freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

专访阿里云SASE负责人:让办公安全更简单
2022-01-11 17:15:15
所属地 上海

2021年,中国网络安全行业迎来了新的发展,以更加蓬勃的力量快速生长,呈现欣欣向荣的趋势。同时,WitAwards 2021中国网络安全行业年度评活动也迎来了全新高度,诞生了一大批富有影响力的网络安全代表,引领着网安行业快速前行。

WitAwards 2021年度评选入围项目接近200个,竞争激烈是历届WitAwards年度评选之最,观众投票数量突破10万。如今,WitAwards 2021中国网络安全行业年度评活动已落下帷幕,八大奖项已有归属。

其中,阿里云SASE斩获了“WitAwards 2021中国网络安全行业年度创新产品奖”。这也让很多人对此更感兴趣:SASE是否真能实现Gartner预测的“可取代现有的网络和安全模型”,阿里云SASE是如何打造的,又能为企业带来哪些改变等?

带着这些疑问,FreeBuf特邀阿里云SASE产品负责人高传贵进行专访。

阿里云SASE产品负责人高传贵

当下,远程办公兴起已经成为业界的共识,办公模式转型将成为企业通往未来的必经之路。

但在走上这条必经之路之前,企业首先要解决的是,办公效率、网络安全和体系兼容三者之间的平衡:即远程办公给企业带来效率上的提升;且不会增加网络安全方面的问题;能轻量化部署,与原有的IT体系兼容。

这和阿里云SASE所坚持的理念不谋而合,任何降低效率的技术必定无法推广普及。在这个大前提不变的情况下,阿里云利用零信任技术解决远程办公的安全问题,依托阿里强大的云原生架构,最终以轻量化部署的形式,真正做到了企业开箱即用,随选随用

阿里云SASE产品的诞生外有需求,内有积淀

传统的企业广域网(WAN)和安全体系架构将企业数据中心作为访问的核心,这一套体系数十年未曾变化。虽然SD-WAN的出现提高了网络效率,但其缺乏关键的安全功能,无法保障云端和终端的数据安全。

在2019年,Gartner首次提出SASE的概念,定义是一个融合了广域网和网络安全功能,以支持数字化企业需求的新兴技术,并表示SASE将取代现有的网络和安全模型。

SASE瞬间火热起来。通常一项新技术从概念到落地还有很长的距离,但此时出现了多种强促进的外部因素。

2020年最大的黑天鹅,新冠疫情就是其中之一,迫使企业开启远程办公。与此同时,我国企业数字化转型浪潮汹涌而来,远程办公成为提升企业办公效率的有效途径。再加上混合云和SaaS时代的来临,企业逐步从私有云向混合云迈进,对于内网环境的依赖性不断降低,传统办公模式向线上线下相结合的混合办公模式转变已经成为不可逆的趋势。

但对阿里云办公安全团队来说,更直观的感受是来自企业日益强烈的需求:作为早已全量业务上云的阿里集团,在疫情反复的情况下,基于内部最佳办公实践,是否有一些可输出的方案,解决企业办公中出现的效率和安全的问题。

访谈中,高传贵分享了有代表性的两个小案例。

一是某大型制造业企业,其用户遍布全国各地,共设有600多个售后服务网点。企业最大的痛点是远程办公效率不足。工作人员在客户现场维护和排查问题时,需要将问题和解决的过程进行记录和上传,由于总部只有一个节点,因此在一些信号不好的地区常出现上传失败的情况,只能回到办公室再进行处理,极大地降低了服务的效率。

二是某大型互联网企业,该企业在阿里云、华为云、腾讯云上面都存在相应的业务,因业务需要,IT运维人员在不同的云上搭建了VPN网关,导致访问不同的云上内网应用非常不方便。

比如当办公人员需要从华为云转阿里云访问时,就必须先断开原来的连接,再拨到阿里云上。运维人员不仅需要来回切换,还要一次次进行巡查,极大地降低了工作效率。

在以上案例中看似没有涉及安全问题,但实际情况是,开启远程办公的企业都存在安全通病。为了实现远程访问,企业的VPN端口必然暴露在外,容易成为攻击方的跳板,而VPN本身也往往不会对访问的终端以及异常访问行为做校验,重要业务相当于在外网“裸奔”。

