一位SASE用戶的體驗日記
一位SASE用戶的體驗日記
用兩個詞概括我用了SASE后的感受:
簡單、可靠
第一次看到“SASE”這個詞,是在2021年3月的某個早晨,在一條朋友圈廣告上:
當(dāng)時吸引我的不是“SASE”,而是廣告詞里的“辦公安全管理”。
很長一段時間,我都在煩惱公司的辦公安全問題,任何與辦公安全有關(guān)的信息似乎都是救命稻草。這條廣告,自然也是要抓住的。
我知道廣告很可能是騙人的,但那一刻我還是“上頭”了……
沒有硬件設(shè)備,3分鐘就能上線?
提交完試用申請,早餐的面包還沒啃完,電話就來了。
是一位姓林的安全專家。林工了解完情況說,“你這情況不復(fù)雜,現(xiàn)在就能安排試用。”
好家伙,原來這款SASE產(chǎn)品不用部署安全硬件設(shè)備,直接線上開通安全服務(wù),然后電腦上安裝一個軟件客戶端,有網(wǎng)絡(luò)就能實(shí)現(xiàn)管控。用林工的話說,這是“安全能力云化交付”。
安全服務(wù)開通很快,3分鐘就能完成:
1.注冊賬號
開通服務(wù)前先注冊一個云圖賬號x.sangfor.com.cn
2.開通授權(quán)
讓林工幫忙給賬號開通上網(wǎng)行為管理服務(wù)(SASE-AC)的授權(quán);如果是終端檢測響應(yīng)服務(wù)(SASE-EDR),無需授權(quán),直接云圖后臺開通
3.安裝客戶端
在云圖后臺下載安裝一個SASE-AC/SASE-EDR軟件客戶端
4.策略配置
在后臺配置策略,包括不同人員的授權(quán)、敏感信息/關(guān)鍵詞管控策略等等
3分鐘,over!
這不就是網(wǎng)購一族的正常操作嗎?選中產(chǎn)品,選好款式/規(guī)格,下單完事,就等收貨了。
試用第7天,我后悔了一件事
雖然這款SASE產(chǎn)品前期的操作簡單、方便,但對這種“虛無縹緲”的東西我還是保持質(zhì)疑:
1. 無硬件設(shè)備,連客戶端安裝后都隱藏了,摸不著看不到,怎么確保它在“工作”呢?
2. 這款產(chǎn)品通過安裝在電腦上的客戶端軟件或通過引流器將網(wǎng)絡(luò)流量引流到云端(云POP點(diǎn))進(jìn)行管理和安全檢測,怎么確保我的數(shù)據(jù)在云上是安全的呢?廠商或其他用戶會不會窺竊數(shù)據(jù)?會不會利用或傳播數(shù)據(jù)呢?
應(yīng)該不只我一個人有這樣的疑慮。那么,這款SASE產(chǎn)品是怎么表現(xiàn)的呢?
首先,說說它的“工作”效果。
這次試用我安排了二十幾個PC點(diǎn)接入,我的目的是確保每臺電腦的上網(wǎng)安全及保障員工的工作效率,不同PC做了相應(yīng)的策略配置:
1. 能上外網(wǎng)的PC點(diǎn):配置了敏感信息外泄管控、風(fēng)險應(yīng)用攔截、與工作無關(guān)應(yīng)用流量管控、U盤管控(拷貝敏感文件)、病毒查殺/處理等安全策略。
2. 只能上內(nèi)網(wǎng)的PC點(diǎn):配置了U盤管控(拷貝敏感文件)、病毒查殺/處理等安全策略。
具體效果如何呢?
在上網(wǎng)安全管控方面,每個終端的上網(wǎng)風(fēng)險情況都有清晰的衡量指標(biāo),涉及泄密文件情況、工作時間訪問與工作無關(guān)應(yīng)用的時長、被攔截情況等等。
在終端檢測響應(yīng)方面,可以在管理后臺清楚地看到所有終端設(shè)備的安全情況,有哪些高危事件、哪些設(shè)備失陷了、失陷的原因、應(yīng)如何操作等等,都有詳細(xì)的信息。
當(dāng)出現(xiàn)風(fēng)險事件時,微信公眾號會主動告警,可以直接在手機(jī)上一鍵下發(fā)處置策略,連運(yùn)維人員都省了。哪怕你在外頭,一部手機(jī)就能快速處置風(fēng)險,太省事了!
