最近经常听到SASE,到底啥是SASE?
随着云计算、移动互联网、物联网等技术的广泛应用,企业网络边界逐渐泛化,用户和应用无处不在,传统以企业自建数据中心为核心的中心辐射型网络架构面临着高成本的MPLS链路、总部集中上网应用访问体验差、安全边界绕行及总部VPN容量挑战等难题,已无法满足远程办公、业务协同、分支互联等业务需求。
而SASE(SecureAccessServiceEdge,即安全访问服务边缘)有望为企业提供全新的解决方案。
什么是SASE?
Gartner对SASE的定义:一种结合了广域网功能和全面的网络安全功能的新兴服务产品,能满足数字化企业的动态安全访问需求。
简单来说,SASE是在云中整合网络功能和安全功能,确保用户能够随时随地顺畅、安全地访问工作所需的应用。
它的核心功能包括软件定义广域网(SD-WAN)、零信任网络访问(ZTNA)、防火墙即服务(FWaaS)、安全Web网关(SWG)、云访问安全代理(CASB)等。SASE模式旨在将这些功能统一融合到一个集成式云服务中,以云服务的形式交付给最终用户。
SASE:云化交付安全能力SASE有哪些安全功能?
安全Web网关(SWG)SWG可从Web流量中过滤不需要的内容,阻止未经授权的用户行为,并执行企业安全策略,从而预防网络威胁和数据泄露。SWG可以部署在任何地方,因此是确保远程员工安全的理想选择。
云访问安全代理(CASB)CASB为云托管服务执行多项安全功能,包括:揭示影子IT(未经授权的公司系统)、通过访问控制和数据丢失防护(DLP)保护机密数据,以及确保符合数据隐私法规。
零信任网络访问(ZTNA)ZTNA平台锁定内部资源,不允许公开查看,并要求对每个受保护应用程序的每个用户和每台设备进行实时验证,以防止潜在的数据泄露。
防火墙即服务(FWaaS)FWaaS是指从云端作为服务交付的防火墙。FWaaS保护云端平台、基础设施和应用程序免受网络攻击。与传统防火墙不同,FWaaS不是物理设备,而是一组安全能力,其中包括URL过滤、入侵防御以及对所有网络流量的统一策略管理。
SASE三大价值
✓节约安全投入基于云提供多种安全服务,例如入侵防御、Web防护、数据防泄漏、下一代防火墙等,无需企业购买和管理多点产品,大大降低安全建设成本和管理成本。
✓随时随地访问IT管理人员可以通过基于云的管理平台集中设置策略,并在靠近终端用户的分布式接入点上实施策略。无论用户需要什么资源、处于何地,都可以平等地实施策略,享有相同的访问体验。
✓简化安全运维SASE服务商可以提供托管式运维服务,将企业IT运维人员从繁杂的部署、监视、维护等事务中解放出来,以便执行更高级别的任务。
总结
SASE是云网络和云安全相融合的产物,无论用户和应用位于何处,SASE均可通过统一的管理平台提供一致的安全访问。
据GartnerHypeCycle曲线显示,SASE正处于爬坡高峰期,预计到2024年,全球至少40%的企业将有明确的策略采用SASE。
提升企业系统性网络安全防护能力,让企业更有底气迎接数字未来!
目前中新赛克正在进行“星耀千企行动”,为1000家企业提供30天免费试用福利,关注微信公众号“星河安全”,即可申请免费试用机会,快来试试吧!
最近经常听到SASE,到底啥是SASE?
先说结论:
1、可以把公司网络比作一个小区,每个小区都要有保安叔叔。
2、但大的小区雇佣保安比较划算,所有住户平摊钱,小的小区雇佣保安就不划算,平均到每个人头上很贵。
3、所以,产生出来一个新模式:很多小的小区共同雇佣一个“云保安”,一个保安像孙悟空一样在筋斗云上保卫几十上百个小区,这样每个小区的成本就降低了。
这个云上的孙悟空,就叫SASE。
不久前我刚和一群做SASE的老师傅聊了聊,写成了一篇科普文章,你可以看下~
锤黑客,不脏手:Z世代网络安全工程师的开挂人生
文|史中
(一)扑倒那个Boy
“我踏马受够你了!”
