《ESG：借助SASE實現安全Web網關現代化（2022）（10頁）.pdf》由會員分享，可在線閱讀，更多相關《ESG：借助SASE實現安全Web網關現代化（2022）（10頁）.pdf（10頁珍藏版）》請在三個皮匠報告上搜索。

1、 2021 The Enterprise Strategy Group,Inc.保留所有權利。作者：ESG 高級分析師 John Grady 2022 年 1 月 本 ESG 白皮書受 Palo Alto Networks 委托，經 ESG 許可分發。Enterprise Strategy Group|探究重要真相。借助借助 SASE 實現安全實現安全 Web 網關現代化網關現代化 ESG 白皮書白皮書 白皮書：借助 SASE 實現安全 Web 網關現代化 2 2021 The Enterprise Strategy Group,Inc.保留所有權利。目錄目錄 執行摘要 3 網絡安全漏洞日益增

2、加 3 傳統的 Web 安全和安全訪問方法無法應對當前的動態變化，還會帶來更多挑戰 4 SASE 是實現安全 Web 網關現代化的途徑 5 將安全訪問融合到 Web、公共應用和私有應用中是 SASE 的邏輯起點 6 在 SASE 體系架構中選擇現代 SWG 的關鍵考量 7 Palo Alto Network 通過 Prisma Access 提供靈活的安全 Web 網關方法 7 重要真相 9 白皮書：借助 SASE 實現安全 Web 網關現代化 3 2021 The Enterprise Strategy Group,Inc.保留所有權利。執行摘要執行摘要 如今，企業必須確保用戶始終受到保護，

3、并且無論用戶在何處辦公都可安全訪問工作所需資源。依賴本地孤立設備的傳統安全模式會造成運營效率低下、用戶體驗不佳且安全性不一致。安全 Web 網關(SWG)就是一個很好的例子。SWG 是所有企業安全策略的重要組成部分，但其本身已無法滿足現代需求。安全訪問服務邊緣(SASE)架構希望為以前孤立的安全功能提供一致的分布式實施和統一管理，但需要徹底重新改造網絡和安全基礎架構。許多企業優先考慮 SASE 的安全功能，并將融合安全 Web 網關、零信任網絡訪問和云訪問安全代理工具作為第一步。作為 Palo Alto Networks Prisma Access 平臺的一部分，云 SWG 可保護所有應用流量

4、，包括 Web 應用流量，現可幫助使用基于代理的傳統解決方案的企業輕松遷移到現代、融合、云交付的 SASE 架 構中。網絡安全漏洞日益增加網絡安全漏洞日益增加 如今，各企業正處于數字化轉型時期，許多企業將需要數年時間完成的變化壓縮到了幾個月的時間里。為提高企業恢復能力并改善組織敏捷性，云遷移計劃已加速進行。具體地說，ESG 研究發現，95%的企業現在使用的是軟件即服務(SaaS)或基礎架構即服務(IaaS)應用。1 與此同時，雖然員工已開始回到辦公室辦公，但許多員工仍通過混合模式辦公，接受 ESG 調查的受訪者預計這種模式在未來至少 24 個月內都不會改變（參見圖 1）。2為支持這些變化，許多

5、企業將網絡基礎架構更新列為優先事項，包括采用 SD-WAN 技術。然而，對許多企業來說，為更好地應對這些不斷變化的動態，需要不斷更新安全 策略。圖圖 1.遠程、混合或在辦公室辦公的員工比例遠程、混合或在辦公室辦公的員工比例 資料來源：Enterprise Strategy Group 1 資料來源：ESG 研究報告，2022 年技術支出意向調查，2021 年 11 月。2 資料來源：ESG 完整調查結果，2021 年 SASE 趨勢：計劃趨于一致，但融合將分階段進行，2021 年 12 月。白皮書：借助 SASE 實現安全 Web 網關現代化 4 2021 The Enterprise Str

