0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

华为安全大咖谈 | 走进SASE 第01期:“云网边端”统一安全,构建韧性安全体系

华为数据通信 来源:未知 2023-11-21 20:45 次阅读

wKgZomVcp3yAQVl5AAABJAUF5GU385.png  本期讲解嘉宾 wKgZomVcp3yAQVl5AAABJAUF5GU385.png

wKgZomVcp32AUSdnAACCtnP9aGQ133.jpg

安全访问服务边缘(Secure Access Service Edge,简称SASE)自2019年由Gartner在《The Future of Network Security Is in the Cloud网络安全的未来在云端)》提出,迅速成为国内外各大安全厂商和客户的关注重点SASE是一个融合了SD-WAN(软件定义广域网)和网络安全功能的新兴技术架构,具备身份驱动、云原生架构、近源部署、分布互联等4大主要特征,以支持数字化企业转型的安全需求。目前SASE理念和架构已被大量正在进行数字化转型的企业接受。相信您不仅仅只想了解什么是SASE?更想知道SASE为何备受追捧。因此,华为安全专家齐聚一堂,开辟华为安全大咖谈之-“走进SASE”,敬请持续关注。

云计算、大数据、物联网人工智能”等新型ICT技术的普遍应用,不仅推动了各个行业的数字化转型,同时也带来了诸多安全隐患和挑战。近年来,发生在各大政企用户的外部APT攻击和内部违规导致的大规模数据泄露等恶性安全事件层出不穷,各单位的信息安全负责人也逐渐意识到,传统的边界防护手段存在很多局限性,已无法满足新形势下的网络安全需求。

首先,随着网络边缘的不断扩展以及涵盖云和本地等混合网络环境的广泛部署,企业网络架构日趋复杂。与此同时,企业依然面临孤立运行的安全产品和工具无法协同工作的严峻挑战;其次,新型技术及应用为网络攻击提供新的攻击载体,攻击实施更加灵活、过程更加隐蔽、技术更加智能。整个攻击横跨越网络、应用程序、内容和设备,威胁检测和溯源难度增大;最后,数字化转型已经成为各行业的发展趋势,数据共享和流通将成为刚性业务需求,原来相互隔离的业务网络将打破安全边界走向融合,安全管控难度与泄密风险进一步扩大。

据Gartner调查显示,“75%的企业组织正积极寻求安全供应商的全面整合”。该调查还指出,“运营效率低下以及无法有效应对异构安全架构的集成挑战,令安全和风险管理领导者的担忧持续升温。用户亟待部署更高效和全面集成的解决方案,而非孤立运行的单点安全产品。”

为了应对这些挑战,站在新IT架构的角度思考重构安全,华为通过“云网边端”的安全资源和能力集中统一管理和策略统一配置来实现安全业务链的统一编排、基于SASE的网安一体融合、统一零信任能力和多维事件统一分析和一体化响应能力,从而构筑完整的 “云网边端”统一安全体系,是数字化时代构建网络安全防线的积极探索。

wKgZomVcp32AYsakAAAC_6RFKNg373.png

什么是“云网边端”四维一体安全体系

如图1-1所示,“云网边端”四维一体安全体系包括一系列部署在“云网边端”的安全资源和能力。其中:

云:包括面向公有云租户和面向线下用户的SaaS化安全云服务。

网:就是指传统的广域网络、园区网络、数据中心网络和分支网络部署的安全资源。

边:主要指靠近用户边缘侧的安全网关或边缘安全资源池。

端:主要指部署在用户终端或服务器上的安全能力。

wKgZomVcp32AOehhAANaiHUCTkg569.png

图1-1统一管理、智能分析、自动响应,
构筑云网边端一体安全防护体系

wKgZomVcp32AYsakAAAC_6RFKNg373.png

“云网边端”统一安全体系最核心的能力是什么

集中统一管理是“云网边端”统一安全体系最核心的能力。华为乾坤的云、网络和安全统一控制器将“云网边端”的安全资源和能力集成到统一的安全解决方案中—从企业园区、私有数据中心扩展到网络、云和远程办公的简单易用的自动化安全防御方案。

集中统一管理包括以下几个方面,具体如表1-1所示。

wKgZomVcp32AK8AiAAC_G5QPU6E140.png

表1-1集中统一管理包含的子项能力

以安全网关为例,为了能实现集中统一管理,华为安全网关平台实现了“云网边”安全能力的统一。如图1-2所示,通过安全服务和网络服务分层的架构,适配不同的底层平台演化成多种形态的安全网关资源(例如嵌入式安全网关、虚拟化和云原生FW以及FWaaS等)。因为同一套代码,同样的能力不仅可以将众多安全资源整合到一个简化的单一策略和管理框架中,同时也保证了各种安全资源可以有统一配置和互操作的能力。

wKgZomVcp32ASzFIAAIXtRM4ytg898.png

图1-2安全服务和网络服务业务分层适配不同
底层平台演化成多种形态安全网关资源

wKgZomVcp36AQpO3AAAAjgjvZ2U752.png

下面重点描述华为是如何通过业务分层架构来实现同一套代码演化成多种形态安全网关资源的:

安全服务ASE(Adaptive Security Engine)负责L4~L7层的安全业务处理,支持高级安全能力,如应用协议识别、IPS、AV、内容过滤、L7 SLB等。

网络服务HPF(High Performance Forward):负责网络业务转发,及L2~部分L4层的传输层业务处理,如SRv6、SD-WAN、NAT、WOC、隧道业务等。其中流表业务为FW策略的转发插件,负责安全流表业务状态的快速处理。

底层平台适配:同时支持专有硬件(嵌入式),普通的VM或Docker平台,或者直接调用云原生的服务拉起安全服务的能力。如果底层平台有硬件加速能力,可以将网络服务中的流表业务下发到平台中,提升相应的处理性能。

资源动态分配:根据不同场景,如侧重SD-WAN场景,则网络服务HPF分配的计算资源更多;同理侧重高级安全场景,则安全服务ASE分配的计算资源更多,支持容器间的资源动态调整。

这种架构可以支持多种安全场景,如园区、数据中心、云原生、SD-WAN等,同时还可以根据不同的场景来分配资源,实现了资源的灵活调配。在提高安全性能和可靠性的同时也可以降低运维成本。

wKgZomVcp32AYsakAAAC_6RFKNg373.png

“云网边端”的统一安全体系能给客户带来哪些价值

华为“云网边端”的统一安全体系提出了“一体管理、一体分析、一体决策、一体处置”的建设理念,颠覆了传统单台、静态、被动的安全防护思路,旨在打造智能化的网络安全架构,实现风险实时检测、威胁主动研判、智能全局防控。

一体管理

通过统一管理平台,集中管理所有的安全资源和能力,提高安全管理效率。

统一制定、按需下发执行安全策略,确保所有安全策略的一致性和有效性。整体降低网络安全运维和管理成本,提高企业的网络安全投资回报率。

一体分析

全面采集云、网络、终端多维威胁数据,云上云下数据协同,提升威胁分析准确率,安全态势全域统一呈现。

为了提升安全事件分析的准确性,需要收集尽可能多的信息,特别是终端(含服务器)风险信息、网络流量信息、安全设备的日志信息。这些信息分别散落在不同的网络位置,必须对“云网边端”进行统一纳管,设置唯一的安全运营中心,以获得更精准的分析结果。

一体决策

基于对终端、网络、用户行为等多维风险数据,并结合位置、用户、时间等信息进行决策,实时动态调整授权或安全策略。

尽可能对核心资源进行保护,在初次认证通过后,需要从终端风险、网络流量异常和用户违规行为(例如用户访问位置的突然变化)等维度,对终端和用户的风险进行实时评估。基于多维的评估结果,对终端或用户风险评分,结合终端或用户的身份对其权限进行调整,实行降级、阻断等操作。

一体处置

“云网边端”全局攻击溯源,选择最合理的方式和最接近攻击源的安全资源进行自动化处置。

当识别到严重威胁时,需要立即确认,并对威胁进行遏制,以避免威胁进一步扩散。通过不同设备之间的自动化协同联动,实现威胁源分钟级快速定位,秒级近源快速处置的能力。

总结与展望

华为“云网边端”统一安全体系的理念不同于传统割裂式的单点防护,是基于“体系化”的思路,将安全能力融入云、网、边、端和业务系统,从业务系统的视角解决安全问题,使得客户能够去应对日益复杂并不断变化的攻击。通过保证业务的韧性来应对传统安全边界的消失和网络边缘不断扩展的难题。

wKgZomVcp4CAQ0syAJ9Ny3PNdUU716.gif

wKgZomVcp4GAGcqaAAEQIydIJUA477.png

wKgZomVcp4GACZMWAABH79rerUY730.gif 点击“阅读原文”,了解更多华为数据通信资讯!


原文标题:华为安全大咖谈 | 走进SASE 第01期:“云网边端”统一安全,构建韧性安全体系

文章出处:【微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 华为
    +关注

    关注

    216

    文章

    34433

    浏览量

    251693

原文标题:华为安全大咖谈 | 走进SASE 第01期:“云网边端”统一安全,构建韧性安全体系

文章出处:【微信号:Huawei_Fixed,微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    什么是 SASESASE 与传统网络相比如何?

    据迁移到云中,使用传统的“城堡和护城河”方法管理网络安全变得更加复杂和危险。与传统网络方法不同,SASE安全性和网络统一
    的头像 发表于 10-29 15:37 213次阅读

    安数DCS-SASE为企业安融合提供站式服务

    防火墙即服务、安全Web网关(SWG)、访问安全代理(CASB)和零信任网络访问(ZTNA)。 安数智能安全调度运营管理平台(DCS-
    的头像 发表于 10-23 19:44 210次阅读
    安数<b class='flag-5'>云</b>DCS-<b class='flag-5'>SASE</b>为企业<b class='flag-5'>云</b><b class='flag-5'>网</b>安融合提供<b class='flag-5'>一</b>站式<b class='flag-5'>云</b>服务