從監(jiān)測效果來看,這款SASE產(chǎn)品完全能夠滿足日常辦公安全的需求。
第二點(diǎn)是數(shù)據(jù)在云上的安全性問題。
我們是研發(fā)公司,最擔(dān)心的就是數(shù)據(jù)上傳到云端后被窺視、傳播或利用,能不能保障數(shù)據(jù)的安全是我們選擇方案的關(guān)鍵。綜合了解了那么多家廠商及方案后,我是這么考慮這個問題的:
1. 安全廠商或云廠商的業(yè)務(wù)跟我們這些用戶的業(yè)務(wù)是不同的,我們的數(shù)據(jù)對廠商而言沒有生產(chǎn)價值,沒有窺探或利用的必要。再說,深信服在企業(yè)信息安全領(lǐng)域發(fā)展了二十年,口碑和信譽(yù)還是靠得住的。
2. 這款產(chǎn)品在日志數(shù)據(jù)訪問和保存上是滿足合規(guī)要求的:
1)云上存儲的日志是根據(jù)用戶自己配置產(chǎn)生的管控日志和審計日志,用戶之間的數(shù)據(jù)中心是隔離,確保用戶之間不能越權(quán)訪問。此外,在用戶未授權(quán)情況下,廠商無法查看用戶的數(shù)據(jù)。
從產(chǎn)品原理上,廠商或其他用戶也無法直接查看用戶數(shù)據(jù)。
2)所有日志默認(rèn)存儲180天,超時會自動清除處理,但用戶可以通過API接口或設(shè)置本地日志中心的方式對日志進(jìn)行下載或本地存儲。
3. 日志數(shù)據(jù)是存儲在深信服托管云機(jī)房,機(jī)房滿足等保三級標(biāo)準(zhǔn),也支持雙份冗余備份。
怎么說呢,不管數(shù)據(jù)放在哪里都無法確保100%的安全,但交給有資質(zhì)、有經(jīng)驗、有口碑的廠商保管,應(yīng)該還是比待在自己的電腦上安全的。
整體來說,這款SASE產(chǎn)品還是能給人“安全感”的。
說實(shí)話,像我們這種小公司,為了存活,業(yè)務(wù)都顧不及,很難顧得上安全。我們需要的是一個簡單、可靠的方案,一款“讓人省心”的產(chǎn)品。
哎,后悔沒有早點(diǎn)用起來。
在試用的第7天,我決定下單了。
遠(yuǎn)程辦公也能安全管控?
購買這個SASE產(chǎn)品之前,我也了解過其他的安全產(chǎn)品和方案,目前市面上大部分安全產(chǎn)品只能對辦公網(wǎng)內(nèi)的設(shè)備起作用,對離開了辦公網(wǎng)的設(shè)備就沒轍了。
我們公司有一半的銷售人員,大部分銷售人員整天都在外面跑客戶,他們的電腦是否安全、是否泄密了,沒有一個是老板不關(guān)心的。
看中這款SASE產(chǎn)品的一個重要原因,就是:
它可以管控通過連接個人4G/5G網(wǎng)絡(luò)、公共Wi-Fi或家庭Wi-Fi等離開辦公網(wǎng)的電腦。也就是說,銷售人員在外面跑客戶,他們的電腦有沒有連接不安全的網(wǎng)絡(luò),是否訪問了不安全網(wǎng)站,或者有沒有把敏感文件泄露給對手公司,我在公司也能一清二楚。
另外,這個功能最大的價值之一是為企業(yè)遠(yuǎn)程辦公提供了安全保障。
今年5月,公司所在地有新的疫情,我們不得不開啟遠(yuǎn)程辦公模式。這就意味著所有業(yè)務(wù)工作都要在互聯(lián)網(wǎng)下進(jìn)行,包括以前為了安全只能在純內(nèi)網(wǎng)進(jìn)行的研發(fā)工作。研發(fā)工作涉及了公司最核心的數(shù)據(jù),在互聯(lián)網(wǎng)下開展將面臨更多的網(wǎng)絡(luò)攻擊攻擊,一旦核心數(shù)據(jù)被泄露,后果不堪設(shè)想。
我們再次聯(lián)系林工幫忙針對研發(fā)崗位定制更加嚴(yán)格的管控策略,一個多月的居家辦公,所有業(yè)務(wù)正常開展,沒有發(fā)生一起網(wǎng)絡(luò)安全事故。
