数字化转型中云网接入面临三大挑战 奇安信Q-SASE提供可靠支撑

伴随着数字化转型的加速，大型政企单位面临组织广域化、办公环境复杂化、应用系统云化、信息数据集中化的变革，集团总部与下级单位的互联网出口访问难以统一管控;同时远程办公、移动办公以及混合办公成为了工作常态，随之而来企业内部信息资产访问同样面临安全挑战，“防护不全、能力不够、效率不高”已成为制约数字化转型的瓶颈。

安全访问面临的三大挑战

　挑战一：防护不全

集团总部、数据中心、分支机构、云平台等的安全防护要求不同，安全需求复杂;各下级单位分布广，安全边界模糊，不再可信;IT基础设施的防护范围广、防护点多，这些都会导致攻击面大量暴露，防护难以覆盖。

挑战二：能力不够

安全产品的大量堆砌、策略重复开启，使得安全运营人员难以确认安全产品的相关策略是否有效运行，无法发挥潜在价值;与此同时，大量安全设备产生的海量告警信息使得安全运营人员难以应对，从而让真正有威胁的告警淹没在了无效告警中，并且缺少专业人员研判、事件优先级不明确，难以做到最优的应急处置策略。

挑战三：效率不高

安全设备和系统需要部署在各二、三级单位，作用范围小，资源浪费，各单位分散进行安全事件分析处置，无法集中进行管理，知识库难共享;各种安全设备和系统无法统一进行运维管理，需要本地配置相应的系统运维人员，人效偏低。

四大能力模块构筑安全访问基础

为应对上述挑战，奇安信Q-SASE将网络功能和安全功能融合为统一服务模式，提供了终端可信接入、组网/引流、分布式安全资源以及统一安全运营服务平台能力，使内部用户、分支机构用户和移动办公用户，都能够高效且安全地接入SASE服务节点(POP点)，对外(out)受控访问互联网应用、公有云SaaS，对内(in)安全访问公司内部资源和应用。

据介绍，奇安信Q-SASE主要包含四大模块。

统一安全运营平台：对Q-SASE架构中的系统、安全网关、资源池组件等进行持续监测，保障整个系统的持续稳定运行。支持对运营人员的权限和工作进行管理，提供对安全告警日志和安全事件的持续跟踪和管理，并基于客户需求针对安全资源池和安全网关中的组网策略和安全策略进行持续优化

分布式安全资源池：采用虚拟化镜像方式部署不同安全组件，比如虚拟化防火墙、上网行为审计、虚拟化WAF等，实现安全能力弹性扩充、安全组件单点登录、安全组件和特征库统一升级管理功能。

组网&引流：安全网关采用SD-WAN组网技术与安全资源池实现快速灵活的接入，支持将分支访问流量按需引流到安全资源池进行安全防护和上网审计;支持数据加密传输，不同应用设置不同的引流规则。

可信终端接入：通过零信任可信访问控制台和零信任可信应用代理，从身份风险、终端风险、网络风险、权限和数据风险五个维度，全面构建从终端到应用访问的端到端安全防护能力，通过便捷的运维管理能力和动态访问控制机制，确保零信任的防护效果落实在业务访问的各个阶段。

三大价值构提交安全访问“最优解”

基于上述四大模块，奇安信Q-SASE能够为客户提供以下三个方面的价值。

首先是随时随地的安全访问。

通过Q-SASESASE可以将在云管理平台上设置的策略，下发至靠近终端用户最近的安全节点，无论用户处于何时、何地，都可以安全可控的访问所需资源。

其次是持续的安全运营

SASE采用统一的安全架构、提供统一防护水平、实施统一访问策略、实现统一运行管理,为信息化网络提供全局安全防护的持续保障。

第三是大幅的降本增效。

Q-SASE同时具备安全防护能力和组网能力，基于云安全资源池提供NGFW、WAF、SWG、端点安全等多项安全能力，避免IT和安全的重复建设、重复投入，大幅度降低了信息化建设成本和管理成本;基于SD-WAN可以实现总部、分支机构的安全组网，节约了昂贵的专线费用。

　结束语

奇安信Q-SASE可以有效帮助政企单位解决了分支机构互联网收口访问、内网业务系统访问、远程接入访问的安全防护需求，有效缓解 “防护不全、能力不够、效率不高”的三大新型挑战，为企业的每一次云网接入访问保驾护航。