大型企業(yè)SASE解決方案及應(yīng)用實(shí)踐

王茜/WANG Qian，陳晨/CHEN Chen，井俊豐/JING Junfeng，季家震/JI Jiazhen

（奇安信科技集團(tuán)股份有限公司，中國(guó) 北京100032 ）

近年來(lái)，企業(yè)業(yè)務(wù)系統(tǒng)向云化遷移，信息數(shù)據(jù)日趨集中化。各種信息化系統(tǒng)趨于集中式建設(shè)和分布式服務(wù)。新型基礎(chǔ)設(shè)施如新型廣域網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、混合云、泛終端、大數(shù)據(jù)平臺(tái)的出現(xiàn)，也讓信息化系統(tǒng)的建設(shè)和運(yùn)維模式發(fā)生變化。同時(shí)，網(wǎng)絡(luò)安全形勢(shì)日趨復(fù)雜，網(wǎng)絡(luò)攻擊手段更為多樣。數(shù)據(jù)泄露、勒索軟件、高級(jí)可持續(xù)威脅（APT）攻擊等安全事件頻發(fā)。相應(yīng)地，針對(duì)這些安全威脅的實(shí)戰(zhàn)化、體系化、常態(tài)化要求也變得越來(lái)越高。信息技術(shù)（IT）、網(wǎng)絡(luò)、安全需要統(tǒng)籌管理。同步規(guī)劃、同步建設(shè)、同步運(yùn)營(yíng)已成為企業(yè)數(shù)字化轉(zhuǎn)型的必然要求。

但是，中國(guó)的企業(yè)信息化網(wǎng)絡(luò)依然面臨著防護(hù)不全、投入不足、能力不夠、效率不高等問(wèn)題。尤其是那些具有眾多分支機(jī)構(gòu)的大型企業(yè)，其分支機(jī)構(gòu)分布廣、防護(hù)范圍廣、防護(hù)點(diǎn)多，且各分支機(jī)構(gòu)的安全防護(hù)能力參差不齊，難以實(shí)現(xiàn)統(tǒng)一管理和安全防護(hù)。另外，全球疫情的蔓延使辦公環(huán)境從局域網(wǎng)延伸到居家辦公（SOHO）場(chǎng)景。各類(lèi)自帶設(shè)備（BYOD）終端已成為企業(yè)辦公環(huán)境的接入邊界。漏洞、后門(mén)、僵尸木馬等針對(duì)終端設(shè)備的安全威脅日益嚴(yán)重。黑客更容易入侵各類(lèi)智能設(shè)備，滲透企業(yè)網(wǎng)絡(luò)和重要的業(yè)務(wù)系統(tǒng)，竊取用戶(hù)數(shù)據(jù)或者企業(yè)經(jīng)營(yíng)數(shù)據(jù)。這將給企業(yè)帶來(lái)直接和間接的經(jīng)濟(jì)損失。

基于Gartner 提出的安全訪(fǎng)問(wèn)服務(wù)邊緣（SASE）架構(gòu)，我們?cè)O(shè)計(jì)了針對(duì)大型企業(yè)的一體化安全運(yùn)營(yíng)系統(tǒng)Q-SASE，通過(guò)“軟件定義安全”“軟件定義網(wǎng)絡(luò)”“零信任動(dòng)態(tài)評(píng)估”等技術(shù)實(shí)現(xiàn)了整體解決方案，并通過(guò)在大型企業(yè)的落地實(shí)踐，對(duì)Q-SASE的一體化安全運(yùn)營(yíng)的可行性和有效性進(jìn)行了驗(yàn)證。本研究可作為行業(yè)推廣的經(jīng)驗(yàn)參考。

1 基于SASE架構(gòu)的解決方案

1.1 SASE架構(gòu)的由來(lái)

2019年Gartner在《未來(lái)的安全在云端》中提出了SASE的概念。Gartner官方對(duì)SASE的定義如下：SASE通過(guò)將網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的功能融合為統(tǒng)一服務(wù)的模式，為企業(yè)客戶(hù)提供一個(gè)新的網(wǎng)絡(luò)安全架構(gòu)，如圖1 所示。SASE 能夠使分支機(jī)構(gòu)人員和移動(dòng)辦公用戶(hù)高效、安全地就近接入安全節(jié)點(diǎn)（部署在云端或者數(shù)據(jù)中心的PoP 點(diǎn)），以訪(fǎng)問(wèn)互聯(lián)網(wǎng)應(yīng)用、公有云軟件即服務(wù)（SaaS）、公司內(nèi)部應(yīng)用等。

