“作為網(wǎng)絡安全的第一道防線,以防火墻為代表的邊界安全是網(wǎng)絡安全行業(yè)發(fā)今已有30多年,始終是最大的細分市場,被譽為行業(yè)‘常青樹’。”全國政協(xié)委員、全國工商聯(lián)副主席、奇安信集團董事長齊向東在北京網(wǎng)絡安全大會融合安全論壇上表示,邊界安全之所以經(jīng)久不衰,是因為它在能力融合的路線上不斷創(chuàng)新演進,持續(xù)推動市場增長。
2024年6月6日,2024北京網(wǎng)絡安全大會(BCS 2024)“融合安全論壇”在北京國際會議中心舉辦。奇安信集團董事長齊向東,奇安信集團副總裁、首席架構師吳亞東,國家信息中心辦公室副主任呂欣,國家信息中心信息與網(wǎng)絡安全部處長劉蓓,中國石化工程建設有限公司高級安全專家郭放,樂信集團信息安全中心總監(jiān)劉志誠,南凌科技股份有限公司首席技術官魯子奕,飛騰信息副總裁兼行業(yè)解決方案總經(jīng)理楊威,企業(yè)IT自媒體“老韓一米九”創(chuàng)始人韓勛;思博倫通信科技產(chǎn)品總監(jiān)任紅波等領導、專家和業(yè)界嘉賓出席了本次論壇,就融合趨勢下的邊界創(chuàng)新進行了探索交流和觀點碰撞。
網(wǎng)絡安全硬件市場達225億,技術融合成驅動引擎
圖:全國政協(xié)委員、全國工商聯(lián)副主席、奇安信集團董事長齊向東
齊向東引用了IDC的一組數(shù)據(jù),2023年,中國網(wǎng)絡安全硬件產(chǎn)品的市場規(guī)模達到了225億人民幣,到2027年,中國網(wǎng)絡安全硬件市場規(guī)模將達到364億人民幣。這其中,邊界安全是占比最大的主力產(chǎn)品,也是廣大政企客戶安全建設的剛需,長期占據(jù)著網(wǎng)絡安全投資的主要比重。
對此,齊向東表示,能力融合是推動邊界安全持續(xù)創(chuàng)新和市場增長的核心引擎,尤其是企業(yè)對網(wǎng)絡安全需求的持續(xù)升級,包括混合環(huán)境的興起、零信任的普及,都加速了邊界安全的能力融合趨勢。從Gartner提出的“網(wǎng)絡安全網(wǎng)格架構(CSMA)”的理念,到今年RSAC大會越來越多的廠商推出了平臺集成解決方案,都驗證了融合是行業(yè)發(fā)展的大勢所趨。
圖:國家信息中心辦公室副主任呂欣
“數(shù)字經(jīng)濟的崛起與繁榮,賦予經(jīng)濟社會發(fā)展‘新領域、新賽道’,形成‘新動能、新優(yōu)勢’,正在成為引領中國經(jīng)濟增長和社會發(fā)展的‘新力量’”。國家信息中心辦公室副主任呂欣表示,數(shù)字經(jīng)濟高速發(fā)展,網(wǎng)絡安全屏障也亟待筑牢,在網(wǎng)絡系統(tǒng)的跨層級、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務的協(xié)同管理和服務越來越普遍的情況下,技術融合、數(shù)據(jù)融合、業(yè)務融合成為趨勢,并推定網(wǎng)安行業(yè)尤其是邊界安全的技術創(chuàng)新和升級迭代。
邊界安全的發(fā)展史,就是能力的融合史
圖:奇安信集團副總裁、首席架構師吳亞東
“邊界安全的發(fā)展史就是能力的融合史。”奇安信集團副總裁、首席架構師吳亞東就邊界安全的創(chuàng)新實踐進行了分享。他表示,防火墻的演進是邊界安全發(fā)展的縮影,從最早具備簡單ACL功能的路由器,到融入基礎安全接入、NAT、VPN的傳統(tǒng)防火墻,再到融入了應用識別、URL、IPS、反惡意軟件的UTM(統(tǒng)一威脅管理),以及當前市場主流的融入WAF、SDWAN、ZTNA、物聯(lián)網(wǎng)、協(xié)同聯(lián)動等功能的下一代防火墻。不難發(fā)現(xiàn),融合是始終不變的關鍵詞。