一个妹子尖利的喊声划破了旧金山格伦公园图书馆的宁静。
群众惊呆了,纷纷抬头。显然,眼前情侣吵架的戏码要比手头的科幻小说更燃。
就在邻桌,一位挂着胡茬的阳光大男孩乌布利希也抑制不住八卦的心,把视线从眼前的电脑屏幕移开。
说时迟那时快,不知从哪里窜出一哥们,一把把他的电脑夺走,跑得比兔子还快。
乌布利希大喊:“肿么个意思?”弹射起来想要夺回电脑。不料,同桌的六个“读者”一拥而上,闪电般锁住他的喉咙,反剪双手,把他扑倒在地。
乌布利希舌头都快被勒出来了:I。。。can'tbreath。。。
刚刚吵架的那对“情侣”秒级和好,也冲过来,给乌布利希戴上手铐,簇拥着他走出图书馆。
图书管理员听到这边稀里哗啦,赶过来处理,被这帮人呵止。十来个人一齐脱下便装外套,露出了FBI的制服,对围观群众说:Surprise!
群众呆麻了。。。
乌布利希没来得及砸碎的电脑上,登录着一个管理员界面——DreadPirateRoberts(可怕海盗罗伯茨)。
铁证如山,他就是被称为“暗黑界亚马逊”的“丝绸之路”创始人。
过去几年,无数***、枪支、假钞甚至买凶杀人的交易,都与“丝绸之路”网站和这个看上去人畜无害的23岁年轻人有关。
暗网、极客、药品、暴力、自由主义,围绕乌布利希的这些讨论都直击灵魂,但那些中哥今天都不聊。
咱们聊一个剑走偏锋的细节。
先给你来个灵魂拷问:
乌布利希是坏人,这没错。那给他提供了Wi-Fi的图书馆是帮凶还是受害者?
我觉得大部分浅友都会说:图书馆招谁惹谁了,肯定是受害者啊!
再来第二个灵魂拷问:
既然是受害者,那乌布利希利用图书馆的网络做坏事的时候,图书馆有多大概率发现?
你可能会说:什么嘛,图书馆是借书看书的地方,每天那么多人都蹭Wi-Fi,变态杀人狂脸上又不写字,这也太难为人了!
再来第三个灵魂拷问:
假设乌布利希在谷歌上班,他每天利用公司的网络做杀人越货的坏事,公司有多大概率发现并且制止他?
你可能会犹豫:谷歌公司就不一样了吧。。。他们肯定有很多大数据、网络安全系统神马的,估计早晚会发现。乌布利希脑子正常的话,应该不会这么干吧。。。
你看,不知不觉中,你已经替大家总结出了一个真相:
组织规模越大,越有能力发现网络中的威胁;反之,组织规模越小,面对威胁越束手无策。
背后的原因,就是个简单的经济账:
大组织可以投资很多安全系统,什么防火墙、入侵检测、大数据威胁情报、高级威胁检测,能上的都上,平摊到每个人头上成本也能承受;
但小组织里,总共就两个半人,根本负担不起全套安全系统。
就像一个大小区,安防系统可以有很多,大家共享;但如果你独自住在郊外,自己建立一套安防系统就很贵了。
所以,哇咖喱贡,乌布利希才不是因为穷才去图书馆蹭网(说实在的,如果不是他的比特币被充公,身家妥妥可以进“服不服排行榜”)。
他了解图书馆这样的“小网络节点”,根本没办法配备专业的网络安全审计产品,是妥妥的弱鸡,更利于他的隐匿。
但厉害的中哥不想把讨论停止于此。
这个真相背后隐藏了一个深层的问题——“安全权利”的不平等。
(二)小节点活该被搞吗?
其实,咱们身边的“小节点”特别多。
比如刚提到的图书馆、网吧这样的单体公共场所;还有麦当劳、星巴克这样的连锁店;还有大公司的分支机构,比如乌龟快递在每个县市的集散点,酸梨手机在各个地区的直营店等等。。。
我搜索了一下“麦当劳”,你感受一下小节点的密度。
真被锤的话,这样的小节点网络比妙脆角还脆。
关键是,这种攻击最终会落在你我这样真实的人头上。
咱们分两种情况讨论:
第一种情况,假设你只是在麦当劳里蹭网的群众。
一来,黑客可以通过拿下Wi-Fi,进而偷窥你上网的一举一动;
二来,黑客也可以向你发送攻击程序,拿下你的电脑权限。你就成了黑客的“傀儡”,以后你无论去哪,他都可以利用你的身份做坏事。
第二种情况,假设你是一个分公司的打工人。
一来,黑客干掉办公网,你电脑里面的工作数据(还有浏览器记录)都被看光光;
二来,就算你的电脑本身没存什么机密,黑客也可能利用你的设备身份连接总部,把公司核心机密都给下载发出去;
三来,你的电脑还可能被黑客植入“挖矿程序”。每天你的风扇嗷嗷叫,黑客却躺着收钱。更严重的还可能给你植入勒索病毒,交钱才能解锁电脑。。。
你发现了没,同样是打工人,作为分支机构的员工,就天然更容易被黑客搞,也更容易成背锅侠,被老板骂,这不公平啊。。。
到后来,分支机构多的公司,只有两种选择:
第一、给每个小节点都武装到牙齿,不计成本;
就像下图,狮子比节点还大↓↓↓
第二、干脆不让小节点员工直连总部,以防他们被黑客攻陷连累母体。
就像下图↓↓↓
当然,大部分公司选择的是第二种。
讲到这,灵魂拷问终于来了:
小节点和小节点里的人,难道天生低人一等,永远要在“可能被黑客入侵”和“不方便”之间做二选一吗?
