王宏鼎，藺旋，李長(zhǎng)連（.中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司，北京 00048；.中訊郵電咨詢?cè)O(shè)計(jì)院有限公司，北京 00048）

0 前言

Gartner 在2019 年發(fā)布的《網(wǎng)絡(luò)安全的未來在云端》中提出一項(xiàng)新的技術(shù)概念SASE（Secure Access Service Edge），其定義是一個(gè)融合了軟件定義廣域網(wǎng)和網(wǎng)絡(luò)安全功能，以支持?jǐn)?shù)字化企業(yè)需求的新興技術(shù)［1］。

SASE 將廣域網(wǎng)與網(wǎng)絡(luò)安全（如SWG、CASB、FWaaS、ZTNA）結(jié)合起來，將本地用戶、移動(dòng)用戶以及物聯(lián)網(wǎng)設(shè)備和云資源整合為統(tǒng)一的服務(wù)，從而實(shí)現(xiàn)網(wǎng)絡(luò)和安全能力的云交付［2］。目前仍沒有形成關(guān)于SASE的業(yè)務(wù)公認(rèn)標(biāo)準(zhǔn)架構(gòu)和能夠提供完整SASE鏈條的服務(wù)提供商。SASE網(wǎng)絡(luò)安全模型如圖1所示。

圖1 SASE網(wǎng)絡(luò)安全模型

傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)選擇在數(shù)據(jù)中心或企業(yè)總部的邊界部署物理安全設(shè)備，通過安全設(shè)備的安全防護(hù)能力實(shí)現(xiàn)對(duì)企業(yè)重要資產(chǎn)的安全防護(hù)。但是傳統(tǒng)方案具有購置成本高、部署難度大、運(yùn)維難度大、靈活性差等問題［3］。本文在SD-WAN 的基礎(chǔ)上，提出了一種SASE 云安全資源池完整解決方案，安全能力即服務(wù)，提供廣域可達(dá)的云安全服務(wù)交付。相比傳統(tǒng)安全方案，云安全資源池方案使用成本低、靈活性高，無需購置部署安全設(shè)備，通過管理平臺(tái)可定制個(gè)性化的安全服務(wù)，且可進(jìn)行安全服務(wù)能力的彈性擴(kuò)容。云安全資源池是SASE 模型云原生特性的具體應(yīng)用，也是SASE安全能力棧的重要實(shí)現(xiàn)形式，而云安全即服務(wù)也成為當(dāng)前的技術(shù)潮流［4］。

圖2 為相對(duì)完整的SASE 服務(wù)鏈條，作為SASE 整體服務(wù)鏈條的重要一環(huán)，云安全資源池負(fù)責(zé)提供安全服務(wù)。多分支企業(yè)通過SD-WAN 搭建的廣域網(wǎng)互聯(lián)，在SD-WAN 接入端進(jìn)行基于身份的認(rèn)證準(zhǔn)入和權(quán)限控制，安全資源池提供云化的安全服務(wù)并通過SDWAN實(shí)現(xiàn)引流，SD-WAN網(wǎng)管平臺(tái)和安全能力平臺(tái)在SASE 統(tǒng)一管理平臺(tái)的協(xié)調(diào)下實(shí)現(xiàn)網(wǎng)絡(luò)和安全能力的快速交付［5］。

圖2 基于SD-WAN的SASE架構(gòu)圖

1 云安全資源池架構(gòu)設(shè)計(jì)

SASE 網(wǎng)絡(luò)安全模型的云安全資源池具有云原生和廣域分布的特點(diǎn)，一方面支持安全能力的彈性擴(kuò)容，具備自適應(yīng)和自恢復(fù)的能力，充分分?jǐn)偘踩芰Τ杀?；另一方面保證對(duì)所有邊緣交付快速便捷安全服務(wù)。

云安全資源池由統(tǒng)一的云計(jì)算管理平臺(tái)、資源池內(nèi)部的安全能力集以及統(tǒng)一的安全能力管理平臺(tái)組成。

云計(jì)算管理平臺(tái)統(tǒng)管云安全資源池內(nèi)部所有計(jì)算和網(wǎng)絡(luò)資源，提供資源的管理、調(diào)度能力。安全能力集根據(jù)不同安全能力的特點(diǎn)分配不同的軟件資源，并對(duì)網(wǎng)絡(luò)進(jìn)行合理的規(guī)劃，對(duì)上網(wǎng)行為管理、數(shù)據(jù)防泄漏等不同的安全能力VPC 進(jìn)行必要的隔離，保障資源池內(nèi)部模塊的網(wǎng)絡(luò)和業(yè)務(wù)安全。安全能力管理平臺(tái)通過API接口實(shí)現(xiàn)對(duì)資源池內(nèi)的多種安全能力的統(tǒng)一管理，實(shí)現(xiàn)用戶管理、策略管理、任務(wù)管理、性能監(jiān)控、記錄審計(jì)等功能，圖3為云安全資源池的整體功能架構(gòu)［6］。

