什么是 SASE？
安全訪問(wèn)服務(wù)邊緣或 SASE（發(fā)音為“sassy”）是一種將網(wǎng)絡(luò)連接與網(wǎng)絡(luò)安全功能融合的架構(gòu)模型，并通過(guò)單一云平臺(tái)和/或集中策略控制來(lái)提供它們。

隨著組織越來(lái)越多地將應(yīng)用程序和數(shù)據(jù)遷移到云中，使用傳統(tǒng)的“城堡和護(hù)城河”方法管理網(wǎng)絡(luò)安全變得更加復(fù)雜和危險(xiǎn)。與傳統(tǒng)網(wǎng)絡(luò)方法不同，SASE 將安全性和網(wǎng)絡(luò)統(tǒng)一到一個(gè)云平臺(tái)和一個(gè)控制平面上，從而為任何用戶和任何應(yīng)用程序提供一致的可見(jiàn)性、控制和體驗(yàn)。

通過(guò)這種方式，SASE 創(chuàng)建一個(gè)基于通過(guò)互聯(lián)網(wǎng)運(yùn)行的云服務(wù)的新的統(tǒng)一企業(yè)網(wǎng)絡(luò)——允許組織擺脫許多架構(gòu)層和點(diǎn)解決方案。

SASE 架構(gòu)結(jié)合零信任安全與網(wǎng)絡(luò)服務(wù)
SASE 與傳統(tǒng)網(wǎng)絡(luò)相比如何？
在傳統(tǒng)網(wǎng)絡(luò)模型中，數(shù)據(jù)和應(yīng)用程序位于核心數(shù)據(jù)中心。為了訪問(wèn)這些資源，用戶、分支機(jī)構(gòu)和應(yīng)用程序從本地專用網(wǎng)絡(luò)或輔助網(wǎng)絡(luò)（通常通過(guò)安全專線或VPN連接到主網(wǎng)絡(luò)）連接到數(shù)據(jù)中心。

然而，這種模式無(wú)法應(yīng)對(duì)新的基于云的服務(wù)和分布式勞動(dòng)力的興起所帶來(lái)的復(fù)雜性。例如，如果組織在云中托管SaaS 應(yīng)用程序和數(shù)據(jù)，那么通過(guò)集中式數(shù)據(jù)中心重新路由所有流量是不切實(shí)際的。

相比之下，SASE 將網(wǎng)絡(luò)控制置于云邊緣，而不是企業(yè)數(shù)據(jù)中心。SASE 不使用需要單獨(dú)配置和管理的分層服務(wù)，而是使用一個(gè)控制平面融合網(wǎng)絡(luò)和安全服務(wù)。它在邊緣網(wǎng)絡(luò)上實(shí)施基于身份的零信任安全策略，使企業(yè)能夠?qū)⒕W(wǎng)絡(luò)訪問(wèn)擴(kuò)展到任何遠(yuǎn)程用戶、分支機(jī)構(gòu)、設(shè)備或應(yīng)用程序。

SASE 提供哪些功能？
SASE 平臺(tái)將網(wǎng)絡(luò)即服務(wù) (NaaS)功能與從一個(gè)界面管理并從一個(gè)控制平面交付的多種安全功能相結(jié)合。