▲圖1 SASE技術(shù)概念圖

根據(jù)Gartner的定義，SASE是一種基于實(shí)體的身份、實(shí)時(shí)上下文、企業(yè)安全/合規(guī)策略，以及在整個(gè)會(huì)話(huà)中持續(xù)評(píng)估風(fēng)險(xiǎn)/信任的服務(wù)。實(shí)體的身份可與人員、人員組（分支機(jī)構(gòu)）、設(shè)備、應(yīng)用、服務(wù)、物聯(lián)網(wǎng)系統(tǒng)或邊緣計(jì)算場(chǎng)地相關(guān)聯(lián)。SASE架構(gòu)將使安全運(yùn)營(yíng)以一致和集成的方式提供一組豐富的安全網(wǎng)絡(luò)服務(wù)，從而支持企業(yè)數(shù)字化轉(zhuǎn)型和業(yè)務(wù)向云計(jì)算的遷移，并滿(mǎn)足員工移動(dòng)辦公的需求。

1.2 Q-SASE解決方案

基于SASE架構(gòu)和零信任理念，Q-SASE 解決方案采用“軟件定義廣域網(wǎng)絡(luò)（SD-WAN）+軟件定義安全+零信任動(dòng)態(tài)信任”的技術(shù)路線(xiàn)，實(shí)現(xiàn)了針對(duì)大型企業(yè)的分支機(jī)構(gòu)和移動(dòng)辦公場(chǎng)景下訪(fǎng)問(wèn)互聯(lián)網(wǎng)、公有云、私有云內(nèi)部應(yīng)用的整體安全防護(hù)。其中，SD-WAN 技術(shù)對(duì)分支機(jī)構(gòu)的各類(lèi)訪(fǎng)問(wèn)流量進(jìn)行組網(wǎng)編排和引流，軟件定義安全的云安全資源池對(duì)多種訪(fǎng)問(wèn)流量進(jìn)行安全防護(hù)，零信任技術(shù)對(duì)接入的用戶(hù)終端進(jìn)行身份認(rèn)證和動(dòng)態(tài)訪(fǎng)問(wèn)控制。因此，Q-SASE能夠?qū)崿F(xiàn)組網(wǎng)和安全功能相融合的整體解決方案。

Q-SASE解決方案包括一套安全運(yùn)營(yíng)管理服務(wù)平臺(tái)，以及為企業(yè)客戶(hù)建設(shè)的云安全資源池，通過(guò)在分支機(jī)構(gòu)部署SD-WAN安全網(wǎng)關(guān)，以及移動(dòng)辦公終端安裝零信任客戶(hù)端，將訪(fǎng)問(wèn)互聯(lián)網(wǎng)、內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的流量引流到安全資源池進(jìn)行安全防護(hù)和安全威脅檢測(cè)分析，并在威脅檢測(cè)分析的基礎(chǔ)上，提供“安全運(yùn)行閉環(huán)管理并持續(xù)監(jiān)測(cè)響應(yīng)為核心”的安全運(yùn)營(yíng)，如圖2所示。

▲圖2 Q-SASE的系統(tǒng)組成

1）Q-SASE 的安全運(yùn)營(yíng)管理服務(wù)平臺(tái)。該平臺(tái)能夠?qū)φ麄€(gè)SASE架構(gòu)中的系統(tǒng)模塊進(jìn)行持續(xù)運(yùn)行監(jiān)測(cè)，以保障整個(gè)系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行。此外，該平臺(tái)還可對(duì)運(yùn)營(yíng)人員的權(quán)限和工單進(jìn)行管理，實(shí)現(xiàn)對(duì)安全告警日志和安全事件的持續(xù)跟蹤與管理，并基于企業(yè)需求針對(duì)安全資源池和安全網(wǎng)關(guān)中的組網(wǎng)策略和安全策略進(jìn)行持續(xù)優(yōu)化。

