作者:Shidan Yu,Aruba 中國技術銷售總監。
隨著企業轉向以雲為中心的架構,傳統的網路和安全架構已不足以滿足現代業務環境的需求。 同時,雲服務、移動裝置、物聯網、OT、混合辦公等應用的廣泛應用,以及分布式、動態化的環境,對企業隨時隨地實現安全、可靠、高效的應用和資料訪問提出了更高的要求。
HPE Aruba Networking 發布的 2023 年全球研究報告顯示,44% 的企業 IT 領導者將網路視為數位化轉型的工具,並將 IT 效率、運營效率和網路安全視為影響網路和各種業務互聯互通的三大核心領域。 因此,如何保證網路與業務的協同演進,時刻保障網路安全,成為當前企業關注的焦點。
傳統的網路安全架構面臨多重挑戰
隨著企業技術和商業環境的快速演進,網路安全風險日益成為企業關注的焦點。 瞬息萬變的安全環境在多個層面上給組織帶來了嚴峻的挑戰。
1.許可權風險
傳統的VPN通常會導致糟糕的使用者體驗。 不採用細粒度控制的 VPN 可能會導致網路許可權過高,導致使用者訪問超出其需求的資源,從而增加安全風險。
2.資料風險
傳統網路難以應對應用上雲的大規模遷移,導致效能下降和資料安全風險下降。 隨著 SaaS 應用程式資料的增加,組織需要採取額外的措施來保護敏感資訊,防止不受信任的雲應用程式(或影子 IT)和不安全的鏈結導致的潛在資料丟失。
3.裝置風險
瀏覽網際網絡或訪問電子郵件的員工極易受到網路攻擊,例如網路釣魚攻擊和勒索軟體。 與此同時,物聯網裝置的激增導致攻擊面顯著增加。 然而,物聯網裝置通常設計簡單,缺乏複雜的安全機制。
4.監管風險
公司必須遵守區域私隱資料保護法規,例如中國的《資料安全法》或歐盟的《通用資料保護條例》(GDPR)。 然而,企業往往缺乏證明其合規性所需的基本工具和全面的報告。
主動部署SASE構建網路安全屏障
SASE 將高階 WAN 邊緣功能與 SSE 相結合
為了應對這些挑戰,安全訪問服務邊緣 (SASE) 應運而生,這是一種將網路和安全功能整合到單個平台中的 IT 框架。 這一新的網路安全概念誕生於 2019 年,通過將 SD-WAN 和安全服務邊緣 (SSE) 相結合,使用任何傳輸方式為使用者、裝置或伺服器提供安全連線,幫助企業建立安全、可靠和高效的網路環境。
根據 Gartner 的資料,到 2025 年,全球 50% 的企業將購買 SD-WAN 作為單一供應商 SASE 產品的一部分,而 2021 年這一比例還不到 10%。 顯然,雖然多供應商架構允許為特定的 SASE 功能選擇同類最佳的解決方案,但單一供應商 SASE 解決方案因其易於部署、單點支援和簡化的許可而開始在企業中受到關注。
選擇單一供應商 SASE 解決方案有五個關鍵點。
1.雲原生基礎架構和可擴充套件性
單一供應商 SASE 解決方案採用雲原生架構設計,可充分利用雲計算獨有的可擴充套件性和靈活性。 這種先進的架構使企業能夠根據流量需求動態分配資源,從而實現更高效、適應性更強的網路。
此外,無論使用者身在何處,通過地理上分散的網路服務交付點 (POP) 實現全球網路互連對於確保一致的效能和低延遲至關重要。 單一供應商 SASE 簡化了管理這些網路服務交付點的過程,並消除了多供應商 SASE 方法所需的多個網路服務交付點。
2.統一策略管理,細粒度管控
與多供應商 SASE 方法不同,單供應商 SASE 解決方案將允許 IT 管理員通過單一介面管理所有安全策略,包括 SWG、CASB、DLP 和 ZTNA。 這種方法簡化了操作,降低了複雜性,並幫助組織有效地部署和實施一致的策略。 同時,單一供應商SASE解決方案可幫助企業更快地響應安全威脅,並在發生安全事件時實時調整整體架構中的安全策略。 更重要的是,它使 IT 管理員能夠根據使用者、身份和裝置實施細粒度的訪問控制。
3.集中式使用者介面和全面的儀表板
