什么是 SASE 安全访问服务边缘?
什么是 SASE?
安全访问服务边缘简称 SASE,是一种云端安全模型,它将软件定义的网络与网络安全功能捆绑在一起,并从单一服务提供商交付。“SASE”一词由全球研究和咨询公司 Gartner 在 2019 年提出。
SASE – 安全访问服务边缘
SASE 是传统“轴辐式”网络基础设施的云端替代方案,后者用于将多个位置(辐)中的用户连接到集中式数据中心(轴)中托管的资源。在传统的网络模型中,数据和应用程序位于核心数据中心内。为了访问这些资源,用户、分支机构和应用程序从本地私有网络或二级网络(其一般通过安全租用线路或 VPN 连接到主要网络)连接到数据中心。
尽管原理上很简单,但轴辐式模型不足以处理由软件即服务(SaaS)等基于云的服务及劳动力日益分散带来的复杂性。随着更多的应用程序、工作负载和敏感的公司数据转移到云中,企业被迫重新考虑如何以及在何处检查网络流量并管理安全的用户访问策略。如果大多数应用程序和数据都在云端托管,则通过集中式数据中心重新路由所有流量不再可行,因为这会引入不必要的延迟。同时,大批远程用户在通过 VPN 连接到公司网络时可能会遇到较大的延迟,或者会在通过不安全的连接访问公司资源时面临额外的安全风险。
相比之下,SASE 将网络控制置于云端边缘,而不是企业数据中心。与需要单独配置和管理的分层云服务不同,SASE 简化了网络和安全服务,以创建安全、无缝的网络边缘。通过在边缘网络上实施基于身份的零信任访问策略,企业可以将其网络边界扩展到任何远程用户、分支机构、设备或应用程序。反过来,这消除了对传统 VPN 和防火墙的需求,并使企业能够更细致地控制其网络安全策略。为此,Cloudflare 在一个单一全球网络之上构建了一个 SASE 框架,以使这些集成服务更接近最终用户。
为何有必要使用 SASE?
将传统的网络体系结构模型想象成一座实体银行。现在,设想 Bob 要在付房租之前查看账户余额。为此,他将必须亲自前往银行,并向柜员核实身份。他必须每个月去银行以重复此过程,这将花费他大量的时间和精力,如果他住在远离银行的地方则更是如此。
这有点类似于以硬件为中心的网络架构,其中,安全和访问决策是在固定的本地数据中心而不是在云端制定和实施的。将云服务添加到传统的网络架构模型中,就像让 Bob 可以通过拨打银行电话来了解其账户余额一样。这比开车去银行要方便一些,但是会要求他完成一个完全不同的身份验证过程(例如,他可能需要通过电话提供另一组机密信息来证明自己的身份,而非出示身份证明)。银行必须管理这些不同的程序,以确保客户账户信息安全。
轴辐式网络模型
传统的轴辐式基础设施在设计时并未考虑云服务。它依赖于围绕核心数据中心构建的安全网络边界,但仅当企业的大量应用程序和数据驻留在边界内时,这种架构才有效。对于 IT 团队来说,管理和更新各种安全服务和访问策略可能很快变得困难起来。
而 SASE 就像 Bob 移动设备上的银行应用程序。他不用开车去银行查询账户或长时间通话,而是可以用数字方式验证他的身份并立即在世界任何地方查询账户余额。这不仅适用于 Bob,还适用于银行的每个客户,无论他们身在何处。
轴辐式网络模型
SASE 将这些关键过程转移到云端,使网络安全服务和访问控制更接近最终用户,并在全球网络上运行,以最大程度地减少上述过程中的延迟。
SASE 包含什么能力?