6、ategy Group,Inc.保留所有權利。傳統的 Web 安全和安全訪問方法無法應對當前的動態變化，還會帶來更多挑戰 傳統的網絡安全方法以定義明確的靜態邊界為基礎，流量從分支機構和遠程用戶那里回傳到集中的本地安全堆棧進行檢查。隨著企業資源和用戶逐漸從企業的實際位置遷移出來，許多企業開始采用云交付的解決方案來支持某些用例并保護特定的威脅載體。然而，這種模式的低效已經顯而易見，孤立單點工具的影響不斷增加已經給企業帶來了許多問題（參見圖 2）。3尤其是：運營效率低下。運營效率低下。眾所周知，網絡安全技能和人員配備存在缺口。結果，安全團隊和網絡團隊日益超負荷工作，捉襟見肘。然而，他們還要通過不同的

7、控制臺持續部署和管理無數單點工具，盡管通常有一定數量的策略是重復的。這樣不僅效率低下，還可能導致人為錯誤并增加企業風險。用戶體驗差。用戶體驗差。中心輻射型模式主要依靠將流量回傳到中心位置，然后流量會在該位置通過多個安全工具進行順序掃描，這可能會導致延遲并影響用戶的應用性能。此外，傳統 VPN 模型要求員工連接到特定網關，以訪問特定資源，這對用戶造成了負擔，并導致他們在某些情況下可能會禁用或繞過安全工具。安全性不一致。安全性不一致。無論是由內部開發人員研發的基于 IaaS 的應用，還是用戶訪問的未知 SaaS 應用，環境中出現新應用的速度都十分驚人。通常來說，沒有單一真實來源清晰提供在網絡中運行

8、的一切，以幫助管理員準確識別應用、正確應用策略并在出現警報時確定優先級。圖圖 2.網絡安全工具面臨的最大挑戰網絡安全工具面臨的最大挑戰 資料來源：Enterprise Strategy Group 安全 Web 網關(SWG)或 Web 代理就是此類趨勢的完美例子。各企業最初采用基于設備的 Web 代理來保護訪問互聯網資源的用戶。然而，雖然基于云的 SWG 日益占據主導地位，并在某些情況下可減少對于回傳流量的需求，但大多數企業仍在支持內部 SWG。事實上，ESG 調查中 96%的受訪者使用的是基于設備的安全 Web 網關或 Web 代理解 3 資料來源：ESG 研究報告，網絡安全現狀：市場即將

9、轉型 2020 年 3 月。白皮書：借助 SASE 實現安全 Web 網關現代化 5 2021 The Enterprise Strategy Group,Inc.保留所有權利。決方案，而 93%的受訪者表示其企業使用的是基于云的安全 Web 網關。4重合率如此高說明許多企業在將安全控制轉移到云端時采取的是零散方法。不斷變化的企業流量構成為 SWG 增添了更多考量?，F在，用戶不再普遍使用 Web，而是將大部分時間用于訪問基于云的應用。雖然 Web 代理可以為 HTTP 應用提供粗略的控制，但缺乏完整的端口和協議可視性意味著它們對非 Web 應用視而不見。云訪問安全代理(CASB)和零信任網絡訪

10、問(ZTNA)工具應運而生，以促進對公共 SaaS 和私有數據中心或 IaaS 應用的安全訪問。然而，這些工具之間的重疊經常導致策略重復且需要進行配置管理，從而出現上文中提到的挑戰。因此，許多企業對保護 Web 網關的新方法持開放態度，只有 8%的 ESG 調查受訪者表示他們對當前的解決方案非常滿意，且不打算在短期內做出改變。5 SASE 是實現安全是實現安全 Web 網關現代化的途徑網關現代化的途徑 安全訪問服務邊緣(SASE)的概念可解決上文中提到的諸多挑戰，因此引起了人們的極大興趣。SASE 將以前孤立的網絡工具和安全控制融合到一個全面的云交付架構中，為邊緣用戶提供一致的分布式實施，并為

