什么是SASE?当前,新基建为推动新冠疫情防控和复工复产发挥了重要作用。为支撑新基建中工业互联网、智慧城市、车联网、远程办公等多种业务场景,对于每一个分散的位置/实体,都需要敏捷优化、安全可控的网络连接,以保障业务的畅通。业务的发展,即广域网中的数据传输效率和安全控制是重要的环节。在过去的40年里,广域网架构基本保持不变。SD-WAN虽然向前迈进了一大步,提高了网络效率,但也带来了新的安全挑战。例如,SD-WAN简化了为分支机构配置拆分隧道的任务,让员工可以直接访问云端,而无需经过企业WAN和数据中心。这虽然可以提升用户体验,但也形成了严重的安全漏洞。Gartner在2019年发布的《网络安全的未来在云端》中提出了一个新的技术概念安全访问服务边缘(SecureAccessServiceEdge,SASE),定义为一种集成软件定义广域网和网络安全功能以支持数字化企业需求的新兴技术。Gartner表示SASE将取代现有的网络和安全模型。这种新的网络安全模型的提出迅速成为国内外的研究热点。为什么SASE可以重新定义网络和安全架构随着企业拥抱数字化转型,边缘计算、云服务和混合网络的兴起,传统的云安全检查数据流经企业数据中心实时、移动和边缘等场景逐渐失败。在此背景下,Gartner指出:“云服务和网络正在有力推动数字化业务,但传统网络和网络安全架构远不能满足数字化业务的需求。”Gartner在《网络安全的未来在云端》报告中指出,SASE不是一个单一的独立系统,而是包含了一套技术,从SD-WAN和云访问安全代理(CASB)到安全Web网关(SWG)、零信任网络访问(ZTNA)、防火墙即服务(FWaaS)和远程浏览器隔离(RBI)。SASE架构被认为是保护云和数据中心基础设施的关键网络安全解决方案,可确保通常作为云服务交付的应用程序、服务、用户和机器安全访问云和网络资源。根据Gartner对SASE的定义:SASE是一种基于实体身份、实时上下文、企业安全/合规策略以及在整个会话过程中持续评估风险/信任的服务。一个实体的身份可以与一个人、一群人(分支机构)、设备、应用程序、服务、物联网系统或边缘计算场所相关联。SASE的核心是身份,即身份是接入决策的中心,而不是企业数据中心。SASE框架识别设备和用户,并根据用户、角色、设备、行为、位置和其他特征应用基于策略的安全性,以确保对应用程序或数据的安全可靠访问,使企业能够在全球范围内实施安全访问。SASE将SD-WAN与零信任访问等一系列安全能力相结合。访问决策基于用户身份并在边缘执行,而策略在云中集中定义和管理,使安全架构的核心从数据中心转移到身份。根本转变。SASE克服了分散集成和地理受限解决方案的成本、复杂性和刚性,并提供从分布式云服务交付的聚合企业网络和安全服务。与传统的WAN不同,SASE摒弃了将分支机构连接到中央办公室的概念,而是转变为将设备连接到基于云的集中服务的模型。SASE不是将流量回传到数据中心的检查引擎,而是将检查引擎带到附近的存在点(PoP)。客户端将流量发送到PoP以进行检查并转发到Internet或通过SASE全球骨干网转发到其他SASE客户端。SASE将以前孤立的网络和安全服务整合在一起,将本地用户、移动用户以及物联网设备和云资源整合到一个统一的服务中。SASE在传统WAN和SD-WAN的基础上,将安全功能融入到网络中,使其成为一种网络服务。由于安全和网络管理都是通过云端完成的,管理员只需修改一次,一次性推送到所有地方。将安全和网络功能集成到网络中,不仅升级了网络,而且实现了广域网安全。改造。SASE可以使企业信息系统更加安全和高效。SASE的身份策略一方面可以让安全操作更加高效,另一方面也让攻击变得更加困难。在SASE身份策略中,充分考虑了网络实体需要访问的应用和数据的敏感性,可以帮助企业更细化地制定最小权限访问策略,从而实现严格的访问控制。SASE可以将安全策略应用到每个用户身上,基于身份而不是企业中的用户来设置策略(零信任网络访问),访问安全性将得到进一步优化。通过统一有效的安全策略管理,有助于减少恶意通信、身份欺诈和中间人攻击。此外,SASE供应商可以安全地加密所有远程设备,而不管设备的具体位置如何。SASE对公共开放环境的访问实施更严格的检查政策,例如智慧城市的公共热点网络环境。最后,SASE服务提供商可以根据企业需求,基于基于云的基础架构实施和交付客户特定的安全服务。企业无需应对网络攻击、设备扩容、软硬件更新等,让企业IT运维团队从繁琐的工作中解放出来,专注于企业更重要的IT业务流程管理。【本文为专栏作者“安妞”原创文章,转载请通过安妞(微信id:gooann-sectv)获得授权】点此查看作者更多好文
