华为安全大咖谈 | 走进SASE 第01期：“云网边端”统一安全，构建韧性安全体系

 本期讲解嘉宾

安全访问服务边缘（Secure Access Service Edge，简称SASE）自2019年由Gartner在《The Future of Network Security Is in the Cloud（网络安全的未来在云端）》提出，迅速成为国内外各大安全厂商和客户的关注重点。SASE是一个融合了SD-WAN（软件定义广域网）和网络安全功能的新兴技术架构，具备身份驱动、云原生架构、近源部署、分布互联等4大主要特征，以支持数字化企业转型的安全需求。目前SASE理念和架构已被大量正在进行数字化转型的企业接受。相信您不仅仅只想了解什么是SASE？更想知道SASE为何备受追捧。因此，华为安全专家齐聚一堂，开辟华为安全大咖谈之-“走进SASE”，敬请持续关注。

“云计算、大数据、物联网和人工智能”等新型ICT技术的普遍应用，不仅推动了各个行业的数字化转型，同时也带来了诸多安全隐患和挑战。近年来，发生在各大政企用户的外部APT攻击和内部违规导致的大规模数据泄露等恶性安全事件层出不穷，各单位的信息安全负责人也逐渐意识到，传统的边界防护手段存在很多局限性，已无法满足新形势下的网络安全需求。

首先，随着网络边缘的不断扩展以及涵盖云和本地等混合网络环境的广泛部署，企业网络架构日趋复杂。与此同时，企业依然面临孤立运行的安全产品和工具无法协同工作的严峻挑战；其次，新型技术及应用为网络攻击提供新的攻击载体，攻击实施更加灵活、过程更加隐蔽、技术更加智能。整个攻击横跨越网络、应用程序、内容和设备，威胁检测和溯源难度增大；最后，数字化转型已经成为各行业的发展趋势，数据共享和流通将成为刚性业务需求，原来相互隔离的业务网络将打破安全边界走向融合，安全管控难度与泄密风险进一步扩大。

据Gartner调查显示，“75%的企业组织正积极寻求安全供应商的全面整合”。该调查还指出，“运营效率低下以及无法有效应对异构安全架构的集成挑战，令安全和风险管理领导者的担忧持续升温。用户亟待部署更高效和全面集成的解决方案，而非孤立运行的单点安全产品。”

为了应对这些挑战，站在新IT架构的角度思考重构安全，华为通过“云网边端”的安全资源和能力集中统一管理和策略统一配置来实现安全业务链的统一编排、基于SASE的网安一体融合、统一零信任能力和多维事件统一分析和一体化响应能力，从而构筑完整的 “云网边端”统一安全体系，是数字化时代构建网络安全防线的积极探索。

什么是“云网边端”四维一体安全体系

如图1-1所示，“云网边端”四维一体安全体系包括一系列部署在“云网边端”的安全资源和能力。其中：

云：包括面向公有云租户和面向线下用户的SaaS化安全云服务。

网：就是指传统的广域网络、园区网络、数据中心网络和分支网络部署的安全资源。

边：主要指靠近用户边缘侧的安全网关或边缘安全资源池。

端：主要指部署在用户终端或服务器上的安全能力。

图1-1统一管理、智能分析、自动响应，
构筑云网边端一体安全防护体系

“云网边端”统一安全体系最核心的能力是什么

集中统一管理是“云网边端”统一安全体系最核心的能力。华为乾坤的云、网络和安全统一控制器将“云网边端”的安全资源和能力集成到统一的安全解决方案中—从企业园区、私有数据中心扩展到网络、云和远程办公的简单易用的自动化安全防御方案。

集中统一管理包括以下几个方面，具体如表1-1所示。

表1-1集中统一管理包含的子项能力

以安全网关为例，为了能实现集中统一管理，华为安全网关平台实现了“云网边”安全能力的统一。如图1-2所示，通过安全服务和网络服务分层的架构，适配不同的底层平台演化成多种形态的安全网关资源（例如嵌入式安全网关、虚拟化和云原生FW以及FWaaS等）。因为同一套代码，同样的能力不仅可以将众多安全资源整合到一个简化的单一策略和管理框架中，同时也保证了各种安全资源可以有统一配置和互操作的能力。