2）Q-SASE 的安全資源池。安全資源池采用虛擬化鏡像的方式來(lái)部署不同的安全組件。安全資源池的安全組件按需配置。安全組件的創(chuàng)建、初始化、激活等操作都由安全資源池來(lái)支撐系統(tǒng)自動(dòng)完成。在不同分支機(jī)構(gòu)的SD-WAN 安全網(wǎng)關(guān)接入資源池前，安全資源池將支撐系統(tǒng)，使系統(tǒng)按照不同租戶(hù)角色申請(qǐng)來(lái)部署安裝相應(yīng)的安全組件。安全訪(fǎng)問(wèn)服務(wù)的云安全資源池采用虛擬化方式部署，可基于接入的分支機(jī)構(gòu)數(shù)量和互聯(lián)網(wǎng)流量規(guī)模實(shí)現(xiàn)彈性擴(kuò)容。根據(jù)不同企業(yè)的需求，安全資源池可部署豐富的安全組件，包括虛擬化防火墻安全組件、上網(wǎng)行為審計(jì)安全組件、零信任接入安全組件、虛擬化Web 應(yīng)用防護(hù)（WAF）安全組件、日志審計(jì)安全組件、態(tài)勢(shì)感知云探針安全組件等。

3）SD-WAN組網(wǎng)及引流。采用SD-WAN技術(shù)，安全網(wǎng)關(guān)與安全資源池之間可實(shí)現(xiàn)快速靈活組網(wǎng)，并支持將分支機(jī)構(gòu)訪(fǎng)問(wèn)互聯(lián)網(wǎng)應(yīng)用和內(nèi)網(wǎng)應(yīng)用的流量引流到安全資源池以進(jìn)行安全防護(hù)和安全運(yùn)營(yíng)。安全網(wǎng)關(guān)設(shè)備支持零配置開(kāi)局部署，并支持自動(dòng)注冊(cè)及從運(yùn)營(yíng)管理平臺(tái)獲取初始化網(wǎng)絡(luò)配置和安全策略配置，還可通過(guò)預(yù)配置向?qū)?、批量腳本導(dǎo)入、郵件零配置上線(xiàn)（ZTP）、無(wú)線(xiàn)網(wǎng)絡(luò)ZTP 等多種方式，實(shí)現(xiàn)分鐘級(jí)零配置上線(xiàn)。安全網(wǎng)關(guān)還支持靈活接入能力，可以支持專(zhuān)線(xiàn)接入、互聯(lián)網(wǎng)以及4G/5G移動(dòng)網(wǎng)接入。

4）零信任客戶(hù)端接入?；诹阈湃慰蛻?hù)端對(duì)可信訪(fǎng)問(wèn)控制臺(tái)和可信應(yīng)用代理的訪(fǎng)問(wèn)，從身份風(fēng)險(xiǎn)、終端風(fēng)險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)、權(quán)限和數(shù)據(jù)風(fēng)險(xiǎn)5個(gè)維度，全面構(gòu)建從終端到應(yīng)用訪(fǎng)問(wèn)的端到端安全防護(hù)信任評(píng)估能力。便捷的運(yùn)維管理能力和動(dòng)態(tài)訪(fǎng)問(wèn)控制機(jī)制，可確保在業(yè)務(wù)訪(fǎng)問(wèn)的各個(gè)階段都能擁有較好的零信任防護(hù)效果。零信任可信客戶(hù)端對(duì)接入終端的用戶(hù)進(jìn)行身份認(rèn)證，支持賬號(hào)的統(tǒng)一管理與單點(diǎn)登錄，擁有權(quán)限管理與多因子認(rèn)證等安全能力；支持對(duì)終端的應(yīng)用環(huán)境進(jìn)行實(shí)時(shí)監(jiān)測(cè)，即只有通過(guò)終端環(huán)境信任評(píng)估的才能接入政企客戶(hù)內(nèi)部網(wǎng)絡(luò)，例如是否安裝殺毒軟件、是否升級(jí)到最新版本和最新病毒庫(kù)；基于終端的身份管理，可以依托企業(yè)的4A（包括認(rèn)證、賬號(hào)、授權(quán)、審計(jì)）、身份識(shí)別與訪(fǎng)問(wèn)管理（IAM）、Windows 服務(wù)器的活動(dòng)目錄（AD）、輕量目錄訪(fǎng)問(wèn)協(xié)議（LDAP）、公鑰基礎(chǔ)設(shè)施（PKI）等基礎(chǔ)設(shè)施，也可以基于企業(yè)自建的身份認(rèn)證中心和應(yīng)用訪(fǎng)問(wèn)會(huì)話(huà)，對(duì)所有訪(fǎng)問(wèn)請(qǐng)求建立動(dòng)態(tài)訪(fǎng)問(wèn)控制策略。