安全访问服务边缘将软件定义的广域网(SD-WAN)能力与多种网络安全功能整合起来,通过单一云平台上交付和管理。SASE 产品包括四个核心安全组件:
安全 Web 网关(SWG):SWG也称为安全互联网网关,它从 Web 流量中过滤不需要的内容,阻止未经授权的用户行为,并执行公司安全策略,从而防止网络威胁和数据泄露。SWG 可以部署在任何地方,因此是确保远程员工安全的理想选择。
云访问安全代理(CASB):CASB 为云托管服务执行多项安全功能:揭示影子 IT(未经授权的公司系统)、通过访问控制和数据丢失防护(DLP)保护机密数据、确保符合数据隐私法规等等。
零信任网络访问(ZTNA):ZTNA 平台锁定内部资源,不允许公开查看,并要求对每个受保护应用程序的每个用户进行实时验证,以助防止潜在的数据泄露。
防火墙即服务(FWaaS):FWaaS 是指从云端作为服务交付的防火墙。FWaaS 保护云端平台、基础设施和应用程序免受网络攻击。与传统防火墙不同,FWaaS 不是物理设备,而是一组安全能力,其中包括 URL 过滤、入侵防御以及对所有网络流量的统一策略管理。
根据供应商和企业的需求,这些核心组件可以与任何数量的其他安全服务捆绑,从 Web 应用程序和 API 保护(WAAP)和远程浏览器隔离到递归 DNS、Wi-Fi 热点保护、网络混淆/分散、边缘计算保护等。
SASE 框架有哪些优点?
与传统的基于数据中心的网络安全模型相比,SASE 具有多个优点:
实施和管理更简单。SASE 将单点安全解决方案合并到单一云端服务中,企业可与更少的供应商进行交互,并节省配置和执行物理基础设施维护所需的时间、金钱和内部资源。
策略管理更简单。SASE 允许组织在单一门户上设置、监视、调整和实施覆盖所有位置、用户、设备和应用程序的访问策略,而不必为不同解决方案处理多种策略。
基于身份的零信任网络访问。SASE 高度依赖于零信任安全模型,在用户身份得到验证之前,该模型不会授予用户访问应用程序和数据的权限 —— 即使他们已经在私有网络的边界内也不例外。在建立访问策略时,SASE 方法不仅仅考虑实体的身份;它还考虑用户的位置、所处时段、企业安全标准、合规性策略以及对风险/信任的持续评估等因素。
延迟优化的路由。如果企业的服务会受延迟影响(例如视频会议、流媒体传输、在线游戏等),延迟的任何显著增加都会造成问题。SASE 通过一个全球边缘网络来路由网络流量,在尽可能靠近用户的位置进行处理,从而帮助减少延迟。路由优化可以根据网络拥塞和其他因素帮助确定最快的网络路径。
需要指出的是,并非所有的 SASE 实现看起来都是一样的。它们可能有一些共同的核心特征 —— 基于身份的访问策略、网络安全服务和以云为中心的架构 —— 但根据组织的需求,也可能存在一些显著差异。例如,SASE 实施可能会选择单租户架构而不是多租户架构,并结合 IoT(物联网)和边缘设备的网络访问控制、提供额外的安全能力、依靠最少的硬件/虚拟设备来提供安全解决方案,等等。
聚页创意的产品:如何协助 SASE 采用?
作为SaaS建站产品的开发者,我们将通过自身的集成安全性和性能服务套件,该套件可保护、加速并确保任何本地、混合和云环境的可靠性。并与国内外的SASE服务商深度合作。 它可保护网络设施免受 DDoS 威胁和网络层攻击,并与服务商的应用程序防火墙(WAF)协同工作以防御漏洞利用。
更多资源
日期:4月22日; 北京时间: 10:00 am
探讨3个内容:
(1) 安全访问服务边缘(SASE)产品在中国的市场驱动力
(2) 安全访问服务边缘(SASE)的核心功能
(3) 如何构建实用化安全访问服务边缘(SASE)产品策略
会议主持人:
曾劭清 (Evan Zeng), 高级研究总监
26年行业经验,。加入Gartner超过10+年,发表多篇魔力想象报告,深受中国客户认同。在本场免费网络研讨会中,Gartner公司将与参会的听众共同探讨SASE市场驱动力、中国SASE的核心产品能力,以及如何以实用的方式构建您的产品战略。
报名参加在线研讨会,还可以免费获得《Gartner网络安全IT路线图》报告
行业:
来自传统IT厂家, 云计算厂家, 安全厂家, CDN厂家,制造,零售,金融,能源,政府,汽车,互联网,交通,房地产,高科技等企业
职位:
工业互联网、制造业、零售、金融、能源、政府、汽车、交通、物联网、金融、游戏、SaaS产品等技术开发主管、产品经理、首席信息官、首席安全官、首席市场官、首席技术官、总经理等
填写表格,限时报名参加此免费在线研讨会。权威与价值并存。