有需求就会有市场。但想要真正落地SASE,就必须拥有一个很强的网络架构,而这恰好是阿里云的强项。依托着强大的云原生架构,以及阿里云多年来在“云”上的深耕和积累的成果,SASE这件事情可以做。

于是,在2020年4月,经过用户、市场调研和技术讨论之后,阿里云SASE产品的研发提上了日程。产品立项之后,阿里云的云安全团队技术人员埋头苦干了整整一年,终于在2021年的4月份,第一个版本顺利诞生。随后,在短短几个月就部署了数万台终端设备,经受住了市场的检验,产品也保持着每两周一个小版本的小步快跑迭代节奏。

SASE的两大核心点云原生和零信任

访谈中多次提及一句话是“让办公安全更简单”,也是目前阿里云SASE产品的slogan。

但对阿里云产研团队来说,这句话并不仅仅是简单的slogan,而是产品研发的初衷,并真正贯穿了整个产品的研发过程。

这句slogan其实包含了一个前提,两层意思:

  • 一个前提:疫情之后,企业远程办公需求旺盛;
  • 两层意思:一是让企业远程办公变的效率更高,二是保障企业远程办公的安全。

而真正支撑起这句slogan的,是阿里云SASE背后的两大核心点:云原生和零信任。

依托云原生架构,阿里云SASE天然继承了云的高弹性和高可用性,因此可以完美和企业原有的业务体系打通,实现轻量化部署。同时,云原生架构还保证了SASE可以适应多云/异构云架构,像在前面介绍的案例中,使用SASE之后运维就无需再从各种云之间进行切换,提升了远程办公的效率。对于网络信号和数据传输不佳的问题,阿里云有着遍布全球300余个高速网络接入点,企业可以通过阿里云专线进行办公数据传输,对办公效率和IT体系都有比较明显的提升。

在安全方面,阿里云SASE的核心是零信任理念,以此解决远程办公安全的问题。正如高传贵所说,和使用VPN进行远程办公会暴露在互联网上不同,SASE可以让企业的应用“隐身”。

众所周知,零信任不再区分内网和外网,默认所有人和设备都不可信,在这样的前提下,阿里云SASE的做法是持续验证,永不信任。而为了兼顾效率,云端安全风险分析引擎实现了即开即用,省去了堆设备的累赘。

“此外,阿里云SASE所有的边缘安全服务引擎已经全部部署到云的统一节点上,那么就可以实现安全策略的实时动态分析。”对于企业用户关心的安全问题,高传贵进一步进行了解释,“此外还有敏感文件识别、异常行为分析、数据安全、敏感信息审计等,阿里云本身也有很深厚的积累,都可以按需赋能给SASE,实现安全SaaS化调用”

基于上述安全理念和产品,阿里云SASE遵循零信任的基本原则,可实现对身份、流量、环境的实时动态检测,从服务端到客户端全链路解决安全问题。

“我们希望企业在使用阿里云SASE之后,不用再关心应用和边界需要那些防护,而是只需要确保网络的连通性和稳定性即可,其余的安全工作就放心交给阿里云SASE专业的安全团队来完成。”

让办公安全更简单

凭借着云原生和零信任,阿里云SASE的核心功能已经完备,但是对于一款产品来说,却还远没有到达理想状态。

例如在调研中,阿里云办公安全团队就发现一个有意思的现象:在远程办公需求明确的前提下,企业虽然重视效率和安全,但更加重视的是,提供的解决方案是否会对现有的IT体系造成冲击?