在邊界安全朝著融合趨勢演進的過程中,先后創(chuàng)造了全球網(wǎng)絡安全市值領先的兩家公司,分別是開創(chuàng)UTM品類的飛塔公司(Fortinet),以及引領NGFW浪潮的派拓網(wǎng)絡(PaloAlto Networks),其市值分別為456億美元和958億美元,這也充分驗證了這個技術趨勢。
吳亞東表示,從技術路線上說,融合分為兩種,一種是功能組件級的融合,核心是把各種模塊作為內部的一個功能組件,、形成融合網(wǎng)關;第二種是uCPE,通過虛擬化的方式把各種安全能力融合進來,目前在國外比較普遍。
吳亞東認為,未來融合的長期目標就是簡化邊界,代表產(chǎn)品是流量解密編排平臺,它通過簡化邊界安全架構、安全設備資源池化、軟件定義服務鏈、靈活的引流策略、軟件定義bypass等技術,讓網(wǎng)絡維護化繁為簡,實現(xiàn)了安全、高性能、易管理的完美平衡。
圖:國家信息中心信息與網(wǎng)絡安全部處長劉蓓
“當前,企業(yè)數(shù)字化業(yè)務的形態(tài)已經(jīng)發(fā)生變化,技術發(fā)展日新月異,安全要應對這種多變復雜的網(wǎng)絡安全威脅,光靠單臺設備、單一功能和單點防護很難做到安全保障的效果,所以融合安全成了一個非常急迫的需求。”劉蓓表示,數(shù)字政府發(fā)展呈現(xiàn)幾個特征,一是更加開放互聯(lián),二是特征就是融合協(xié)同,第三是加強平臺支撐和集約化建設,第四是數(shù)據(jù)更加開放共享,第五是新技術的廣泛應用。這些趨勢都需要加速推動融合的技術創(chuàng)新,包括數(shù)據(jù)的共享,互聯(lián)互通的標準化、多場景的覆蓋等。
圖:中國石化工程建設有限公司高級安全專家郭放
“傳統(tǒng)邊界安全架構存在三個問題,分別是業(yè)務連續(xù)性降低,安全建設壓力劇增,投入產(chǎn)出比降低、安全投入關注點,安全能力固化、安全設備切割影響面廣,尤其是加密流量增多,導致原有安全設備失效,安全威脅愈發(fā)嚴峻。”中國石化工程建設有限公司高級安全專家郭放就大型能源央企對網(wǎng)絡新邊界的探索進行了分享,他認為,原有串糖葫蘆的網(wǎng)絡部署架構,存在性能瓶頸、單個故障影響整體等弊病。未來需要對邊界安全架構進行重塑,實現(xiàn)安全能力的池化部署。
郭放以流量解密編排器舉例,描繪了融合安全趨勢下的新部署模式,首先在編排方面,安全能力基于意圖或業(yè)務進行按需編排,從而提升出口部署的可靠性、靈活性,簡化出口運維,將原來冗余的一個糖葫蘆串的邊界防護體系,打造成為靈活,結合業(yè)務、不同場景和需求的體系讓不同安全設備發(fā)揮它最大價值。其次在流量解密方面,通過高性能流量解密,賦能不同的安全設備,提升其處理能力。最終實現(xiàn)降本增效的網(wǎng)絡安全架構。郭放建議,對于大型企業(yè)機構,可以通過一拖N的流量編排器,將流量分流按需給流量平臺,實現(xiàn)安全能力的全局化。
圖: 樂信集團信息安全中心總監(jiān)劉志誠
“邊界的定義隨著時代在不斷變化,網(wǎng)絡邊界的定義是內外網(wǎng)的分界,應用邊界的定義是賬號和身份驗證,我們理解的邊界是對檢測點的可驗證控制。”樂信集團信息安全中心總監(jiān)劉志誠在《從零信任到無邊界——我的數(shù)字安全邊界觀》中表示,數(shù)字安全分企業(yè)安全、運營安全、產(chǎn)品安全三個層面,其邊界定義也有所不同。企業(yè)安全邊界的定義是內網(wǎng)、零信任、CASB、SASE;運營安全邊界包括消費者邊界、運營邊界、供應鏈邊界、監(jiān)管邊界等;產(chǎn)品安全的邊界是安全性和舒適度。解決邊界的核心,在要素層面,需圍繞身份、終端和訪問策略,在能力層面,圍繞數(shù)據(jù)驅動、關聯(lián)分析、安全中臺來推動。未來一方面,從零信任到無邊界是數(shù)字安全的必然趨勢;另一方面,無邊界的安全防線需要依托可驗證控制的安全檢測點。
圖:南凌科技股份有限公司首席技術官魯子奕