1.1 云計(jì)算管理平臺(tái)

云管平臺(tái)是SASE 云安全資源池的重要組成部分，負(fù)責(zé)安全資源池的資源管理和運(yùn)維工作，對(duì)各類安全能力VPC 進(jìn)行集中管理，實(shí)現(xiàn)對(duì)計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源的申請(qǐng)、操作、回收以及監(jiān)控等功能。并將物理分散的數(shù)據(jù)中心資源進(jìn)行邏輯統(tǒng)一管理，通過靈活的資源調(diào)度策略，包括錯(cuò)峰復(fù)用、動(dòng)態(tài)伸縮、跨數(shù)據(jù)中心共享和遷移等技術(shù)手段，實(shí)現(xiàn)應(yīng)用的靈活部署。

OpenStack架構(gòu)已逐漸成為業(yè)界事實(shí)標(biāo)準(zhǔn)，在構(gòu)建云管理平臺(tái)時(shí)，建議優(yōu)選OpenStack 架構(gòu)以保證兼容性和開放性［7］。

1.2 云安全能力資源池

云安全能力資源池主要為用戶提供多種云化的安全能力，因此需要在資源池內(nèi)部署包含多種安全產(chǎn)品的安全能力集，而不同安全能力需要合理規(guī)劃并分配相應(yīng)的計(jì)算資源、網(wǎng)絡(luò)資源和存儲(chǔ)資源等。

SASE 云安全資源池能力根據(jù)用戶需求和安全能力規(guī)劃部署流量類和掃描類等安全產(chǎn)品，流量類產(chǎn)品包括安全服務(wù)、日志審計(jì)、數(shù)據(jù)防泄漏等，掃描類產(chǎn)品包括漏掃掃描等主動(dòng)探測(cè)類的安全能力。此外，云安全資源池的所有安全能力需要滿足虛擬化部署的要求，能力集與安全能力管理平臺(tái)和云管平臺(tái)通過虛擬網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)互聯(lián)［8］。

1.3 安全能力管理平臺(tái)

安全能力管理平臺(tái)對(duì)云安全資源池內(nèi)的所有安全能力進(jìn)行納管和對(duì)接，實(shí)現(xiàn)對(duì)所有安全能力的賬戶、策略、任務(wù)等多個(gè)維度的管理，并實(shí)現(xiàn)對(duì)多種安全能力數(shù)據(jù)的實(shí)時(shí)審計(jì)和綜合展現(xiàn)等功能，建設(shè)成為以用戶為中心的綜合運(yùn)營(yíng)業(yè)務(wù)平臺(tái)和標(biāo)準(zhǔn)大數(shù)據(jù)運(yùn)營(yíng)分析體系［9］。

1.3.1 服務(wù)編排

安全能力管理平臺(tái)需要結(jié)合SDN 技術(shù)，利用虛擬路由器、虛擬交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)安全能力VPC 之間的網(wǎng)絡(luò)隔離，還需要實(shí)現(xiàn)安全業(yè)務(wù)編排、負(fù)載均衡及動(dòng)態(tài)擴(kuò)容等。

針對(duì)訂購多項(xiàng)安全服務(wù)的用戶，用戶可通過安全能力管理平臺(tái)自定義安全能力鏈條，選擇個(gè)性化的流量處理方案；針對(duì)單個(gè)安全服務(wù)，在不影響用戶業(yè)務(wù)的前提下，用戶可以通過安全能力管理平臺(tái)對(duì)安全服務(wù)的處理能力進(jìn)行動(dòng)態(tài)擴(kuò)容［10］。

1.3.2 服務(wù)開放

本文的研究?jī)?nèi)容為基于SD-WAN 的SASE 云安全資源池解決方案，安全能力管理平臺(tái)需要和SD-WAN平臺(tái)進(jìn)行能力的對(duì)接，需要對(duì)SD-WAN 及其他云網(wǎng)產(chǎn)品提供SaaS 化的服務(wù)，實(shí)現(xiàn)對(duì)資源池應(yīng)用適配和調(diào)度服務(wù)，向上提供標(biāo)準(zhǔn)的平臺(tái)訪問框架和能力開放服務(wù)［11］。