11、管理員提供統一管理。雖然這是一條必經之路，而且與所有類型和規模的企業都息息相關，但現實情況是 SASE 倡議的實施廣度需要一種分階段方法。ESG 研究發現，大多數企業都同意這一點，近一半的受訪者(48%)表示自己的企業將優先考慮 SASE 的安全方面（參見圖 3）。6 圖圖 3.SASE 初始方案初始方案 資料來源：Enterprise Strategy Group 4 資料來源：ESG 調查結果，網絡安全趨勢，2020 年 3 月。5 資料來源：ESG 調查結果，將網絡安全控制過渡到云，2020 年 7 月。6 資料來源：ESG 完整調查結果，2021 年 SASE 趨勢：計劃趨于一致，但融

12、合將分階段進行，2021 年 12 月。白皮書：借助 SASE 實現安全 Web 網關現代化 6 2021 The Enterprise Strategy Group,Inc.保留所有權利。將安全訪問融合到 Web、公共應用和私有應用中是 SASE 的邏輯起點 用戶訪問網站、用戶訪問網站、SaaS 應用或私有應用的應用或私有應用的過程通常是相同的，即打開瀏覽器并調用過程通常是相同的，即打開瀏覽器并調用資源。這種體驗應保持一致，讓用戶無需資源。這種體驗應保持一致，讓用戶無需考慮自己正在訪問什么或從哪里訪問?？紤]自己正在訪問什么或從哪里訪問。多年建立起來的安全架構很難在一夜之間全面更新。因此，雖然

13、將安全性確定為優先事項是良好開端，但必須進一步縮小重點，因為即使在 SASE 的安全性方面，也有許多需要考慮的問題。無論用戶在什么位置或訪問什么內容，增強用戶保護的一致性應該是每個企業的優先事項。因此，有 69%的 ESG 研究受訪者表示安全 Web 網關(SWG)將是實施 SASE 的首選或第二選擇就不足為奇了。7 用戶訪問網站、SaaS 應用或私有應用的過程通常是相同的，即打開瀏覽器并調用資源。這種體驗應保持一致，讓用戶無需考慮自己正在訪問什么或從哪里訪問。員工必須連接到特定 VPN 網關才能訪問某些資源，這對他們來說十分麻煩，且在非托管設備上難以實施，并且當用戶決定繞過 VPN 時，還可

14、能會降低安全效果。因此，融合安全 Web 網關、CASB 和 ZTNA 對許多企業來說很有意義。此外，ESG 研究發現，這些工具對于通過單一供應商購買以支持 SASE 來說最為關鍵（參見圖 4）。8 圖圖 4.通過單一供應商購買的通過單一供應商購買的 10 大大 SASE 工具工具 資料來源：Enterprise Strategy Group 7 同上。8 同上。白皮書：借助 SASE 實現安全 Web 網關現代化 7 2021 The Enterprise Strategy Group,Inc.保留所有權利。在 SASE 體系架構中選擇現代 SWG 的關鍵考量 選擇供應商合作開展最初主要面向

15、 SWG、CASB 和 ZTNA 的 SASE 計劃時，企業應考慮以下關鍵問題：將用戶從現有將用戶從現有 SWG SWG 切換到新解決方案的遷移路徑是什么？切換到新解決方案的遷移路徑是什么？對更多代理或基于策略的路由更改提出的要求會產生額外開銷，并會降低遷移速度。切換存在潛在復雜性，這也是為什么一些企業一直使用傳統 SWG。利用現有代理或已經部署的代理自動配置(PAC)文件可以降低遷移難度并提高速度。供應商是否具備其他供應商是否具備其他 SASE SASE 功能來持續支持不同用例？功能來持續支持不同用例？通常來說，SASE 計劃最初關注特定用例，如保護遠程員工。然而，隨著時間的推移，大多數企業

16、將致力于擴展 SASE。關于 SWG、CASB 和 ZTNA 的初始合并，用戶應該確認考慮范圍內的供應商是否支持員工和第三方使用的托管、非托管和移動設備中的大量訪問場景。更廣泛地說，如果供應商支持包括保護物聯網設備或集成網絡和 SD-WAN 功能的 SASE 架構，他們也將提供長期的靈活性，以便隨著時間的推移逐漸擴展該計劃。不同不同 SASE SASE 功能的策略管理和可視性是否統一？功能的策略管理和可視性是否統一？僅擁有大量 SASE 功能組合遠遠不夠。統一管理是體系架構的關鍵組件，可消除上文提到的運營效率低下問題?；?GUI 的管理至關重要，可簡化重疊 SASE 組件的策略創建流程并減少

