产业调研:深信服SASE3.0要做什么?| 国君计算机李沐华
产业调研系列
— 作者:李沐华 —
讲解SASE平台技术革新点
深入了解深信服SASE3.0为各行业提供的新价值与解决方案
公布SASE凌云合作伙伴计划
核心要点
1、SASE通过在云上面构建一张覆盖多云、混合云、SaaS甚至是互联网的一张大网,让所有的访问都可以通过这张网来进行。通过这种方式,SASE可以把整个云进行防护,任何的访问和安全防护都可以通过这张网来进行实现。
2、深信服开发了一个能够兼顾性能、环境适应性以及云端赋能本地的计算模式——fusionEdge。fusionEdge在本地保留一定的计算能力,把部分的SASE能力按需动态的下沉到本地设备,实现平衡算力的融合架构。
3、深信服SASE平台3.0是一种全新的订阅化产品和服务模式,由深信服务能力平台和合作伙伴的服务平台两部分组成。其中深信服务能力平台负责能力的输出,包括产品能力、运营能力、服务能力以及平台能力。合作伙伴通过深信服提供的能力,构建面向用户的服务平台,提供线上线下结合的标准化高效高质量的持续服务,快速响应用户的需求。
Part 01 全云原生-SASE 3.0 技术革新点(讲解人:安全业务副总裁 林冠烨)
SASE重新定义边界安全。随着云化SaaS化的大趋势下,原有的数据中心业务被大量的云计算所替代,出现了多元混合云的这种数据中心架构,同时企业还有很多新的应用,也直接的跳过了自主研发而选择了采用标准的SaaS服务,这导致整个数据中心的网络安全架构出现了巨大的变化,原本企业需要保护的对象的关键数据离开了数据中心,分布在各类的云还有SaaS应用当中,基于这种数据中心为中心的边界安全,需要适应这种多云SaaS化的业务交互模式。在这个大的背景底下,SASE的架构因此而诞生。
SASE针对以上问题有解决之道。SASE通过在云上面构建一张覆盖多云、混合云、SaaS甚至是互联网的一张大网,让所有的访问都可以通过这张网来进行。通过这种方式,SASE可以把整个云进行防护,任何的访问和安全防护都可以通过这张网来进行实现。
基于这样的架构,就能够实现随时随地接入客户的这种安全需求,天然地解决移动办公的接入对应的安全需求,比如上网安全。因此SASE是云化、SaaS化,还有移动办公下安全架构的最佳选择。SASE必然是未来的主流安全架构,以及安全的未来在云端。
合格的SASE服务必然脱离不了一个好的基础设施。接下来分享深信服在基础设施的一些进展。截至上个月为止,深信服在全球部署了接近40个pop节点的服务,合计的带宽资源超过了150G,每分钟服务超过20万个在线并发的用户,每个月会处理上百亿的网络请求。
通过这些数据,其实可以看到市场对于SASE的采用在持续的加速跟升温,同时我们也相信,只有通过这种广泛覆盖的pop节点服务以及云上面的算力,才能够提供行业里面最好的SASE服务,只有数据中心的建设是远远不够的。
SASE代表的就是技术的革新,技术的革命除了全球覆盖的节点,SASE的核心技术就是基于身份以及云原生的架构。所以我们不满足于我们当前的技术现状,持续地迭代和演化我们的当前的技术架构,完善安全能力。
在2020年,发布了基于单租户、单体、云化交付的网关,它是一个基于虚拟化的技术架构。但是它有一个很大的问题就是它无法服务移动办公,还有多分支的统一管理以及服务的敏捷交付。因此在21年我们重新构建了基于这种单体单租户的云化交互网关,基于虚拟机的架构,我们做了改造,把控制面、数据面以及pop点上面的引擎进行了解耦,通过这种模式,可以轻松的去实现在多分支场景底下的安全运维的统一管理。
在功能上面,我们也实现了内网接入安全服务(simple private access),在这个架构上能够更好的服务移动办公的业务场景。比如在移动办公场景下,用户需要非常好的漫游能力,那么通过我们的新架构,用户可以在全球的任何位置就近接入配置好的深信服SASE pop点服务,在服务上面的安全、身份管理是统一一致的。
