3月末,360企业安全发布了名为“天境”的安全SD-WAN方案。该方案既包括SD-WAN灵活的组网能力,也包括针对该新兴网络基础架构的安全防护能力。
软件定义广域网(SD-WAN)是将SDN(软件定义网络)技术应用到广域网,连接在地理位置上分散且数量众多的企业分支机构的一种技术解决方案。通过将网络控制能力以软件方式“云化”,SD-WAN不仅可以实现对业务的友好,同时还可以提升部署效率,降低组网成本。思科、华为、新华三等主流数通厂商,近年都持续在SD-WAN这样一个新兴市场发力,试图在客户考虑更换网络架构时抢占先机。
360企业安全集团是纯粹的安全厂商。虽然360企业安全在发布会上明确表示,不会涉及数通厂商传统且成熟的路由、交换等领域,但是可以看到,此次发布的“天境” 的部分核心能力,这一次确确实实落在了非安全领域(NaaS,网络即服务),而不只是SD-WAN场景下的安全方案。虽然该方案仍是来自360企业安全集团的安全网关产品公司,但仍让人好奇,这是否是一种信号,360企业安全集团的业务已经开始从安全向网络延伸?
对此,安全牛记者结合发布会内容,以及会后对360企业安全集团副总裁欧怀谷的采访,将360企业安全集团对“天境”方案的考量整理如下。
“天境”是基础架构安全和“关口前移”思想的重要实践
不得不承认,合规点、被动的威胁防御与响应,是目前企业安全建设的主要关注点。网络安全滑动标尺,是360企业安全在近两年着力宣传的能力建设模型。滑动标尺包含了五个能力区间,代表着高、中、低三位安全能力。其中,基础架构安全,即在网络或信息系统规划建设之初就将安全能力考虑并内嵌其中,是“关口前移”思想的重要实践。
天境安全SD-WAN,可以说是实现“关口前移”思想的一个极佳契机和具体体现。
360企业安全集团总裁吴云坤在发布会致辞时表示,“全面覆盖、深度结合、有效监测、协同响应”,是概括此次发布的“天境”方案价值最有力的16个字。
可以这样理解,“全面覆盖、深度结合”是方案特点,是方案中安全能力和组网、云与终端的关系。中、高位实现的安全能力(如云端的威胁情报)可以让低位更加简单高效。“有效监测、协同响应”是安全和各信息系统,以及与各部门的关系。安全必须和网络、云、数据有更紧密的结合。如果从早期阶段就对信息化工作和安全做整体的规划,而不是滞后的集成和单点布防,将安全内嵌入基础架构,以最小的代价实现更有效的安全。
从安全角度,这些正是360“天境”的核心价值。360企业安全有扎实的安全能力。安全和组网能力的深度且全面的融合,不仅可以通过统一的管控平台降低客户侧的运维压力,降低成本,还能提升网络和安全资源的利用率,实现更好的效果。
产品能力方面,据安全SD-WAN产品线负责人王茜博士介绍,可以从组网和安全两个维度来看。
对于客户而言,能否基于业务,实现实时智能的网络开通和调度,并帮助降低带宽成本,是对SD-WAN方案关注的焦点。所以在组网能力上,“天境”包括零配置上线(配置策略自动下发)、路径智能切换、业务识别等,帮助实现组网的快捷、高效、智能、开放。
SD-WAN方案本质是提升效率的手段。
安全方面,王茜认为,还可以再细分两个角度,一是云端管控平台及SD-WAN网关设备自身的安全,二是安全和组网两个能力之间的协同。特别是第二点,王茜强调,SD-WAN网关设备可以协助安全设备引流,更高效的进行流量分析,同时协同安全策略在整个软件定义广域网中的部署执行,从网络角度助力安全运营。
安全能力和组网在这个方案里是相辅相成的。安全和SD-WAN结合趋势上来看是必然的。所以,天境方案的“SD”除了软件定义外,还有一层“安全定义”的意义。
可以看到,无论是从360企业安全一直秉承的能力建设思想,还是具体方案产品,SD-WAN都是向客户更好的输出安全能力的一个恰当的结合点。
不只是占位 360企业安全有做SD-WAN的积累和优势
会后,安全牛采访了360企业安全集团副总裁欧怀谷。
1. 关于产品定位
欧怀谷不否认,这是一个考虑了SD-WAN这样一个新兴市场占位的防御性产品。同时,可以看到,业内的数通厂商,有将安全能力做到自己的SD-WAN方案中的趋势。如果自己没有安全能力,也会选择和专业的安全厂商进行合作。这是一个业内的现状。360天境也是顺势而为。
组网不是360企业安全的强项。但安全是这个方案不可忽视的定语。欧怀谷认为,作为一个SD-WAN方案,首先肯定需要组网能力。这点对于360企业安全而言也不是完全陌生的。
“360作为一个安全厂商,对网络也有深刻的理解。公司内部的鲲鹏平台就是我们自研,集成了基本的交换、路由、流量优化、NAT等能力的网络平台。此次发布的天境在组网部分,就是架构在鲲鹏之上。”
我们是懂网络的,只不过更懂安全。
同时,欧怀谷还表示,解决SD-WAN场景下的风险,从基础架构层面做安全,由SD-WAN网关设备对网络和安全进行统一的编排、管理和策略下发,可以更好的解决安全问题。这是这个方案的一个重要出发点。
“可以说,SD-WAN控制器、CPE网关就是解决SD-WAN安全问题的最佳位置。天境这个方案内嵌了我们已有的许多突出安全能力,后续会有一个更加综合的解决方案。”
2. 方案优势
不可否认,更低廉的组网成本,是天境吸引这些SD-WAN潜在客户的重要价值点。但在其它方面,天境也有其自己独特的优势。
客户资源是一个重要优势。
据欧怀谷介绍,360企业安全有大量头部客户的积累,比如部委、政府机构、大型央企等。这些客户360都有很好的基础。虽然目前这些客户在其广域网方案中的安全需求,主要体现在统筹化、集约式的防护和管控,但他们也正在积极寻求利用SD-WAN的方案实现创新的契机,都是非常有引导和融合机会的潜在客户。而对于以连锁化、大量分支机构为典型特征的客户,如酒店、商超、物流、中介等,这些行业门店数量多,是SD-WAN方案的典型适用场景。同时,对网络质量和关键业务数据的安全都有切实的需求,寻求较低的网络和安全建设以及运维成本,可以同时满足组网和安全两方面需求的360天境对于他们而言,是非常适合的选择。
此外,360天境是非常开放的。
虽然此次发布的是一个整体方案,但是欧怀谷表示,组网和安全两部分都是可以分开合作的。组网方面可以和企业现有的网络架构协同工作,无论是旁挂还是串接的模式,360天境都是支持的。安全部分的能力也是对客户和其他数通厂商开放的。即使客户采购了其他供应商的SD-WAN方案,360企业也可以提供安全保障能力。
360天境还在主动寻求和云服务商的合作。在“一带一路”政策,贸易全球化,以及5G技术应用这一大背景下,可以同时具备快速组网、较强移动性和安全性、较高可靠性、以及较低成本能力的SD-WAN方案,在未来对组网能力和安全服务都有强烈需求的海外市场是非常有潜力的。
“通过与云服务商的合作,比如云直连专线,以及其他通信技术,可以很灵活的做链路调度。这次出席发布会的首云(首都在线),就是我们的重要合作伙伴。”
相关阅读:
思科SD-WAN方案中的五大安全优势
如何避免SD-WAN的常见安全错误
如何解决软件定义广域网(SD-WAN)的最重要问题——安全