這些服務(wù)包括：

簡(jiǎn)化連接的網(wǎng)絡(luò)服務(wù)，例如軟件定義的廣域網(wǎng) (SD-WAN)或廣域網(wǎng)即服務(wù) (WANaaS)，可將各種網(wǎng)絡(luò)連接在一起形成單個(gè)企業(yè)網(wǎng)絡(luò)
安全服務(wù)應(yīng)用于進(jìn)出網(wǎng)絡(luò)的流量，以幫助保護(hù)用戶和設(shè)備訪問(wèn)、防御威脅并保護(hù)敏感數(shù)據(jù)
提供平臺(tái)范圍功能的運(yùn)營(yíng)服務(wù)，例如網(wǎng)絡(luò)監(jiān)控和日志記錄
支持所有上下文屬性和安全規(guī)則的策略引擎，然后將這些策略應(yīng)用于所有連接的服務(wù)
通過(guò)將這些服務(wù)合并到統(tǒng)一架構(gòu)中，SASE 簡(jiǎn)化了網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
SASE 平臺(tái)的技術(shù)組件有哪些？
由于安全訪問(wèn)服務(wù)邊緣涉及融合許多傳統(tǒng)上分散的服務(wù)，因此組織可以逐步轉(zhuǎn)向 SASE 架構(gòu)，而不是一次性全部轉(zhuǎn)向。組織可以首先實(shí)施滿足其最高優(yōu)先級(jí)用例的組件，然后再將所有網(wǎng)絡(luò)和安全服務(wù)遷移到單個(gè)平臺(tái)。

SASE 平臺(tái)通常包括以下技術(shù)組件：

零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA)：零信任安全模型假設(shè)威脅既存在于網(wǎng)絡(luò)內(nèi)部也存在于網(wǎng)絡(luò)外部；因此，每次個(gè)人、應(yīng)用或設(shè)備嘗試訪問(wèn)公司網(wǎng)絡(luò)上的資源時(shí)，都需要進(jìn)行嚴(yán)格的上下文驗(yàn)證。零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA)是實(shí)現(xiàn)零信任方法的技術(shù) - 它在用戶和他們所需的資源之間建立一對(duì)一連接，并要求定期重新驗(yàn)證和重新創(chuàng)建這些連接。
安全網(wǎng)關(guān) (SWG)： SWG通過(guò)過(guò)濾不需要的網(wǎng)絡(luò)流量?jī)?nèi)容并阻止危險(xiǎn)或未經(jīng)授權(quán)的在線用戶行為來(lái)防止網(wǎng)絡(luò)威脅并保護(hù) 數(shù)據(jù)。SWG 可以部署在任何地方，是保護(hù)混合工作安全的理想選擇。
云訪問(wèn)安全代理 (CASB)：使用云和 SaaS 應(yīng)用使得確保數(shù)據(jù)保持私密和安全變得更加困難。CASB是解決這一挑戰(zhàn)的一種方法：它為組織的云托管服務(wù)和應(yīng)用提供數(shù)據(jù)安全控制（以及可視性）。
軟件定義廣域網(wǎng) (SD-WAN) 或 WANaaS：在 SASE 架構(gòu)中，組織采用 SD-WAN 或 WAN 即服務(wù) (WANaaS) 來(lái)連接和擴(kuò)展遠(yuǎn)距離運(yùn)營(yíng)（例如辦公室、零售店、數(shù)據(jù)中心）。 SD-WAN 和 WANaaS 使用不同的方法：

SD-WAN技術(shù)使用企業(yè)站點(diǎn)的軟件和集中控制器來(lái)克服傳統(tǒng) WAN 架構(gòu)的一些限制，簡(jiǎn)化操作和流量控制決策。

WANaaS以 SD-WAN 的優(yōu)勢(shì)為基礎(chǔ)，采用“輕分支、重云”方法，在物理位置部署最低要求的硬件，并使用低成本的互聯(lián)網(wǎng)連接到達(dá)最近的“服務(wù)邊緣”位置。這可以降低總成本、提供更集成的安全性、提高中間一英里的性能，并更好地服務(wù)于云基礎(chǔ)設(shè)施。

下一代防火墻 (NGFW) NGFW比傳統(tǒng)防火墻檢查更深層次的數(shù)據(jù)。例如，NGFW 可以提供應(yīng)用程序感知和控制、入侵防御和威脅情報(bào)，這使它們能夠識(shí)別和阻止可能隱藏在看似正常的流量中的威脅?？梢栽谠浦胁渴鸬?NGFW 稱為云防火墻或防火墻即服務(wù) (FWaaS)。

審核編輯 黃宇