SASE也是一種網(wǎng)絡(luò)架構(gòu),可將軟件定義廣域網(wǎng)(SD-WAN)和安全性集成到云計(jì)算服務(wù)中,從而保證簡化的WAN部署、提高效率和安全性,并為每個(gè)應(yīng)用程序提供適當(dāng)?shù)膸挕?/div>
由于SASE是一項(xiàng)云計(jì)算服務(wù),因此可以輕松地按比例放大和縮小并進(jìn)行計(jì)費(fèi)。因此,在快速變化的時(shí)代,這可能是一個(gè)有吸引力的選擇。
盡管這一領(lǐng)域的一些供應(yīng)商提供硬件設(shè)備,以便在家中遠(yuǎn)程工作的員工和企業(yè)的數(shù)據(jù)中心連接到其SASE網(wǎng)絡(luò),但大多數(shù)供應(yīng)商通過軟件客戶端或虛擬設(shè)備來處理連接。
調(diào)研機(jī)構(gòu)Gartner公司創(chuàng)建了SASE這一術(shù)語,并在2019年的白皮書中對(duì)其進(jìn)行了首次描述,闡述了其目標(biāo)以及SASE實(shí)施的情況。該公司指出,SASE仍在開發(fā)中,其有些功能還不能采用。
什么是SASE?
簡而言之,SASE將SD-WAN功能與安全性相結(jié)合,并將其作為服務(wù)交付。根據(jù)以下四個(gè)因素,針對(duì)用戶會(huì)話實(shí)施的安全策略將為每個(gè)會(huì)話量身定制:
•連接組織的身份
•場景(設(shè)備的健康狀況和行為、所訪問資源的敏感性)
•安全和合規(guī)政策
•進(jìn)行風(fēng)險(xiǎn)評(píng)估。
SASE的WAN端依賴于由組織提供的功能,這些實(shí)體包括SD-WAN提供商、運(yùn)營商、內(nèi)容交付網(wǎng)絡(luò)、網(wǎng)絡(luò)即服務(wù)提供商、帶寬聚合器和網(wǎng)絡(luò)設(shè)備供應(yīng)商。
安全方面依靠云訪問安全代理、云安全Web網(wǎng)關(guān)、零信任網(wǎng)絡(luò)訪問、防火墻即服務(wù)、Web API保護(hù)即服務(wù)、DNS和遠(yuǎn)程瀏覽器隔離。
Gartner公司表示,在理想情況下,所有這些功能都是由單個(gè)實(shí)體作為SASE服務(wù)提供的,并將其整合在一起。
邊緣在哪里?
SASE的“邊緣”部分通常通過PoP或靠近端點(diǎn)的供應(yīng)商數(shù)據(jù)中心(數(shù)據(jù)中心、人員和設(shè)備)傳遞,無論它們位于何處。在某些情況下,SASE供應(yīng)商擁有PoP,而在另一些情況下,它使用第三方或希望客戶提供自己的連接性。
SASE的好處
因?yàn)镾ASE是一項(xiàng)服務(wù),所以降低了復(fù)雜性和成本。企業(yè)可以與更少的供應(yīng)商打交道,減少分支機(jī)構(gòu)和其他遠(yuǎn)程位置所需的硬件數(shù)量,也會(huì)減少最終用戶設(shè)備上的代理數(shù)量。
IT管??理人員可以采用基于云計(jì)算的管理平臺(tái)集中設(shè)置策略,并在靠近最終用戶的分布式PoP上實(shí)施策略。
無論最終用戶需要什么資源,以及自身和資源位于何處,他們都具有相同的訪問體驗(yàn)。SASE還通過對(duì)用戶基于初始登錄請(qǐng)求的任何資源采用適當(dāng)?shù)牟呗詠砗喕矸蒡?yàn)證過程。而安全性得到了提高,因?yàn)闊o論用戶位于何處,策略都會(huì)得到執(zhí)行。當(dāng)新的威脅出現(xiàn)時(shí),服務(wù)提供商解決了如何防范這些威脅的問題,而對(duì)企業(yè)不會(huì)提出新的硬件要求。
SASE支持零信任網(wǎng)絡(luò),它基于用戶、設(shè)備和應(yīng)用程序的訪問,而不是位置和IP地址。更多類型的最終用戶(員工、合作伙伴、承包商、客戶)可以獲得訪問權(quán)限,而不必?fù)?dān)心傳統(tǒng)安全性(例如VPN和DMZ)可能受到損害并成為潛在的企業(yè)廣泛攻擊的橋頭堡。
SASE可以提供不同的服務(wù)質(zhì)量,因此每個(gè)應(yīng)用程序都可以獲得所需的帶寬和網(wǎng)絡(luò)響應(yīng)能力。
借助SASE,企業(yè)IT人員可以減少與部署、監(jiān)視和維護(hù)相關(guān)的雜務(wù),并且可以分配更高級(jí)別的任務(wù)。
SASE面臨的挑戰(zhàn)
Gartner公司列出了采用SASE面臨的一些挑戰(zhàn):例如,最初可能會(huì)短缺某些服務(wù),因?yàn)檫@些服務(wù)是由具有網(wǎng)絡(luò)或安全背景的提供商提供的,而另外一些提供商則缺乏專業(yè)知識(shí)。
最初的SASE產(chǎn)品可能沒有以云原生的思維方式設(shè)計(jì),因?yàn)楣?yīng)商的傳統(tǒng)經(jīng)驗(yàn)是在出售內(nèi)部部署硬件,因此他們可能會(huì)選擇基礎(chǔ)設(shè)施專用于客戶的架構(gòu)。
同樣,一些傳統(tǒng)硬件供應(yīng)商可能缺乏SASE所需的在線代理的經(jīng)驗(yàn),因此他們可能會(huì)遇到成本和性能問題。一些傳統(tǒng)供應(yīng)商可能還缺乏評(píng)估場景的經(jīng)驗(yàn),這可能會(huì)限制他們做出場景感知決策的能力。
由于SASE的復(fù)雜性,重要的是提供商必須具有良好的集成功能,而不是拼湊在一起的功能。對(duì)于某些SASE提供商來說,在全球范圍內(nèi)擴(kuò)展PoP的成本可能會(huì)很高。這可能會(huì)導(dǎo)致所有位置的性能不平衡,因?yàn)槟承┱军c(diǎn)可能距離最近的PoP較遠(yuǎn),從而導(dǎo)致延遲。
SASE終結(jié)點(diǎn)代理必須與其他代理集成,以簡化部署。SASE的過渡可能會(huì)給IT人員帶來壓力。隨著SASE跨網(wǎng)絡(luò)和安全團(tuán)隊(duì)的擴(kuò)展,其競爭可能會(huì)加劇。而企業(yè)采用SASE可能需要對(duì)IT員工進(jìn)行再培訓(xùn),以掌握新技術(shù)。
為什么需要SASE?