“No!安得广厦千万间,大庇天下寒士俱欢颜!”
老林把桌子锤得砰砰响。
他这么激动,原因很简单。
第一,作为技术控,他坚信:节点不论大小,都应该平等地享受人类顶尖安全技术的保护。
第二,他本人在深信服公司负责一个产品,就专门解决这个“安全权力不平等”问题,必须站台带货啊!
我们做的这个东西,就叫:SASE。
为了发清楚这个音,他说得咬牙切齿,恨不得喷一脸。。。
我听了半天,才听明白,这玩意儿的读音其实是“Sasy”(就是把“仨四姨”连起来读)。
SASE到底是怎么做到“大庇天下寒士”的呢?
老林喝了口咖啡,开始给我科普。
(三)“爱奇艺”模式
“你买不买得起周杰伦的所有歌的版权?”他问。
“那买不起。”我说。
“你买不买得起网易云音乐的会员?”他问。
“买得起。”我说。
“你买不买得起综艺节目的版权?”他问。
“买不起。”我说。
“你买不买得起爱奇艺的会员?”他问。
“买得起。”我说。
“解释完毕。”他说。
我揪住他:“你给我好好说明白!”
很简单,人们需要的是安全能力,不一定是安全产品本身,对不对?
所以,我们把深信服的各种网络安全产品都放在云端。无论你的网络有多小,哪怕节点里只有一台办公电脑,只要“开个会员”,我们的安全产品就和你连通,在“云上”保护你啦。
这样是双赢的:
对客户来说,不用给每个小网络都买一堆很贵的安全产品,还省去了部署所需的人力,省钱;对我们来说,还可以错峰把一台设备的安全能力分配给好多人共享,也能省钱。
你说,这个不就跟网易云音乐、爱奇艺开会员是一个道理吗?
他一口气说完,挑挑眉毛。
我大概明白了,SASE就是把购买安全能力变成订阅安全能力。
原来是大院门口才能摆两个石狮子当保安,现在我家小,买石狮子太浪费,就订阅一个“云上石狮子”帮我看家。如果需要,我就一直订阅,如果哪天我搬家了,也可以随时停。
没有一生一世的厮守,有需要就在一起,没需要就说再见,标准的“渣男渣女”模式。
想想居然有点小兴奋呢。
说到这,估计又会有人吐槽:这不就跟小时候去录像厅租碟一个意思吗?也没啥先进的,这么多年怎么就没人搞这种模式呢?
客官有所不知,和“歌曲、视频”不一样,把“企业级安全产品”做成订阅制服务,最难的不是模式创新,而是要克服好多难以想象的技术难题。。。。
先举个例子你尝一下:
原来的安全产品是这样工作的:一个网络里的电脑A,想要对电脑C说句话,它的这句话要先说给网络安全产品B听,B分析完没问题,才会放行给C。
此时,A电脑、B设备、C电脑可能就在一栋大楼里,信号传输的速度根本不用考虑,稳定性一般也没问题。
现在换成SASE。
A要说一句话,就得先经过网络传到云端的B设备,B审阅后再传回来给C。虽然信号传输逻辑没区别,但传输距离可是天壤之别。
A电脑和C电脑都在北京,B设备在深圳的云机房里。两个电脑说句话,信号还得绕深圳一趟,来回的延迟谁受得了?
这咋办?
