一位SASE用户的体验日记
简单、可靠
第一次看到“SASE”这个词,是在2021年3月的某个早晨,在一条朋友圈广告上: 当时吸引我的不是“SASE”,而是广告词里的“办公安全管理”。 很长一段时间,我都在烦恼公司的办公安全问题,任何与办公安全有关的信息似乎都是救命稻草。这条广告,自然也是要抓住的。 我知道广告很可能是骗人的,但那一刻我还是“上头”了……
提交完试用申请,早餐的面包还没啃完,电话就来了。
是一位姓林的安全专家。林工了解完情况说,“你这情况不复杂,现在就能安排试用。” 好家伙,原来这款SASE产品不用部署安全硬件设备,直接线上开通安全服务,然后电脑上安装一个软件客户端,有网络就能实现管控。用林工的话说,这是“安全能力云化交付”。 安全服务开通很快,3分钟就能完成: 注册账号 开通服务前先注册一个云图账号 x.sangfor.com.cn 开通授权 让林工帮忙给账号开通上网行为管理服务(SASE-AC)的授权;如果是终端检测响应服务(SASE-EDR),无需授权,直接云图后台开通 安装客户端 在云图后台下载安装一个SASE-AC/SASE-EDR软件客户端 策略配置 在后台配置策略,包括不同人员的授权、敏感信息/关键词管控策略等等 3分钟,over!
这不就是网购一族的正常操作吗?选中产品,选好款式/规格,下单完事,就等收货了。 虽然这款SASE产品前期的操作简单、方便,但对这种“虚无缥缈”的东西我还是保持质疑: 1. 无硬件设备,连客户端安装后都隐藏了,摸不着看不到,怎么确保它在“工作”呢? 2. 这款产品通过安装在电脑上的客户端软件或通过引流器将网络流量引流到云端(云POP点)进行管理和安全检测,怎么确保我的数据在云上是安全的呢?厂商或其他用户会不会窥窃数据?会不会利用或传播数据呢? 应该不只我一个人有这样的疑虑。 那么,这款SASE产品是怎么表现的呢?
首先,说说它的“工作”效果。 这次试用我安排了二十几个PC点接入,我的目的是确保每台电脑的上网安全及保障员工的工作效率,不同PC做了相应的策略配置: 1. 能上外网的PC点:配置了敏感信息外泄管控、风险应用拦截、与工作无关应用流量管控、U盘管控(拷贝敏感文件)、病毒查杀/处理等安全策略。 2. 只能上内网的PC点:配置了U盘管控(拷贝敏感文件)、病毒查杀/处理等安全策略。 具体效果如何呢?
在上网安全管控方面,每个终端的上网风险情况都有清晰的衡量指标,涉及泄密文件情况、工作时间访问与工作无关应用的时长、被拦截情况等等。
SASE-AC后台管理页面
在终端检测响应方面,可以在管理后台清楚地看到所有终端设备的安全情况,有哪些高危事件、哪些设备失陷了、失陷的原因、应如何操作等等,都有详细的信息。
SASE-EDR后台监测页面
当出现风险事件时,微信公众号会主动告警,可以直接在手机上一键下发处置策略,连运维人员都省了。哪怕你在外头,一部手机就能快速处置风险,太省事了!