图1-2安全服务和网络服务业务分层适配不同
底层平台演化成多种形态安全网关资源

下面重点描述华为是如何通过业务分层架构来实现同一套代码演化成多种形态安全网关资源的：

安全服务ASE（Adaptive Security Engine）：负责L4~L7层的安全业务处理，支持高级安全能力，如应用协议识别、IPS、AV、内容过滤、L7 SLB等。

网络服务HPF（High Performance Forward）：负责网络业务转发，及L2~部分L4层的传输层业务处理，如SRv6、SD-WAN、NAT、WOC、隧道业务等。其中流表业务为FW策略的转发插件，负责安全流表业务状态的快速处理。

底层平台适配：同时支持专有硬件（嵌入式），普通的VM或Docker平台，或者直接调用云原生的服务拉起安全服务的能力。如果底层平台有硬件加速能力，可以将网络服务中的流表业务下发到平台中，提升相应的处理性能。

资源动态分配：根据不同场景，如侧重SD-WAN场景，则网络服务HPF分配的计算资源更多；同理侧重高级安全场景，则安全服务ASE分配的计算资源更多，支持容器间的资源动态调整。

这种架构可以支持多种安全场景，如园区、数据中心、云原生、SD-WAN等，同时还可以根据不同的场景来分配资源，实现了资源的灵活调配。在提高安全性能和可靠性的同时也可以降低运维成本。

“云网边端”的统一安全体系能给客户带来哪些价值

华为“云网边端”的统一安全体系提出了“一体管理、一体分析、一体决策、一体处置”的建设理念，颠覆了传统单台、静态、被动的安全防护思路，旨在打造智能化的网络安全架构，实现风险实时检测、威胁主动研判、智能全局防控。

一体管理

通过统一管理平台，集中管理所有的安全资源和能力，提高安全管理效率。

统一制定、按需下发执行安全策略，确保所有安全策略的一致性和有效性。整体降低网络安全运维和管理成本，提高企业的网络安全投资回报率。

一体分析

全面采集云、网络、终端多维威胁数据，云上云下数据协同，提升威胁分析准确率，安全态势全域统一呈现。

为了提升安全事件分析的准确性，需要收集尽可能多的信息，特别是终端（含服务器）风险信息、网络流量信息、安全设备的日志信息。这些信息分别散落在不同的网络位置，必须对“云网边端”进行统一纳管，设置唯一的安全运营中心，以获得更精准的分析结果。

一体决策

基于对终端、网络、用户行为等多维风险数据，并结合位置、用户、时间等信息进行决策，实时动态调整授权或安全策略。

尽可能对核心资源进行保护，在初次认证通过后，需要从终端风险、网络流量异常和用户违规行为（例如用户访问位置的突然变化）等维度，对终端和用户的风险进行实时评估。基于多维的评估结果，对终端或用户风险评分，结合终端或用户的身份对其权限进行调整，实行降级、阻断等操作。

一体处置

“云网边端”全局攻击溯源，选择最合理的方式和最接近攻击源的安全资源进行自动化处置。

当识别到严重威胁时，需要立即确认，并对威胁进行遏制，以避免威胁进一步扩散。通过不同设备之间的自动化协同联动，实现威胁源分钟级快速定位，秒级近源快速处置的能力。

总结与展望

华为“云网边端”统一安全体系的理念不同于传统割裂式的单点防护，是基于“体系化”的思路，将安全能力融入云、网、边、端和业务系统，从业务系统的视角解决安全问题，使得客户能够去应对日益复杂并不断变化的攻击。通过保证业务的韧性来应对传统安全边界的消失和网络边缘不断扩展的难题。

点击“阅读原文”，了解更多华为数据通信资讯！