什么是 SASE？SASE 與傳統(tǒng)網(wǎng)絡(luò)相比如何？

什么是 SASE？
安全訪問服務(wù)邊緣或 SASE（發(fā)音為“sassy”）是一種將網(wǎng)絡(luò)連接與網(wǎng)絡(luò)安全功能融合的架構(gòu)模型，并通過單一云平臺和/或集中策略控制來提供它們。

隨著組織越來越多地將應(yīng)用程序和數(shù)據(jù)遷移到云中，使用傳統(tǒng)的“城堡和護城河”方法管理網(wǎng)絡(luò)安全變得更加復雜和危險。與傳統(tǒng)網(wǎng)絡(luò)方法不同，SASE 將安全性和網(wǎng)絡(luò)統(tǒng)一到一個云平臺和一個控制平面上，從而為任何用戶和任何應(yīng)用程序提供一致的可見性、控制和體驗。

通過這種方式，SASE 創(chuàng)建一個基于通過互聯(lián)網(wǎng)運行的云服務(wù)的新的統(tǒng)一企業(yè)網(wǎng)絡(luò)——允許組織擺脫許多架構(gòu)層和點解決方案。

SASE 架構(gòu)結(jié)合零信任安全與網(wǎng)絡(luò)服務(wù)
SASE 與傳統(tǒng)網(wǎng)絡(luò)相比如何？
在傳統(tǒng)網(wǎng)絡(luò)模型中，數(shù)據(jù)和應(yīng)用程序位于核心數(shù)據(jù)中心。為了訪問這些資源，用戶、分支機構(gòu)和應(yīng)用程序從本地專用網(wǎng)絡(luò)或輔助網(wǎng)絡(luò)（通常通過安全專線或VPN連接到主網(wǎng)絡(luò)）連接到數(shù)據(jù)中心。

然而，這種模式無法應(yīng)對新的基于云的服務(wù)和分布式勞動力的興起所帶來的復雜性。例如，如果組織在云中托管SaaS 應(yīng)用程序和數(shù)據(jù)，那么通過集中式數(shù)據(jù)中心重新路由所有流量是不切實際的。

相比之下，SASE 將網(wǎng)絡(luò)控制置于云邊緣，而不是企業(yè)數(shù)據(jù)中心。SASE 不使用需要單獨配置和管理的分層服務(wù)，而是使用一個控制平面融合網(wǎng)絡(luò)和安全服務(wù)。它在邊緣網(wǎng)絡(luò)上實施基于身份的零信任安全策略，使企業(yè)能夠?qū)⒕W(wǎng)絡(luò)訪問擴展到任何遠程用戶、分支機構(gòu)、設(shè)備或應(yīng)用程序。

SASE 提供哪些功能？
SASE 平臺將網(wǎng)絡(luò)即服務(wù) (NaaS)功能與從一個界面管理并從一個控制平面交付的多種安全功能相結(jié)合。

這些服務(wù)包括：

簡化連接的網(wǎng)絡(luò)服務(wù)，例如軟件定義的廣域網(wǎng) (SD-WAN)或廣域網(wǎng)即服務(wù) (WANaaS)，可將各種網(wǎng)絡(luò)連接在一起形成單個企業(yè)網(wǎng)絡(luò)
安全服務(wù)應(yīng)用于進出網(wǎng)絡(luò)的流量，以幫助保護用戶和設(shè)備訪問、防御威脅并保護敏感數(shù)據(jù)
提供平臺范圍功能的運營服務(wù)，例如網(wǎng)絡(luò)監(jiān)控和日志記錄
支持所有上下文屬性和安全規(guī)則的策略引擎，然后將這些策略應(yīng)用于所有連接的服務(wù)
通過將這些服務(wù)合并到統(tǒng)一架構(gòu)中，SASE 簡化了網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
SASE 平臺的技術(shù)組件有哪些？
由于安全訪問服務(wù)邊緣涉及融合許多傳統(tǒng)上分散的服務(wù)，因此組織可以逐步轉(zhuǎn)向 SASE 架構(gòu)，而不是一次性全部轉(zhuǎn)向。組織可以首先實施滿足其最高優(yōu)先級用例的組件，然后再將所有網(wǎng)絡(luò)和安全服務(wù)遷移到單個平臺。

SASE 平臺通常包括以下技術(shù)組件：

零信任網(wǎng)絡(luò)訪問 (ZTNA)：零信任安全模型假設(shè)威脅既存在于網(wǎng)絡(luò)內(nèi)部也存在于網(wǎng)絡(luò)外部；因此，每次個人、應(yīng)用或設(shè)備嘗試訪問公司網(wǎng)絡(luò)上的資源時，都需要進行嚴格的上下文驗證。零信任網(wǎng)絡(luò)訪問 (ZTNA)是實現(xiàn)零信任方法的技術(shù) - 它在用戶和他們所需的資源之間建立一對一連接，并要求定期重新驗證和重新創(chuàng)建這些連接。
安全網(wǎng)關(guān) (SWG)： SWG通過過濾不需要的網(wǎng)絡(luò)流量內(nèi)容并阻止危險或未經(jīng)授權(quán)的在線用戶行為來防止網(wǎng)絡(luò)威脅并保護 數(shù)據(jù)。SWG 可以部署在任何地方，是保護混合工作安全的理想選擇。
云訪問安全代理 (CASB)：使用云和 SaaS 應(yīng)用使得確保數(shù)據(jù)保持私密和安全變得更加困難。CASB是解決這一挑戰(zhàn)的一種方法：它為組織的云托管服務(wù)和應(yīng)用提供數(shù)據(jù)安全控制（以及可視性）。
軟件定義廣域網(wǎng) (SD-WAN) 或 WANaaS：在 SASE 架構(gòu)中，組織采用 SD-WAN 或 WAN 即服務(wù) (WANaaS) 來連接和擴展遠距離運營（例如辦公室、零售店、數(shù)據(jù)中心）。 SD-WAN 和 WANaaS 使用不同的方法：

SD-WAN技術(shù)使用企業(yè)站點的軟件和集中控制器來克服傳統(tǒng) WAN 架構(gòu)的一些限制，簡化操作和流量控制決策。

WANaaS以 SD-WAN 的優(yōu)勢為基礎(chǔ)，采用“輕分支、重云”方法，在物理位置部署最低要求的硬件，并使用低成本的互聯(lián)網(wǎng)連接到達最近的“服務(wù)邊緣”位置。這可以降低總成本、提供更集成的安全性、提高中間一英里的性能，并更好地服務(wù)于云基礎(chǔ)設(shè)施。

下一代防火墻 (NGFW) NGFW比傳統(tǒng)防火墻檢查更深層次的數(shù)據(jù)。例如，NGFW 可以提供應(yīng)用程序感知和控制、入侵防御和威脅情報，這使它們能夠識別和阻止可能隱藏在看似正常的流量中的威脅?？梢栽谠浦胁渴鸬?NGFW 稱為云防火墻或防火墻即服務(wù) (FWaaS)。

審核編輯 黃宇