节点都部署对应的资源,这就使得SASE的采购成本很高。
- 基于虚拟机架构推出的SASE服务,不论是软硬件的升级维护或是性能不足的扩容,都需要通过暂停服务来进行,这对于拥有全球业务的企业客户来说远远不够。
- SASE是纯粹的轻端重云架构,本地的引流设备性能和配置是受限的,但对大流量的处理能力却是大型分支机构或总部场景的刚性需求,SASE要如何提升大流量处理性能?
- 在SASE落地的过程中,如何更好地利旧,让原有设备和SASE整合起来?
这样的用户体验,在深信服内部看来“很不SASE”。为了向用户提供更好的SASE服务,深信服对SASE技术架构进行了全面升级,具体而言:
- 采用全云原生架构:提升服务体验,降低采购成本
作为云计算发展的最新技术趋势,采用云原生架构能够获得更加高效和便捷的开发、部署、管理能力。正因如此,深信服颠覆了之前基于虚拟机架构构建的SASE方案,采用了基于容器和K8s编排技术的云原生架构,重新实现了网络安全的各项能力。 对于企业用户而言,在新的云原生架构下,深信服SASE 3.0能够带来更好的服务体验、更低的采购成本: 当遇到大流量场景时,深信服SASE 3.0可以实现秒级的扩容;移动办公的接入,能够根据用户的物理位置,选择体验最佳的POP,动态的秒级开局。企业用户不再需要预先配置虚机资源,而是直接采用按需使用的模式,大大降低企业的采购成本。 当网络线路不通、不稳定或是服务器宕机时,深信服SASE3.0可以就近动态地选择新的POP节点,实时开通服务来实现动态灾备,把对企业的业务影响降到最低。 而基于云原生架构,深信服SASE3.0能够把原有的扫描性能提升至10倍,原有单租户的流量吞吐,从原本的2个G提高到20个G,大幅降低扫描引擎对上网体验的影响,在算力上带来更强的安全效果。
- 采用融合架构:平衡算力,兼顾性能和安全
经过两年的探索和实践,深信服发现SASE理念下的“轻端重云”未必能覆盖所有场景的需求。在极端的“轻端重云”场景下,小型设备很难满足小分支大流量场景的需求,同时也存在总部大分支大流量+多链路和设备高可用的高端需求。 因此,深信服开发了一个能同时兼顾性能/环境适配性以及云端赋能本地的计算模式fusionEdge——在本地保留一定的算力,通过把部分的SASE能力按需动态的下沉到本地的设备,实现平衡算力的融合架构。 在这个架构下,企业用户在遇到大流量场景时,不必再担心设备性能受限的问题,例如: 大部分的正常上网流量,能通过本地算力高效的处理后,在本地出站;而需要管控审计的未知流量、SaaS应用流量和VPN内网流量,可以通过SASE节点进行安全能力的编排,实现安全、审计、零信任等能力。 当本地算力受限时,也能通过动态调整流量的比例,利用云端算力来卸载本地性能消耗,实现在不牺牲性能和设备特性的同时,享受SASE云化交付安全的好处。
- 实现全安全栈:一站式享受安全“全家桶”,更安全、更方便
作为从安全起家的IT大厂,深信服拥有完整的安全能力栈,这就成为深信服SASE 3.0实现全安全栈的技术底气。 通过编排的方式,深信服SASE 3.0实现了完整的、按需的、弹性的安全交付,例如:上网流量可接入审计、管控和防火墙能力;内网流量可接入零信任、内网WAF等能力;此外,还提供DNS安全、沙箱蜜罐等丰富的安全增强能力。 通过一项深信服SASE 3.0服务,企业用户就能享受安全“全家桶”功能,使用起来更方便、更安全。
除了技术架构的迭代更新,在最关键的落地问题上,深信服SASE也给出了“人性化”的解决方案。
深信服SASE业务负责人林冠烨表示:“对企业来说,使用SASE不是把现有设备都换掉的‘是非题’,而是基于当前保有设备实际使用、按真实场景选择最适合方案的‘多选题’。” 因此,深信服让其所有的安全设备都能接入SASE,一方面可以让企业用户充分利旧,或让新采购的设备与SASE结合;另一方面可以通过SASE统一管理这些设备,为企业用户提供一致的交互界面和使用体验。这既是深信服作为安全一线厂商的核心优势,也体现了深信服“以用户为中心”的研发理念。 深信服SASE 3.0面向千行百业,打通落地“最后一公里” 作为国内率先落地SASE服务的厂商,深信服SASE有很强的先发优势,在金融、房地产、研发制造、医疗、零售、交通等行业积累了大量的SASE标杆客户,为海内外数千家企业在数据化转型路上提供安全、可靠的安全服务支持。 但这对于深信服而言还远远不够,致力于“让每个用户的数字化更简单、更安全”的深信服,其目标是服务更多行业用户的数字化转型。正因如此,深信服SASE不仅保持着技术和产品的领先,同样也重视行业的落地应用。 此次发布会上,深信服SASE 3.0面向运营商、教育、大企业、金融的行业解决方案,正是深信服SASE打通从方案到落地的“最后一公里”的具体举措,具体而言:
- 运营商行业
面向广大的ICT用户,深信服将联合运营商提供按年订阅、按需使用的安全能力。其中,深信服通过平台方式把安全工具化服务化,让运营商能够为广大用户提供初步的安全服务能力。 同时,深信服将开放SASE 3.0的能力,对接深信服MSS、XDR平台以及广大安全生态伙伴,以便运营商给用户提供差异化的和一站式的安全服务。
目前,深信服SASE联合某省级运营商,通过在运营商城域网部署本地POP点,已成功为近千用户以服务化方式交付安全。
- 教育行业
在数字化教学的趋势下,中小学使用的带宽越来越大,且中小学缺乏专业的安全运维工程师。为了助力中小学建设结构优化、集约高效的安全能力,深信服SASE3.0采用高密度的方式,实现安全组件微服务化容器化,中小学通过门户订阅服务,教育局通过集约化的方式建设集中运维,将大大减少投资,实现绿色上网、弹性、极简运维。
- 金融行业
在金融行业,保险机构的扁平化建设、证券机构轻型营业厅建设、银行的合规与高可用建设等成为重要趋势。深信服SASE 3.0通过云平台向金融用户提供安全组件,日志采用本地化方式或托管到运营商,面向金融用户提供按年订阅、轻资产的云上行为管理与安全能力。 例如,在金融某四大行省份公司,深信服通过SASE与运营商合作,提供了200多个银行营业厅的安全合规建设。
- 大企业行业
大企业的特点在于分支众多、移动出差人员比较多、对安全诉求相对比较复杂。深信服SASE 3.0向企业用户提供一站式的混合部署安全订阅服务,将组网、安全、移动办公和分支IPS安全等安全能力,通过云平台一站式交付。SASE“全能选手”深信服,完整满足安全场景下的客户需求 此次深信服全面升级SASE,可谓意义重大。于深信服而言,是完成了其在SASE业务板块的最后一块拼图,完整地满足了SASE在各个安全场景下的客户需求。于整个行业来说,是深信服将SASE推向了新的高度,从技术到落地更近一步。 事实上,深信服在SASE领域一直处于领跑位置。 从2016年成立创新团队,基于其全网行为管理AC产品进行云化创新,深信服推出了业内最早的具备SASE理念的产品——CASB,后更名为ISSP(互联网安全服务平台)。 2019年,随着深信服整体战略向云计算发展,其SASE相关业务也开始转向云原生、纯云、SaaS版的方向。 同年,Gartner首次提出“SASE”的概念,当业界还在为“什么是SASE”争论不休时,深信服已基于过往技术积累,迅速推出了与Gartner理念一致的SASE产品。 2020年9月,深信服率先在国内发布SASE方案(云安全访问服务Sangfor Access),融合了SD-WAN和部分安全能力,以服务化的形式交付。
如今,深信服SASE方案已集成全网行为管理AC、SD-WAN接入管理、云VPN、终端安全EDR、下一代防火墙AF、数据防泄密与安全威胁分析等多款网络安全产品,成为国内拥有“SD-WAN+最全安全栈”的安全云服务供应商。
值得注意的是,SASE巨大的市场潜力吸引了传统IT厂商、网络安全厂商、云厂商、CDN厂商等多方势力的角逐,均从各自擅长的领域切入SASE。乍一看,不同厂商似乎各有优势,但在SASE领域实属“偏科”。
按照Gartner的定义,SASE是集SD-WAN、网络安全服务、边缘计算于一体的云交付网络,简单来说是“广域网+安全+云”的融合技术,这就要求厂商具备横跨三个领域的综合能力。而深信服正是这样少有的“全能选手”,在SASE所需的各大核心组件技术上均处于行业领先地位。 同时,一个合格的SASE服务也离不开好的网络基础设施,尤其对于跨国企业、多分支机构、移动办公等远程接入场景,全球各地就近可得的pop节点资源和云算力才能提供最好的SASE服务。 基于此,深信服进一步加强了自身基础设施建设。数据显示,截至2022年3月,深信服在全球部署接近40 PoP点服务,合计带宽资源超过150G,服务超过20万的在线用户,每月处理超过百亿的网络请求。
随着全球PoP点数量的不断提高,深信服SASE 3.0将为企业用户带来更强的边缘服务能力和整体服务体验。
结语
在云化、SaaS化和移动办公的趋势下,SASE无疑是企业安全的最佳选择。深信服SASE 3.0凭借“领先技术+行业市场落地”的双擎驱动,能够为更多用户提供云时代更简单、更安全的网络支撑,更是其能够持续领跑SASE市场的底气所在。
【关于科技云报道】专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。