老林告诉我,不仅是深信服,整个业内解决这个“距离难题”都在用一个最笨的方法:追着客户跑,就近建立服务站。
1、比如,北京,上海、深圳、成都各建一个机房,里面的云计算上都跑着网络安全的系统。
2、华东的客户就自动连到上海机房,华南的客户就交给深圳服务,以此类推。
这就像电动车充电站一样,站点越多越密,我开到充电站的距离就越近,体验也更好。
用行话讲,这些节点就叫“PoP节点”(PointofPresence)。
这不,这两年为了支持SASE这类订阅产品发展,深信服已经在全国建立了20多个PoP节点了。
讲到这里,中哥才松口气——铺垫了这么多,终于把SASE的大致原理科普清楚了。
现在,我可以理直气壮地告诉你SASE的全称了。
SASE的全称叫做“SecureAccessServiceEdge”安全访问服务边缘。它的意思是:每个电脑都可以通过一个边缘引流器连接到最近的PoP节点,然后就可以享受节点提供的安全保护。
不仅如此,人们还能借助这张网络(这是软件定义网络)快速地在各个分支之间传递信息。
所以,你可以认为SASE有两个属性:1)安全,2)网络。
合起来,就是“一张自带安全Buff的网络”。
我画张图,你感受一下↓↓↓
任何地方的电脑,都能接入SASE,安全地相互传递信息。
以后的年轻人,肯定不会满头大汗地在实体服务器上配置安全产品了,只要订购云上的安全能力就够了。
你不可能让年轻人白天鼓捣服务器,晚上回家爱奇艺,这太分裂了。
老林摊摊手。
不明觉厉的感觉萦绕在我身边,我还看不太懂,但大受震撼。
不过我很快发现,老林之所以今天能喝着咖啡在我对面吹牛,是因为经过努力,深信服的SASE已经走上正轨,可以开门见客了。
就在前两年,呵呵,SASE的情况可谓“惨不忍睹”。
(四)价值百万的“石狮子”
一听要讲到“血泪史”,另一位同学马上不困了。
他就是深信服SASE的运营负责人华哥。
提到华哥,同事们都津津乐道他价值一百万的“高光时刻”。
那是2018年春天,他和团队站在深信服年会的领奖台上,手里握着一年一度的“百万创新大奖”。
这个奖非常牛X,它大概等于所有同事集体认证:你们是过去一年全公司最靓的崽。(当然,得奖人也可以不在乎浮华的荣誉,但这100w奖金可是实实在在的。)
这群人之所以能拿到这个奖,就是因为在2017年开发出了SASE产品。(只不过当时SASE还叫其他的名字,为了防止混乱我就统一叫SASE了。)
做出一个“云上石狮子”就能拿100w?是个啥道理呢?
说到这,还得补充一个背景。
2018年的深信服,跟2021年的画风完全不同。
那时候,他们的明星产品几乎都是纯纯的“物理石狮子”,也就是放在公司网络内部使用的安全产品。这种产品的形态就是把一套系统塞进一个服务器里,被大伙儿开玩笑称为“盒子”。
但如果你是深信服,你就笑不出来了。。。天天被说卖盒子,一点儿想象空间都没有,深信服不喜欢这个定位,也不认同这个定位。
他们一直在饥渴地探索新的方向。
所以,SASE这种“云上石狮子”一出来,订阅制、轻量级、小清新,一看就是Z世代的工程师喜欢的安全产品嘛,瞬间成为全村人的希望。
但是,华哥他们的奖杯还没捂热乎,情况就开始变得很微妙。。。
不要忘了,既然深信服自己又卖“物理石狮子”,又卖“云上石狮子”,这两个可是相互替代的关系。多卖一个云上石狮子,就少卖一个云下石狮子,也不知,是云上石狮子抢了云下石狮子,还是。。。总之,两个狮子有自己先打起来的可能。。。
这个局面,就像是一家汽车厂又造燃油车又造电动车。燃油车卖得好好的,也不能全部停产,一刀切改成电动车啊。。。
步子大了容易扯蛋。
所以,当时深信服采取了折中策略,先选择一种“石狮子”,也就是“全网行为管理”这个最成熟的安全产品做成SASE,其他品类的石狮子先不许上云。
而且话说回来,超越时代太多的东西,市场也多半不会认可。
为什么说是超越时代呢?我给你比较一下。
传统的方式是:我买了设备,设备就是我的,想用多少年就用多少年,哪怕退役了,坏了之后的“尸体”也是我的。这多踏实。
订阅的方式是:我订阅的时候能用,不订阅就没了,两手空空。虽然算下来和可能更划算,但摸不着“盒子”,采购部门心里也不踏实啊。
回忆一下你自己的经历就知道了。
过去你买一张CD,到死都能听,还能收藏传给儿子,现在网易云音乐不续费就听不了了。你想想,从买CD到愿意每个月十几块钱订阅“云音乐”,你花了多少时间改变思维方式?
那两年,一边是深信服自己不敢贸然进入深水区,一边是大小公司对SASE也没啥感觉,作为试水,“云上石狮子”的销量确实有点羞涩。
那SASE到底要不要扩大产品线,敲锣打鼓搞起来呢?
