说到 SASE,新的安全范式有哪些
來源 |?好奇瞅瞅
責(zé)編 | 寇雪芹
頭圖 |?下載于視覺中國
前言
本系列目錄:
深入理解SASE(一):什么是云化
深入理解SASE(二):網(wǎng)絡(luò)云化及演進(jìn)方向
深入理解SASE(三):什么是云網(wǎng)融合
深入理解SASE(四):SD-WAN市場分析及細(xì)分切入
深入理解SASE(五):新的安全范式
對于SASE,當(dāng)前可能存在兩類看法:
又瞎扯淡:感覺SASE沒啥,和SD-WAN一樣,炒作成分居多;
不明覺厲:感覺SASE重要,但又說不上來哪里好,了解一些相關(guān)技術(shù)。
一個可能的原因是:諸如Gartner之類的高大上權(quán)威,在定義完SASE后,一上來就談SASE有12點優(yōu)勢,“巴拉巴拉”小魔仙,非常感人。Gartner作為一家頂級咨詢機(jī)構(gòu),客戶都是花了大筆訂閱費的,這也決定了必須要專業(yè)嚴(yán)肅一些。
作者沒背景,沒負(fù)擔(dān),無束縛,可以不按套路,會按一貫風(fēng)格,側(cè)重分析:
散點知識如果沒法融入知識體系,早晚都會是過眼浮云。
更重要的一點,作者也不懂什么高深的安全技術(shù),還得繼續(xù)學(xué)習(xí)。
一個人不可能全心投入他不認(rèn)可的領(lǐng)域。所以,即便是為了跨界學(xué)習(xí),也需要盡可能理解SASE,這也是整理本文最原始的初衷。
什么是范式
In science and philosophy, a paradigm is a distinct set of concepts or thought patterns, including theories, research methods, postulates, and standards for what constitutes legitimate contributions to a field. -- Wikipedia
什么是范式?在科學(xué)和哲學(xué)中,范式是一組獨特的概念或思維模式,包括構(gòu)成一個領(lǐng)域的一套自洽的理論,研究方法,假設(shè)和標(biāo)準(zhǔn)。
范式有什么用?范式會自帶世界觀,會引導(dǎo)人們帶著其特有的傾向和思路去析構(gòu)世界,認(rèn)知/分析/解決問題。
可能還是有些抽象,舉一個最直接的范式例子:地心說和日心說。
圖2-1:日心說與地心說;來源:http://www.malinc.se/math/trigonometry/geocentrismen.php
上圖的右半部分,是地心說下的太陽系;
上圖的左半部分,是日心說下的太陽系。
推薦點擊圖片鏈接,可以看到動態(tài)軌跡圖;地心說其實是挺精妙的。
以上,地心說是一種范式,日心說是另一個范式。
同一個世界,在不同范式的析構(gòu)下,會呈現(xiàn)出巨大的復(fù)雜性差異,這就是范式的作用。
作者認(rèn)為,和SD-WAN類似,SASE也不是一種產(chǎn)品,不是一種技術(shù),而是一種新的安全范式,這也意味著SASE可能會進(jìn)一步衍生出不同的技術(shù)、工具和產(chǎn)品。
SASE至少提供了兩個范式:
一個是產(chǎn)品形態(tài)方面的,這里可能會卡一卡傳統(tǒng)設(shè)備商;
一個是業(yè)務(wù)建模方面的,這里可能會拼一拼產(chǎn)品架構(gòu)。
產(chǎn)品形態(tài)的范式
3.1 為什么產(chǎn)品形態(tài)重要
先回到一個經(jīng)典例子:“客戶不是要買電鉆,而是要買墻上的那個洞”。
?圖3-1:客戶要的是電鉆嗎;來源:互聯(lián)網(wǎng)
假設(shè)你要掛一幅畫:
產(chǎn)品形態(tài):你花了200元錢,在京東上買了一把電鉆,京東很牛逼,次日達(dá)。次日,你疊起了兩個凳子,晃晃悠悠,勉強(qiáng)打了兩個洞,掛上了畫。
服務(wù)形態(tài):你給物業(yè)打了個電話,物業(yè)報價20元/洞,15分鐘內(nèi)上門。物業(yè)帶了一些列電鉆鉆頭和折疊梯,30分鐘完成掛畫,還幫你清理了鉆墻的粉屑。
高級的服務(wù)形態(tài):物業(yè)上門后,查看了一下畫和墻,直接推薦掛鉤方案,既不破壞墻體,也沒有噪音灰塵。你認(rèn)可了,物業(yè)也更方便,只收了20元。說這更高級,是因為“聽用戶說,但沒有照著用戶說的去做,而是在洞悉之后售賣了更為專業(yè)的服務(wù)”。