2 Q-SASE的關(guān)鍵技術(shù)實(shí)現(xiàn)

基于SASE 的創(chuàng)新型架構(gòu)和內(nèi)生安全框架，Q-SASE 方案采用“軟件定義網(wǎng)絡(luò)”“軟件定義安全”和“零信任動(dòng)態(tài)評(píng)估”3種技術(shù)，不僅實(shí)現(xiàn)了SD-WAN技術(shù)的靈活組網(wǎng)和引流，還實(shí)現(xiàn)了云安全資源池的按需交付和分布式部署，以及零信任的身份管理和信任評(píng)估動(dòng)態(tài)控制，并基于實(shí)時(shí)威脅檢測(cè)實(shí)現(xiàn)了安全風(fēng)險(xiǎn)分析與協(xié)同處置。

2.1 軟件定義網(wǎng)絡(luò)技術(shù)方案

Q-SASE采用SD-WAN的技術(shù)路線(xiàn)，而SD-WAN是基于軟件定義網(wǎng)絡(luò)（SDN）的技術(shù)體系發(fā)展而來(lái)的。Q-SASE 實(shí)現(xiàn)了SDN管控平臺(tái)與安全網(wǎng)關(guān)的協(xié)同工作機(jī)制。

SDN采用與傳統(tǒng)網(wǎng)絡(luò)截然不同的控制架構(gòu)，將網(wǎng)絡(luò)控制平面和轉(zhuǎn)發(fā)平面分離，采用集中控制替代原有分布式控制，并通過(guò)開(kāi)放和可編程接口實(shí)現(xiàn)軟件定義。SDN技術(shù)架構(gòu)如圖3所示。

▲圖3 軟件定義網(wǎng)絡(luò)技術(shù)方案

從網(wǎng)絡(luò)架構(gòu)層次上看，SDN典型的網(wǎng)絡(luò)架構(gòu)包括轉(zhuǎn)發(fā)層（基礎(chǔ)設(shè)施層）、控制層和應(yīng)用層。該新技術(shù)會(huì)對(duì)組網(wǎng)技術(shù)產(chǎn)生以下積極的影響：

1）降低設(shè)備復(fù)雜度。轉(zhuǎn)發(fā)和控制的分離，使得網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)平面的能力要求趨于簡(jiǎn)化和統(tǒng)一，硬件組件趨于通用化而且便于不同廠(chǎng)商設(shè)備的互通。這些都有利于降低設(shè)備的復(fù)雜度和硬件成本。

2）提高網(wǎng)絡(luò)利用率。集中的控制平面可以實(shí)現(xiàn)海量網(wǎng)絡(luò)設(shè)備的集中管理，使得網(wǎng)絡(luò)運(yùn)維人員能夠基于完整的網(wǎng)絡(luò)全局視圖實(shí)施網(wǎng)絡(luò)規(guī)劃，優(yōu)化網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)利用率，降低運(yùn)維成本。

3）加速網(wǎng)絡(luò)創(chuàng)新。一方面，SDN 通過(guò)控制平面可以便捷地為網(wǎng)絡(luò)設(shè)備制定各種策略，提升網(wǎng)絡(luò)靈活性；另一方面，SDN提供開(kāi)放的北向接口，允許上層應(yīng)用直接訪(fǎng)問(wèn)所需的網(wǎng)絡(luò)資源和服務(wù)，使得網(wǎng)絡(luò)可以差異化地滿(mǎn)足上層應(yīng)用需求，提供更靈活的網(wǎng)絡(luò)服務(wù)，加速網(wǎng)絡(luò)創(chuàng)新。

SD-WAN 是將SDN 技術(shù)應(yīng)用到廣域網(wǎng)場(chǎng)景中的一種實(shí)踐方案。這種方案用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用及云服務(wù)，旨在幫助企業(yè)降低廣域網(wǎng)的開(kāi)支，提高網(wǎng)絡(luò)連接靈活性。SD-WAN 作為SDN 技術(shù)體系中的一種可落地的門(mén)類(lèi)，為企業(yè)帶來(lái)了低成本、高可用帶寬的組網(wǎng)方式。

