數(shù)字化轉(zhuǎn)型中云網(wǎng)接入面臨三大挑戰(zhàn) 奇安信Q-SASE提供可靠支撐

伴隨著數(shù)字化轉(zhuǎn)型的加速，大型政企單位面臨組織廣域化、辦公環(huán)境復(fù)雜化、應(yīng)用系統(tǒng)云化、信息數(shù)據(jù)集中化的變革，集團(tuán)總部與下級(jí)單位的互聯(lián)網(wǎng)出口訪問難以統(tǒng)一管控;同時(shí)遠(yuǎn)程辦公、移動(dòng)辦公以及混合辦公成為了工作常態(tài)，隨之而來企業(yè)內(nèi)部信息資產(chǎn)訪問同樣面臨安全挑戰(zhàn)，“防護(hù)不全、能力不夠、效率不高”已成為制約數(shù)字化轉(zhuǎn)型的瓶頸。

　　安全訪問面臨的三大挑戰(zhàn)

　挑戰(zhàn)一：防護(hù)不全

集團(tuán)總部、數(shù)據(jù)中心、分支機(jī)構(gòu)、云平臺(tái)等的安全防護(hù)要求不同，安全需求復(fù)雜;各下級(jí)單位分布廣，安全邊界模糊，不再可信;IT基礎(chǔ)設(shè)施的防護(hù)范圍廣、防護(hù)點(diǎn)多，這些都會(huì)導(dǎo)致攻擊面大量暴露，防護(hù)難以覆蓋。

挑戰(zhàn)二：能力不夠

安全產(chǎn)品的大量堆砌、策略重復(fù)開啟，使得安全運(yùn)營人員難以確認(rèn)安全產(chǎn)品的相關(guān)策略是否有效運(yùn)行，無法發(fā)揮潛在價(jià)值;與此同時(shí)，大量安全設(shè)備產(chǎn)生的海量告警信息使得安全運(yùn)營人員難以應(yīng)對(duì)，從而讓真正有威脅的告警淹沒在了無效告警中，并且缺少專業(yè)人員研判、事件優(yōu)先級(jí)不明確，難以做到最優(yōu)的應(yīng)急處置策略。

挑戰(zhàn)三：效率不高

安全設(shè)備和系統(tǒng)需要部署在各二、三級(jí)單位，作用范圍小，資源浪費(fèi)，各單位分散進(jìn)行安全事件分析處置，無法集中進(jìn)行管理，知識(shí)庫難共享;各種安全設(shè)備和系統(tǒng)無法統(tǒng)一進(jìn)行運(yùn)維管理，需要本地配置相應(yīng)的系統(tǒng)運(yùn)維人員，人效偏低。

四大能力模塊構(gòu)筑安全訪問基礎(chǔ)

為應(yīng)對(duì)上述挑戰(zhàn)，奇安信Q-SASE將網(wǎng)絡(luò)功能和安全功能融合為統(tǒng)一服務(wù)模式，提供了終端可信接入、組網(wǎng)/引流、分布式安全資源以及統(tǒng)一安全運(yùn)營服務(wù)平臺(tái)能力，使內(nèi)部用戶、分支機(jī)構(gòu)用戶和移動(dòng)辦公用戶，都能夠高效且安全地接入SASE服務(wù)節(jié)點(diǎn)(POP點(diǎn))，對(duì)外(out)受控訪問互聯(lián)網(wǎng)應(yīng)用、公有云SaaS，對(duì)內(nèi)(in)安全訪問公司內(nèi)部資源和應(yīng)用。

據(jù)介紹，奇安信Q-SASE主要包含四大模塊。

統(tǒng)一安全運(yùn)營平臺(tái)：對(duì)Q-SASE架構(gòu)中的系統(tǒng)、安全網(wǎng)關(guān)、資源池組件等進(jìn)行持續(xù)監(jiān)測，保障整個(gè)系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行。支持對(duì)運(yùn)營人員的權(quán)限和工作進(jìn)行管理，提供對(duì)安全告警日志和安全事件的持續(xù)跟蹤和管理，并基于客戶需求針對(duì)安全資源池和安全網(wǎng)關(guān)中的組網(wǎng)策略和安全策略進(jìn)行持續(xù)優(yōu)化

分布式安全資源池：采用虛擬化鏡像方式部署不同安全組件，比如虛擬化防火墻、上網(wǎng)行為審計(jì)、虛擬化WAF等，實(shí)現(xiàn)安全能力彈性擴(kuò)充、安全組件單點(diǎn)登錄、安全組件和特征庫統(tǒng)一升級(jí)管理功能。

組網(wǎng)&引流：安全網(wǎng)關(guān)采用SD-WAN組網(wǎng)技術(shù)與安全資源池實(shí)現(xiàn)快速靈活的接入，支持將分支訪問流量按需引流到安全資源池進(jìn)行安全防護(hù)和上網(wǎng)審計(jì);支持?jǐn)?shù)據(jù)加密傳輸，不同應(yīng)用設(shè)置不同的引流規(guī)則。

可信終端接入：通過零信任可信訪問控制臺(tái)和零信任可信應(yīng)用代理，從身份風(fēng)險(xiǎn)、終端風(fēng)險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)、權(quán)限和數(shù)據(jù)風(fēng)險(xiǎn)五個(gè)維度，全面構(gòu)建從終端到應(yīng)用訪問的端到端安全防護(hù)能力，通過便捷的運(yùn)維管理能力和動(dòng)態(tài)訪問控制機(jī)制，確保零信任的防護(hù)效果落實(shí)在業(yè)務(wù)訪問的各個(gè)階段。

三大價(jià)值構(gòu)提交安全訪問“最優(yōu)解”

基于上述四大模塊，奇安信Q-SASE能夠?yàn)榭蛻籼峁┮韵氯齻€(gè)方面的價(jià)值。

首先是隨時(shí)隨地的安全訪問。

通過Q-SASESASE可以將在云管理平臺(tái)上設(shè)置的策略，下發(fā)至靠近終端用戶最近的安全節(jié)點(diǎn)，無論用戶處于何時(shí)、何地，都可以安全可控的訪問所需資源。

其次是持續(xù)的安全運(yùn)營

SASE采用統(tǒng)一的安全架構(gòu)、提供統(tǒng)一防護(hù)水平、實(shí)施統(tǒng)一訪問策略、實(shí)現(xiàn)統(tǒng)一運(yùn)行管理,為信息化網(wǎng)絡(luò)提供全局安全防護(hù)的持續(xù)保障。

第三是大幅的降本增效。

Q-SASE同時(shí)具備安全防護(hù)能力和組網(wǎng)能力，基于云安全資源池提供NGFW、WAF、SWG、端點(diǎn)安全等多項(xiàng)安全能力，避免IT和安全的重復(fù)建設(shè)、重復(fù)投入，大幅度降低了信息化建設(shè)成本和管理成本;基于SD-WAN可以實(shí)現(xiàn)總部、分支機(jī)構(gòu)的安全組網(wǎng)，節(jié)約了昂貴的專線費(fèi)用。

　結(jié)束語

奇安信Q-SASE可以有效幫助政企單位解決了分支機(jī)構(gòu)互聯(lián)網(wǎng)收口訪問、內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)訪問、遠(yuǎn)程接入訪問的安全防護(hù)需求，有效緩解 “防護(hù)不全、能力不夠、效率不高”的三大新型挑戰(zhàn)，為企業(yè)的每一次云網(wǎng)接入訪問保駕護(hù)航。