再回去看那個月的監(jiān)測數(shù)據(jù),不得不感嘆,哪有什么風(fēng)平浪靜,不過是SASE把所有“風(fēng)浪”都抗住了。
SASE能做的遠(yuǎn)不止這些
一直以為“SASE”是一類安全產(chǎn)品,其實(shí)它是一個架構(gòu),或者說一種模型。它是由國外的咨詢機(jī)構(gòu)Gartner提出的一個融合網(wǎng)絡(luò)和安全的新架構(gòu),我們用的這款SASE產(chǎn)品就是基于這個架構(gòu)來實(shí)現(xiàn)的。
這是廠商提供的產(chǎn)品架構(gòu)圖:
官方解釋是,通過“SD-WAN+安全能力”,以及遍布全球的云POP點(diǎn),隨時隨地為企業(yè)總部(辦公網(wǎng))、移動辦公、多分支機(jī)構(gòu)等提供安全服務(wù)。
簡單來說,無論員工在總部還是在分公司辦公,或者移動辦公,接入SASE后,都能實(shí)現(xiàn)隨時隨地、低延時、更安全地訪問本地或云上業(yè)務(wù)。
為了更了解SASE(畢竟未來還要好好跟它相處呢),我自己也翻了一些資料。其實(shí),SASE作為一種新趨勢,未來很多企業(yè)都會用上SASE,除了前面提到的本地辦公網(wǎng)辦公、移動辦公場景,多分支機(jī)構(gòu)安全建設(shè)也是SASE的重要場景。
多分支企業(yè)(具有多個分公司、連鎖門店的企業(yè))通過SASE來進(jìn)行安全建設(shè),可以實(shí)現(xiàn):
1. 成本低,能力快速擴(kuò)展
不用像以前那樣每個分支機(jī)構(gòu)都要買上一套硬件設(shè)備,也不用給每個分支安排專門的運(yùn)維人員,SASE具備無限可擴(kuò)展性,可根據(jù)業(yè)務(wù)需要及時添加新的安全服務(wù),隨時隨地執(zhí)行安全防護(hù)策略的能力。
2. 易部署,易運(yùn)維
借助云交付的安全性實(shí)現(xiàn)分鐘級部署上線,免硬件運(yùn)維以及復(fù)雜的多分支管理,云端統(tǒng)一策略管控,一鍵處置安全事件,大幅度提升運(yùn)維效率。
3. 統(tǒng)一策略,統(tǒng)一管控
使用SASE可避免以往總部和分支策略難統(tǒng)一、離網(wǎng)用戶無法管控的局面。甭管有多少個分支機(jī)構(gòu),SASE可提供一致的安全策略和上網(wǎng)體驗,支持一鍵下發(fā)管控策略。
SASE的出現(xiàn),為企業(yè)節(jié)省大量的設(shè)備、運(yùn)維成本,大大提升效率。企業(yè)主要將重點(diǎn)放在業(yè)務(wù)開發(fā)和創(chuàng)新上,安全的事,交給SASE,省心。
不得不感嘆,科技進(jìn)步和創(chuàng)新正在一步步提升社會整體的工作效率,如果不想被社會拋棄,就必須乘著科技進(jìn)步和創(chuàng)新的風(fēng),努力向前追趕。
看來,是時候開分公司了,才能配得上SASE……
所以說,廣告也不一定是騙人的。如果有一天你看到深信服SASE產(chǎn)品廣告,不妨點(diǎn)開看一下,或許會有不一樣的體驗。
免費(fèi)試用申請:請在【深信服科技】公眾號聊天框回復(fù)“免費(fèi)試用SASE”,最長可免費(fèi)試用30天。
深信服SASE方案 以SASE架構(gòu)為核心,將深信服已有的安全能力(如上網(wǎng)行為管理、終端檢測響應(yīng)、上網(wǎng)安全防護(hù)、內(nèi)網(wǎng)安全接入等)聚合在云上以服務(wù)化模式交付,用戶只需要通過輕量級客戶端軟件/引流器/SD-WAN設(shè)備,將網(wǎng)絡(luò)流量引流上云進(jìn)行管理和安全檢測,即可滿足多分支機(jī)構(gòu)安全建設(shè)、移動辦公安全管理、中小企業(yè)一體化辦公安全等需求。