2022年6月15日,由中国信息通信研究院(以下简称“中国信通院”)、中国通信标准化协会主办的“2022云原生产业大会”在京召开。中国工程院院士孙家广、工信部信发司信息服务业处处长张毅夫出席并发表致辞。会上中国信通院公布了最新的云原生领域评估结果、云原生优秀案例,成立了云原生安全实验室等。
其中,阿里云云原生办公安全解决方案入选2022年度云原生安全技术创新解决方案,办公安全SASE平台自2019年发布,已落地游戏、零售、电销、金融、政府等多个行业。
这个通过将安全与网络深度耦合的产品,赋予了安全接入全新的解法。
作为一名合格的Z时代打工人,随时随地拿起电脑就能办公、开会的操作稀松平常。而这一切都依赖于看不见、摸不着、但又无处不在的——网络。让我们把时钟拨到1946年,回到世界第一台通用计算机「ENIAC」刚诞生的日子。彼时,摆在IT先驱者们面前的,是一个无比朴素的问题:「如何将两台主机连接起来?」
一、如何将两台主机连接起来?
很快,人们构建了最小通信单元网络,用协议栈作为两台主机的沟通语言,相当于用统一的方式,记录了每台主机的地址。用网卡进行数据处理,把「地址」信息转为电流、比特等信号;用网线提供物理介质,用以比特、电流信号的传输。
网线不够长时,中继器出现
很快,两台主机变成了四台、八台、十六台....端口不够多的时候,集线器(Hub)出现了:
繁忙起来的线路上,第一次爆发了危机。手握十几个地址的「送货员们」,在送货的路上常常会互相冲撞,导致「货物」的延迟、丢失甚至送错。
为了解决这个问题,链路层产品:网桥、交换机(Switch)出现了,记录终端主机的MAC地址并进行VLAN隔离。相当于给了快递员一张的地图,并规划了详细路线,彼此之间相互绕过,提升了运货的效率和稳定。
但是很快,人们发现,无论是基于链路层的MAC解析、读取,还是依赖于网线的有线连接,本质上都没有实现:跨介质跨地理的网络融合。打下的那句「HelloWorld」,世界还看不到。
但,再给我们多一点耐心:1980年代,第一台路由器诞生了。这种基于网络层的产品,可以通过主机的IP寻找地址,并且实现了广播域隔离,实现了远距离通信,互联网就此进入大爆发时代:
E-mail、搜索、bbs、短信......人们交流的方式被彻底重塑。
网速不够快?多协议标签交换MPLS被广泛投入使用,多条专线价格太贵?虚拟私有网络VPN为远距离通信提供了专有的安全传输。专线配置和维修复杂?SD-WAN技术使转控分离、按需分配成为可能。
云及云网络的出现,更是将「万物互联」推向了一个新高度...
但黑产也在伺机而动,越来越频繁、系统、专业的黑客攻击。让安全的重要性大幅提升,原先的朴素问题需要再进一步:「如何将两台主机安全的连接起来?」
二、如何将两台主机安全的连接起来?
由于网络设备和安全的割裂性
解决思路一般分为两种:在边界围筑高墙,在内部观察嗅探
边界区域:
- 硬件防火墙:实现恶意流量的过滤
- 硬件SWG:对于所有的访问进行流量监控、访问控制、用户识别、数据防泄漏等细粒度控制
- 软件/硬件VPN:通过身份验证、IPSec/SSL等,对流量、数据进行加密的安全传输;
内部区域:
- EDR、HIDS、AV等等或SaaS化、或硬件一体机的部署模式;
- 探测异常行为、形成报警推送:
这一套网络、安全各司其职的架构,在很多年里,保护着网络世界的「岁月静好」。但是,时代的洪流滚滚向前:云、SaaS化部署、数字化转型...挑动着企业变革的神经,突如其来的疫情,远程办公的需求,多云部署的架构,更让传统的网络雪上加霜。
从网络侧来说:
- 公有云、私有云、线下IDC、多云、混合云.....多样环境使得网络架构极端复杂
- 网络结构复杂,遗留资产多,各类产品适配困难
- 远程互联场景复杂,多个VPN频繁切换,效率极低
- 可拓展性低,无法应对暴增的流量需求
- 网络不稳定,全球互联之下,出海企业的办公需求难以得到满足
从安全侧来说:
- 大规模的远程办公促使网络边界消失,「边界安全」成为伪命题
- 办公场景下激增的东西流量,游离于传统设备防范范围之外
- 各类安全产品堆叠,造成「胖终端」,卡顿严重
- 硬件化产品部署慢,配置麻烦,难以每个分支机构都配备
- 软件类产品「各自为政」,融合性差,难以统一管理
云时代下,网络的安全,有没有新解法?
有没有一种可能,网络和安全,能够真正走向融合,「握手言合」?
2019年,国际著名咨询机构Gartner发布了著名报告《网络安全的未来在云端》,提出了一个全新的概念:SASE(Secure Access Edge),一种真正将软件定义网络和可模块化调取的安全结合起来的技术,在帮企业构建网络的同时,通过融合的、可联动的安全能力,一举帮助企业实现高敏捷、低成本、高弹性、高安全、易管理的网络架构。
但SASE概念的背后,是对厂商严格的要求,不仅要求它能懂安全,懂云原生,懂SaaS,更重要的是,还要懂网络,懂基础设施的建设......从2009年即开始致力于云计算的阿里云,深知安全融入基础设施的重要性,在SASE技术刚面世不久,就推出了自己的办公安全平台SASE。
现在,让我们回到最初的起点,试着用全新的视角来解答这个问题:「如何将N台主机高效率、高敏捷、高安全地连接起来?」
三、如何将N台主机高效率、高敏捷、高安全地连接起来?
01 云网络架构一键打通:「温和地走进此良夜」
02底层融合、模块化调用:「真正的安全融入基础设施」
在SASE概念下,蕴藏着是安全的未来,底层的融合使得安全能力可以实现模块化调用,而真正和基础设施的联动则让安全和业务并肩站在了一起,真正提升了办公敏捷性。
场景一:全球远程办公
(已落地国内头部游戏出海公司)
客户需求
- 自建VPN安全性和性能都不能满足实际需求,0day漏洞风险,无法应对疫情集中在家办公的突发流量;
- 海外用户访问国内办公应用,网络质量堪忧;
- 远程办公用户的BYOD设备,没有办法进行基于可信设备、可信身份和可信应用的可信链建设,实现先验证再授权再访问;
客户价值
- 阿里云上业务零改动,部署简单,快速上线,简单易运维;
- 组合中国联通GA跨境专线、提高跨境访问的稳定性和质量,解决了海外员工的办公难的问题;
- 更安全的办公体验:SASE的零信任安全访问控制策略、可信设备注册管理等功能实现可信设备识别、可信身份识别、应用授权访问的信任链;
- 突发疫情下,快速扩容近万台设备,保证全公司平稳过渡;
场景二:全球远程办公
(方案已落地某知名制造业外企)
客户需求
- 企业分支机构、线下门店多且分散,安全成本无法覆盖,存在巨大隐患;
- 通过SD-WAN 组网后,内网对员工的内网访问权限缺乏有效的管控手段,导致SD-WAN部署计划停滞,整体上云计划受阻;
- 采购了多家产品覆盖网络、物理USB数据传输管理与审计,多个Agent和控制台,运维与管控复杂,且安全服务商支持力度不一,导致产品无法真正用起来;
方案收益
- SASE客户端部署简单,无前期硬件投入成本,可一键调用云上20+余种安全能力,保护各分支机构安全;
- 客户无需再部署多种客户端和安全设备,即可满足数据安全、权限管控、审计等需求,降本提效;
- 零信任访问管控,支持RBAC/ABAC的策略配置,帮助客户便捷管理员工身份;
场景三:多云、混合云多种复杂环境统一管理
(方案已落地某知名母婴电商平台)
客户需求
- 多云、混合云架构下,组网方式复杂,运维难度大,网段冲突严重;
- 企业分支机构多,资源访问路径复杂,连接质量差,无法快速扩容;
- 每个分支机构、门店的安全设备有限,硬件设备安全、运维繁琐,无法保障安全性
方案收益
- 通过将代理网关部署到多云、IDC等环境进行灵活组网、统一管理,极大降低了网络复杂度
- 简单的网络架构,方便的部署模式,可实现网路架构快速扩容,跟上业务发展速度
- SaaS化部署的SASE客户端,可一键调用云上20+中安全能力,部署简单,轻松覆盖全国门店
在办公安全平台SASE产品上线短短不到一年的时间里,阿里云已经服务了几十家大中小客户,部署了数万台终端设备,保障了数万名员工在疫情之下平稳安全过渡。
未来,云安全和网络也许还会变化,主机间的安全连接还将迭代出新解法;
在这条日新月异的道路上,阿里云将始终和客户站在一起,上下而求索。