深信服的老板们也很纠结,他们必须找准时机打响发令枪。同志们冲得太早,很容易成烈士;冲得太晚,大招就烂在肚子里,市场又被别人抢走了。
华哥他们只能相信组织,一边打磨产品,一边等啊等。
2019年,就在华哥他们都快挺不住的时候,发令枪终于扣响。
那一年,国际上最有前瞻性的咨询机构Gartner提出了SASE概念。
行业一般认为,有了Gartner的站台,起码说明全世界很多公司都真金白银看好这个方向,是个非常强烈的信号。
同志们可算等到了这一天,如中华田园人一般冲了出去,把各种石狮子(安全产品)搬上云。
然而,刚冲出去,他们发现,自己被大坑小坑包围了。。。
(五)养大一头“云上石狮子”不容易
考你一个问题:如果让你把一套安全系统从“盒里”搬到“云上”,你会怎么办?
最粗暴的方式就是三步走:
第一步:在云上开一个虚拟机;
第二部:把安全系统塞进去;
第三步:接通网络,开始运行。
没错,一开始SASE团队就是这么做的。这也是SASE的第一代架构。
但讲真,这样的操作非常之不优雅。
我问你一个问题。
假如A公司有20个小分支机构,10个在北京,10个在拉萨,他们订阅了SASE。这20个分支的网络,一台虚拟机的计算力就足够保护了,所以,我们在云端给A公司开了一台虚拟机提供服务。
请问,我的虚拟机应该开在北京还是西藏?
老林给我出题。
“靠近哪边都不行,因为另一头的访问速度就会慢啊。。。那你们为啥不能大方一点儿,在北京和西藏各开一台呢?”我说。
“不是我们抠门不想开两台机器,而是如果开两台机器,就涉及到它们之间的信息互通问题。
比如管理员修改了安全配置,要在北京西藏两地的虚拟机上同步生效。
而且A公司北京的同事拿着电脑出差去拉萨,为这台电脑服务的虚拟机也要从北京那台自动迁移成拉萨那台。
这背后其实是“自动调度”的技术能力。
他说。
要实现这种调度,也有一个简单的方法,就是在虚拟机层上加一个调度层。相当于有一个“狮子王”,他会根据不同用户的情况,实时指挥这些云上石狮子的工作。
在用户看来,SASE连上就能用;但深信服自己知道,是“狮子王”在背后吐血调度。
其实,老林2020年加入深信服之后,就主导了这个带调度层的“第二代架构”。
“但这还不是最理想的状态。”老林说,“我们的第三代架构正在研发中。”
第三代架构又是啥样呢?
“那会是纯纯的云原生架构。”他说。
他刚说到这,我就明白了。浅友们对“云原生”应该也不陌生,这一年很多公司的系统都在云原生演进。
云原生最核心的技术就是“容器”。
所谓容器,就像一个玻璃瓶子,任何系统都能装进玻璃瓶子里。容器很轻巧,可以被随意挪动,启动一个容器要不了一秒,关掉一个容器也是一眨眼的事情。
把石狮子装进容器,那可就厉害了。
你可以像孙悟空吹毫毛一样,一秒钟变出好多个“微型石狮子”。
假如中哥所在的公司总部在哈尔滨,老板派中哥去海南发展业务。我到了海南,只要打开电脑,一瞬间就连接到海南的PoP节点,什么防火墙、流量审计系统都已经准备好,化着淡妆为我服务了。
不过说句实话,架构并不等于一切。
如果把SASE比作一辆车,架构只是底盘,车好不好开还要看加速性能、内饰、车机系统等等更多上层的技术设计。
好的SASE和好车的标准差不多,就三条:快、稳、爽。
说到这,我迫不及待给你介绍一个又快又稳又爽的男人,SASE的技术负责人,辰哥。
(六)怎么才能“快、稳、爽”
先说“快”。
我们先回忆一下SASE的工作原理:网络里每时每刻产生的关键信息,都要拉到云端“安检”一遍。
这里面能挤出时间的,主要有两个环节。
第一个,就是节省传输路上的时间。
这个主要靠多建PoP点来解决,这里面的技术就是:使劲砸钱。
第二个,就是加快“云上石狮子”对数据的处理速度。
辰哥告诉我,虽然这也能用砸钱实现,但技术发挥作用的空间也很大。
之前也说过,SASE是一个统称,其中包含很多种安全系统,病毒检测、入侵检测、数据审计等等,一个流量从网络中传上来,理论上要像机场安检一样在各个系统中依次“串行”。
先查健康码,再看有没有机票,再看身上有没有危险物品等等,任何一步出问题都不行。。。
如果把这些检查都像糖葫芦一样串起来,可想而知就会浪费时间。
假设每一步都需要30毫秒左右,如果叠加个四五步,再加上个来回传输的时间,总共就要到200多毫秒。
随便动一下,都要延迟200毫秒,这是人无法接受的。
所以,辰哥带着大伙儿搞了一组黑科技,可以让流量并行通过各个系统,相当于一边看健康码,一边查验机票,一边检查身份证,一边过安检。
这么一来,就省下了很多时间,把全链路压缩在几十毫秒之内。
再说“稳”。
刚才也说过,安全系统都是装在一个个容器里运行的。这也就意味着,一台云端的“物理服务器”上可能跑着多个安全系统的“容器实例”。
那么,一台服务器里跑多少个容器实例才合适呢?