17、人為錯誤。此外，在單一平臺界面中集中顯示所有用戶和位置可幫助安全團隊更有效地確定問題及響應操作的優先級。供應商的網絡覆蓋范圍和連接基礎架構是什么？供應商的網絡覆蓋范圍和連接基礎架構是什么？SASE 解決方案必須具有可伸縮性和高度可靠性。這需要靈活的全球網絡。覆蓋所有主要地區并具備重要對等關系的全球分布網絡對于確保強大性能和積極用戶體驗而言至關重要。一些提供商與云服務提供商合作利用專用主干網進行專屬連接，以確保流量不會在公共互聯網上流動，從而降低網絡擁塞影響性能的可能性。Palo Alto Network 通過通過 Prisma Access 提供靈活的安全提供靈活的安全 Web 網關方法網關方

18、法 Palo Alto Networks 以新一代防火墻產品聞名，但多年來，當無需代理體系架構時，各公司一直使用 Palo Alto 在這些工具中提供的第 7 層可視性和控制來實現 Web 安全。隨著混合云策略和靈活的移動辦公模式成為常態，越來越多企業開始轉用云交付解決方案，以保護所有端口、協議和用戶的所有應用。雖然 Prisma Access 自推出以來已幫助企業保護其應用流量，包括 Web 應用流量，但以往從基于代理的傳統 SWG 工具進行遷移時需要對網絡架構進行重大更改。為了幫助企業更無縫地過渡，Palo Alto 在其 Prisma Access 云 SWG 中添加了顯式代理，這可幫助

19、客戶輕松從基于代理的傳統解決方案遷移到完整的云交付安全平臺，而無需改變網絡架構。Palo Alto Networks 的 Prisma Access 可提供云 SWG（參見圖 5），并為不同的用戶場景提供靈活的連接選項。托管移動設備可繼續通過 GlobalProtect 代理連接到 Prisma Access，非托管設備也可以通過 Palo Alto 的無客戶端 VPN 選項連接。同樣，分支機構可以通過 IPSec VPN 連接到 Prisma Access。最后，通過顯式代理部署，客戶可以更輕松地從傳統 Web 代理工具中遷移，而不需要更改網絡架構?，F有代理自動配置(PAC)文件可以更新，以

20、將 Web 流量引導至 Prisma Access 顯式云代理中，使企業能夠快速開啟現代 SASE 架構之旅。白皮書：借助 SASE 實現安全 Web 網關現代化 8 2021 The Enterprise Strategy Group,Inc.保留所有權利。圖圖 5.Prisma Access 安全安全 Web 網關網關 資料來源：Palo Alto Networks 將云 SWG 添加至 Prisma Access 平臺可為用戶提供幾個優勢，其中最關鍵的是：1.1.關于全面的現代關于全面的現代 SASE SASE 的清晰路線圖。的清晰路線圖。Prisma Access 是一個完全集成的云原

21、生安全平臺，這意味著云 SWG 與 Palo Alto 的防火墻即服務(FWaaS)、CASB 和 ZTNA 功能可無縫合作，幫助客戶開啟 SASE 之旅。自主數字體驗管理(ADEM)可幫助企業確保在分支機構和遠程辦公的用戶體驗一致，并在出現問題時更有效地進行故障排除。與 Prisma SD-WAN 進行原生集成可支持完全融合的網絡和安全架構。此外，Prisma Access 通過以下兩種方式之一提供統一管理：通過統一的 Prisma Access 云控制臺簡化配置管理和啟用流程，或通過 Panorama 網絡安全管理使現有新一代防火墻客戶輕松部署和管理 Prisma Access。2.2.強

