什么是 SASE?
安全訪問服務(wù)邊緣或 SASE(發(fā)音為“sassy”)是一種將網(wǎng)絡(luò)連接與網(wǎng)絡(luò)安全功能融合的架構(gòu)模型,并通過單一云平臺和/或集中策略控制來提供它們。
隨著組織越來越多地將應(yīng)用程序和數(shù)據(jù)遷移到云中,使用傳統(tǒng)的“城堡和護城河”方法管理網(wǎng)絡(luò)安全變得更加復雜和危險。與傳統(tǒng)網(wǎng)絡(luò)方法不同,SASE 將安全性和網(wǎng)絡(luò)統(tǒng)一到一個云平臺和一個控制平面上,從而為任何用戶和任何應(yīng)用程序提供一致的可見性、控制和體驗。
通過這種方式,SASE 創(chuàng)建一個基于通過互聯(lián)網(wǎng)運行的云服務(wù)的新的統(tǒng)一企業(yè)網(wǎng)絡(luò)——允許組織擺脫許多架構(gòu)層和點解決方案。
SASE 架構(gòu)結(jié)合零信任安全與網(wǎng)絡(luò)服務(wù)
SASE 與傳統(tǒng)網(wǎng)絡(luò)相比如何?
在傳統(tǒng)網(wǎng)絡(luò)模型中,數(shù)據(jù)和應(yīng)用程序位于核心數(shù)據(jù)中心。為了訪問這些資源,用戶、分支機構(gòu)和應(yīng)用程序從本地專用網(wǎng)絡(luò)或輔助網(wǎng)絡(luò)(通常通過安全專線或VPN連接到主網(wǎng)絡(luò))連接到數(shù)據(jù)中心。
然而,這種模式無法應(yīng)對新的基于云的服務(wù)和分布式勞動力的興起所帶來的復雜性。例如,如果組織在云中托管SaaS 應(yīng)用程序和數(shù)據(jù),那么通過集中式數(shù)據(jù)中心重新路由所有流量是不切實際的。
相比之下,SASE 將網(wǎng)絡(luò)控制置于云邊緣,而不是企業(yè)數(shù)據(jù)中心。SASE 不使用需要單獨配置和管理的分層服務(wù),而是使用一個控制平面融合網(wǎng)絡(luò)和安全服務(wù)。它在邊緣網(wǎng)絡(luò)上實施基于身份的零信任安全策略,使企業(yè)能夠?qū)⒕W(wǎng)絡(luò)訪問擴展到任何遠程用戶、分支機構(gòu)、設(shè)備或應(yīng)用程序。
SASE 提供哪些功能?
SASE 平臺將網(wǎng)絡(luò)即服務(wù) (NaaS)功能與從一個界面管理并從一個控制平面交付的多種安全功能相結(jié)合。
這些服務(wù)包括:
簡化連接的網(wǎng)絡(luò)服務(wù),例如軟件定義的廣域網(wǎng) (SD-WAN)或廣域網(wǎng)即服務(wù) (WANaaS),可將各種網(wǎng)絡(luò)連接在一起形成單個企業(yè)網(wǎng)絡(luò)
安全服務(wù)應(yīng)用于進出網(wǎng)絡(luò)的流量,以幫助保護用戶和設(shè)備訪問、防御威脅并保護敏感數(shù)據(jù)
提供平臺范圍功能的運營服務(wù),例如網(wǎng)絡(luò)監(jiān)控和日志記錄
支持所有上下文屬性和安全規(guī)則的策略引擎,然后將這些策略應(yīng)用于所有連接的服務(wù)
通過將這些服務(wù)合并到統(tǒng)一架構(gòu)中,SASE 簡化了網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
SASE 平臺的技術(shù)組件有哪些?
由于安全訪問服務(wù)邊緣涉及融合許多傳統(tǒng)上分散的服務(wù),因此組織可以逐步轉(zhuǎn)向 SASE 架構(gòu),而不是一次性全部轉(zhuǎn)向。組織可以首先實施滿足其最高優(yōu)先級用例的組件,然后再將所有網(wǎng)絡(luò)和安全服務(wù)遷移到單個平臺。
SASE 平臺通常包括以下技術(shù)組件:
零信任網(wǎng)絡(luò)訪問 (ZTNA):零信任安全模型假設(shè)威脅既存在于網(wǎng)絡(luò)內(nèi)部也存在于網(wǎng)絡(luò)外部;因此,每次個人、應(yīng)用或設(shè)備嘗試訪問公司網(wǎng)絡(luò)上的資源時,都需要進行嚴格的上下文驗證。零信任網(wǎng)絡(luò)訪問 (ZTNA)是實現(xiàn)零信任方法的技術(shù) - 它在用戶和他們所需的資源之間建立一對一連接,并要求定期重新驗證和重新創(chuàng)建這些連接。
安全網(wǎng)關(guān) (SWG): SWG通過過濾不需要的網(wǎng)絡(luò)流量內(nèi)容并阻止危險或未經(jīng)授權(quán)的在線用戶行為來防止網(wǎng)絡(luò)威脅并保護 數(shù)據(jù)。SWG 可以部署在任何地方,是保護混合工作安全的理想選擇。
云訪問安全代理 (CASB):使用云和 SaaS 應(yīng)用使得確保數(shù)據(jù)保持私密和安全變得更加困難。CASB是解決這一挑戰(zhàn)的一種方法:它為組織的云托管服務(wù)和應(yīng)用提供數(shù)據(jù)安全控制(以及可視性)。
軟件定義廣域網(wǎng) (SD-WAN) 或 WANaaS:在 SASE 架構(gòu)中,組織采用 SD-WAN 或 WAN 即服務(wù) (WANaaS) 來連接和擴展遠距離運營(例如辦公室、零售店、數(shù)據(jù)中心)。 SD-WAN 和 WANaaS 使用不同的方法:
SD-WAN技術(shù)使用企業(yè)站點的軟件和集中控制器來克服傳統(tǒng) WAN 架構(gòu)的一些限制,簡化操作和流量控制決策。
WANaaS以 SD-WAN 的優(yōu)勢為基礎(chǔ),采用“輕分支、重云”方法,在物理位置部署最低要求的硬件,并使用低成本的互聯(lián)網(wǎng)連接到達最近的“服務(wù)邊緣”位置。這可以降低總成本、提供更集成的安全性、提高中間一英里的性能,并更好地服務(wù)于云基礎(chǔ)設(shè)施。
下一代防火墻 (NGFW) NGFW比傳統(tǒng)防火墻檢查更深層次的數(shù)據(jù)。例如,NGFW 可以提供應(yīng)用程序感知和控制、入侵防御和威脅情報,這使它們能夠識別和阻止可能隱藏在看似正常的流量中的威脅??梢栽谠浦胁渴鸬?NGFW 稱為云防火墻或防火墻即服務(wù) (FWaaS)。
審核編輯 黃宇
-
網(wǎng)絡(luò)
+關(guān)注
關(guān)注
14文章
7517瀏覽量
88627
發(fā)布評論請先 登錄
相關(guān)推薦
評論