答案是,看你的水平。
不是有个故事说:一个男的同时和10个女朋友聊天,都能聊得火热不断篇儿。还振振有词:怎么啦?我又不是聊不过来。
这个渣男的脑海里就运行了10个实例,简直是云计算技术的典范。
辰哥他们的任务就是把系统变成最渣的渣男,最好同时稳定运行几十上百个实例。这样,才能把硬件的潜力全逼出来,达到效率最优。
常见的容器都是“标准款”的,深信服过去的各个安全产品也是“标准款”的。把这两种标准款的东西塞在一起,就很难做到极致。
于是技术宅就要对“容器”和里面的“实例”都做针对性地优化。
这里面,不仅要SASE团队玩命改代码,更主要的是让原本负责这个安全产品的研发团队改代码。
这两年,凡是上SASE的安全产品,比如“全网行为管理”、“零信任”,它们的同学都已经被SASE这帮人给折腾怕了,一看到老林他们就“几欲先走”。
最后说“爽”。
爽,其实是一个非常主观的感受。
辰哥隆重介绍了一个有趣的事情:他们做了一套“数字体验管理系统”(degitalexperiencemanagement)。
这是个啥呢,举个例子你就懂了。
你们公司用腾讯会议开会,这些视频流量也要经过SASE安检一遍才能放行。
这一天,你们开会的时候突然很卡,请问,究竟是腾讯会议网速的问题,还是SASE网速的问题?
这个问题的答案极其重要。。。
深信服就要在产品界面上,给用户提供清晰的数据:现在腾讯会议的延迟是多少,而SASE各个环节的延迟又是多少。
这样一来,用户心里也有底,深信服改进自己的产品也有据可循。
但问题就是,获取这些“体验数据”其实挺难的。
就像神经系统一样,为了知道系统哪里不舒服,你要在各个关键的地方布置“监测点”。
原本线下版本的产品里不需要,也没有这部分功能。所以我们需要在SASE版本里从头开始,一点点加上去。
辰哥说。
就这样,这群技术宅拉扯着“云上石狮子”一点点长大。
在老林看来,虽然现在SASE还算是少年辛巴,但有朝一日它一定能长成比所有“狮子”更厉害的“狮子王”。
这不是老父亲毫无来由的希冀,而是有客观依据的:
如果你把安全系统装进服务器,那它的水平一定会受到服务器自身计算力的限制。
但如果你把它搬到云上,虽然看起来还是同样的系统,但由于算力不再是局限,我们能把更复杂的算法装进去,也能把更多的全量数据拿来计算。
继续演进下去,云端的安全产品能力一定会在某一天超过服务器里的安全产品。我坚信这一点。
老林说得很坚决。
不过,凡是老司机都明白一个道理:技术的跨代领先,只是成功的重要因素之一。
就在这群技术人搞定一个个困难的时候,大家心里都清楚,房间里还有一头大象。
(七)和“大象”一起跳舞
房间里的大象,就是深信服过去20年如建造金字塔一般艰难搭建起来的“销售渠道体系”。
看过《有一种温度叫深信服》那篇文章的浅友都知道,从世纪初开始,深信服众将星散在全国各地,一家一家拜访渠道商,一点点证明自己真心实意地支持渠道商。
这才有了如今如毛细血管一般的全国销售网络。
但SASE的诞生,让一个问题变得难以绕过。
SASE要不要通过经销商渠道销售?(换句话说,让经销商来销售,是不是对双方都有利的选择?)
你可能会咂咂嘴:好东西,为啥不让卖呢?
嗯,这个问题背后的逻辑,绝对没有看上去那么简单。
它可以拆解成两个更具体的问题:
第一,对于深信服来说,如果卖实体安全产品,那么上门安装调试、后续维保,都需要散布全国的经销商来做。
但SASE这种订阅模式,用户只要开通账号就能用,调试、维保的过程都由深信服总部来做。那经销商的地面部队作用是不是就降低了呢?