更高級的服務(wù)形態(tài):物業(yè)上門后,發(fā)現(xiàn)畫風(fēng)與墻飾風(fēng)格不符,現(xiàn)場說出了三點原因,給出了完整建議。你一聽還挺受用,購買了物業(yè)的裝飾服務(wù),收費200元。你很高興,因為在親友面前提升了品味;物業(yè)也很高興,因為不但成了更大的單,而且因為準(zhǔn)確挖掘了客戶的根本訴求,客戶的滿意度和忠誠度也更高。說這更高級,是因為這項服務(wù)過渡到了“售賣標(biāo)準(zhǔn)”,在這個例子里,就是“審美標(biāo)準(zhǔn)”。售賣標(biāo)準(zhǔn),長期是西方國家的優(yōu)勢領(lǐng)域,當(dāng)前很多中國產(chǎn)品,正在試圖突破這個階段。
為什么服務(wù)形態(tài)比產(chǎn)品形態(tài)更加高級?這個問題搜不到答案,以下是一些作者理解:
更容易接近真實需求:產(chǎn)品是硬的,服務(wù)是軟的。社會進(jìn)步的標(biāo)志就是分工越來越細(xì),這也意味著需求越來越多樣化,軟性的服務(wù)相對更容易匹配用戶的真實需求。以上例子,“打洞”就要比“電鉆”更接近用戶的真實需求:不同的客戶有著不同的墻體,不同的孔徑,不同的深度,“打洞”顯然更要比“電鉆”更容易匹配各種真實需求。一個更加宏大的例子:哪怕是最硬梆梆的制造業(yè),在推的概念也是“柔性制造”,本質(zhì)上就是“軟件定義產(chǎn)線”,盡可能去快速逼近細(xì)分客戶的特定需求。
用戶界面更簡單:產(chǎn)品離滿足需求,還差了一個“集成”。在這個例子里,集成比較簡單,就是業(yè)主自己去操作打洞,但其實也是有一定門檻的;在很多2B產(chǎn)品的例子里,集成往往會更加困難,一個直接表現(xiàn)就是存在著大量的集成商;不過羊毛出在羊身上,這些都會增加客戶的廣義擁有成本。
更快滿足需求:客戶,大多都會把時間留給自己,把難題留給供應(yīng)商:下單之前,貨比三家,磨磨嘰嘰;下單之后,立刻就要,拼命催單。這是客觀存在的事實,很難改變客戶的心理,那就只能改變自己的交付形態(tài)了。
3.2 產(chǎn)品形態(tài)的串聯(lián)
SASE在產(chǎn)品形態(tài)方面的范式革新,已然比較明顯:客戶要的不是設(shè)備,也不是功能,而是服務(wù)。
最好這個服務(wù)足夠全,能涵蓋我的所有相關(guān)需求,不用讓我再去考慮多供應(yīng)商和多供應(yīng)商之間的集成問題;
最好這個服務(wù)剛剛好,可以調(diào)整到剛好涵蓋我的所有相關(guān)需求,不用讓我多花一分冤枉錢;
最好這個服務(wù)夠?qū)I(yè),可以成標(biāo)準(zhǔn)成體系地從根本上解決相關(guān)顧慮,可以讓我在老板面前更專業(yè)更得力。
前文提到,產(chǎn)品形態(tài)的范式,可能會卡一卡傳統(tǒng)設(shè)備商,那我們就來稍微展開一下。
一個設(shè)備虛擬化了,就成為服務(wù)了嗎?當(dāng)然不是。虛擬化了的,還只是功能。功能和服務(wù)差在哪?功能是偏靜態(tài)的,偏供給側(cè)視角的;服務(wù)是偏動態(tài)的,偏需求側(cè)視角的。這兩者又有什么區(qū)別?偏靜態(tài)的供給側(cè)視角:我有這這這功能,超級牛逼,你來用用啊;偏動態(tài)的需求側(cè)視角:客戶發(fā)現(xiàn),在他想睡覺的時候,路上出現(xiàn)了一個枕頭;在他想打怪的時候,路上出現(xiàn)了一個耙子,他甚至不需要“懂”,只需要會“用”。
在客戶隨時需要時能隨時滿足,“敏捷、彈性、按量付費”,這樣才叫云化服務(wù);或者翻譯成那句大白話:“不求天長地久,但求要時能有,隨時要隨時有”。所以,
需要齊全的網(wǎng)絡(luò)棧和安全棧,足以匹配各種場景的網(wǎng)絡(luò)和安全需求;
需要高度的虛擬化和模塊化,足以剛剛匹配所需的場景;
需要高效的建模能力和快速的投送能力,足以應(yīng)對VUCA的用戶和需求。
這方面,再啰嗦估計就要被嫌棄了,這個系列也已經(jīng)鋪墊很久了,可以參考前面幾篇,不再贅述。
3.3 大道無形
