什么是SASE?SecureAccessServiceEdge(SASE)是一种基于云的IT模型,它将软件定义网络与网络安全功能捆绑在一起,并由单一服务提供商提供。全球研究和咨询公司Gartner在2019年创造了术语“SASE”。SASE方法可以更好地控制和了解访问企业网络的用户、流量和数据,这对于现代的全球分布式组织至关重要。使用SASE构建的网络灵活且可扩展,可通过任何设备连接全球分布的员工和办公室。SASE包含哪些安全功能?SASE将软件定义的广域网(SD-WAN)功能与广泛的网络安全功能相结合,所有这些功能均由单一云平台提供。通过这种方式,SASE使员工能够从任何地方进行身份验证并安全地连接到内部资源,并使组织能够更好地控制流入和流出其内部网络的流量和数据。SASE包括四个核心安全组件:1.安全Web网关(SWG):SWG通过从Web流量中过滤不需要的内容、阻止未经授权的用户行为和执行公司安全策略来防止网络威胁和数据泄露。SWG可以部署在任何地方,非常适合保护远程工作人员。2.云访问安全代理(CASB):CASB为云托管服务执行各种安全功能,包括暴露影子IT(未经授权的公司系统)、通过访问控制和数据丢失防护(DLP)保护机密数据,以及确保遵守数据隐私法规。3.零信任网络访问(ZTNA):ZTNA平台将内部资源锁定在公众视野之外,并通过要求对每个受保护应用程序的每个用户和设备进行实时验证来帮助防御潜在的数据泄露。4.防火墙即服务(FWaaS):FWaaS是指作为云服务提供的防火墙。FWaaS保护基于云的平台、基础设施和应用程序免受网络攻击。与传统防火墙不同,FWaaS不是物理设备,而是一组安全功能,包括URL过滤、入侵防御和跨所有网络流量的统一策略管理。根据供应商和企业的需求,这些核心组件可能与其他安全服务捆绑在一起,包括Web应用程序和API保护(WAAP)、远程浏览器隔离或Wi-Fi热点保护。SASE框架有什么优势?与传统的、基于数据中心的网络安全模型相比,SASE具有多项优势:?基于身份的零信任网络访问。SASE严重依赖于零信任安全模型,该模型在用户的身份得到验证之前不会授予用户访问应用程序和数据的权限——即使他们已经在专用网络的范围内。在建立访问策略时,SASE方法不仅仅考虑实体的身份;它还考虑了诸如用户位置、一天中的时间、公司安全标准、合规策略以及对风险/信任的持续评估等因素。?防止对网络基础设施的攻击。SASE的防火墙和CASB组件有助于防止外部攻击(例如DDoS攻击和漏洞利用)进入并破坏内部资源。SASE方法可以保护本地网络和基于云的网络。?防止恶意活动。通过过滤URL、DNS查询和其他传出和传入的网络流量,SASE有助于防止基于恶意软件的攻击、数据泄露和对公司数据的其他威胁。?简化实施和管理。SASE将点安全解决方案整合到一个基于云的服务中,使企业能够与更少的供应商交互,并花费更少的时间、金钱和内部资源配置物理基础设施。?简化的策略管理。SASE不是为单独的解决方案处理多个策略,而是允许组织从单个门户设置、调整和实施跨所有位置、用户、设备和应用程序的访问策略。?延迟优化路由。SASE通过在全球边缘网络中路由网络流量来帮助减少延迟,并在尽可能靠近用户的地方进行处理。路由优化可以帮助根据网络拥塞和其他因素确定最快的网络路径。SASE与传统网络相比如何?在传统网络模型中,数据和应用驻留在核心数据中心。为了访问这些资源,用户、分支机构和应用程序从本地专用网络或辅助网络连接到数据中心,这些网络通常通过安全租用线路或VPN连接到主网络。事实证明,这种模式不足以解决软件即服务(SaaS)和分布式劳动力等基于云的服务兴起所带来的复杂性。如果应用程序和数据托管在云中,则通过集中式数据中心重新路由所有流量不再可行。相比之下,SASE将网络控制放在云的边缘——而不是企业数据中心。SASE不是需要单独配置和管理的分层云服务,而是简化网络和安全服务以创建安全的网络边缘。在边缘网络上实施基于身份的零信任访问策略允许企业将其网络边界扩展到任何远程用户、分支机构、设备或应用程序。组织如何实施SASE许多组织采用零敲碎打的方法来实施SASE。事实上,有些人可能在不知情的情况下采用了SASE的某些元素。组织可以采取的全面采用SASE模型的关键步骤包括:1.保护远程员工2.将分支机构置于云边界之后3.将DDoS保护移至边缘4.将自托管应用程序迁移至云端5.使用统一云原生策略实施取代安全设备