到2022年,基于客户的需求,我们再次对SASE进行了一次非常重大的技术架构升级。首先需要来了解一下,基于虚拟机的NFV架构的先天限制到底是什么?首先它是需要通过预先部署我们的服务器资源到我们指定的一些pop节点,当客户想要实现全球的接入体验时,这时候就需要在我们全部的pop节点都部署对应的服务器资源,那么对于客户的采购成本造成非常巨大的挑战,当用户需要平衡成本时,选择了少量的节点来开通,这又对整体的SASE体验造成非常大的影响(我们内部认为这样并不SASE)。
其次基于虚拟机的架构,不论是软硬件的升级维护或者是性能不足时的扩容,都需要通过我们暂停SASE的服务来进行。对于客户来说,这就等同于业务的中断。对于在单一时区有业务的用户来说,我们或许可以在晚上去进行这些设备的运维,但对于拥有全球业务的G2000或者是外资的客户,这样的SOA是远远不足的。
SASE还有一个非常大的挑战,就是纯粹的轻端重云的架构,本地的引流器的设备性能和配置其实是受到非常大的限制。比如说常见的本地设备的双链路或是多链路的网络出口场景,硬件的这种高可用、冷热备等等,这些在大型的分支或是总部的场景都是特别刚性的一个需求。同时在这个场景也会需要SASE提供非常大的流量处理性能。
最后在SASE落地的过程当中,除了大带宽的场景和设备配置的需求之外,更多的客户会去考虑原有的设备如何和SASE整合的一个问题。尤其是很多客户大量的设备折旧尚未到期,或者是刚采购了新的硬件设备,那么未来这些新的分支还有移动暴露场景,都希望能够通过SASE来实现的时候,那么我们就需要能够提供这些用户一个能够兼容本地设备的解决方案。
除了统一管理之外,也可以帮助客户对本地设备的能力进行一个升级拓展,甚至是自动化的升级。比如说防火墙能力,或者是移动办公的零星的安全场景,或者是上网行为管理的各种场景,还有出口的路由器,客户也都是会希望通过标准的加密协议来接入SASE的服务,而在通往SASE的路上,这些问题都是深信服需要去克服的挑战。
为了解决前面所讲的问题,同时为了提供业界最好的SASE解决方案,我们再次对SASE的技术架构进行了一次全面的升级。SASE3.0将通过云原生架构融合边缘模式,安全证交付以及全产品线的接入来提供最完整的SASE解决方案,解决客户在SASE落地时遇到的各种各样的问题。
首先是云原生的架构,我们在深信服的SASE云上面采用了基于容器和k8s的编排技术,重新实现了对网络安全的各项能力。在这个架构下面,我们能够更好的对安全的能力进行动态编排,遇到大流量的场景,我们可以实现秒级扩容。移动办公的接入可以根据用户的物理位置选择体验最佳的pop节点就近介入,而且它可以实现动态的秒级开启,而不需要通过前面所讲的预先配置虚拟机资源的一种模式。整体的服务体验会随着全球的pop节点数而不断的提高。而基于云原生架构的扫描引擎,采用文件不落盘的高性能内存检测技术,同时结合容器集群的编排技术,通过集群的方式承载不同的引擎能力,把原有的扫描性能从原本的一倍提到了10倍以上,把原本的单租户流量吞吐,从原本的2g提高到20g,大幅的降低了扫描引擎对上网体验的影响,以及算力可以间接的带来更强的一个安全效果。
云原生最大的好处就是当节点真的挂掉了,比如说网络不通、不稳定的时候或是服务器宕机的时候,就可以通过就近动态地选择新的pop节点,实时开通服务,来实现动态容灾。这种容灾方式相较于原本的虚拟机热备的架构,对客户的业务的影响可以降到最低。
第二个更新就是融合架构。SASE经过了两年的探索和实践,我们发现SASE理念下的轻端重云未必能够满足在SASE场景下的所有需求,尤其在中国在运营商提速降费的大趋势下,相比于国外带宽和专线的费用昂贵,客户不会默认采用大流量的上网带宽,所以我们看到在中国,客户默认就采用了超过500兆,甚至是一个G的上网带宽,我们也预期SASE的客户长期会对整个流量处理的性能的需求会持续的攀高。
因此在极端的轻端重云场景下,小型的设备很难能满足这种小分支大流量的场景,同时也存在总部大分支、大流量加上这种多链路设备、高可用这些高端需求。因此我们开发了一个能够兼顾性能、环境适应性以及云端赋能本地的计算模式——fusionEdge。fusionEdge在本地保留一定的计算能力,把部分的SASE能力按需动态的下沉到本地设备,实现平衡算力的融合架构。