    安全监测预警系统有什么功能特点

    在地质条件复杂多变的地区,坡稳定性直接关系到人民生命财产的安全及工程项目的顺利进行。随着科技的进步,安全监测预警系统应运而生,成为预防地质灾害、保障
    的头像 发表于 10-23 15:33 163次阅读
    <b class='flag-5'>边</b>坡<b class='flag-5'>安全</b>监测预警系统有什么功能特点

    广和通通过IEC 62443-4-1网络安全体系认证

    近日,广和通已成功通过国际知名认证机构必维集团(Bureau Veritas,简称“必维”)的严格评估,正式获得IEC 62443-4-1网络安全体系认证证书,这标志着广和通在网络安全领域达到了国际化标准。
    的头像 发表于 08-20 09:32 342次阅读
    广和通通过IEC 62443-4-1<b class='flag-5'>网络安全体系</b>认证

    广和通通过IEC 62443-4-1网络安全体系认证

    近日,广和通已成功通过国际知名认证机构必维集团(Bureau Veritas,简称“必维”)的严格评估,正式获得IEC 62443-4-1网络安全体系认证证书,这标志着广和通在网络安全领域达到了国际化标准。
    的头像 发表于 08-20 09:31 422次阅读
    广和通通过IEC 62443-4-1<b class='flag-5'>网络安全体系</b>认证

    华为 618 营销季体化安全解决方案,打造高效、安全管理平台

    解决方案,帮助企业不断完善安全能力,护航企业上行稳致远。 通过采用“体化”模式,华为
    的头像 发表于 06-25 16:56 401次阅读

    DigiKey 获得 ISO 27001 认证,进步强化了其强大的信息安全体系

    全球领先的供应品类丰富、发货快速的商业现货技术元件和自动化产品分销商 DigiKey 今天宣布,已在其强大的数据安全体系中新增 ISO 27001 认证。通过这认证,公司进步巩固了其对客户
    发表于 06-24 14:55 193次阅读
    DigiKey 获得 ISO 27001 认证,进<b class='flag-5'>一</b>步强化了其强大的信息<b class='flag-5'>安全体系</b>

    Tata Communications托管SASE重新定义下代网络与安全

    21日 /美通社/ -- Tata Communications今日宣布推出面向全球企业的统一/单供应商托管安全访问服务边缘(SASE)。Tata Communications与AI
    的头像 发表于 06-23 10:15 427次阅读

    带你走进信息安全软件架构

    经纬恒润车信息安全解决方案整合了 MCU 以及 MPU 的信息安全解决方案,具体方案包括 Security Boot、
    的头像 发表于 06-12 14:36 893次阅读
    带你<b class='flag-5'>走进</b>信息<b class='flag-5'>安全</b>软件架构

    小米科技高级安全专家:智能汽车Tbox安全漏洞分析

    GeekPwn和汽车安全比赛并荣获多项大奖。精通IOT、移动和车联网安全。在车联网安全体系建设和漏洞挖掘上有着丰富的安全经验和深入的研究。
    的头像 发表于 05-27 14:31 1241次阅读
    小米科技高级<b class='flag-5'>安全</b>专家:智能汽车Tbox<b class='flag-5'>安全</b>漏洞分析

    华为智能安全方案赋能教育数智安全体系,构筑教育强国创新基座

    2024年教育系统网络安全研讨会成功召开,大会以“数据驱动安全·构建智慧教育安全新生态”为主题,深入探讨了网络安全的发展方向、关键问题和技术
    的头像 发表于 05-19 11:07 561次阅读
    <b class='flag-5'>华为</b>智能<b class='flag-5'>安全</b>方案赋能教育数智<b class='flag-5'>安全体系</b>,构筑教育强国创新基座

    汇川技术成功获得国际权威的IEC62443-4-1网络安全体系认证

    近日,汇川技术成功获得国际权威的IEC62443-4-1网络安全体系认证,这彰显了汇川技术在工业网络安全领域的卓越能力和坚实保障,已经跻身国际先进行列。汇川技术将以此为契机,为全球客户提供更加安全、可靠的产品和服务,助力客户在数
    的头像 发表于 04-03 10:28 926次阅读
    汇川技术成功获得国际权威的IEC62443-4-1<b class='flag-5'>网络安全体系</b>认证

    隧道桥梁施工VR安全体验馆

    近两年施工安全问题频频爆发,传统的安全施工培训方案,只能让施工人员了解安全施工的要点,但无法体会到其关键性和重要性。工程施工VR安全体验馆是新兴科技在工程建设
    的头像 发表于 03-29 11:39 1139次阅读
    隧道桥梁施工VR<b class='flag-5'>安全体</b>验馆

    华为开年采购季体化安全解决方案,打造高效、安全管理平台

    体化安全解决方案,帮助企业不断完善安全能力,护航企业上行稳致远。 通过采用“
    的头像 发表于 03-15 17:43 427次阅读

    安全托管方案 —— 企业网络安全的守护盾

    的效益不明显,企业亟需种全新的解决方案来强化其网络安全防护。本篇文章将深入探讨深信服安全
    的头像 发表于 03-07 13:55 789次阅读