2.2 軟件定義安全技術(shù)方案

“軟件定義”作為一種理念，可以從網(wǎng)絡(luò)領(lǐng)域沿用到安全領(lǐng)域。云安全資源池作為Q-SASE解決方案實(shí)現(xiàn)的重要載體，其背后的技術(shù)支撐正是軟件定義安全（SDS）。云安全資源池也是軟件定義安全技術(shù)的核心應(yīng)用方向之一。

云安全資源池技術(shù)方案的目標(biāo)在于“隨需而變”，而這正符合軟件定義安全敏捷、高效、開(kāi)放的特點(diǎn)。云安全資源池需要運(yùn)行在云計(jì)算環(huán)境中，不僅要解決傳統(tǒng)安全能力落地的問(wèn)題，還要能夠充分發(fā)揮云計(jì)算基礎(chǔ)設(shè)施的功能與優(yōu)勢(shì)，實(shí)現(xiàn)快速交付、分布式部署、多云（含信創(chuàng)）環(huán)境支持、服務(wù)鏈編排等。

在軟件定義安全的技術(shù)實(shí)現(xiàn)中，安全管理控制是重中之重。這是因?yàn)榘踩芾砜刂瞥袚?dān)了所有安全能力的服務(wù)抽象、服務(wù)編排及調(diào)度、策略管理、策略交付等安全核心功能。此外，安全管理控制還需要實(shí)現(xiàn)與云平臺(tái)的深度集成，基于應(yīng)用程序編程接口（API）獲取云上租戶(hù)資產(chǎn)的關(guān)鍵信息，以便安全管理員部署和管理所需的安全資源。

Q-SASE中的云安全資源池，技術(shù)方案架構(gòu)如圖4所示。

▲圖4 軟件定義安全技術(shù)方案

此外，云安全資源池南向?qū)Π踩芰ν耆_(kāi)放，可通過(guò)定義安全組件的統(tǒng)一接入規(guī)范來(lái)支持各類(lèi)安全能力，包括第三方安全能力的接入；北向通過(guò)開(kāi)放API支持平臺(tái)的能力和用戶(hù)的業(yè)務(wù)系統(tǒng)深度融合；西向通過(guò)定義標(biāo)準(zhǔn)的服務(wù)鏈編排接口支持各種引流設(shè)備，包括傳統(tǒng)的交換機(jī)引流和SDN 控制器引流；東向則通過(guò)定義標(biāo)準(zhǔn)的云平臺(tái)對(duì)接技術(shù)規(guī)范來(lái)統(tǒng)一支持各種私有云、公有云等云平臺(tái)的對(duì)接，實(shí)現(xiàn)云平臺(tái)租戶(hù)、資產(chǎn)、用戶(hù)的同步和管理。

2.3 零信任身份管理及信任評(píng)估技術(shù)方案

零信任技術(shù)方案關(guān)注業(yè)務(wù)保護(hù)面的構(gòu)建，通過(guò)業(yè)務(wù)保護(hù)面實(shí)現(xiàn)對(duì)資源的保護(hù)。在零信任方案中，應(yīng)用、服務(wù)、接口、數(shù)據(jù)都可以作為業(yè)務(wù)資源。該方案通過(guò)構(gòu)建保護(hù)面實(shí)現(xiàn)對(duì)暴露面的收縮，要求所有業(yè)務(wù)默認(rèn)隱藏，并根據(jù)授權(quán)結(jié)果進(jìn)行最低程度的開(kāi)放。所有的業(yè)務(wù)訪(fǎng)問(wèn)請(qǐng)求都應(yīng)該進(jìn)行全流量加密和強(qiáng)制授權(quán)。業(yè)務(wù)安全訪(fǎng)問(wèn)相關(guān)機(jī)制需要盡可能工作在應(yīng)用協(xié)議層。