在这个架构底下,大部分正常的上网流量可以通过本地的算力高效地性能处理之后,在本地出站。而需要管控以及审计的位置流量,SaaS应用流量和VPN这种内网接入流量,可以通过SASE级节点进行安全能力的编排,实现安全审计还有其他零星的等等能力。同时在本地算力受限的时候,也能通过动态调整流量的比例,利用云端的算力来卸载本地设备性能的一个消耗,实现在不牺牲性能和设备特性的同时,又享有SASE云化交付安全带来的各种好处。
第三个升级,也就是SASE架构最核心的最重要的一个需求,就是SASE节点上面实现了安全栈的安全交付。通过编排的方式实现了这种按需使用、分类防护,比如说在上网流量接入审计管控和防火墙能力,而内网流量可以通过接入零信任内网WAP的能力,同时提供丰富的安全增强功能,比如说DNS安全、砂箱、蜜罐等等的能力,借由在云上面提供完整的安全栈实现,真正实现按需弹性的安全交付。这背后都是因为深信服有完整的安全能力栈,而且通过了两年的技术积累,我们成功的把所有的安全能力全部都搬上了SASE,让用户可以使用SASE更方便、更安全,通过一个盒子来享受所有的安全特性。
最后也是最关键的,就是这些能力除了SASE的轻量化客户端、轻量引流器,或是前面提到的fusion edge外,我们让这些云上的能力都可以通过用户现有的申请设备接入。在我们探索业务的过程当中,设备一直是最常发生的一个需求,如何让客户的老旧设备或是刚采用的设备和SASE进行融合,一直是来自客户的刚性需求。因此除了轻资产的方案以外,我们可以让深信服的所有安全设备都可以接入SASE,通过SASE来管理这些设备,同时可以更好的和SASE的pop节点一起管理。
一致的交互体验和用户体验也是深信服作为一个安全网关一线厂商最大的一个核心优势。对客户来说,使用SASE不是把现有的设备都换掉了的是非题,而是基于当前保有设备实际使用、按真实场景选择的最佳方案的多选题。
SASE3.0是深信服在SASE业务板块的最后一块拼图,这个重磅升级完整地满足了深信服在各个安全场景下的客户需求,全云延伸的架构实现了动态弹性、高性能的云上能力。全场景的覆盖,不论是多分支移动办公,甚至是总部到单一的企业办公点,都可以通过轻资产的轻端重云模式,或者是平衡算力的融合架构,甚至是设备的利旧,都能够实现轻松的接入SASE,享受云化交付安全带来的好处,而云上面完整的丰富能力让客户的所有需求都能一站式搞定,不需要额外的购买外挂的安全设备,实现了SASE融合了网络和网络安全及服务的美好愿景。最后,这些能力和场景都需要通过广泛覆盖的pop节点来承载。而深信服SASE已经覆盖了中国最主要的一二线城市,让设备的接入是没有死角的,让我们的体验是最没有障碍的。
(以上是SASE 3.0所有的特性,将会在5月开放公测,6月全面上线)
Part 02 SASE行业解决方案——大企业、金融、运营商、教育等SASE行业解决方案解读(讲解人:SASE市场负责人 邵建华)
作为国内安全云化、服务化转型的先行者,2020年深信服发布了SASE解决方案,通过近两年的实践,在金融、运营商、教育、医疗、制造等等行业都实现了规模的应用。同时我们发现行业用户的上云趋势和服务化趋势正在加速,本次讲解结合多个行业的共性,重点从运营商、教育、大企业、金融4个行业分享SASE的应用价值。
(1)运营商行业
三大运营商这两年也在积极转型,从传统的管道服务商转型成为云服务商和安全服务商,以应对数字经济时代的到来。可以看到中国移动、中国电信、中国联通,他们都将网络安全融入到云网之间,云网安融合成为必然,其中安全将作为基础设施建设的一部分,在多个场合被提及。
运营商应该用什么样的方式为广大的ICT用户提供安全能力?我们认为运营商的核心优势是广泛的客户群体和深层次的用户触达,以及它的代计费系统和平台的运营能力。我们希望通过与运营商和专线的能力来触达每一个终端用户,面向用户提供按年付费、按需订阅的服务模式。同时我们希望通过运营商作为平台的服务商和生态伙伴的发展商,深信服在其中是提供整个平台的安全能力和运营中台,这样可以看到深信服将为运营商提供三大核心能力。