换句话说,能不能“不改变现有体系下,一键式部署,开箱即用”才是企业最在乎的点。

疫情的出现硬生生让企业开启了远程办公,但是却很难让企业一下子完全放弃原有的体系和模式。因此,阿里云SASE团队在研发前深入调研了企业真实的使用环境,着重了解了企业原有的办公习惯,在兼容性上花费了大量的精力。

其目的就是为了让企业可以平滑地开启远程办公,而不是要一举全面革新企业办公模式。在高传贵看来,办公模式的革新应像春雨滋润大地般无声无息,而非人们想象中的“急转弯”。就好像新媒体兴起时,不少人认为“纸媒已死”,但直到今天,纸媒依旧有它特定的生存空间,办公模式又何尝不是如此?

如今,远程办公兴起已经成为业界共识。在真正调研了企业真实使用环境之后,阿里云SASE的做法主要有两个方面:一是云端轻量化部署;二是模块化设计。

凭借云原生架构,阿里云SASE在云端部署十分方便,哪怕未经过产品使用培训,也能对照着“攻略”在一个小时内部署完毕,企业原有业务无需做任何改变。

同时,如果企业的应用原本就部署在云上,那么可以直接打通,不需要任何改动;如果企业线下机房和阿里云有专线连接,那么也可以实现一键连接;如果是一个纯独立的线下机房,那么只需一个轻量化的脚本,通过一个向加密隧道联通即可,不需要“大动干戈”。

而模块化设计则让企业可以根据自身业务发展、行业性质、安全状态的不同,自由选择不同的解决方案。

模块化设计主要是考虑大型企业和中小企业业务模型不同,比如中小企业更多的是选用核心模块功能。另外,有些企业远程办公不仅面向员工,还包括上下游业务人员,比如进销存等操作需要开放他们的系统,因此也要选用一些其他模块。

真正沉入到企业环境中去

在阿里云SASE研发过程中产研团队始终坚持“要真正了解企业的真实需求,研发人员要下到一线,真正沉入到企业环境中去。”

只有这样我们才知道企业需求什么,造出来的产品才不会是空中楼阁。因此,在阿里云SASE1.0版本出来之后,一面将产品给企业试用,一面积极收集用户反馈。

其中有一个例子令人印象深刻。

产品公测时期,阿里云团队去一个企业客户拜访,看到企业运维人员在部署SASE时十分痛苦,一个人安装各种配置,运行各种命令,足足要花去一整天,全链路非常长,但在研发人员看来,这个工作却非常简单。

“这个案例给我们很大启发,研发人员因为熟悉,所以简单;但对企业运维来说,一边要熟悉产品,一边要部署操作,就显得非常苦难。回去之后我们对SASE再次进行了深度优化,操作能简化就简化,全面降低产品部署、操作要求,要让企业员工上手就可以做好。”

为了做好这次易用性的优化工作,SASE产研团队整整干了三个月,阿里云SASE2.0版本终于在7月份正式上线,并在短短几个月就部署了数万台设备。

但阿里云安全团队并未表现出想象中“满意”,用他们自己的话来说,“这大概是产品经理的通病,总是想贪心多做一点,将产品打磨的更加完善一些。”

事实上,他们也是这么做的。阿里云SASE正式上线之后,团队一直在持续对产品进行打磨:一边沉下心了解企业真实需求,一边不断优化产品。

也只有时刻跟随业务的变化,持续对产品进行改进,方能真正践行阿里云SASE产品的那句slogan:“让办公安全更简单”。

关于WitAwards 2021年度评选

WitAwards 2021中国网络安全行业年度评选由国内领先的网络安全行业门户FreeBuf主办,自创办以来一直饱受赞誉,目前已连续举办6届,是业内广受关注的网络安全行业年度评选。本届大会将围绕“年度安全作者”“年度热门安全产品与服务”“年度安全品牌影响力”“年度安全SRC”“年度产业领军企业”“年度创新产品”“年度技术变革”以及“年度优秀解决方案”8大奖项,充分发掘优秀行业案例,树立网络安全年度标杆。

WitAwards 2021各奖项归属在2021年12月1日于线上公布,线下颁奖盛典将在2022年3月与CIS 2021 Spring·春日版一同举办。

# 零信任安全 # 云原生安全 # 阿里云SASE # Wit2021
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录