本章最后,做個大膽預(yù)測:與SD-WAN類似,SASE可能也會分成“名義市場”和“無形市場”;會有一些更大的玩家去玩“無形市場”,即直接服務(wù)一個更大的產(chǎn)品或產(chǎn)品體系,不以“SASE”的名頭直接出現(xiàn)在市場上,拭目以待。
業(yè)務(wù)建模的范式
4.1 為什么業(yè)務(wù)建模重要
之前提到,范式能幫助我們析構(gòu)世界,引導(dǎo)我們?nèi)フJ(rèn)知/分析/解決更廣更深的問題。
產(chǎn)品形態(tài)的范式,解決了用戶界面復(fù)雜度的問題;業(yè)務(wù)建模的范式,解決了產(chǎn)品架構(gòu)復(fù)雜度的問題。
2B產(chǎn)品,本質(zhì)上是強(qiáng)化了某種生產(chǎn)關(guān)系。這就意味著,2B產(chǎn)品必須要解決具體的現(xiàn)實問題,而解決問題的效能和效率,取決于產(chǎn)品本身對現(xiàn)實世界的建模能力:模型越逼真,方案越匹配。
圖4-1:問題域與解決方案;來源:互聯(lián)網(wǎng)
4.2 范式與技術(shù)
在進(jìn)一步析構(gòu)業(yè)務(wù)建模的范式之前,有必要先澄清一下范式與技術(shù)之間的關(guān)系,因為兩者在SASE里,都會是重要的存在。
范式和技術(shù)是兩個層面的詞,先進(jìn)的范式,不代表先進(jìn)的技術(shù)。還是以地心說和日心說為例,反倒是地心說可能需要更高深的技術(shù)功底才能掌握,而日心說,初中物理水平就已足夠理解。回望歷史,往往正是舊范式的建模能力有限,為了逼近真相,才被迫發(fā)展出很多“高深”的技術(shù)來“代償”。
這也是為什么不建議直接投身技術(shù)而是先來研究一下范式背景:技術(shù)容易成為深深的豎井,貿(mào)然進(jìn)去短時間可能爬不出來,反而就容易忽略新技術(shù)所代表的新范式本身的力量。一個最簡單的例子,比如C和C++的區(qū)別在哪?
表面上,兩者的語法確實有區(qū)別,但這不是本質(zhì)區(qū)別。
C++蘊(yùn)含的是一種面向?qū)ο蟮木幊谭妒?#xff08;Object-oriented Programming Paradigm),語法變化只是為了落地新范式的手段之一。見語法而不見OOP,就容易有點知乎所以,不入門道。
面向?qū)ο缶幊谭妒?#xff0c;與指令式編程范式、過程式編程范式相比有什么好處?并非后者無用,它們至今都仍在各自領(lǐng)域發(fā)揮重要作用;舊范式的問題,往往在于不適合構(gòu)建復(fù)雜系統(tǒng),難以適應(yīng)快速變化的商業(yè)需求。需要用最趁手的工具,解決最迫切的問題,僅此而已。
其實,中國人理解范式與技術(shù),應(yīng)該是有些獨特的優(yōu)勢的:
第一、先哲智慧:君子不器。“形而上者謂之道,形而下者謂之器”。道是系統(tǒng),器是工具;道有主動性,器為被動性。
第二、武俠文化:范式和技術(shù),有點像武俠中的心法和招式,兩者都很重要。
一直在夸范式,也得扶一扶技術(shù):趙志敬只教楊過心法,不教招式,楊過空有心法但沒法用招式使出來,就容易被胖道士欺負(fù)。
此外,招式具有外在性,相對容易模仿習(xí)得,反而是心法,一般是不外法門。這么說,本文的價值更大一些。:-)
4.3 業(yè)務(wù)建模的串聯(lián)
如果閱讀過一些相關(guān)材料,可能已經(jīng)可以看出一些相關(guān)端倪了,以下摘錄一段CATO的表述:
Solving emerging business challenges with point solutions leads to technical silos that are complex and costly to own and manage. Complexity slows down IT and its response to these business needs. SASE changes this paradigm through a new networking and security platform that is identity-driven, cloud-native, globally distributed, and securely connects all edges (WAN, cloud, mobile, and IoT).