2 SASE云安全資源池業(yè)務(wù)流程設(shè)計(jì)

SASE 云安全資源池解決方案適用于使用SDWAN作為組網(wǎng)工具且對(duì)云化安全服務(wù)有需求的企業(yè)。本文提出的云安全資源池解決方案利用SD-WAN 實(shí)現(xiàn)用戶流量到資源池的引流，而且與其他資源池方案相比，本文的方案具有端云安全能力協(xié)同的獨(dú)特優(yōu)勢(shì)。

2.1 引流方案設(shè)計(jì)

云安全資源池可部署在多個(gè)POP 點(diǎn)，為節(jié)點(diǎn)下的用戶提供云化的安全服務(wù)，而對(duì)于流量類的安全服務(wù)，需要將用戶流量引流至資源池處，經(jīng)過處理后進(jìn)入指定網(wǎng)絡(luò)。本文的SASE 云安全資源池基于SDWAN，資源池的引流需要通過SD-WAN將用戶流量從用戶的POP 節(jié)點(diǎn)利用策略路由引流至云安全資源池所在的POP 節(jié)點(diǎn)，經(jīng)過用戶流量隔離后進(jìn)入資源池。云安全資源池引流方案如圖4所示。

圖4 云安全資源池引流方案

通過部署前置網(wǎng)關(guān)在云安全資源池所在節(jié)點(diǎn)建設(shè)SD-WAN 的專用引流節(jié)點(diǎn)，該節(jié)點(diǎn)獨(dú)立于SD-WAN其他的業(yè)務(wù)節(jié)點(diǎn)，建設(shè)引流POP 節(jié)點(diǎn)一方面可降低對(duì)SD-WAN 業(yè)務(wù)的影響，另一方面降低了云安全資源池的部署要求和引流工作的難度［12］。

2.2 安全能力端云協(xié)同

基于SD-WAN 的SASE 模型架構(gòu)為企業(yè)用戶提供一套完整的網(wǎng)絡(luò)、安全服務(wù)，用戶在終端進(jìn)行用戶身份驗(yàn)證后再接入所屬的廣域網(wǎng)絡(luò)，安全服務(wù)部署在用戶網(wǎng)絡(luò)可達(dá)的云端安全資源池。

基于SD-WAN 的云安全資源池依托SASE 模型，利用安全管理平臺(tái)的統(tǒng)一管理和策略同步，具有端云安全能力協(xié)同的優(yōu)勢(shì)，通過集成安全能力的SD-WAN接入終端與云安全資源池進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)從端到云的安全能力協(xié)同。特別是針對(duì)流量類的安全服務(wù)，用戶流量通過SD-WAN 終端時(shí)，接入終端針對(duì)需要攔截的流量進(jìn)行處理，隨后將處理日志同步到安全能力管理平臺(tái)，對(duì)于其他流量，終端不做任何處理直接放行，云安全資源池則對(duì)流量進(jìn)行審計(jì)、處理和展現(xiàn)，該策略降低了用戶鏈路的負(fù)載，提高了云安全資源池的有效利用率。安全能力端云協(xié)同如圖5所示。

圖5 安全能力端云協(xié)同

2.3 業(yè)務(wù)流程設(shè)計(jì)

此處以流量類安全服務(wù)為例，闡述包括引流、端云協(xié)同的SASE 云安全資源池的安全業(yè)務(wù)的整體流程。

SD-WAN 用戶在未啟用安全業(yè)務(wù)時(shí)，用戶的互聯(lián)網(wǎng)流量經(jīng)CPE 接入SD-WAN 網(wǎng)絡(luò)，通過加密隧道匯聚到網(wǎng)關(guān)POP 后直接進(jìn)入目標(biāo)網(wǎng)絡(luò)，而基于SD-WAN 的SASE云安全資源池方案業(yè)務(wù)流程如圖6所示。

圖6 SASE云安全資源池業(yè)務(wù)流程

a）SD-WAN 用戶下發(fā)安全服務(wù)訂單后，SD-WAN網(wǎng)管平臺(tái)根據(jù)用戶訂單業(yè)務(wù)參數(shù)向安全能力管理平臺(tái)發(fā)送安全服務(wù)任務(wù)配置等信息。

b）安全能力管理平臺(tái)確認(rèn)安全資源余量并啟動(dòng)資源池中的安全服務(wù)引擎，然后下發(fā)用戶的云端資源池安全服務(wù)策略至引擎?zhèn)取?/p>

