安全访问服务边缘 (SASE) 架构是一种将安全和网络服务结合在一个云平台上的 IT 模型。
阅读本文后,您将能够:
复制文章链接
安全访问服务边缘简称 SASE(发音为“sassy”),是一种架构模型,它将网络连接与网络安全功能融合在一起,并通过单个云平台和/或集中策略控制来提供它们。
随着组织越来越多地将应用和数据迁移到云中,使用传统的“城堡与护城河”方法管理网络安全变得更加复杂和危险。与传统的网络方法不同,SASE 将安全性和网络统一到一个云平台和一个控制平面上,以实现从任何用户到任何应用的一致可见性、控制和体验。
通过这种方式,SASE 基于在互联网上运行的云服务创建了一个新的统一企业网络,使组织能够从许多架构层和单点解决方案逐步过渡。
在传统的网络模型中,数据和应用程序位于核心数据中心内。为了访问这些资源,用户、分支机构和应用程序从本地私有网络或二级网络(其一般通过安全租用线路或 VPN 连接到主要网络)连接到数据中心。
然而,这种模式不足以应对基于云的新服务和分布式劳动力的兴起带来的复杂性。例如,如果组织在云中托管 SaaS 应用和数据,则通过集中式数据中心重新路由所有流量是不切实际的。
相比之下,SASE 将网络控制置于云边缘,而不是企业数据中心。SASE 不是需要单独配置和管理的分层服务,而是使用一个控制平面融合网络和安全服务。它在边缘网络上实施基于身份的 Zero Trust 安全策略,允许企业将网络访问扩展到任何远程用户、分支机构、设备或应用。
SASE 平台将网络即服务 (NaaS) 功能与从一个界面管理并从一个控制平面提供的多项安全功能结合在一起。
这些服务包括:
SASE 通过将这些服务合并到一个统一的架构中,来简化网络基础设施。
由于安全访问服务边缘涉及融合许多传统上不同的服务,因此组织可能会逐步采用 SASE 架构,而不是一次性全部采用。组织可以首先实施满足其最高优先级用例的组件,然后再将所有网络和安全服务转移到单个平台。
SASE 平台通常包括以下技术组件:
根据供应商的能力,上述 SASE 组件还可与云电子邮件安全、Web 应用和 API 保护 (WAAP)、DNS 安全和/或下文进一步介绍的安全服务边缘 (SSE) 功能捆绑在一起。
与传统的基于数据中心的网络安全模型相比,SASE 具有多个优点。
通过 Zero Trust 原则降低风险:SASE 在很大程度上依赖于 Zero Trust 安全模式,此模式在用户身份通过验证之前,不允许用户访问应用程序和数据,即使用户已处于专用网络的边界内也是如此。在建立访问策略时,SASE 方法不仅仅考虑实体的身份,而且还可能会考虑地理位置、设备态势、企业安全标准以及风险/信任的持续评估等因素。
通过平台整合降低成本:SASE 将单点安全解决方案整合到一个基于云的服务中,使企业能够与更少的供应商互动,并减少为强行整合不同产品而花费的时间、金钱和内部资源。
运营效率和灵活性:SASE 使组织能够从单个界面跨所有位置、用户、设备和应用设置、调整和实施安全策略,而不是杂乱无章地使用不能协同工作的单点解决方案。IT 团队可以更有效地排除故障,花更少的时间解决简单的问题。
改善混合工作的用户体验:网络路由优化可根据网络拥塞情况和其他因素,帮助确定最快的网络路径。SASE 通过全球边缘网络安全地路由流量,在尽可能靠近用户的地方处理流量,从而帮助减少最终用户延迟。
增强或取代 VPN,实现现代化安全访问
迁移到 SASE 架构的一个常见驱动因素是改善资源访问和连接。在尽可能靠近用户的全球云网络上路由和处理网络流量(而不是通过 VPN)可以减少最终用户的摩擦,同时消除横向移动的风险。
简化承包商(第三方)访问
安全访问服务边缘将安全访问范围从内部员工扩展到第三方,例如承包商、合作伙伴和其他临时或独立工人。通过基于资源的访问,组织可以降低承包商过度配置的风险。
针对分布式办公室和远程工作人员的威胁防御
SASE 使组织能够对所有用户应用一致的 IT 安全策略,无论他们身在何处。通过过滤和检查所有传出和传入的网络流量,SASE 可帮助防止以下威胁:基于恶意软件的攻击、多渠道网络钓鱼(跨越多个通信渠道的攻击)、内部威胁、数据外泄等。
针对监管合规的数据保护
由于 SASE 提供对每个网络请求的可见性,因此组织可以将策略应用于每个请求中的数据。这些策略有助于确保遵守数据隐私法(这些法律要求组织以特定方式处理敏感数据)。
简化分支机构连接
SASE 架构可以帮助增强或替换多协议标签交换 (MPLS) 电路和网络设备拼凑而成的方案,以便更轻松地在分支机构之间路由流量,并促进不同位置之间的站点到站点连接。
行业分析公司 Gartner 将安全访问服务边缘定义为包括 SD-WAN、SWG、CASB、NGFW 和 ZTNA,以“基于设备或实体的身份,结合实时上下文以及安全性和合规性策略,实现 Zero Trust 访问”。
换句话说,SASE 将用户的安全访问纳入网络架构之中。(这里值得注意的是,行业分析公司 Forrester 将 SASE 模型归类为“Zero Trust 边缘”,即 ZTE)。
但并不是所有组织都能在 IT、网络安全和网络团队中采取协调一致的方法。因此,他们可能会优先考虑安全服务边缘 (SSE),这是 SASE 功能的一部分,主要侧重于确保安全访问 Web 、云服务和私人应用。
此外,虽然大多数 SASE 平台都包括前面提到的核心功能,但有些平台还包括额外的 SSE 功能,例如:
SSE 是全面部署 SASE 的一个常见步骤。然而,一些组织(特别是那些拥有成熟 SD-WAN 部署的组织)可能并不希望完全整合到一家 SASE 供应商。这些组织可部署单个 SASE 组件,以解决其即时用例,并可随着时间的推移扩展其平台整合工作。
Cloudflare One 是 Cloudflare 的 SASE 平台,用于保护企业 应用程序、用户、设备和网络安全。它建立在 Cloudflare 的 全球连通云之上, 全球连通云是一个可编程的云原生服务的统一、可组合平台,可实现所有 网络(企业和互联网)、云环境、应用程序以及用户之间的任意连接。
Cloudflare One 服务(包括 SASE 的所有方面)设计为在所有 Cloudflare 网络位置运行,因此所有流量都在靠近来源的位置连接、检查和过滤,以获得最佳性能和一致的用户体验。详细了解 Cloudflare One 和其他网络安全解决方案。