微信公众号告警
从监测效果来看,这款SASE产品完全能够满足日常办公安全的需求。
第二点是数据在云上的安全性问题。
我们是研发公司,最担心的就是数据上传到云端后被窥视、传播或利用,能不能保障数据的安全是我们选择方案的关键。综合了解了那么多家厂商及方案后,我是这么虑这个问题的:
1.安全厂商或云厂商的业务跟我们这些用户的业务是不同的,我们的数据对厂商而言没有生产价值,没有窥探或利用的必要。再说,深信服在企业信息安全领域发展了二十年,口碑和信誉还是靠得住的。 2.这款产品在日志数据访问和保存上是满足合规要求的: 1)云上存储的日志是根据用户自己配置产生的管控日志和审计日志,用户之间的数据中心是隔离,确保用户之间不能越权访问。此外,在用户未授权情况下,厂商无法查看用户的数据。 从产品原理上,厂商或其他用户也无法直接查看用户数据。 2)所有日志默认存储180天,超时会自动清除处理,但用户可以通过API接口或设置本地日志中心的方式对日志进行下载或本地存储。 3.日志数据是存储在深信服托管云机房,机房满足等保三级标准,也支持双份冗余备份。
怎么说呢,不管数据放在哪里都无法确保100%的安全,但交给有资质、有经验、有口碑的厂商保管,应该还是比待在自己的电脑上安全的。 整体来说,这款SASE产品还是能给人“安全感”的。 说实话,像我们这种小公司,为了存活,业务都顾不及,很难顾得上安全。我们需要的是一个简单、可靠的方案,一款“让人省心”的产品。 哎,后悔没有早点用起来。 在试用的第7天,我决定下单了。
购买这个SASE产品之前,我也了解过其他的安全产品和方案,目前市面上大部分安全产品只能对办公网内的设备起作用,对离开了办公网的设备就没辙了。
我们公司有一半的销售人员,大部分销售人员整天都在外面跑客户,他们的电脑是否安全、是否泄密了,没有一个是老板不关心的。 看中这款SASE产品的一个重要原因,就是:它可以管控通过连接个人4G/5G网络、公共Wi-Fi或家庭Wi-Fi等离开办公网的电脑。也就是说,销售人员在外面跑客户,他们的电脑有没有连接不安全的网络,是否访问了不安全网站,或者有没有把敏感文件泄露给对手公司,我在公司也能一清二楚。另外,这个功能最大的价值之一是为企业远程办公提供了安全保障。 今年5月,公司所在地有新的疫情,我们不得不开启远程办公模式。这就意味着所有业务工作都要在互联网下进行,包括以前为了安全只能在纯内网进行的研发工作。研发工作涉及了公司最核心的数据,在互联网下开展将面临更多的网络攻击攻击,一旦核心数据被泄露,后果不堪设想。 我们再次联系林工帮忙针对研发岗位定制更加严格的管控策略,一个多月的居家办公,所有业务正常开展,没有发生一起网络安全事故。 再回去看那个月的监测数据,不得不感叹,哪有什么风平浪静,不过是SASE把所有“风浪”都抗住了。
SASE-EDR后台监测数据(部分)
04 一直以为“SASE”是一类安全产品,其实它是一个架构,或者说一种模型。它是由国外的咨询机构Gartner提出的一个融合网络和安全的新架构,我们用的这款SASE产品就是基于这个架构来实现的。 这是厂商提供的产品架构图: 深信服SASE方案架构图
官方解释是,通过“SD-WAN+安全能力”,以及遍布全球的云POP点,随时随地为企业总部(办公网)、移动办公、多分支机构等提供安全服务。简单来说,无论员工在总部还是在分公司办公,或者移动办公,接入SASE后,都能实现随时随地、低延时、更安全地访问本地或云上业务。为了更了解SASE(毕竟未来还要好好跟它相处呢),我自己也翻了一些资料。其实,SASE作为一种新趋势,未来很多企业都会用上SASE,除了前面提到的本地办公网办公、移动办公场景,多分支机构安全建设也是SASE的重要场景。多分支企业(具有多个分公司、连锁门店的企业)通过SASE来进行安全建设,可以实现:1.成本低,能力快速扩展 不用像以前那样每个分支机构都要买上一套硬件设备,也不用给每个分支安排专门的运维人员,SASE具备无限可扩展性,可根据业务需要及时添加新的安全服务,随时随地执行安全防护策略的能力。 2.易部署,易运维 借助云交付的安全性实现分钟级部署上线,免硬件运维以及复杂的多分支管理,云端统一策略管控,一键处置安全事件,大幅度提升运维效率。 3.统一策略,统一管控 使用SASE可避免以往总部和分支策略难统一、离网用户无法管控的局面。甭管有多少个分支机构,SASE可提供一致的安全策略和上网体验,支持一键下发管控策略。 SASE的出现,为企业节省大量的设备、运维成本,大大提升效率。企业主要将重点放在业务开发和创新上,安全的事,交给SASE,省心。
不得不感叹,科技进步和创新正在一步步提升社会整体的工作效率,如果不想被社会抛弃,就必须乘着科技进步和创新的风,努力向前追赶。 看来,是时候开分公司了,才能配得上SASE……
所以说,广告也不一定是骗人的。如果有一天你看到深信服SASE产品广告,不妨点开看一下,或许会有不一样的体验。
|