這段文字很精彩,邏輯非常清晰,大意如下:
用當(dāng)前點狀的解決方案,去解決當(dāng)下涌現(xiàn)的業(yè)務(wù)挑戰(zhàn),會導(dǎo)致一個個技術(shù)豎井,它們的獲取和管理,都很復(fù)雜且昂貴。請對照一下地心說,如果拿地心說去析構(gòu)太陽系,就會有這個特點,需要定義什么“本輪”、“均輪”、“恒星天”等概念,這些概念就像是一個個技術(shù)豎井——你還是可以去逼近世界,但是會發(fā)現(xiàn)越來越散,越來越累,直到開始懷疑人生:“如果我是上帝,會不會弄出這么復(fù)雜的宇宙”。
復(fù)雜性會降低IT對業(yè)務(wù)需求的響應(yīng)速度。請結(jié)合一下SASE的大背景:你理解成VUCA的延續(xù)也行,或者分解成云計算、移動計算、邊緣計算、全球化等等也行。更快的需求響應(yīng)速度,正是為了解決一個一個更加挑戰(zhàn)的現(xiàn)實問題;所有的2B產(chǎn)品,都是生產(chǎn)工具性質(zhì)的延伸,延伸了真實世界的邏輯關(guān)系。舊工具面對新問題,已經(jīng)不再趁手了。
SASE通過一個新的身份驅(qū)動的,云原生的,全球分布的,安全連接所有邊緣的網(wǎng)絡(luò)和安全平臺,改變了當(dāng)前的范式。這是在一句話總結(jié)SASE,很精彩:
“云原生的”,“全球分布的”,“安全連接所有邊緣的”,“網(wǎng)絡(luò)和安全平臺”,這些內(nèi)容涵蓋在“產(chǎn)品形態(tài)的范式”中,以及在本系列的前期鋪墊中,這里不再贅述。
以下會重點析構(gòu)一下“業(yè)務(wù)建模的范式”的四個基礎(chǔ)。
4.3.1 基于身份驅(qū)動
范式還有一些有意思的特點:
初階范式最符合人類的直覺。日心說如此,最符合人們仰望天空所得的直覺;基于邊界的安全模型也是類似:大到國家沖突,小到同桌別扭,千百年來人們一直都是這么直接認(rèn)知的,見下表。
新范式一旦被發(fā)明之后,人們會覺得新范式是多么的自然,自然到“不值一提”。翻譯成不太雅的話,有點像:許久便秘的憋屈,如今一氣呵成,太特么舒服了;通了就好,鬼才想回憶過往,對比分析呢。例如,日心說發(fā)明之后,一切都是那么暢快那么自然那么不值一提,你很難再理解地心說在科學(xué)精英中發(fā)展了1000多年的事實。所以,以下析構(gòu)新范式的四個基礎(chǔ)時,可能也會讓你覺得“這特么不是廢話”么;如果有這種效果,作者就很高興,認(rèn)為達(dá)到了初衷。
表4-1:現(xiàn)實世界與網(wǎng)絡(luò)世界安全模型對比
| 現(xiàn)實世界 | 網(wǎng)絡(luò)世界 |
安全區(qū)域 | 內(nèi)網(wǎng)區(qū)域 |
非安全區(qū)域 | 外網(wǎng)區(qū)域 |
緩沖區(qū)(例如萊茵河、外蒙古) | DMZ, Demilitarized Zone |
SASE摒棄了傳統(tǒng)的基于邊界的安全模型,確立了“身份”這一概念的重要性:身份是所有訪問決策的中心,邊界退化成了至多是某種需要參考的上下文之一。
圖4-2:基于身份驅(qū)動;來源:Gartner
本章重點要談的就是新范式逼近現(xiàn)實世界的能力,所以就找一些現(xiàn)實世界的映襯。這一條,翻譯成大白話,就是:
“邊界”模糊了,基于邊界防守的安全模型不再可靠了;
“你是誰”才真正重要,邊界退化成了至多是某種動態(tài)上下文——因為你在哪,邊界可能就需要動態(tài)地跟到哪:基于“你是誰”,配合著“什么時間”,“什么場地”、“什么工具”,“什么任務(wù)”,等等動態(tài)上下文,才是現(xiàn)代安全的基礎(chǔ)。
以上是什么?活脫脫就是以海灣戰(zhàn)爭為標(biāo)志的現(xiàn)代戰(zhàn)爭理念的變遷啊。海灣戰(zhàn)爭改變了傳統(tǒng)的作戰(zhàn)模式,對二戰(zhàn)以來形成的傳統(tǒng)戰(zhàn)爭觀念,產(chǎn)生了強(qiáng)烈的震撼:
“邊境”?在現(xiàn)代化的打擊手段面前,想捅破時不是比紙還薄嗎?