第一,我们会向运营商提供一整套的面向用户的安全便利店的门户订阅前台。其次,我们通过SASE3.0为运营商提供高密度丰富的安全组建中台能力。如上图所示,可以看到面向中小商业企业用户去提供终端安全和上网安全服务,面向中大型的用户,我们会提供完整的零信任以及AI分析等高级安全威胁能力的检测服务。包括未来我们会开放整个SASE的安全能力,面向深信服的XDR平台和MS安全运营服务平台。第三,我们会给运营商去开放安全服务,通过整个后台服务能力,实现线上线下协同,为用户提供安全服务的建设模型。这样可以看到,面向SMB的中小企业用户,我们主要提供的价值是轻资产和免运维,而像终端的行业长尾客户,我们会为整个用户提供整个的安全全流程的保障服务,从事前事中到事后的平台运维都由运营商和服务商来共同承建。
另外,深信服也会提供面向行业用户的私有化建设平台。下面介绍私有化的混合部署方案。
(2)教育行业
无论是疫情的影响,还是教育行业运用5G、教育云等手段开展线上数字化教学,导致每一个中小学的互联网出口的带宽越来越大,同时中小学缺乏专业的安全运维工程师,那么如何构建具有结构优化、集约高效的安全平台,将成为普教面临的核心挑战。
很多一线城市的中小学的互联网出口已经是万兆出口,SASE3.0采用高密的方式实现安全组件的微服务化、容器化,这样中小学可以通过门户去订阅服务,那教育局可以通过整个SASE平台,实现对辖区内的所有中小学进行集约化的方式进行管理。当每一个中小学的带宽进行升级或带宽扩容的时候,可以灵活的通过pop点增加服务器的方式来平滑的进行扩容,从而实现整个的教育城域网的建设的安全保障以及教育建设资源的平滑扩容,从而实现极简的运维和有效的闭环。
(3)企业用户
而在企业层面,企业用户是接受订阅化和服务化非常明显的行业,然而中大型企业其实面临着大量的组网挑战,比如说大型企业的中小分支面临着组网上线比较慢、业务开通效率比较低。其次,我们看到大企业很多用户存在移动办公的场景,整个移动化和分支组网的安全统一管理,也成为中大企业的核心困难和障碍。在此介绍一下SASE3.0是如何解决中大企业的多分支安全的问题的。
中大企业的多分支存在整个安全建设比较复杂、安全的诉求也比较完整,这时候通过SASE3.0可以向用户提供一站式的混合安全订阅的模式,在整个云平台上为用户去提供终端安全、互联网出口安全、访问用户内网业务安全,以及访问SASE应用的安全能力。这样的话,就可以通过一站式的方式为中大型企业提供整体的安全解决方案,最终可以实现一体化、轻资产、简运维、可扩展的模式。
(4)金融行业
同时深信服还为一些金融行业提供了SASE服务。这两年其实保险正在做整个扁平化建设,证券行业也在做轻型营业厅的转型,金融行业的网点、多媒体的兴起也带来了大量的流控和合规的需求。同时,金融行业的监管实际上是整个行业领域监管相对要求比较高的一个行业,无论是网络安全法还是银保监会的文件,都明确的要求金融行业在分支安全建设的时候,要考虑整体的安全能力,不只是合规,可以看到其实深信服的SASE也为金融行业提供了落地的解决方案。
采用日志本地化和本地分析平台结合的方式,或者托管到运营商,面向金融用户提供云上行为管理和安全能力,最终解决合规、易管理和弹性可扩容的安全诉求。
下面分享几个典型的行业最佳实践
从上图右边可以看到,在某省份运营商通过在省出口的核心骨干去部署深信服的SASE本地pop节点,为近千个用户提供安全的服务能力。同时,我们解决了原来运营商跟中小企业合作需要通过传统硬件商设备的这个问题,传统硬件设备部署在用户侧,资产无法回收,设备能力无法弹性扩展等等。
上图可以看到广东省教育城域网的建设,通过我们在本地的城域网去构建SASE3.0的平台,能够解决近200多个中小学的互联网出口的安全问题。
再看地产等行业的最佳实践。地产行业有一个特点——每一个地产项目都有大量的项目部,这些项目部基本上工作都是1~2年,地产在某一个地区开展了房地产的建设之后,它就会成立一个项目部,然而这些项目部的大小规模和弹性就限制了整个项目部的安全设备的采购,我们通过SASE的方式就可以灵活的去解决项目部带宽的带宽大、人数少以及它的弹性等问题。还有,实际上它可以通过按年租用的这种模式去解决地产的项目部的灵活部署。
另外,我们在4大行也做了某省份的银行营业厅的安全合规建设,深信服通过SASE平台和运营商合作,为金融客户银行营业厅提供了接近200多个营业厅的安全合规建设。
Part 03 SASE凌云合作伙伴计划(讲解人:深信服渠道总监 桂冠英)
