?本期講解嘉賓

安全訪問服務邊緣（Secure Access Service Edge，簡稱SASE）自2019年由Gartner在《The Future of Network Security Is in the Cloud（網絡安全的未來在云端）》提出，迅速成為國內外各大安全廠商和客戶的關注重點。SASE是一個融合了SD-WAN（軟件定義廣域網）和網絡安全功能的新興技術架構，具備身份驅動、云原生架構、近源部署、分布互聯等4大主要特征，以支持數字化企業轉型的安全需求。目前SASE理念和架構已被大量正在進行數字化轉型的企業接受。相信您不僅僅只想了解什么是SASE？更想知道SASE為何備受追捧。因此，華為安全專家齊聚一堂，開辟華為安全大咖談之-“走進SASE”，敬請持續關注。

“云計算、大數據、物聯網和人工智能”等新型ICT技術的普遍應用，不僅推動了各個行業的數字化轉型，同時也帶來了諸多安全隱患和挑戰。近年來，發生在各大政企用戶的外部APT攻擊和內部違規導致的大規模數據泄露等惡性安全事件層出不窮，各單位的信息安全負責人也逐漸意識到，傳統的邊界防護手段存在很多局限性，已無法滿足新形勢下的網絡安全需求。

首先，隨著網絡邊緣的不斷擴展以及涵蓋云和本地等混合網絡環境的廣泛部署，企業網絡架構日趨復雜。與此同時，企業依然面臨孤立運行的安全產品和工具無法協同工作的嚴峻挑戰；其次，新型技術及應用為網絡攻擊提供新的攻擊載體，攻擊實施更加靈活、過程更加隱蔽、技術更加智能。整個攻擊橫跨越網絡、應用程序、內容和設備，威脅檢測和溯源難度增大；最后，數字化轉型已經成為各行業的發展趨勢，數據共享和流通將成為剛性業務需求，原來相互隔離的業務網絡將打破安全邊界走向融合，安全管控難度與泄密風險進一步擴大。

據Gartner調查顯示，“75%的企業組織正積極尋求安全供應商的全面整合”。該調查還指出，“運營效率低下以及無法有效應對異構安全架構的集成挑戰，令安全和風險管理領導者的擔憂持續升溫。用戶亟待部署更高效和全面集成的解決方案，而非孤立運行的單點安全產品?！?/span>

為了應對這些挑戰，站在新IT架構的角度思考重構安全，華為通過“云網邊端”的安全資源和能力集中統一管理和策略統一配置來實現安全業務鏈的統一編排、基于SASE的網安一體融合、統一零信任能力和多維事件統一分析和一體化響應能力，從而構筑完整的 “云網邊端”統一安全體系，是數字化時代構建網絡安全防線的積極探索。

什么是“云網邊端”四維一體安全體系

如圖1-1所示，“云網邊端”四維一體安全體系包括一系列部署在“云網邊端”的安全資源和能力。其中：

云：包括面向公有云租戶和面向線下用戶的SaaS化安全云服務。

網：就是指傳統的廣域網絡、園區網絡、數據中心網絡和分支網絡部署的安全資源。

邊：主要指靠近用戶邊緣側的安全網關或邊緣安全資源池。

端：主要指部署在用戶終端或服務器上的安全能力。

圖1-1統一管理、智能分析、自動響應，
構筑云網邊端一體安全防護體系

“云網邊端”統一安全體系最核心的能力是什么

集中統一管理是“云網邊端”統一安全體系最核心的能力。華為乾坤的云、網絡和安全統一控制器將“云網邊端”的安全資源和能力集成到統一的安全解決方案中—從企業園區、私有數據中心擴展到網絡、云和遠程辦公的簡單易用的自動化安全防御方案。

集中統一管理包括以下幾個方面，具體如表1-1所示。

表1-1集中統一管理包含的子項能力

以安全網關為例，為了能實現集中統一管理，華為安全網關平臺實現了“云網邊”安全能力的統一。如圖1-2所示，通過安全服務和網絡服務分層的架構，適配不同的底層平臺演化成多種形態的安全網關資源（例如嵌入式安全網關、虛擬化和云原生FW以及FWaaS等）。因為同一套代碼，同樣的能力不僅可以將眾多安全資源整合到一個簡化的單一策略和管理框架中，同時也保證了各種安全資源可以有統一配置和互操作的能力。