“身份”到哪,依托現(xiàn)代化的快速投送能力(軟件定義網(wǎng)絡(luò)),迅速動態(tài)地構(gòu)建針對作戰(zhàn)對象的立體防御體系(軟件定義安全),完成一個VUCA時代的業(yè)務(wù)目標(biāo),不是更像“軟件定義邊界”么。
圖4-3:沙漠盾牌與沙漠風(fēng)暴行動,名字都起得那么有軟件定義邊界感;來源:互聯(lián)網(wǎng)
在這里特別提起海灣戰(zhàn)爭,是因為海灣戰(zhàn)爭這種現(xiàn)代化的“戰(zhàn)爭范式”,讓人們驚掉過一回下巴,包括兔子。尼瑪老美當(dāng)年還通過調(diào)整衛(wèi)星網(wǎng)絡(luò)(軟件定義網(wǎng)絡(luò)),對現(xiàn)代戰(zhàn)爭進(jìn)行了人類歷史上的首次電視直播,好好“教育了一回市場”;海灣戰(zhàn)爭后,海灣地區(qū)的軍火市場,直接翻番——基于傳統(tǒng)邊界建立的政權(quán),在現(xiàn)代戰(zhàn)爭面前,太特么脆弱了。
“兵者,國之大事,死生之地,不可不察也”,很多革命性的理念和技術(shù),基本全部源于軍事,在解決成本問題之后,民用跟進(jìn)。民用市場,不知道會不會出現(xiàn)一次“海灣戰(zhàn)爭式的市場教育”。
海灣戰(zhàn)爭之后的另一個戰(zhàn)爭理念變遷,是以911為代表的反恐戰(zhàn)爭,進(jìn)一步崩塌了傳統(tǒng)邊界。這方面,普京大帝給出過一個精彩回答。
圖4-4:不受邊界束縛的反恐戰(zhàn)爭;來源:互聯(lián)網(wǎng)
普京大帝事后后悔了,覺得自己在媒體面前太沖動了,不過這更加說明了這個答案的內(nèi)心真實性。
本節(jié)最后,重新回到Gartner對SASE的定義:SASE是一種基于實體的身份、實時上下文、企業(yè)安全/合規(guī)策略,以及在整個會話中持續(xù)評估風(fēng)險/信任的服務(wù)。實體的身份可與人員、人員組、設(shè)備、應(yīng)用、服務(wù)、物聯(lián)網(wǎng)系統(tǒng)或邊緣計算場地相關(guān)聯(lián)。
SASE按需提供所需的服務(wù)和策略執(zhí)行,獨立于請求服務(wù)的實體、場所和所訪問的服務(wù)。
圖4-5:基于身份和動態(tài)上下文的功能棧;來源:Gartner
一些「基于身份驅(qū)動」的段子,活躍一下提到高大上機(jī)構(gòu)之后的肅穆氣氛:
我媽挖了一勺西瓜沒拿穩(wěn)掉地上了,她撿起來就要往我嘴里塞,看見我很詫異地盯著她,突然反應(yīng)過來笑著說:“不好意思,我還以為你還是小時候呢!” 我突然感覺胸口有點疼。
身份+時間上下文:只核實了身份,沒有留意時間上下文。
昨晚在路邊停車等人,有個腦袋探到窗邊問:“走嗎?” 我心想:我TM又不是來拉客的黑車,于是頭也不抬地說:“不走!” 過了一會兒,他遞進(jìn)來一張罰單。
身份+場地上下文:只留意到了位置上下文,沒有核實身份。
一位北方的朋友去重慶吃火鍋,問:“有麻醬嗎?” 服務(wù)員說:“麻將要開包間才有。”
身份+場地上下文+訪問信息的敏感程度:只核實了身份,沒有留意位置上下文,以及訪問信息的敏感程度。
以上段子,并不能直接套在SASE上,只是用來說明:用“基于身份驅(qū)動+動態(tài)上下文”,比“基于邊界+隱含身份”,是更容易寫出清晰易懂的規(guī)則去逼近真實世界的。
4.3.2 基于動態(tài)信任
可能有點殘酷,但是現(xiàn)實世界里,可能不存在絕對信任,信任是一個動態(tài)過程。以下兩位大佬,對此頗有心得。
圖4-6:動態(tài)信任;來源:混子曰
兩位大佬雖然簽訂了《蘇德互不侵犯條約》,但都在之后瘋狂瓜分夾在其中的國家作為緩沖區(qū)(基于邊界的安全模型);結(jié)果已經(jīng)明了了,誰信的更多一些誰倒霉。
