伴隨著數字化轉型的加速,大型政企單位面臨組織廣域化、辦公環境復雜化、應用系統云化、信息數據集中化的變革,集團總部與下級單位的互聯網出口訪問難以統一管控;同時遠程辦公、移動辦公以及混合辦公成為了工作常態,隨之而來企業內部信息資產訪問同樣面臨安全挑戰,“防護不全、能力不夠、效率不高”已成為制約數字化轉型的瓶頸。
安全訪問面臨的三大挑戰
挑戰一:防護不全
集團總部、數據中心、分支機構、云平臺等的安全防護要求不同,安全需求復雜;各下級單位分布廣,安全邊界模糊,不再可信;IT基礎設施的防護范圍廣、防護點多,這些都會導致攻擊面大量暴露,防護難以覆蓋。
挑戰二:能力不夠
安全產品的大量堆砌、策略重復開啟,使得安全運營人員難以確認安全產品的相關策略是否有效運行,無法發揮潛在價值;與此同時,大量安全設備產生的海量告警信息使得安全運營人員難以應對,從而讓真正有威脅的告警淹沒在了無效告警中,并且缺少專業人員研判、事件優先級不明確,難以做到最優的應急處置策略。
挑戰三:效率不高
安全設備和系統需要部署在各二、三級單位,作用范圍小,資源浪費,各單位分散進行安全事件分析處置,無法集中進行管理,知識庫難共享;各種安全設備和系統無法統一進行運維管理,需要本地配置相應的系統運維人員,人效偏低。
四大能力模塊構筑安全訪問基礎
為應對上述挑戰,奇安信Q-SASE將網絡功能和安全功能融合為統一服務模式,提供了終端可信接入、組網/引流、分布式安全資源以及統一安全運營服務平臺能力,使內部用戶、分支機構用戶和移動辦公用戶,都能夠高效且安全地接入SASE服務節點(POP點),對外(out)受控訪問互聯網應用、公有云SaaS,對內(in)安全訪問公司內部資源和應用。
據介紹,奇安信Q-SASE主要包含四大模塊。
統一安全運營平臺:對Q-SASE架構中的系統、安全網關、資源池組件等進行持續監測,保障整個系統的持續穩定運行。支持對運營人員的權限和工作進行管理,提供對安全告警日志和安全事件的持續跟蹤和管理,并基于客戶需求針對安全資源池和安全網關中的組網策略和安全策略進行持續優化
分布式安全資源池:采用虛擬化鏡像方式部署不同安全組件,比如虛擬化防火墻、上網行為審計、虛擬化WAF等,實現安全能力彈性擴充、安全組件單點登錄、安全組件和特征庫統一升級管理功能。
組網&引流:安全網關采用SD-WAN組網技術與安全資源池實現快速靈活的接入,支持將分支訪問流量按需引流到安全資源池進行安全防護和上網審計;支持數據加密傳輸,不同應用設置不同的引流規則。
可信終端接入:通過零信任可信訪問控制臺和零信任可信應用代理,從身份風險、終端風險、網絡風險、權限和數據風險五個維度,全面構建從終端到應用訪問的端到端安全防護能力,通過便捷的運維管理能力和動態訪問控制機制,確保零信任的防護效果落實在業務訪問的各個階段。
三大價值構提交安全訪問“最優解”
基于上述四大模塊,奇安信Q-SASE能夠為客戶提供以下三個方面的價值。
首先是隨時隨地的安全訪問。
通過Q-SASESASE可以將在云管理平臺上設置的策略,下發至靠近終端用戶最近的安全節點,無論用戶處于何時、何地,都可以安全可控的訪問所需資源。
其次是持續的安全運營
SASE采用統一的安全架構、提供統一防護水平、實施統一訪問策略、實現統一運行管理,為信息化網絡提供全局安全防護的持續保障。
第三是大幅的降本增效。
Q-SASE同時具備安全防護能力和組網能力,基于云安全資源池提供NGFW、WAF、SWG、端點安全等多項安全能力,避免IT和安全的重復建設、重復投入,大幅度降低了信息化建設成本和管理成本;基于SD-WAN可以實現總部、分支機構的安全組網,節約了昂貴的專線費用。
結束語
奇安信Q-SASE可以有效幫助政企單位解決了分支機構互聯網收口訪問、內網業務系統訪問、遠程接入訪問的安全防護需求,有效緩解 “防護不全、能力不夠、效率不高”的三大新型挑戰,為企業的每一次云網接入訪問保駕護航。