基于身份而非網(wǎng)絡(luò)位置來(lái)構(gòu)建訪(fǎng)問(wèn)控制體系，首先需要為接入網(wǎng)絡(luò)的人和設(shè)備賦予數(shù)字身份，將身份化的人、設(shè)備和應(yīng)用進(jìn)行運(yùn)行時(shí)組合構(gòu)建訪(fǎng)問(wèn)主體，并為訪(fǎng)問(wèn)主體設(shè)定其所需的最小權(quán)限，以進(jìn)行全面數(shù)字化管理。其中，訪(fǎng)問(wèn)主體由用戶(hù)、設(shè)備和應(yīng)用組合而成。系統(tǒng)會(huì)在身份管理的基礎(chǔ)上進(jìn)行持續(xù)信任評(píng)估，并通過(guò)信任評(píng)估模型和算法，實(shí)現(xiàn)基于身份的信任評(píng)估能力，同時(shí)需要對(duì)訪(fǎng)問(wèn)的上下文環(huán)境進(jìn)行風(fēng)險(xiǎn)判定，對(duì)訪(fǎng)問(wèn)請(qǐng)求進(jìn)行異常行為識(shí)別，并對(duì)信任評(píng)估結(jié)果進(jìn)行調(diào)整。在身份信任的基礎(chǔ)上，系統(tǒng)還需要評(píng)估主體信任。主體信任是對(duì)身份信任在當(dāng)前訪(fǎng)問(wèn)上下文中的動(dòng)態(tài)調(diào)整，和認(rèn)證強(qiáng)度、風(fēng)險(xiǎn)狀態(tài)和環(huán)境因素等相關(guān)。身份信任相對(duì)穩(wěn)定，而主體信任和網(wǎng)絡(luò)代理一樣，具有短時(shí)性特征，是一種動(dòng)態(tài)信任。

基于主體的信任等級(jí)進(jìn)行動(dòng)態(tài)訪(fǎng)問(wèn)控制是零信任技術(shù)方案的本質(zhì)所在。動(dòng)態(tài)訪(fǎng)問(wèn)控制采用基于角色授權(quán)（RBAC）和基于屬性授權(quán)（ABAC）的組合授權(quán)模式。這樣便于系統(tǒng)實(shí)施靈活的動(dòng)態(tài)訪(fǎng)問(wèn)控制。基于安全基線(xiàn)疊加信任等級(jí)可實(shí)現(xiàn)分級(jí)的業(yè)務(wù)訪(fǎng)問(wèn)。同時(shí)，當(dāng)訪(fǎng)問(wèn)上下文和環(huán)境存在風(fēng)險(xiǎn)時(shí)，系統(tǒng)需要對(duì)訪(fǎng)問(wèn)權(quán)限進(jìn)行實(shí)時(shí)干預(yù)，并評(píng)估是否需要對(duì)訪(fǎng)問(wèn)主體的信任進(jìn)行降級(jí)。

2.4 安全威脅分析及協(xié)同處置技術(shù)方案

在日常的安全運(yùn)營(yíng)工作中，真正的威脅往往會(huì)被淹沒(méi)在大量的未確認(rèn)安全事件中，如低危的防火墻、IDS和WAF告警等。然而，這些告警的分析確認(rèn)和處置往往會(huì)成為令人頭疼的問(wèn)題。傳統(tǒng)的安全檢測(cè)能力主要依托特征庫(kù)匹配的檢測(cè)機(jī)制。雖然這樣能夠有效地檢測(cè)并攔截普通的低級(jí)威脅，但也會(huì)產(chǎn)生大量的冗余和誤報(bào)告警。如果不對(duì)安全策略和檢測(cè)機(jī)制進(jìn)行優(yōu)化，安全運(yùn)營(yíng)人員就無(wú)法在發(fā)生威脅的第一時(shí)間判斷出哪些威脅會(huì)造成嚴(yán)重影響，哪些威脅需要優(yōu)先處置。

基于大數(shù)據(jù)架構(gòu)設(shè)計(jì)的流式關(guān)聯(lián)分析引擎，能夠?qū)崟r(shí)關(guān)聯(lián)多維度數(shù)據(jù)，結(jié)合云端的威脅情報(bào)樣本，可以針對(duì)使用不同日志數(shù)據(jù)（如入侵防御日志、上網(wǎng)行為日志等）檢測(cè)內(nèi)部主機(jī)連接攻擊者遠(yuǎn)程命令和控制服務(wù)器，進(jìn)而發(fā)現(xiàn)失陷主機(jī)的安全威脅，防止由失陷帶來(lái)的數(shù)據(jù)泄密、系統(tǒng)破壞等關(guān)鍵風(fēng)險(xiǎn)?；谠瓢踩Y源池的本地威脅情報(bào)，配合云端威脅情報(bào)分析平臺(tái)進(jìn)行進(jìn)一步的分析，了解安全威脅的背景信息，以及攻擊者的相關(guān)網(wǎng)絡(luò)資源和歷史攻擊行為，并進(jìn)行深入追蹤，通過(guò)多數(shù)據(jù)關(guān)聯(lián)分析和威脅溯源，實(shí)時(shí)提供攻擊者上下文信息，提升威脅分析、溯源和協(xié)同處置的效率。