不了解歷史也沒關(guān)系,回顧一下我們自己認(rèn)識新朋友的心路歷程,也可以足夠明了:剛認(rèn)識一個人時,信任是比較模糊的;隨著“聽其言觀其行”,慢慢會對不同的人發(fā)展出不同的信任程度;但是無論到哪種程度,信任總是有范圍的,不是絕對的。
不知道孩子的初始狀態(tài)是否有絕對信任,不過長大之后都慢慢被教會了動態(tài)信任,說殘酷也行,說成熟也行,這就是現(xiàn)實。動態(tài)信任,更能逼近現(xiàn)實世界。
「基于身份驅(qū)動」和「基于動態(tài)信任」是什么關(guān)系?覺得前者是信任的動態(tài)載體,后者是信任的動態(tài)過程。
活躍一下氣氛,一些「基于動態(tài)信任」相關(guān)的段子:
朋友說他的媳婦兒特別懶,我問咋了,他說他家住三樓,他媳婦兒每次在網(wǎng)上買東西的時候都在備注上寫:“孕婦,行動不便,請送貨上門!” 前些天,快遞小哥終于忍不住了,在樓下大喊:“三年了!我忍了你三年了!你懷的是哪吒嗎!!”
這位快遞小哥,具備了人性的初始信任,最后被迫學(xué)會了動態(tài)信任。
長官問花木蘭:“聽說你在出征前,先到東市買了駿馬,再去西市買了鞍韉,然后去南市買了轡頭,最后,又到北市去買了長鞭,是不是這樣?”
木蘭說:“確實如此。”
長官接著問:“你是女人吧。”
木蘭感覺十分吃驚:“將軍你是如何得知我是女人?”
長官緩緩說道:“如果是男人,絕對是不會跑去逛了四個市集,而就為了買這些東西的。”
這位長官很老道,已然具備了初級的態(tài)勢感知能力,至少是全流量分析的能力。
以上兩個段子,也在側(cè)面說明:
身份還是靜態(tài)的,相對容易偽造;行為模式等是動態(tài)的,相對更難隱藏。
在身份被突防之后,通過動態(tài)信任機(jī)制建立起的安全模型,更容易逼近現(xiàn)實世界。
4.3.3 基于分層設(shè)計
分層,是人們簡化世界,理解世界的必須。網(wǎng)絡(luò)原本就存在分層,例如廣為人知的OSI七層模型。
圖4-7:OSI模型;來源:互聯(lián)網(wǎng)
但問題是,從架構(gòu)角度而言,這里的網(wǎng)絡(luò)層,存在著較大問題。倒不是作者狂妄到敢批判協(xié)議,而是這與歷史有關(guān):還是那句話,哪怕是頂級專家,都容易低估未來,當(dāng)時互聯(lián)網(wǎng)規(guī)模極小,安全性并非設(shè)計時的首要考慮因素。網(wǎng)絡(luò)層,顧名思義負(fù)責(zé)網(wǎng)絡(luò)連接,這意味著它要面臨整個世界的攻擊面,但自身卻缺乏有效的安全機(jī)制。活脫脫一個傻白甜,“傻白甜”只是一種昵稱,另一個說法叫“坑爹”。
一個典型的例子就是DDoS類中的SYN Flood攻擊:“爹在家中坐,禍從天上來”。
簡單介紹一下SYN Flood攻擊:TCP是面向連接的傳輸層協(xié)議,大量的應(yīng)用都基于TCP協(xié)議;因為是面向連接的協(xié)議,所以建立一個TCP連接需要經(jīng)歷一個三步握手過程,以下選了一張比較直白的原理圖。
圖4-8:TCP三步握手;來源:https://github.com/jawil/blog/issues/14
SYN Flood攻擊者,操作一批肉雞向服務(wù)器喊話:“喂,你在嗎,伸出手來咱握一握唄”,然后玩消失,留著服務(wù)器在那伸手后傻等,直到超時。這種方式會消耗服務(wù)器大量的連接資源,進(jìn)而沒有能力去服務(wù)合法用戶。
圖4-9:SYN Flood攻擊;來源:AllOT
SYN Flood為什么能成功,是因為攻擊者的喊話,在協(xié)議層面是完全合法的,服務(wù)器無法區(qū)分,只能做應(yīng)答。作為家中端坐的爹(TCP層),心中定是一萬頭草泥馬,丫的老子的手是誰都可以摸的嗎?你丫龜兒子(IP層)能不能認(rèn)清了再往家里帶!