南凌科技股份有限公司首席技術官魯子奕就從《SDWAN到SASE的演進:探索和實踐》進行了分享。他表示,SASE是一個集成了云安全、SD-WAN、邊緣計算等多個元素的綜合解決方案,它并非簡單地將現(xiàn)有安全組件云化或整合,而是需要在邊緣計算、云原生安全網(wǎng)元、靈活接入方式及持續(xù)的安全策略動態(tài)調整等方面實現(xiàn)深度融合。南凌科技通過一系列創(chuàng)新措施,如混合云策略,將SSE功能部署在POP點和CPE(Customer Premises Equipment)上,以及構建統(tǒng)一管理平臺,以提高安全策略配置與響應效率,并通過集成奇安信等多家安全伙伴的技術,實現(xiàn)了從資產(chǎn)統(tǒng)計到防御、檢測、響應的全鏈條安全服務。
融合趨勢推動算力平臺、測試平臺持續(xù)演進
圖:飛騰信息副總裁兼行業(yè)解決方案總經(jīng)理楊威
“融合在各個領域成為趨勢,包括技術的融合、端邊云的融合等。”飛騰信息副總裁兼行業(yè)解決方案總經(jīng)理楊威表示,飛騰芯片作為中國電子集團旗下的CPU設計國家隊,致力于為技術創(chuàng)新提供高性能、高安全、高可靠的通用算力底座。憑借20多年的研發(fā)歷程,飛騰遵循“從端到云、安全定制、安全可信、開放合作”的研發(fā)路線,已擁有從端到云的全譜系通用智能和專用算力芯片,廣泛應用于各類設備,特別是在安全領域展現(xiàn)出顯著優(yōu)勢,從而為網(wǎng)絡安全的融合創(chuàng)新提供強大的算力底座。
圖:企業(yè)級IT自媒體“老韓一米九”創(chuàng)始人韓勛
作為專注企業(yè)級IT自媒體“老韓一米九”創(chuàng)始人韓勛從《從企業(yè)業(yè)務AI化浪潮看安全發(fā)展趨勢》進行了分享。他表示,盡管AI應用在企業(yè)中日益普及,旨在提升效率降低成本,但很多企業(yè)在追求AI與業(yè)務融合時,并未充分意識到對現(xiàn)有網(wǎng)絡和安全架構的潛在挑戰(zhàn),導致安全配置普遍薄弱,南北向與東西向均面臨大量安全威脅。韓勛表示,行業(yè)市場與商業(yè)市場需求的不同,導致產(chǎn)品在應用識別、互通與聯(lián)動、部署形態(tài)等方面存在顯著差異,因此需要更靈活的產(chǎn)品形態(tài)和商業(yè)模式,以適應快速變化的商業(yè)市場。他認為,目前網(wǎng)絡和安全都已經(jīng)走向融合,未來多個安全能力的整合,甚至單一供應商全家桶式方案可能成為未來發(fā)展方向。
圖:思博倫通信科技公司產(chǎn)品總監(jiān)任紅波
“隨著網(wǎng)絡架構的演變,傳統(tǒng)的城堡與護城河安全模型已無法滿足現(xiàn)代企業(yè)復雜多變的需求。如今,云服務、遠程辦公與分支網(wǎng)絡的興起,使得企業(yè)網(wǎng)絡邊界變得模糊,安全測試與性能評估面臨全新挑戰(zhàn)”。思博倫通信科技公司產(chǎn)品總監(jiān)任紅波表示,傳統(tǒng)測試集中于單一設備的性能,如吞吐量、時延等,而今需要轉向整體網(wǎng)絡效能與用戶體驗的評估。隨著SD-WAN、零信任等技術的應用,安全測試需要納入新指標,如攻擊識別準確性、負載均衡與智能選路能力等,測試對象由單臺設備擴展到整體網(wǎng)絡,考慮不同部署位置的安全策略與流量路徑優(yōu)化,避免重復分析,確保高性能與低時延。同時,軟硬結合,線下和云端結合將是安全工具的發(fā)展方向。
圖:2024北京網(wǎng)絡安全大會融合安全論壇
2024北京網(wǎng)絡安全大會以“AI驅動安全”為主題,共舉辦2場峰會、20多場分論壇,2場大賽,邀請來自10多個國家和地區(qū)的專家學者,來自金融、能源、交通、政務等10多個行業(yè)領域代表參會。其中,融合安全論壇聚焦融合趨勢下的邊界安全演進和創(chuàng)新,邀請政府機構、行業(yè)客戶、上下游合作伙伴等共同探索如何擁抱技術趨勢,共同推動產(chǎn)業(yè)升級,為數(shù)字經(jīng)濟筑牢安全基石。