22、大的多層安全。強大的多層安全。Prisma Access 提供所有端口和協議的完全可視性。盡管 Web 代理中只能查看 Web 流量，但添加 CASB 和 ZTNA 后，可提供細致的應用可視性，而 FWaaS 則可保護用戶遠離非 Web 威脅。分層威脅防范包括入侵防范、URL 過濾和 DNS 安全。此外，Palo Alto 將其 Wildfire 惡意軟件分析引擎與基于機器學習的無簽名威脅預防相結合，以確保實時阻止零日威脅和其他高級威脅。這一威脅情報隨后將立即發送給 Palo Alto 的所有客戶，Palo Alto 表示，他們每天提供 430 多萬個獨特的安全更新。最后，與企業 DLP 進行

23、集成可為用戶訪問和共享的內容提供一致的可視性，這允許企業重獲對敏感數據的控制。3.3.云服務提供商級別的表現。云服務提供商級別的表現。Prisma Access 在 Google Cloud Platform(GCP)中運行，并使用專用主干網實現 Prisma Access 不同位置之間的專屬連接。該平臺以 77 個國家/地區的 100 多個 PoP 為基礎。因此，Palo Alto Networks 提供 99.999%可用性、10ms 以內的處理延遲保證，以及 SaaS 應用延遲 SLA。該平臺將多租戶管理平面與單租戶數據平面和單通道掃描架構相結合，以此保證性能和安全性。4.4.為提高安全

24、效率和一致性進行整合。為提高安全效率和一致性進行整合。通過 Prisma Access 的整合方法，企業可以確保更一致的安全性、提高運營效率和用戶體驗，并從中受益。針對 Web 和非 Web 威脅提供一致保護和單一管理界面有助于降低安全 白皮書：借助 SASE 實現安全 Web 網關現代化 9 2021 The Enterprise Strategy Group,Inc.保留所有權利。事件的風險。通過提高檢測和響應時間，以及降低與學習、管理和維護多點產品相關的成本，提高了 IT 人員的工作效率。最后，分布式單通道掃描引擎可以更好地保護用戶和資源，無需將流量回傳到數據中心以供各種多供應商工具檢查

25、，因此提供了積極的用戶體驗。重要真相重要真相 常言說，重復做同樣的事情卻期待不同的結果是徒勞的，這句話對網絡安全尤其適用。多年來，安全策略可能有所發展，但基礎架構基本上沒有變化。然而，即使在大多數企業批量進行關于應用和用戶的轉型之前，這些策略就已無法滿足保護企業、支持業務和授權用戶方面的需求。那么，隨著數字化加速發展，我們為什么要寄希望于這些安全策略在今天發揮作用呢？總之，我們不應該抱有這種期望。SASE 是所有企業都應規劃的關鍵舉措，以便從基于邊界的安全理念轉向分布式云交付實施模型，以確保安全性更加一致，并提高運營效率和用戶體驗。該項目的邏輯起點通常是將安全訪問融合到 Web、公共應用和私有

26、應用，這需要結合 CASB 和 ZTNA 功能的現代方法來保護 Web 網關。Prisma Access 不但通過幫助企業從傳統 Web 代理遷移來滿足這個初始用例，還為部署 FWaaS、CASB、ZTNA、ADEM 和 SD-WAN 等所有 SASE 功能提供了基礎。2021 The Enterprise Strategy Group,Inc.保留所有權利。Enterprise Strategy Group 是一家 IT 分析師、研究、驗證和戰略公司，為全球 IT 社區提供市場情報和實用洞見。所有商標名均為其各自公司的財產。此出版物中包含的信息由 The Enterprise Strateg

27、y Group(ESG)獲取，ESG 認為此信息是可靠的，但并不對此提供擔保。此出版物中可能包含 ESG 的觀點，這些觀點可能會發生變化。此出版物由 The Enterprise Strategy Group,Inc 版權所有。未經 The Enterprise Strategy Group,Inc.的明確書面許可，不得以硬拷貝格式、電子方式或提供給無權使用此出版物的人員等方式復制或再分發整個或部分出版物，否則會違反美國版權法，可能要進行民事賠償，還可能會對其進行刑事訴訟（如果適用）。如有疑問，請撥打電話 508.482.0188 聯系 ESG 客戶關系部。www.esg- contactesg- 508.482.0188