IP層說兒做不到啊!事實上,IP層確實做不到,因為“認(rèn)人”這事,帶了點語義層面的邏輯,IP層就一個負(fù)責(zé)通道的,哪管得到語義層面的事。那該怎么辦呢?“網(wǎng)絡(luò)革命的一聲炮響,給我們送來了SDN主義”。SASE在這方面的革新,更進(jìn)一步,采用了零信任的理念,例如CSA(Cloud Security Alliance, 云安全聯(lián)盟)的SDP(Software-Defined Perimeter, 軟件定義邊界)實現(xiàn)方式:通過獨立的認(rèn)證中心,隱藏網(wǎng)絡(luò)基礎(chǔ)設(shè)施;通過SPA(Single Packet Authorization, 單包授權(quán)認(rèn)證)技術(shù),隱藏認(rèn)證中心自己。結(jié)果就是在網(wǎng)絡(luò)層,形成了一朵近乎零攻擊面的暗云(Dark Cloud),從根本上解決了網(wǎng)絡(luò)層自身的安全問題。
為什么說這也是SASE的范式基礎(chǔ),是因為長期以來,我們其實已經(jīng)躺平接受了:網(wǎng)絡(luò)層搞不定的安全問題,就蔓延到其他地方去轉(zhuǎn)移解決。
可能會有人覺得,你SASE不也把問題轉(zhuǎn)移到其他地方去了嗎?對,不過這種轉(zhuǎn)移,在架構(gòu)上有著本質(zhì)區(qū)別:這不是在縱向的層級之間轉(zhuǎn)移,而是橫向轉(zhuǎn)移給了更加專業(yè)的管控平面或者認(rèn)證平面,邏輯清晰,平面隔離。
繼續(xù)拿現(xiàn)實世界做類比,你是否會把任何對象先領(lǐng)進(jìn)家門,讓家長先握握手保持聯(lián)系?不會,家長有家長要負(fù)責(zé)的頭疼事,你會先委托專業(yè)的第三方檢查對方身份并開介紹信,比如具有國家信用背書的公安部門,有問題的對象,聰明如你,肯定連家門都不會讓他找到。
注意,通過以上分析,希望也可以理解到,包括零信任、包括SASE,其實也解決不了全部的安全問題,理論上只能解決可管控范圍內(nèi)的部分問題。
4.3.4 統(tǒng)一開放架構(gòu)
統(tǒng)一開放架構(gòu),可能是個隱藏的范式基礎(chǔ),但是已經(jīng)比較好推導(dǎo)了:
基于身份驅(qū)動,意味著認(rèn)證中心需要獨立于業(yè)務(wù)網(wǎng)絡(luò),這樣才能獨立完成初始驗證。
基于分層設(shè)計,意味著控制中心需要獨立于業(yè)務(wù)網(wǎng)絡(luò),這樣才能在完成初始驗證后,控制整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基于最小授權(quán)原則的閉合(先驗證再最小授權(quán)再開放再連接),以及集中控制網(wǎng)絡(luò)功能和安全功能的動態(tài)投放。
基于動態(tài)信任,意味著評估中心需要獨立于業(yè)務(wù)網(wǎng)絡(luò),評估中心采集包括認(rèn)證中心、控制中心、網(wǎng)絡(luò)基礎(chǔ)設(shè)施等在內(nèi)的全貌信息,這樣才有可能通過記錄、分析,態(tài)勢感知等,保持動態(tài)信任。
以上,外加SASE需要較為完備的網(wǎng)絡(luò)棧和安全棧,很難由一家獨自完成,都意味著需要一個統(tǒng)一開放架構(gòu),去持續(xù)探索相關(guān)行業(yè)最佳實踐。這方面,已經(jīng)跟主流SD-WAN產(chǎn)品緊密相關(guān)了,而且更能體現(xiàn)出SD-WAN作為廣域網(wǎng)云化這一生產(chǎn)方式變遷的發(fā)酵作用;此外,統(tǒng)一開放架構(gòu)也還會進(jìn)一步與其他相關(guān)領(lǐng)域綜合演進(jìn),諸如云原生、NFV等。這些方面,稍后分析MEC時,會盡量做些力所能及的說明。
本節(jié)最后,回應(yīng)一下一個潛在問題和一個潛在趨勢:
潛在問題:傳統(tǒng)的安全功能還有用嗎?當(dāng)然有用,C語言不是也還至今頑強(qiáng)么;只不過在很多場合,可能需要適配到包括統(tǒng)一開放架構(gòu)在內(nèi)的范式框架中。
潛在趨勢:產(chǎn)業(yè)互聯(lián)網(wǎng)可能會與SASE有什么樣的關(guān)系?直接以5G為例,原文引用5G架構(gòu)協(xié)議中的一些架構(gòu)原則:
"Separate the User Plane (UP) functions from the Control Plane (CP) functions, allowing independent scalability, evolution and flexible deployments e.g. centralized location or distributed (remote) location." 俗稱的CUPS(控制平面與數(shù)據(jù)平面徹底分離),帶來在獨立伸縮性、演進(jìn)性以及靈活部署方面的諸多優(yōu)勢。可以看作是基于分層設(shè)計以及基于統(tǒng)一開放架構(gòu)方面的表現(xiàn)。
"Enable each Network Function and its Network Function Services to interact with other NF and its Network Function Services directly or indirectly via a Service Communication Proxy if required." 每個網(wǎng)絡(luò)功能和網(wǎng)絡(luò)功能服務(wù)與其它網(wǎng)絡(luò)功能和網(wǎng)絡(luò)功能服務(wù)之間的交互,通過直接方式,或者以服務(wù)通信代理的方式間接完成。可以看作是基于統(tǒng)一開放架構(gòu)方面的表現(xiàn)。
"Support a unified authentication framework." 支持統(tǒng)一的身份驗證框架。可以看作是基于身份驅(qū)動,基于分層設(shè)計,以及基于統(tǒng)一開放架構(gòu)方面的表現(xiàn)。
基于動態(tài)信任,作者當(dāng)前暫未在協(xié)議層面找到,但可以理解,因為當(dāng)前協(xié)議更多是在基礎(chǔ)設(shè)施層面做規(guī)范,而基于動態(tài)信任有點偏向于業(yè)務(wù)建模方面。但即便如此,還是傾向于預(yù)測:在5G的各個層面,逐步都會有更多基于動態(tài)信任的體現(xiàn)。
SASE系列至此完結(jié),下一話題會過度到5G MEC。如果要從事ICT行業(yè),離不開參考協(xié)議,但協(xié)議可能比字典還厚,所以會側(cè)重于對協(xié)議的導(dǎo)讀和分析。聽到過一些對通信行業(yè)的誤解,覺得相對較大的一個就是“通信行業(yè)是協(xié)議驅(qū)動”,那就從澄清這個誤解開始。
后記
預(yù)測趨勢要比預(yù)測時間點簡單得多,一些分析判斷:
5G、物聯(lián)網(wǎng)、邊緣計算等技術(shù)革新,不是為了技術(shù)而技術(shù),而是為了能將數(shù)字化、信息化、智能化,從消費互聯(lián)網(wǎng)行業(yè),延展到更為廣闊的產(chǎn)業(yè)互聯(lián)網(wǎng)領(lǐng)域。
為什么產(chǎn)業(yè)互聯(lián)網(wǎng)重要?因為第三次科技革命所能支撐起的消費互聯(lián)網(wǎng),已經(jīng)接近尾聲了,存量搏殺越來越激烈,政府、企業(yè),都迫切需要新的增量來安撫“不安的靈魂”。
那當(dāng)下產(chǎn)業(yè)互聯(lián)網(wǎng)為什么難做?除了技術(shù)原因之外,需要的主流創(chuàng)新模式不同。越上層的創(chuàng)新,復(fù)制起來也相對越快,這也客觀造就了當(dāng)下能直接復(fù)制解決的問題,大部分都已經(jīng)解決了。這種情況下,需要ICT(Information and Communication Technology,信息和通信技術(shù))領(lǐng)域與各個行業(yè)領(lǐng)域,能有更加廣泛而深入的交流與融合,在原理層面相互理解貫通,才有可能孵化出更有意義的產(chǎn)品。
如果您也認(rèn)同這個趨勢,歡迎來評論區(qū)聊聊~
何為“邊緣計算”?編程祖師爺尼古拉斯?威茨:算法+數(shù)據(jù)結(jié)構(gòu)=程序“一學(xué)就會”的微服務(wù)架構(gòu)模式除了 k8s,留給 k 和 s 中間的數(shù)字不多了!到底是誰發(fā)明了物聯(lián)網(wǎng)?再見 Nacos,我要玩 Service Mesh?了!點分享點收藏點點贊點在看總結(jié)
以上是生活随笔為你收集整理的说到 SASE,新的安全范式有哪些的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 你想知道的容器混合云问题,答案都在这里!
- 下一篇: Cloud Native Infrast