全文约3000字 10图表 阅读约5分钟
首先,Forrester提出零信任,成为近十年来最重要的安全创新理念。不妨把零信任比作如来佛祖。
然后,Gartner提出SASE(安全访问服务边缘),在零信任的基础上面向未来描绘了一幅美好边缘愿景。SASE的意图明显是想超越零信任,不妨把SASE比作齐天大圣,一心想跳出如来的手掌心。
最近,Forrester又提出ZTE(零信任边缘),且强调ZTE=SASE。意思是说,SASE你也别闹腾了,你不过就是零信任边缘或者边缘零信任,始终逃不出我零信任的手掌心。
1.零信任的提出与发展
2.SASE的提出与发展
3.ZTE的提出和策略
4.零信任与SASE的融合
图1-零信任扩展(ZTX)生态系统的七大支柱
图3-Cisco对SASE的名称解读
SASE是集网络安全服务、下一代广域网、边缘计算于一体的云交付网络。
SASE的实现必须以安全、网络、订阅、云四大条件为基础。
SASE的难点:
在SASE的主要组成要素中,全球性分布式的边缘部署在实操层面中是最难的,而这也意味着对客户传统网络架构的重构。
图4-对边缘的定义
边缘可以接触到物联网;
边缘在传统上是CDN(内容交付网络)提供商的优势领域。
图5-SASE和零信任的对比
SASE是零信任的一种形式;
SASE由单个供应商部署;
相对来说,零信任概念是比较宽泛的。
Gartner大力推动SASE模型;
Forrester开始跟进并提出ZTE(零信任边缘)模型(见下文);
零信任与SASE的融合趋势(见下文)。
一是数据中心零信任:即资源侧的零信任。
二是边缘零信任:即边缘侧的零信任访问安全。而这正是ZTE(零信任边缘)。
图6-ZTE(零信任边缘)模型
耦合程度区别:SASE强调网络和安全紧耦合,所以要求单一提供商提供全套SASE产品;ZTE强调网络和安全解耦,认为可以多个供应商集成。
实施路线区别:SASE强调网络和安全同步走;ZTE强调零信任先行,网络重构滞后。(参见下文)
第1步:先用ZTNA(即SDP型零信任)技术,解决远程访问问题;
第2步:再逐步追加其它的安全控制(如SWG、CASB、DLP);
第3步:最后使用SD-WAN技术,解决网络重构问题。
图7-通往零信任的路线
Gartner提出的SASE和ZTNA都已囊括在零信任的范畴中;
Forrester的ZTE(零信任边缘)与Gartner的SASE已经统合在一起。
图8-端到端零信任架构
图9-端到端架构的组件
图10-网络安全向平台化发展
安全大脑有两类完全不同的输入:一是威胁类(攻防派);二是身份类(管控派)。覆盖了威胁分析和零信任分析的全场景。
安全大脑连接各类DR(检测与响应)探针:包括CDR(云DR)、EDR(端点DR)、NDR(网络DR)、边缘DR等,符合典型的XDR模型。
这种'XDR+零信任'内外兼修的安全大脑,正是未来的发展方向。
联系客服