除了提供統一的策略管理外,單一供應商 SASE 解決方案還使 IT 團隊能夠在集中式使用者介面中管理所有網路和安全操作。 此功能提高了對網路流量、安全事件和策略實施的可見性,以更好地支援威脅檢測和事件響應。 此外,單一供應商 SASE 解決方案增強了報告功能,以證明組織符合法規要求和行業標準。
4.整合 SASE 功能
借助單一**供應商的 SASE 解決方案,組織可以輕鬆整合多個 SASE 功能,以增強其安全態勢。 例如,使用 SWG、CASB 和 DLP 來監控使用者活動並保護敏感資料不洩露到 Internet 和 SaaS 應用程式。 不僅如此,SWG 和 CASB 還將利用安全套接字層 (SSL) 解密來分析超文字傳輸安全協議 (HTTPS) 流量。 通過使用單一供應商 SASE 解決方案,您可以通過執行單個 SSL 測試來提高效能並降低複雜性。 此外,通過結合 SWG、CASB 和 ZTNA,企業可以對網路訪問實施更精細的控制,並根據使用者身份允許或拒絕對特定或雲應用程式的訪問。
5.通用零信任訪問
通用零信任訪問是網路安全方法的根本轉變,允許使用者和裝置從任何地方安全地訪問資源。 該方法的核心是最小許可權訪問原則,它通過根據身份和角色劃分流量來減少攻擊面,確保使用者和裝置只能訪問其任務所需的資源。 此外,私有資源會阻止網際網絡並使使用者遠離網路。 第三方承包商還可以通過無 ZTNA 的解決方案輕鬆訪問網路,而無需在裝置上安裝安全性。
當使用者連線到企業網路時,網路訪問控制 (NAC) 與 ZTNA 的整合變得至關重要。 NAC通過裝置健康檢查來驗證安全狀態,並確保安全,然後再授權網路訪問。 同時,對特定裝置進行執行狀況評估可確保這些裝置符合組織的防病毒、反間諜軟體和防火牆策略,從而允許組織根據使用者和裝置的固有風險向使用者和裝置授予訪問許可權。
在分支機構場景中,SD-WAN在連線分支機構使用者與總部方面發揮著關鍵作用。 它智慧型地將流量定向到雲端,同時無需將流量回傳到資料中心。 先進的SD-WAN解決方案提供內建的下一代防火牆功能,包括入侵檢測系統、入侵防禦系統(IDS IPS)和微分段,以執行零信任訪問。 當新使用者或裝置連線到公司網路並註冊時,SD-WAN 將與 NAC 結合使用,向整個網路提供安全策略資訊,以及與使用者、裝置型別、角色和安全狀況相關的任何更新,以在 LAN 和 WAN 內實施基於角色的分段。 此外,由於物聯網裝置沒有**,因此無法在其上執行第三方 VPN 或 ztna 客戶端。 單一供應商 SASE 方法通過根據身份和其他流量對網路進行分段來幫助保護 IoT 裝置,同時確保使用者和 IoT 裝置到達與其在業務中的角色相匹配的目標。
HPE 的 Aruba 網路統一 SASE 解決方案提供卓越的價值
採用單一** SASE 解決方案可為企業提供強大的安全策略,以應對現代網路安全的多重挑戰。 通過無縫整合 SD-WAN 和 SSE 元件,企業可以保護其網路、加速部署、簡化採用,並在不斷變化的數字環境中蓬勃發展。
HPE Aruba 網路統一 SASE 平台。
HPE Aruba 網路統一 SASE 解決方案將 EdgeConnect SD-WAN 與 HPE Aruba 網路 SSE 相結合。
HPE Aruba 網路 SSE 為使用者提供 ZTNA、SWG、CASB 和 DEM(數字體驗監控)等高階安全功能。
EdgeConnect SD-WAN 是一款安全的 SD-WAN 解決方案,內建下一代防火牆,可與 HPE Aruba 網路 SSE 無縫整合。 HPE Aruba 網路連續第六年在 2023 年 Gartner SD-WAN 魔力象限中被評為領導者。 此前,IDC MarketScape 發布了 2023 年全球 SD-WAN 基礎設施**供應商評估結果,HPE Aruba Networking 在其中名列前茅。
有關 HPEARuberaNetworking 統一 SASE 平台的更多資訊,請訪問: