什么是 SASE 架构? | 安全访问服务边缘

安全访问服务边缘 (SASE) 架构是一种将安全和网络服务结合在一个云平台上的 IT 模型。

学习目标

阅读本文后,您将能够:

  • 定义安全访问服务边缘 (SASE) 模型
  • 了解 SASE 架构组件
  • 探索 SASE 的优势和使用案例
  • 了解 SASE 与 SSE 和 Zero Trust 安全性的关系

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是 SASE?

安全访问服务边缘简称 SASE(发音为“sassy”),是一种架构模型,它将网络连接与网络安全功能融合在一起,并通过单个云平台和/或集中策略控制来提供它们。

随着组织越来越多地将应用和数据迁移到云中,使用传统的“城堡与护城河”方法管理网络安全变得更加复杂和危险。与传统的网络方法不同,SASE 将安全性和网络统一到一个云平台和一个控制平面上,以实现从任何用户到任何应用的一致可见性、控制和体验。

通过这种方式,SASE 基于在互联网上运行的云服务创建了一个新的统一企业网络,使组织能够从许多架构层和单点解决方案逐步过渡。

SASE 架构结合了 Zero Trust 安全性和网络服务

SASE 与传统网络相比有何不同?

在传统的网络模型中,数据和应用程序位于核心数据中心内。为了访问这些资源,用户、分支机构和应用程序从本地私有网络或二级网络(其一般通过安全租用线路或 VPN 连接到主要网络)连接到数据中心。

然而,这种模式不足以应对基于云的新服务和分布式劳动力的兴起带来的复杂性。例如,如果组织在云中托管 SaaS 应用和数据,则通过集中式数据中心重新路由所有流量是不切实际的。

相比之下,SASE 将网络控制置于云边缘,而不是企业数据中心。SASE 不是需要单独配置和管理的分层服务,而是使用一个控制平面融合网络和安全服务。它在边缘网络上实施基于身份的 Zero Trust 安全策略,允许企业将网络访问扩展到任何远程用户、分支机构、设备或应用。

白皮书
SASE 用例采购及部署指南
指南
保护应用程序访问的 Zero Trust 指南

SASE 提供哪些功能?

SASE 平台将网络即服务 (NaaS) 功能与从一个界面管理并从一个控制平面提供的多项安全功能结合在一起。

这些服务包括:

  • 简化连接的网络服务(如软件定义广域网 (SD-WAN) 或 WAN 即服务 (WANaaS))可将各种网络连接成单一的企业网络
  • 对进出网络的流量应用安全服务,帮助确保用户和设备访问的安全,抵御威胁并保护敏感数据
  • 提供全平台功能的运营服务,例如网络监测和日志记录
  • 策略引擎支持所有上下文属性和安全规则,然后在所有连接服务中应用这些策略

SASE 通过将这些服务合并到一个统一的架构中,来简化网络基础设施。

注册
保护员工和应用程序的在线安全

SASE 平台有哪些技术组件?

由于安全访问服务边缘涉及融合许多传统上不同的服务,因此组织可能会逐步采用 SASE 架构,而不是一次性全部采用。组织可以首先实施满足其最高优先级用例的组件,然后再将所有网络和安全服务转移到单个平台。

SASE 平台通常包括以下技术组件:

  • Zero Trust 网络访问 (ZTNA):Zero Trust 安全模型假定网络内外都存在威胁;因此,每当个人、应用或设备试图访问企业网络资源时,都需要进行严格的上下文验证。Zero Trust 网络访问 (ZTNA) 是一种使 Zero Trust 方法成为可能的技术——它在用户和他们所需的资源之间建立一对一的连接,并需要定期验证和重新创建这些连接。
  • 安全 Web 网关 (SWG):SWG 通过过滤掉无用的 Web 流量内容和阻止存在风险或未经授权的用户在线行为,防范网络威胁和保护数据。SWG 可以部署在任何地方,因此,非常适用于保护混合工作环境。
  • 云访问安全代理 (CASB):云和 SaaS 应用的采用使得确保数据的私密性和安全性更加困难。CASB 是应对这一挑战的一种解决方案:它为组织的云托管服务和应用提供数据安全控制(和可见性)。
  • 软件定义广域网 (SD-WAN) 或 WANaaS:在 SASE 架构中,组织采用 SD-WAN 或 WAN 即服务 (WANaaS),以连接和扩展远距离运营场所(如办公室、零售店、数据中心)。SD-WAN 和 WANaaS 采用不同的方法:
    • SD-WAN 技术利用企业站点的软件和集中式控制器来克服传统 WAN 架构的一些限制,简化操作和流量引导决策。
    • WANaaS 基于 SD-WAN 的优势,采用“轻分支机构、重云”方法,在物理位置内部署所需的最低硬件,并使用低成本互联网连接到达最近的“服务边缘”位置。这可以降低总成本,提供更集成的安全性,提高中间英里性能,并更好地服务云基础设施。
  • 下一代防火墙 (NGFW) NGFW 比传统防火墙更深层次地检查数据。例如,NGFW 可以提供应用感知和控制、入侵防御和威胁情报,这使它们能够识别和阻止可能隐藏在看似正常的流量中的威胁。可以部署在云端的 NGFW 称为云防火墙或防火墙即服务 (FWaaS)

根据供应商的能力,上述 SASE 组件还可与云电子邮件安全Web 应用和 API 保护 (WAAP)DNS 安全和/或下文进一步介绍的安全服务边缘 (SSE) 功能捆绑在一起。

SASE 的主要优势有哪些?

与传统的基于数据中心的网络安全模型相比,SASE 具有多个优点。

通过 Zero Trust 原则降低风险:SASE 在很大程度上依赖于 Zero Trust 安全模式,此模式在用户身份通过验证之前,不允许用户访问应用程序和数据,即使用户已处于专用网络的边界内也是如此。在建立访问策略时,SASE 方法不仅仅考虑实体的身份,而且还可能会考虑地理位置、设备态势、企业安全标准以及风险/信任的持续评估等因素。

通过平台整合降低成本:SASE 将单点安全解决方案整合到一个基于云的服务中,使企业能够与更少的供应商互动,并减少为强行整合不同产品而花费的时间、金钱和内部资源。

运营效率和灵活性:SASE 使组织能够从单个界面跨所有位置、用户、设备和应用设置、调整和实施安全策略,而不是杂乱无章地使用不能协同工作的单点解决方案。IT 团队可以更有效地排除故障,花更少的时间解决简单的问题。

改善混合工作的用户体验:网络路由优化可根据网络拥塞情况和其他因素,帮助确定最快的网络路径。SASE 通过全球边缘网络安全地路由流量,在尽可能靠近用户的地方处理流量,从而帮助减少最终用户延迟

常见的 SASE 用例有哪些?

增强或取代 VPN,实现现代化安全访问

迁移到 SASE 架构的一个常见驱动因素是改善资源访问和连接。在尽可能靠近用户的全球云网络上路由和处理网络流量(而不是通过 VPN)可以减少最终用户的摩擦,同时消除横向移动的风险。

简化承包商(第三方)访问

安全访问服务边缘将安全访问范围从内部员工扩展到第三方,例如承包商、合作伙伴和其他临时或独立工人。通过基于资源的访问,组织可以降低承包商过度配置的风险。

针对分布式办公室和远程工作人员的威胁防御

SASE 使组织能够对所有用户应用一致的 IT 安全策略,无论他们身在何处。通过过滤和检查所有传出和传入的网络流量,SASE 可帮助防止以下威胁:基于恶意软件的攻击、多渠道网络钓鱼(跨越多个通信渠道的攻击)、内部威胁数据外泄等。

针对监管合规的数据保护

由于 SASE 提供对每个网络请求的可见性,因此组织可以将策略应用于每个请求中的数据。这些策略有助于确保遵守数据隐私法(这些法律要求组织以特定方式处理敏感数据)。

简化分支机构连接

SASE 架构可以帮助增强或替换多协议标签交换 (MPLS) 电路和网络设备拼凑而成的方案,以便更轻松地在分支机构之间路由流量,并促进不同位置之间的站点到站点连接。

SASE 和 SSE(安全服务边缘)有何不同?

行业分析公司 Gartner 将安全访问服务边缘定义为包括 SD-WAN、SWG、CASB、NGFW 和 ZTNA,以“基于设备或实体的身份,结合实时上下文以及安全性和合规性策略,实现 Zero Trust 访问”。

换句话说,SASE 将用户的安全访问纳入网络架构之中。这里值得注意的是,行业分析公司 Forrester 将 SASE 模型归类为“Zero Trust 边缘”,即 ZTE)。

但并不是所有组织都能在 IT、网络安全和网络团队中采取协调一致的方法。因此,他们可能会优先考虑安全服务边缘 (SSE),这是 SASE 功能的一部分,主要侧重于确保安全访问 Web 、云服务和私人应用。

此外,虽然大多数 SASE 平台都包括前面提到的核心功能,但有些平台还包括额外的 SSE 功能,例如:

  • 远程浏览器隔离 (RBI):RBI 将 Zero Trust 原则应用于 Web 浏览,假定不应默认运行任何网站代码(例如 HTML、CSS、JavaScript)。RBI 加载网页并在云中执行任何相关代码——远离用户的本地设备。这种分离有助于防止恶意软件下载,最大限度地降低 zero-day 浏览器漏洞的风险,并防御其他浏览器传播的威胁
  • 数据丢失防护 (DLP):为防止数据在未经许可的情况下被窃取或销毁,数据丢失防护技术可检测 Web 、SaaS 和私人应用中是否存在敏感数据。当与 SWG 结合使用时,数据丢失防护解决方案可以扫描传输中的数据;当与 CASB 结合使用时,数据丢失防护解决方案可以扫描静态数据
  • Digital Experience Monitoring (DEM):DEM 是一种监测用户行为及其网站流量和应用程序性能的工具。DEM 可以帮助企业捕获关于网络问题、性能下降和应用程序中断的实时数据。这有助于确定网络问题,找到连接异常的根本原因

SSE 是全面部署 SASE 的一个常见步骤。然而,一些组织(特别是那些拥有成熟 SD-WAN 部署的组织)可能并不希望完全整合到一家 SASE 供应商。这些组织可部署单个 SASE 组件,以解决其即时用例,并可随着时间的推移扩展其平台整合工作。

Cloudflare 如何实现 SASE

Cloudflare One 是 Cloudflare 的 SASE 平台,用于保护企业 应用程序、用户、设备和网络安全。它建立在 Cloudflare 的 全球连通云之上, 全球连通云是一个可编程的云原生服务的统一、可组合平台,可实现所有 网络(企业和互联网)、云环境、应用程序以及用户之间的任意连接。

Cloudflare One 服务(包括 SASE 的所有方面)设计为在所有 Cloudflare 网络位置运行,因此所有流量都在靠近来源的位置连接、检查和过滤,以获得最佳性能和一致的用户体验。详细了解 Cloudflare One 和其他网络安全解决方案