第二,对于经销商来说,假设原本卖一台设备能赚3w块,3w块直接落袋为安。
现在变成卖订阅,每年1w块,续费三年才赚3w,那我还得每年盯着客户续费,万一客户闹脾气不续费了呢?这么多不确定性,我为啥不继续卖设备,而是要卖SASE?
种种迹象表明,这事儿让深信服上上下下纠结了很久。
作为一家千亿市值的上市公司,一旦选错了,可能就是“送命题”。
2020年,深信服终于交了卷,卷子上写着一个激进的答案——让经销商体系全面承担起销售订阅服务的任务,而且当线下产品和线上订阅产品冲突时,优先销售订阅产品。
这就是所谓的“Xaas优先”(XaaS可以理解为订阅制,也就是“订阅优先”)。
再小的家,也需要石狮子。
其实如今回望,不用多高深的水平,就能理解“Xaas优先”是没错的。
有两个重要的理由:
1、虽然SASE的诞生之初有照顾“小节点”的考虑,但是后来事实证明,大节点也可以用SASE来保证,SASE比传统硬件的保护范围只多不少,用途上是更广泛的。
2、SASE放在云端,摆脱了计算力的限制,假以时日,会拉开和线下设备能力的差距,防住线下设备防不住的高级进攻。能力上是更先进的。(老林之前提到了这一点)
放眼当时,市面上大家都在预测深信服会改革,但改革得这么一步到胃,还是超乎了很多人想象。
2021年春天,在海南举办的合作伙伴大会上,深信服的创始人何朝曦跟全体渠道商旗帜鲜明、毫无余地地表明了这个态度,台下一下子就炸了。。。
有的年轻经销商大受鼓舞,跃跃欲试;但有更多经销商卖了好多年“盒子”,突然一听要卖“订阅卡”,觉得简直是胡闹。
老林回忆,当时他也被好多经销商围起来,问这问那。
他给大家解释:
SASE能不能有未来,关键看有多少客户续费。客户续不续费,关键看产品好不好。
如果大家觉得深信服的云上产品真的能解决问题,而且比过去的盒子解决得更好更快,那有什么理由不续费呢?
如果大家都续费,那对于你们经销商来说,卖一次,就等于卖了一辈子。以后每次续费你们都能拿到属于自己的利润分成,这不是躺赚么?
大家一听,反正也是这么个道理。
当然,老林不可能睡服所有人,但历史的转折兀自排山倒海。
后续几个月,从深信服的后台数据可以看出来很多有趣的事实:
越是思路年轻的经销商,转型越快,销售的SASE产品就越多,而偏传统的固守过去销售思路的经销商,销量增长就逊色很多。
而从客户来说,越是年轻新潮的公司,就越接受SASE的模式,不仅因为SASE可以对他们的小节点提供保护,也因为这种模式更轻更友好。
SASE成为了网络安全界“年轻人的通行证”。
在年轻人的加持下,SASE的销量把华哥给惊呆了。
2021年初定销售任务的时候,华哥“被逼”拿了一个很高的目标,心里无比忐忑。结果,刚过8月,全年的指标就已经完成了。给他都整不会了。。。(我猜这也是老林他们找我聊天分享喜悦的重要原因。。。)
看到这么多客户,SASE这群人一边开心,一边是压力陡增。
因为他们意识到,身上肩负的是无数客户的生命线。
华哥记得很清楚,就在几个月前,他们刚刚经历了一次“小风波”。
一家外企客户,选择把中国的分支业务交给SASE来保护。本来一切都很顺利,但突然有一天,SASE后台流量突然陡增,导致了二十分钟响应中断的情况。
本来我们的预想是,如果SASE临时出问题,客户可通过高可用机制“逃生”。也就是临时不通过SASE,在无安全保护状态下让工作继续开展。
其他企业都采用了“逃生”设计,但这家企业并没有,把SASE作为连接网络的唯一通路。
所以SASE一抖动,后面的办公网就都停摆了。
华哥解释。
虽然紧急排查搞定了问题,但当天晚上,从渠道主管到区域主管到华哥他们,还是排着队给客户登门道歉。。。
在这件事上,华哥他们的态度很科学:
他们的结论不是“客户用的姿势不好”,而是反过来感叹“已经有一些企业把生命都交给了SASE”。
云上订阅服务是新生事物,但已经渐渐扛起了网络安全的“大梁”,从此不能有丝毫马虎。
SASE团队马上启动技术升级,把成本不低的“高可用技术”融进其中。
高可用的技术大概是酱:
云上系统的故障率虽然可以无限降低,但理论上永远不可能等于零。只不过再出现PoP节点故障,负载就会自动紧急切换到备份系统上,让客户不受影响。
就像下图。
创业不易,凡此种种不胜枚举。
在我看来,SASE是一种网络安全的新交付范式,所以本期的科普侧重于范式相关的技术,没有具体到攻防层面的技术点。
而“范式”本身,(在我看来)恰恰是对每个人更有意义的问题。
这个问题的思考出发点就是老林说的那句:“你不可能让年轻人白天鼓捣服务器,晚上回家爱奇艺。”
我们总要把网络安全这件事儿交给孩子们。
在网络安全这片大陆上,我们应该奉献给年轻人一个怎么的世界?