圖1-2安全服務和網絡服務業務分層適配不同
底層平臺演化成多種形態安全網關資源

下面重點描述華為是如何通過業務分層架構來實現同一套代碼演化成多種形態安全網關資源的：

安全服務ASE（Adaptive Security Engine）：負責L4~L7層的安全業務處理，支持高級安全能力，如應用協議識別、IPS、AV、內容過濾、L7 SLB等。

網絡服務HPF（High Performance Forward）：負責網絡業務轉發，及L2~部分L4層的傳輸層業務處理，如SRv6、SD-WAN、NAT、WOC、隧道業務等。其中流表業務為FW策略的轉發插件，負責安全流表業務狀態的快速處理。

底層平臺適配：同時支持專有硬件（嵌入式），普通的VM或Docker平臺，或者直接調用云原生的服務拉起安全服務的能力。如果底層平臺有硬件加速能力，可以將網絡服務中的流表業務下發到平臺中，提升相應的處理性能。

資源動態分配：根據不同場景，如側重SD-WAN場景，則網絡服務HPF分配的計算資源更多；同理側重高級安全場景，則安全服務ASE分配的計算資源更多，支持容器間的資源動態調整。

這種架構可以支持多種安全場景，如園區、數據中心、云原生、SD-WAN等，同時還可以根據不同的場景來分配資源，實現了資源的靈活調配。在提高安全性能和可靠性的同時也可以降低運維成本。

“云網邊端”的統一安全體系能給客戶帶來哪些價值

華為“云網邊端”的統一安全體系提出了“一體管理、一體分析、一體決策、一體處置”的建設理念，顛覆了傳統單臺、靜態、被動的安全防護思路，旨在打造智能化的網絡安全架構，實現風險實時檢測、威脅主動研判、智能全局防控。

一體管理

通過統一管理平臺，集中管理所有的安全資源和能力，提高安全管理效率。

統一制定、按需下發執行安全策略，確保所有安全策略的一致性和有效性。整體降低網絡安全運維和管理成本，提高企業的網絡安全投資回報率。

一體分析

全面采集云、網絡、終端多維威脅數據，云上云下數據協同，提升威脅分析準確率，安全態勢全域統一呈現。

為了提升安全事件分析的準確性，需要收集盡可能多的信息，特別是終端（含服務器）風險信息、網絡流量信息、安全設備的日志信息。這些信息分別散落在不同的網絡位置，必須對“云網邊端”進行統一納管，設置唯一的安全運營中心，以獲得更精準的分析結果。

一體決策

基于對終端、網絡、用戶行為等多維風險數據，并結合位置、用戶、時間等信息進行決策，實時動態調整授權或安全策略。

盡可能對核心資源進行保護，在初次認證通過后，需要從終端風險、網絡流量異常和用戶違規行為（例如用戶訪問位置的突然變化）等維度，對終端和用戶的風險進行實時評估?；诙嗑S的評估結果，對終端或用戶風險評分，結合終端或用戶的身份對其權限進行調整，實行降級、阻斷等操作。

一體處置

“云網邊端”全局攻擊溯源，選擇最合理的方式和最接近攻擊源的安全資源進行自動化處置。

當識別到嚴重威脅時，需要立即確認，并對威脅進行遏制，以避免威脅進一步擴散。通過不同設備之間的自動化協同聯動，實現威脅源分鐘級快速定位，秒級近源快速處置的能力。

總結與展望

華為“云網邊端”統一安全體系的理念不同于傳統割裂式的單點防護，是基于“體系化”的思路，將安全能力融入云、網、邊、端和業務系統，從業務系統的視角解決安全問題，使得客戶能夠去應對日益復雜并不斷變化的攻擊。通過保證業務的韌性來應對傳統安全邊界的消失和網絡邊緣不斷擴展的難題。

點擊“閱讀原文”，了解更多華為數據通信資訊！