SASE是什么

疑惑一号疑惑一号 in 问答 2022-12-26 16:47:04

软件定义的WAN(SD-WAN)、互联网安全网关(SWG)、云访问安全代理(CASB)、零信任网络访问(ZTNA)、防火墙即服务(FWaaS)。第二代SD-WAN推出具备集成安全性的全功能网络,允许在每个位置直接接入internet(DIA)实现安全的互联网直接访问(breakout),用户也可直接访问云和SaaS应用程序。

当前,各大企业正改变其向内外部员工、合作伙伴和客户交付业务和提供生产力服务的模式。世界各地的企业纷纷采用新技术,例如云、软件即服务(SaaS)、随处办公(WFA)解决方案、物联网(IoT)等。

不过,企业可能会发现自身在启用新功能和确保安全性之间陷入两难境地。员工和客户对云迁移和移动的灵活性、敏捷性和可靠性的要求与日俱增,导致网络的攻击面大幅增加。传统架构已无法充分满足性能或安全需求。是时候重新评估企业系统和工具了。

企业必须采取全新的 IT 模式,以弥补传统广域网(WAN)架构效率低下的缺陷,赋能 WFA 员工队伍,并防范薄弱的安全态势。SASE 可实现上述诉求。

SASE 的全称是“Secure Access Service Edge ”,中文可称之为“安全访问服务边缘”,是一种新的融合网络+安全的架构,具有身份驱动、云原生、支持所有边缘(WAN、云、移动、边缘计算)、全球分布等特点。

安全访问服务边缘(SASE)是 Gartner 推出的一种架构框架和实现方式,旨在提出满足‘客户端到云’时代要求的安全解决方案。本文带你了解全面 SASE。

SASE 将网络和安全解决方案的功能融合为「统一的全球云原生服务」。它是企业网络和安全性的架构转换,使信息技术(IT)能够为数字业务提供全面、敏捷和适应性强的服务。

sase-1

SASE 不是一个单一技术,而是一整套技术的解决方案,其中囊括:

软件定义的 WAN(SD-WAN)、互联网安全网关(SWG)、云访问安全代理(CASB) 、零信任网络访问(ZTNA)、 防火墙即服务(FWaaS)。

sase-2

SASE 是做什么的

SASE 是一种新兴的体系结构,将全面的 WAN 功能与全面的网络安全功能(例如 SWG,CASB,FWaaS 和 ZTNA)结合在一起,可满足数字企业的动态安全访问需求

为什么需要 SASE

一是为了解决传统架构的复杂性和延迟性;二是为了解决企业上云的数据安全问题。

过去企业数据一般存放在企业自建或托管的数据中心,远程用户需要通过 VPN 连接,且需要在每个设备上使用终端防护软件。该架构复杂且延迟高,而利用 SASE 时终端用户和设备一旦通过身份验证,便可直接获得对其授权访问的所有资源,且这些资源受附近的安全机制保护。

此外,Canalys 的数据显示,云基础设施投资在 2019 年和 2020 年得到迅猛发展,同时 IDG 报告指出,超过 50%的买家计划在 2021 年投身云领域。随着“云”的普及与应用,企业数据安全面临更多不确定性,而 SASE 通过敏捷、灵活、安全的方式管理数据风险,帮助企业做好上云准备。

SASE 覆盖哪些场景

根据 Gartner 的观点,SASE 更多的是一种理念和方向,而不是一个功能列表。一般情况下,SASE 覆盖以下两种场景:

场景 1:从办公场所访问到自建应用、SaaS 应用、互联网
sase-3
场景 2:从互联网访问企业网站以及内部自建应用
sase-4

SASE 核心组件:

  • 软件定义广域网(SD-WAN)
  • 身份识别与访问管理(IAM)
  • 零信任网络访问(ZTNA)
  • 云访问安全代理(CASB)
  • 安全 web 网关(SWG)
  • Web 应用防护系统(WAF)
  • 防火墙即服务(FWaaS)

SASE 有哪些优势

SASE 最大的优点是将众多不同的网络服务融合和统一到一个针对边缘环境和独立用户的代理结构中,而传统方法往往需要多个供应商和服务来实现相同的控制,利用 SASE 有助于降低传统方法的复杂性和缺乏互操作性,从而提高安全性。具体优势有以下几点:
一个降低、三个减少:

  • 降低了传统方法的复杂性和成本
  • 减少了企业跟供应商间的不必要交流
  • 减少了分支机构和其它远程位置所需的硬件数量
  • 减少了终端用户设备上的代理数量

简化验证过程:
IT 管理人员可以通过基于云的管理平台集中设置策略,并在靠近终端用户的分布式 PoP 上实施策略。SASE 通过对用户基于初始登录所请求的资源进行适当的策略调整,来简化身份验证过程。

提高安全性:
无论用户需要什么资源、处于何地,都可以平等地实施策略,他们最终享有相同的访问体验。出现新威胁时,服务商会提供具体的解决方案,而对企业没有新的硬件要求。

支持零信任网络:
SASE 支持零信任网络,该网络基于用户、设备和应用程序(而不是位置和 IP 地址)进行访问。

提升访问便捷性:
更多类型的终端用户(例如员工、合作伙伴、承包商、客户)可以获得访问权限,而不必担心传统安全性(例如 VPN 和 DMZ)可能受到损害。

提升工作效率:
SASE 服务商可以提供不同质量的服务,因此每个应用程序都可以获得所需的带宽和网络响应能力。使用 SASE 可以减少企业 IT 员工与部署、监视、维护等相关的杂务,以便执行更高级别的任务。

综合运用多项 SASE 技术,将帮助您的网络达到稳健安全的要求,而且不会对技术、灵活性或功能造成影响。我们将逐一介绍这几项技术。

1. 从 WAN 迁移至 SD-WAN

传统 IT 基础设施如同封闭的花园。员工在办公室,连接到企业网络,并使用私有的、安全的站点到站点广域网络,访问私有数据中心之内的应用程序。互联网连接由总部或数据中心集中提供,并确保其安全。

新一代网络引入了 SD-WAN 技术。SD-WAN 网络中,网络硬件与基于软件的控制平面分离。第一代 SD-WAN 能够识别应用程序,并运用策略引导流量,利于控制成本。第二代 SD-WAN 推出具备集成安全性的全功能网络,允许在每个位置直接接入 internet(DIA)实现安全的互联网直接访问(break out),用户也可直接访问云和 SaaS 应用程序。

现在,随处办公人员可随时随地访问相关应用程序。各大企业针对业务关键型应用程序采纳 SaaS 模式,旨在将其工作负荷从私有云架构迁移至多云架构,从而满足对高速、敏捷和资本投入需求。

在当前的“客户端到云”时代,原来的固定网络边界已消融成不定形的动态边缘。IT 部门必须提供可增强、可测量、可监控、可诊断的,安全可靠的动态用户/客户体验和应用程序体验。

2. 保护 Web 网关和随处办公人员

SWG 为随处办公人员保驾护航,使其免受来自互联网的威胁:保护用户上网设备,免遭垃圾软件或恶意软件的感染,同时强制实施企业和监管策略的合规性。SWG 具有如下优点:

  • URL 过滤功能
  • 反恶意软件和防病毒保护功能
  • 应用程序识别和控制能力
  • 数据丢失防护能力

SWG 可以以硬件模式部署在企业内部,或者是在以虚拟设备部署在云端服务或内部与云相结合的混合模式来实现。

市面上的云端 SWG 功能和服务在成熟度方面大相径庭。

3. 保护云访问安全

CASB 提供的产品和服务,旨在解决企业使用云服务时存在的安全缺陷。用户越来越多地采用云服务(包括传统固定边界内、外),直接云对云访问的运用也日益增长,CASB 正好填补了由此而带来的用户的安全需求。CASB 可以作为内部或云端安全策略的实施点,介于云服务消费者与云服务提供商之间,以便在访问云端数据或应用程序时,部署企业安全策略。CASB 具有如下功能:

  1. 通过供应商应用程序编程接口(API),检查云服务中的数据、应用程序和用户行为
  2. 在用户和云服务之间实施安全控制策略,-也可以采用远程浏览器隔离(RBI)作为替代方案
  3. 对任何用户、设备或地点提供可视化和执行访问控制的能力
  4. 与企业现有身份提供商、安全信息和事件管理(SIEM)工具和统一端点管理(UEM)产品集成
  5. 监控用户行为、第三方应用程序和数据时,采用多种不同的分析法
  6. 采用多种方法识别和应对恶意和(或)垃圾会话
  7. 区分云服务的企业和个人实例,同时提供限制或阻止两者之间交换数据的功能
    1. CASB 厂商明白,对于云服务而言,保护对象不尽相同:尽管数据仍旧是您的,但数据处理和存储在别人的系统之中进行。

      CASB 为用户和设备提供跨多项云服务的并行中央策略管理办法。他们有助于细化了解和控制用户活动和敏感数据。

      4. 质疑一切

      和传统局域网(LAN)网段和边界内的互联网协议(IP)地址一样,ZTNA 主张默认不信任任何用户或设备。当前,互联网接入无处不在,传统信任边界已消融。

      ZTNA 在一款或一组企业应用程序周围创建基于身份和环境的逻辑访问边界。企业应用程序被隐藏,访问这些企业应用程序的实体必须经过信任代理。在允许访问之前,代理网关先验证指定访问者的身份,环境和是否遵守访问策略。这将企业应用程序从公众的视线中移除,并大大减少了攻击面。零信任架构是 SAFE 策略的关键环节,因为其只允许访问已通过身份认证的用户、设备和应用程序之间的流量。

      各大企业可实施零信任模式:定义保护面,确定敏感信息存放位置和需要访问的人员,制定统一策略、多重身份验证(MFA)、微分段、最低权限访问等各种预防措施。

      sase-3

      5. 提供威胁保护

      新一代防火墙(NGFWs)是一种深度数据包检测引擎,其超越端口/协议检测和拦截的范围,增加了应用程序层面的检测。前沿 NGFW 集成了如下功能:

      • 传统状态防火墙功能
      • 应用程序感知,深度数据包内容检测
      • 统一威胁管理(UTM),包含入侵检测和预防系统(IDPS)
      • 对整个攻击面的全面可视化
      • 灵活应对不断变化的威胁格局

      随着采纳 DIA 和多云技术,威胁范围迅速扩大,传统防火墙无法实现大规模保护,致使安全态势变得薄弱。NGFW 和 UTM 是确保良好安全机制的必要举措。

      6. 保护敏感数据免遭恶意软件窃取

      金融账号、医疗数据、用户名/密码等个人或其他敏感数据无意中暴露时,便会发生数据泄露。攻击者主动侵入系统、去访问、窃取或破坏信息时,便会发生数据外泄。

      为保护敏感数据,企业须安装和使用具备恶意软件和病毒防护功能的安全软件套件并始终保持更新到最新版。

      SASE 保证仅允许企业的授权人员才能访问敏感应用程序和数据,无论用户或应用程序处于何种位置或两者之间采用何种传输技术。

      7. 支持高级路由,线速处理

      高级路由提供一整套独特的集成功能,例如路径优化、快速收敛、流量补救、每款应用程序的体验质量(QoE)和加密功能。

      正确部署 SASE 方案需了解网络边缘的流量规模。分布式服务边缘架构利用与计算可扩展性相同的扩展模式:随着需求攀升,增加服务器或虚拟机(VM)以处理总体流量,同时继续以线速运行。

-- End --