渠道化战略一直是深信服最核心的市场战略之一,深信服一直坚持联合合作伙伴一起更好地服务客户。深信服SASE平台3.0是一种全新的订阅化产品和服务模式,由深信服务能力平台和合作伙伴的服务平台两部分组成,其中深信服务能力平台负责能力的输出,包括产品能力、运营能力、服务能力以及平台能力。合作伙伴通过深信服提供的能力,构建面向用户的服务平台,提供线上线下结合的标准化高效高质量的持续服务,快速响应用户的需求。
举例来说。场景一,用户突然有了产品使用的问题,可以通过产品的云图管理界面快速联系到我们的合作伙伴,基础问题由合作伙伴的服务人员快速的实现线上的闭环,复杂问题可以上升到深信服的技术专家提供线上的协助,再由合作伙伴的服务人员进行线下的快速响应。同时,通过服务平台所提供的代维服务合作伙伴可以为用户提供主动的服务,发现并处置问题,防患于未然。
场景二,用户在使用产品过程中突然有新的需求,例如疫情期间需要远程办公,可以直接在云图的管理界面快速的申请远程办公的服务。合作伙伴可以在服务平台快速响应需求,通过服务平台直接申请授权,快速的解决用户问题。
今天与SASE平台3.0同发布的,还有安全云化、平台合作伙伴计划、SASE 凌云计划,用于激励那些愿意在深信服的业务上持续投入的合作伙伴,并提供全流程的赋能,帮助合作伙伴一步一步的成为专业的安全云化服务商。
合作伙伴计划主要有两条发展路径构成,一条是合作伙伴的业务发展路径,一条是能力发展路径。
先看业务发展路径。伙伴加入我们的合作计划以后,从首单产出到不断累积多单的产出,每个晋级节点上深信服都开放了更多的系统工具和专家资源以及匹配的赋能支持。当量变累积成质变,合作伙伴转型成为安全云化的服务商以后,深信服将与合作伙伴开展深度的联合经营,共享市场的线索,开展联合的营销,高效的服务客户,并有机会成为深信服安全云化业务的服务中心。
再看合作伙伴的能力发展路径。我们认为这才是合作计划的本质,就是围绕伙伴的使能而非收益,这也是基于深信服渠道化战略长久以来坚持的使命,持续帮助合作伙伴取得业务成功。那深信服一直抱着利他的心态,愿意陪伴合作伙伴一步一步的成长,提供全生命周期的能力,赋能从基础能力到进阶能力,再到完整的安全云化服务能力,帮助合作伙伴在云化、服务化的道路上走得更稳更远。
网络安全相关报告
6. 为什么教育和医疗行业未来两年是网安公司必争之地?| 产业调研
16.网络安全产品从入门到精通
17.海外专题:寻找中国网络安全公司中的Palo Alto(深度)
22. Zscaler:云安全服务与接入领头羊(30页PPT)
23. Okta:身份认证独角兽(深度)
30.奇安信:创新业务实力强大,助推公司成为全球网安龙头(深度)
33.数据安全法带来的一些变化
41. 网安公司三季报分化之谜
42. 深信服:重构防火墙,用意深远
43. 读完Fortinet三季报,我对网安行业又有了信心(附纪要)
44. Palantir:野心贼大,想做世界的创新引擎(附纪要)
46. 为什么中国没有真正的云安全公司?
49. 产业调研:威努特董事长谈工控安全
50. 产业调研:再论数据安全
54. 安恒信息:数据安全领头羊(深度)
55. 产业调研:HW具体怎么做?
- end -
欢迎加入产业交流群!
欢迎所有对计算机产业研究和投资感兴趣的盆友(包括云计算、网络安全、医疗IT、金融科技、人工智能、自动驾驶等)后台留言加入我们的产业交流群。我们的目标是建立系统的计算机产业研究框架,提高整个A股的IT行业研究水平,减少韭菜数量,普度众生。
法律声明
本订阅号发布内容仅代表作者个人看法,并不代表作者所属机构观点。涉及证券投资相关内容应以所属机构正式发布的研究报告内容为准。市场有风险,投资需谨慎。在任何情况下,本订阅号中信息或所表述的意见均不构成对任何人的投资建议。在决定投资前,如有需要,投资者务必向专业人士咨询并谨慎决策。本订阅号运营团队不对任何人因使用本订阅号所载任何内容所引致的任何损失负任何责任。本订阅号所载内容为原创。订阅人对本订阅号发布的所有内容(包括文字、影像等)进行复制、转载的,需明确注明出处,且不得对本订阅号所载内容进行任何有悖原意的引用、删节和修改。