3 Q-SASE的應(yīng)用實(shí)踐

基于中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司（簡(jiǎn)稱(chēng)中國(guó)電子）的一體化安全運(yùn)營(yíng)需求，結(jié)合企業(yè)數(shù)字化轉(zhuǎn)型的業(yè)務(wù)發(fā)展目標(biāo)，我們構(gòu)建了包括Q-SASE運(yùn)營(yíng)管理服務(wù)平臺(tái)，云安全資源池的安全防護(hù)組件、零信任組件，以及SD-WAN 安全網(wǎng)關(guān)和零信任客戶(hù)端在內(nèi)的Q-SASE一體化安全運(yùn)營(yíng)系統(tǒng)，為中國(guó)電子26 家二級(jí)企業(yè)的240 家分支機(jī)構(gòu)和超過(guò)12 萬(wàn)員工的公有云、行業(yè)云終端訪(fǎng)問(wèn)業(yè)務(wù)，提供覆蓋云網(wǎng)端的安全防護(hù)和安全運(yùn)營(yíng)能力。

在中國(guó)電子的3 類(lèi)企業(yè)信息系統(tǒng)訪(fǎng)問(wèn)場(chǎng)景中，Q-SASE重點(diǎn)實(shí)現(xiàn)以下系統(tǒng)建設(shè)和安全防護(hù)：

1）采用新型SD-WAN技術(shù)，建設(shè)覆蓋全部二三級(jí)企業(yè)的廣域網(wǎng)，并將各分支機(jī)構(gòu)的互聯(lián)網(wǎng)訪(fǎng)問(wèn)流量進(jìn)行匯聚，統(tǒng)一實(shí)現(xiàn)互聯(lián)網(wǎng)出口集中管理和安全防護(hù)；

2）根據(jù)數(shù)字中國(guó)電子自身業(yè)務(wù)發(fā)展和未來(lái)業(yè)務(wù)系統(tǒng)集中上云的規(guī)劃，在北京、武漢、深圳等云數(shù)據(jù)中心部署分布式的安全資源池，具備針對(duì)統(tǒng)一互聯(lián)網(wǎng)出口流量和內(nèi)部業(yè)務(wù)系統(tǒng)訪(fǎng)問(wèn)流量的安全防護(hù)能力和零信任安全訪(fǎng)問(wèn)能力，對(duì)集團(tuán)總部、所屬二三級(jí)企業(yè)以及新建云數(shù)據(jù)中心之間的網(wǎng)絡(luò)通信安全、公有云和行業(yè)云業(yè)務(wù)系統(tǒng)安全、辦公訪(fǎng)問(wèn)安全進(jìn)行有效保障；

3）依托云安全資源池的安全防護(hù)組件和零信任組件的能力，以及態(tài)勢(shì)感知的威脅發(fā)現(xiàn)能力，通過(guò)專(zhuān)業(yè)的安全運(yùn)行團(tuán)隊(duì)進(jìn)行持續(xù)巡檢監(jiān)測(cè)、故障發(fā)現(xiàn)、處置保障、策略?xún)?yōu)化等安全運(yùn)行閉環(huán)，周期性安全評(píng)估安全防護(hù)系統(tǒng)平臺(tái)自身的安全性，提升網(wǎng)絡(luò)安全攻防演練期間的統(tǒng)一安全防護(hù)效果；

