SASE也是一种将软件定义广域网(SD-WAN)和安全性集成到云计算服务中的网络架构,从而保证简化WAN部署,提高效率和安全性,为每个应用程序提供适量的带宽。由于SASE是一种云计算服务,它可以很容易地扩展和缩减并计费。因此,在快速变化的时代,这可能是一个有吸引力的选择。虽然该领域的一些供应商提供硬件设备以允许远程办公员工和公司数据中心连接到他们的SASE网络,但大多数供应商通过软件客户端或虚拟设备处理连接。研究公司Gartner创造了SASE一词,并在2019年的白皮书中首次对其进行了描述,解释了其目标以及SASE的实施方式。该公司指出,SASE仍在开发中,部分功能尚不可用。什么是SASE?简而言之,SASE将SD-WAN功能与安全性相结合,并将其作为服务提供。对用户会话实施的安全策略将根据四个因素为每个会话量身定制:?连接组织的身份?上下文(设备的健康和行为、被访问资源的敏感性)?安全和合规性策略?行为风险评估。SASE的WAN端依赖于SD-WAN提供商、运营商、内容交付网络、网络即服务提供商、带宽聚合商和网络设备供应商等组织提供的功能。安全依赖云访问安全代理、云安全Web网关、零信任网络访问、防火墙即服务、WebAPI保护即服务、DNS和远程浏览器隔离。根据Gartner的说法,理想情况下,所有这些功能都将由一个实体作为SASE服务提供并整合在一起。边缘在哪里?SASE的“边缘”部分通常通过靠近端点的PoP或提供商数据中心(数据中心、人员和设备)交付,无论它们位于何处。在某些情况下,SASE供应商拥有PoP,而在其他情况下,它使用第三方或期望客户提供自己的连接。SASE的好处因为SASE是一种服务,所以降低了复杂性和成本。企业可以与更少的供应商打交道,减少分支机构和其他远程位置所需的硬件数量,并减少最终用户设备上的代理数量。IT管理员可以采用基于云的管理平台来集中设置策略,并在靠近最终用户的分布式PoP上实施这些策略。最终用户无论需要什么资源以及他们和资源位于何处,都具有相同的访问体验。SASE还通过将适当的策略应用于用户基于初始登录请求的任何资源来简化身份验证过程。而且安全性也得到了提高,因为无论用户身在何处都可以强制执行策略。当新的威胁出现时,服务提供商解决了如何在不对企业提出新的硬件要求的情况下进行防御的问题。SASE支持零信任网络,它基于用户、设备和应用程序而不是位置和IP地址进行访问。更多类型的最终用户(员工、合作伙伴、承包商、客户)可以获得访问权限,而不必担心传统安全(例如专用虚拟网络和DMZ)可能受到损害并成为潜在的企业范围攻击的桥头堡。SASE可以提供不同质量的服务,因此每个应用程序都可以获得所需的带宽和网络响应能力。借助SASE,企业IT人员可以减少与部署、监控和维护相关的琐事,并可以分配更高级别的任务。SASE面临的挑战Gartner列出了采用SASE的一些挑战:例如,最初可能缺少某些服务,因为它们是由具有网络或安全背景的供应商提供的,而其他供应商则缺乏专业知识。最初的SASE产品在设计时可能并未考虑到云原生的思维方式,因为供应商的传统经验是销售本地硬件,因此他们可能会选择基础架构专用于客户的架构。同样,一些传统硬件供应商可能缺乏使用SASE所需的在线代理的经验,因此他们可能会遇到成本和性能问题。一些传统供应商也可能缺乏评估场景的经验,这可能会限制他们做出场景感知决策的能力。由于SASE的复杂性,重要的是提供者具有良好的集成能力,而不是能力的拼凑。对于某些SASE供应商而言,在全球范围内扩展PoP的成本可能很高。这可能会导致所有位置的性能不平衡,因为某些站点可能离最近的PoP更远,从而导致延迟。SASE端点代理必须与其他代理集成以简化部署。向SASE的过渡可能会给IT员工带来压力。随着SASE扩展到网络和安全团队,它的竞争可能会加剧。采用SASE的企业可能需要对IT人员进行再培训以掌握新技术。为什么需要SASE?Gartner分析师表示,越来越多的传统企业现在将其功能托管在数据中心,而不是IaaS提供商的云、SaaS应用程序和云存储中。物联网和边缘计算需求只会增加对基于云的资源的依赖,而广域网安全架构仍然是为企业本地数据中心量身定制的。远程用户通常通过私有虚拟网络连接,并且需要在每个位置或单个设备上安装防火墙。传统模型要求它们通过集中安全性进行身份验证以授予访问权限,但流量也可以通过该中心位置进行路由。这种传统架构受到复杂性和延迟的阻碍。借助SASE,最终用户和设备可以通过身份验证并获得对他们有权访问的所有资源的安全访问权限,这些资源是安全的。一旦通过身份验证,他们就可以直接访问资源,从而消除延迟问题。Gartner分析师NatSmith表示,SASE不仅仅是一个概念和方向,而是一个功能列表。但总的来说,他说,SASE由五项主要技术组成:SD-WAN、防火墙即服务(FWaaS)、云访问安全代理(CASB)、安全Web网关和零信任网络访问。集成SD-WAN传统上,WAN由独立的基础设施组成,通常需要对硬件进行大量投资。SASE版本全部基于云,由软件定义和管理,并具有分布式PoP,理想情况下,该PoP位于企业数据中心、分支机构、设备和员工附近。许多PoP对于确保尽可能多的企业流量直接访问SASE网络、避免公共互联网的延迟和安全问题至关重要。通过这项服务,客户可以监控网络的健康状况并针对他们的特定流量需求设置策略。由于来自公共互联网的流量首先通过提供商的网络,因此SASE可以检测到危险流量并在其到达企业网络之前进行干预。例如,可以在SASE网络中缓解DDoS攻击,保护客户免受恶意流量的侵扰。防火墙即服务在当今的分布式环境中,用户和计算资源越来越多地位于网络边缘。作为服务交付的基于云的灵活防火墙可以保护这些边缘。随着边缘计算的发展和物联网设备变得更智能、更强大,这种能力将变得越来越重要。提供防火墙即服务(FWaaS)作为SASE平台的一部分,使组织可以更轻松地管理网络安全、设置统一策略、发现异常并快速进行更改。云访问安全代理随着越来越多的系统迁移到SaaS应用程序,身份验证和访问变得越来越重要。企业使用云访问安全代理(CASB)来确保他们的安全策略得到一致应用,即使服务本身不在他们的控制范围内。使用SASE,员工用来访问企业系统的门户也是该员工访问的所有云应用程序(包括CASB)的门户。流量不必在系统外部路由到单独的云访问安全代理(CASB)服务。安全Web网关在当今的企业中,Web流量很少被限制在预定义的边界内。现代工作负载通常需要访问外部资源,但出于合规性原因,员工可能会被拒绝访问某些站点。此外,组织希望阻止对网络钓鱼站点和僵尸网络命令与控制服务器的访问。安全Web网关(SGW)保护企业免受威胁。提供此功能的SASE供应商应该能够检查云规模的加密流量。将SecureWebGateway(SGW)与其他网络安全服务捆绑在一起可以提高可管理性,并允许使用一组更统一的安全策略。零信任网络访问零信任网络访问使组织能够获得对访问企业应用程序和服务的用户和系统的精细可见性和控制。零信任是一种相对较新的网络安全方法,迁移到SASE平台可以使企业获得那些零信任功能。零信任的核心要素是安全基于身份而不是IP地址。这使得它更适合那些在旅途中工作但需要额外级别身份验证的人,例如多因素身份验证和行为分析。其他技术可能是SASE的一部分除了这五个核心功能外,Gartner还推荐了一些SASE供应商应该提供的其他技术。它们包括Web应用程序和API保护、远程浏览器隔离和Web沙盒。还推荐网络隐私保护和流量去中心化,这使得网络攻击者很难通过跟踪其IP地址或窃听流量来访问企业资产。其他可选功能包括Wi-Fi热点保护、对传统虚拟专用网络的支持以及对离线边缘计算设备或系统的保护。集中访问网络和安全数据使组织能够运行整体行为分析,发现孤立系统中可能不明显的威胁和异常。当这些分析作为基于云的服务交付时,将更容易整合更新的威胁数据和其他外部情报。将所有这些技术纳入SASE保护伞的最终目标是为企业提供灵活一致的安全性、更好的性能和更低的复杂性,同时降低总拥有成本。企业应该能够获得所需的规模,而无需雇用大量网络和安全管理员。SASE服务提供商Gartner的分析师指出,由于SASE是多种服务的组合,实现这种组合的方式会有所不同。因此,他们无法提供完整的提供商列表,只能提供已经或想要提供SASE的供应商的汇总列表:?Akamai?CatoNetworks?Cisco?Cloudflare?Forcepoint?McAfee?Netskope?PaloAltoNetworks?Proofpoint?Symantec?Versa?VMware?ZscalerGartner在介绍SASE供应商时表示,“主要的IaaS供应商(AWS、Azure和GCP)在SASE市场上的竞争力还没有提高,我们预计在未来五年内,将会有超过其中一家供应商将在扩展其边缘网络业务和安全功能时满足SASE的大部分市场需求。”如何采用SASE企业可能首先转向混合方法,使用传统网络和安全系统处理数据中心和分支机构之间的现有连接。SASE将用于处理新的连接、设备、用户和位置。SASE不解决网络和安全问题,也不防止未来的中断,但它可以让企业更快地响应中断或危机,最大限度地减少对业务的影响。此外,SASE将使企业能够更好地利用边缘计算、5G、移动通信和人工智能等新技术。