c）安全資源池完成安全服務(wù)能力準(zhǔn)備后，向安全能力管理平臺(tái)反饋任務(wù)下發(fā)結(jié)果。

d）安全能力管理平臺(tái)向SD-WAN 網(wǎng)管平臺(tái)反饋安全業(yè)務(wù)下發(fā)情況并返回用戶側(cè)安全CPE 的安全服務(wù)策略，用于用戶側(cè)的協(xié)同任務(wù)下發(fā)。

e）SD-WAN 網(wǎng)管平臺(tái)向用戶CPE 下發(fā)用戶側(cè)安全服務(wù)策略。

f）用戶側(cè)安全網(wǎng)關(guān)CPE 向SD-WAN 網(wǎng)管平臺(tái)反饋策略下發(fā)結(jié)果，完成整體安全能力準(zhǔn)備。

g）SD-WAN 網(wǎng)管平臺(tái)下發(fā)網(wǎng)絡(luò)配置，將用戶上網(wǎng)流量從專用引流POP 點(diǎn)引流至安全服務(wù)云安全資源池。

h）用戶節(jié)點(diǎn)網(wǎng)關(guān)POP 向SD-WAN 網(wǎng)管平臺(tái)反饋用戶上網(wǎng)流量的引流結(jié)果。

至此，云安全資源池的業(yè)務(wù)流程形成閉環(huán)，在安全能力管理平臺(tái)的協(xié)調(diào)之下實(shí)現(xiàn)安全能力的端云協(xié)同，對(duì)用戶的網(wǎng)絡(luò)和資源進(jìn)行高效的安全防護(hù)［13］。

3 方案對(duì)比分析

在傳統(tǒng)的本地部署方案中，企業(yè)需要在網(wǎng)絡(luò)出口處部署安全設(shè)備，而多分支企業(yè)則需要異地部署多套設(shè)備；而基于SD-WAN 的SASE 云安全資源池解決方案將安全能力云化，為各個(gè)分支提供安全服務(wù)。上網(wǎng)行為管理方案對(duì)比如圖7所示。

圖7 上網(wǎng)行為管理方案對(duì)比

對(duì)基于SD-WAN 的SASE 云安全資源池解決方案與傳統(tǒng)安全解決方案進(jìn)行對(duì)比分析，其結(jié)果如表1 所示。

表1 安全方案對(duì)比分析

a）傳統(tǒng)方案設(shè)備購置成本高，部署周期長(zhǎng)，運(yùn)維管理成本高，靈活性差，策略同步難度大。

b）云安全資源池方案無需本地部署安全設(shè)備，無需運(yùn)維，靈活性高，策略同步方便。

c）云安全資源池方案通過端云協(xié)同，顯著提高了安全能力利用率，降低了網(wǎng)絡(luò)鏈路負(fù)擔(dān)，與傳統(tǒng)方案的安全功能與性能無明顯差異。

d）云安全資源池解決方案結(jié)合分支企業(yè)的基礎(chǔ)SD-WAN 網(wǎng)絡(luò)，實(shí)現(xiàn)了整個(gè)網(wǎng)絡(luò)安全架構(gòu)的SASE 全鏈條實(shí)現(xiàn)。

4 結(jié)束語

SASE已成為新的網(wǎng)絡(luò)和安全設(shè)計(jì)模式，將逐漸取代以數(shù)據(jù)為中心的傳統(tǒng)網(wǎng)絡(luò)安全模型。本文提出了基于SD-WAN 的SASE 云安全資源池解決方案，通過端云安全能力協(xié)同為企業(yè)提供低成本、快捷方便的安全服務(wù)?；赟D-WAN 的SASE 云安全資源池作為SASE 模型的重要一環(huán)，實(shí)現(xiàn)網(wǎng)絡(luò)安全即服務(wù)，具有較為廣闊的市場(chǎng)前景。

云安全資源池在實(shí)際應(yīng)用中無法覆蓋全部應(yīng)用場(chǎng)景，比如當(dāng)用戶的流量較大時(shí)，云安全資源池方案會(huì)造成用戶的網(wǎng)絡(luò)鏈路負(fù)載較大，影響上網(wǎng)體驗(yàn)，需要根據(jù)使用需求進(jìn)行方案選擇。此外，目前云計(jì)算平臺(tái)大多使用虛機(jī)形式部署安全能力，該部署方式存在配置工作復(fù)雜、浪費(fèi)計(jì)算存儲(chǔ)資源等缺點(diǎn)，而容器化部署可在適配云安全資源池整體架構(gòu)的基礎(chǔ)上解決上述問題，因此容器化是云安全資源池的重要發(fā)展方向［14］。