4）結(jié)合數(shù)字中國(guó)電子的實(shí)際組織架構(gòu)現(xiàn)狀，建立全集團(tuán)統(tǒng)一安全運(yùn)營(yíng)服務(wù)中心，將原有純建設(shè)的防護(hù)交付模式，演進(jìn)為以安全服務(wù)保安全效果的服務(wù)交付模式，從“集團(tuán)業(yè)務(wù)全應(yīng)用場(chǎng)景”的角度出發(fā)，全面考慮“集團(tuán)網(wǎng)絡(luò)安全職能落地”“各單位網(wǎng)絡(luò)安全職責(zé)落地”所需的工作內(nèi)容，貼合設(shè)計(jì)、服務(wù)保障。

中國(guó)電子是以網(wǎng)絡(luò)安全和信息化為主業(yè)的國(guó)有信息技術(shù)（IT）企業(yè)，也是兼具計(jì)算機(jī)中央處理器（CPU）和操作系統(tǒng)關(guān)鍵核心技術(shù)的中國(guó)企業(yè)。Q-SASE提供的安全防護(hù)和安全運(yùn)營(yíng)不僅能夠覆蓋公共通信和信息服務(wù)業(yè)，計(jì)算機(jī)、通信和其他電子設(shè)備制造業(yè)，還覆蓋專(zhuān)用設(shè)備制造業(yè)、商務(wù)服務(wù)業(yè)、批發(fā)業(yè)等多個(gè)國(guó)民經(jīng)濟(jì)行業(yè)。在基于Q-SASE方案進(jìn)行一體化安全運(yùn)營(yíng)過(guò)程中，系統(tǒng)累計(jì)發(fā)布42 期安全周報(bào)，下發(fā)110份安全事件通告，累計(jì)處理74.3萬(wàn)條告警（其中有危急告警8.4 萬(wàn)條、高危告警22.7 萬(wàn)條）。前10 位的攻擊類(lèi)型和所占比例分別為：SQL 注入占23.11%，信息泄露占11.82%，代碼執(zhí)行占9.50%，命令執(zhí)行占4.67%，弱口令占4.04%，暴力猜解占4.03%，跨站腳本攻擊占2.59%，網(wǎng)絡(luò)掃描占2.39%，配置不當(dāng)/錯(cuò)誤占2.29%，非授權(quán)訪(fǎng)問(wèn)占1.34%。Q-SASE通過(guò)及時(shí)分析監(jiān)測(cè)發(fā)現(xiàn)威脅及安全事件，同步開(kāi)展響應(yīng)和處置工作，并通過(guò)策略編排及時(shí)阻斷病毒文件、間諜軟件橫向傳播等風(fēng)險(xiǎn)，形成預(yù)警及處置報(bào)告。Q-SASE方案在中國(guó)電子集團(tuán)總部南遷、重大活動(dòng)網(wǎng)絡(luò)安全保障、挖礦行為自查自糾、國(guó)家級(jí)實(shí)戰(zhàn)攻防演練等活動(dòng)中，均取得明顯成效。

4 總結(jié)和展望

Q-SASE的整體解決方案，將原有分散在各分支機(jī)構(gòu)的網(wǎng)絡(luò)安全設(shè)備集中到云安全資源池，以進(jìn)行統(tǒng)一建設(shè)，實(shí)現(xiàn)分支機(jī)構(gòu)的互聯(lián)網(wǎng)和內(nèi)網(wǎng)訪(fǎng)問(wèn)流量的收口和統(tǒng)一的安全防護(hù)與安全運(yùn)營(yíng)。Q-SASE 的應(yīng)用實(shí)踐表明，Q-SASE 方案可以系統(tǒng)性、工程化地實(shí)現(xiàn)安全防護(hù)和安全運(yùn)營(yíng)能力的集中部署、集中運(yùn)行和統(tǒng)一運(yùn)營(yíng)，使大型企業(yè)的分支機(jī)構(gòu)快速具備網(wǎng)絡(luò)安全能力，在疫情常態(tài)化后的困境中，讓靈活、安全的辦公和安全上云的訪(fǎng)問(wèn)成為可能，為企業(yè)數(shù)字化轉(zhuǎn)型保駕護(hù)航。當(dāng)然，目前的Q-SASE整體方案還處于初級(jí)階段，仍需要通過(guò)不斷的研究及技術(shù)實(shí)現(xiàn)，將現(xiàn)有的安全能力以及未來(lái)可能增加的安全能力通過(guò)編排集成到一起，并且實(shí)現(xiàn)安全能力編排化、安全流程自動(dòng)化、安全運(yùn)行智能化的升級(jí)演進(jìn)。