(八)向年轻人鞠躬致意
虽然技术就是技术,但技术绝对带有文化烙印。
真正决定技术被怎样使用的,是人们脑海里对“这个世界究竟应该怎样运作”这个话题所共享的想象。
从机械时代走来的人们,相信更可靠的机械主义安全。那个时代的人,哪怕是最朋克的人,做出的东西也都带有蒸汽朋克的遗风。
比如,用一堆服务器砌成IDC机房,晨昏三检查,早晚两汇报;
比如,办公室门外的打卡机和等级森严的格子间。
当然,把实体的网络安全服务器串联在一起,这本身也是机械时代的安全感。
但到了赛博时代,物质的丰富,导致人们对环境的改造更加容易,于是一切结构都变得“短效”。
人们的兴趣爱好一天一变,人们的需要也一天一变。
表现在我们的生活中,就是无数潮牌兴起和衰落,无数流量明星的闪耀和覆灭,无数话题涌起又跌碎,无数新朋友的到来和老朋友散失在人海。
这种生活方式,影响了人类的契约方式。
这也是“订阅”兴起的底层逻辑。
订阅早在“消费级市场”从小众逐渐成为大众。
于是有趣的现象已经发生:
当年轻人都在用手机美颜自拍时,你手里的单反就会贬值;
当年轻人都在玩盲盒时,你手里的茅台陈酿就不香了;
当年轻人都在新能源汽车上唱K时,你的奔驰引擎声听起来也不那么丝滑了。
“企业级市场”,这个看似一点不性感,万年稳定的广阔大陆,也正在承受着订阅的冲击。
所以,真正有趣的现象是:
人的悲喜并不相通,1910年,当新潮的年轻绅士开上“T型车”的时候,坐在马车里的大叔们只会觉得他们吵闹。
因为数据显示,当时汽车的销量,不及马车的一个零头。
数据当然能说明问题,但数据没有说明的,才是真的问题。
苹果手机是2007年研发出来的。而你知道吗?那也是诺基亚股票涨得最疯的一年。
老林说。
虽然SASE的销量相比深信服其他传统产品来说还只是个零头,但我从老林的表情中,可以看到一个尚未到来但确定无疑的画面。
老林给我讲了一个细节。
深信服标准安全产品的后台界面上,会显示设备的网络性能,CPU占用率等等参数;
但是在同样产品的SASE版本上,用户看到的后台就只显示哪些数据有泄露风险、哪些人员有风险、网络例行检测评分怎样等等这类业务信息。
CPU这些底层性能难道不再重要了吗?
当然重要,但有更专业的人替你关心,不再需要你自己关心了。
也许几年后,所有的网络安全工程师的工作都变成了这样:
工程师坐在懒人沙发中,拿起手机用网易云放一首歌,然后调出SASE这个“云上石狮子”对网络例行检查,如果有问题就召唤“空中火力”对图谋不轨的黑客一顿爆锤。
工程师的全部智慧都用来“和人工智能协作”,制定出最适合自己公司的安全防护策略,然后交给系统去执行。
六点半到了,工程师准时下班,所有的网络安全策略被云端的MSS工程师团队继续贯彻。(有关MSS,可以参考《云上钢铁侠》)
这才是一个分工更加细密的赛博时代该有的样子。
深信服向云化和服务化的转变,在我看来,当然是公司自身利益的需要。但从历史的角度看,他们是在向“年轻”本身谦卑地鞠躬致意,更是向“适者生存”而非“强者生存”的达尔文主义的致意。
由此,作为走向新时代的尝试,SASE值得被祝福。
毕竟,贪恋过去的人终究会随旧时光一起老去。在Z世代的眼中,那些没能走到未来的人,至多只是历史课本里的一行油墨。
再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友,可以搜索微信:shizhongmax,也可以关注微信公众号浅黑科技:qianheikeji
免责声明:本站部分内容转载于网络或用户自行上传发布,其中内容仅代表作者个人观点,与本网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,不负任何法律责任,请读者仅作参考,并请自行核实相关内容。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,发送到本站邮箱,我们将及时更正、删除,谢谢。