Gartner公司的分析師表示,更多的傳統(tǒng)企業(yè)如今將其功能托管在內(nèi)部部署數(shù)據(jù)中心之外,而不是托管在IaaS提供者的云平臺(tái)、SaaS應(yīng)用程序和云存儲(chǔ)中。物聯(lián)網(wǎng)和邊緣計(jì)算的需求只會(huì)增加對(duì)基于云計(jì)算的資源的依賴,而WAN安全架構(gòu)仍然是為企業(yè)內(nèi)部數(shù)據(jù)中心量身定做的。
遠(yuǎn)程用戶通常通過VPN連接,并且需要在每個(gè)位置或單個(gè)設(shè)備上使用防火墻。傳統(tǒng)模型要求它們通過集中安全性進(jìn)行身份驗(yàn)證,以授予訪問權(quán)限,但也可以通過這一中心位置路由流量。這種傳統(tǒng)架構(gòu)受到復(fù)雜性和延遲的阻礙。
借助SASE,最終用戶和設(shè)備可以通過身份驗(yàn)證并獲得對(duì)其授權(quán)訪問的所有資源的安全訪問,這些資源可以受到安全保護(hù)。一旦經(jīng)過身份驗(yàn)證,它們就可以直接訪問資源,從而解決延遲問題。
Gartner公司分析師Nat Smith表示,SASE不僅僅是一種理念和方向,還是一種功能清單。但他表示,總體而言,SASE由五種主要技術(shù)組成:SD-WAN、防火墻即服務(wù)(FWaaS)、云訪問安全代理(CASB)、安全web網(wǎng)關(guān),以及零信任網(wǎng)絡(luò)訪問。
集成SD-WAN
傳統(tǒng)上,WAN由獨(dú)立的基礎(chǔ)設(shè)施組成,通常企業(yè)需要在硬件上進(jìn)行大量投資。
SASE版本全部基于云計(jì)算,由軟件定義和管理,并具有分布式PoP,在理想情況下,分布式PoP位于企業(yè)數(shù)據(jù)中心、分支機(jī)構(gòu)、設(shè)備和員工附近。許多PoP對(duì)于確保盡可能多的企業(yè)流量直接訪問SASE網(wǎng)絡(luò),避免公共互聯(lián)網(wǎng)的延遲和安全性問題至關(guān)重要。
通過這一服務(wù),客戶可以監(jiān)視網(wǎng)絡(luò)的運(yùn)行狀況,并為他們的特定流量要求設(shè)置策略。
由于來自公共互聯(lián)網(wǎng)的流量首先通過提供商的網(wǎng)絡(luò),因此SASE可以檢測(cè)到危險(xiǎn)流量,并在到達(dá)企業(yè)網(wǎng)絡(luò)之前進(jìn)行干預(yù)。例如,可以在SASE網(wǎng)絡(luò)中緩解DDoS攻擊,從而使客戶免受惡意流量泛濫的影響。
防火墻即服務(wù)
在當(dāng)今的分布式環(huán)境中,用戶和計(jì)算資源都越來越多地位于網(wǎng)絡(luò)邊緣。作為服務(wù)交付的基于云計(jì)算的靈活防火墻可以保護(hù)這些邊緣。隨著邊緣計(jì)算的增長以及物聯(lián)網(wǎng)設(shè)備變得越來越智能和強(qiáng)大,這種功能將變得越來越重要。
將防火墻即服務(wù)(FWaaS)作為SASE平臺(tái)的一部分提供,可使企業(yè)更輕松地管理網(wǎng)絡(luò)安全,設(shè)置統(tǒng)一策略,發(fā)現(xiàn)異常,并快速進(jìn)行更改。
云訪問安全代理
隨著越來越多的系統(tǒng)遷移到SaaS應(yīng)用程序,身份驗(yàn)證和訪問變得越來越重要。
企業(yè)使用云訪問安全代理(CASB)來確保其安全策略被一致地應(yīng)用,即使服務(wù)本身不在其控制范圍之內(nèi)。
借助SASE,員工訪問企業(yè)系統(tǒng)所使用的門戶也是該員工訪問的所有云計(jì)算應(yīng)用程序(包括CASB)的門戶。流量不必在系統(tǒng)外部路由到單獨(dú)的云訪問安全代理(CASB)服務(wù)。
安全的Web網(wǎng)關(guān)
在當(dāng)今的企業(yè)中,網(wǎng)絡(luò)流量很少局限于預(yù)先定義的范圍?,F(xiàn)代工作負(fù)載通常需要訪問外部資源,但是可能出于合規(guī)性原因拒絕員工訪問某些站點(diǎn)。此外,企業(yè)還希望阻止對(duì)網(wǎng)絡(luò)釣魚站點(diǎn)和僵尸網(wǎng)絡(luò)命令與控制服務(wù)器的訪問。
安全Web網(wǎng)關(guān)(SGW)保護(hù)企業(yè)免受威脅。提供這一功能的SASE供應(yīng)商應(yīng)該能夠檢查云計(jì)算規(guī)模的加密流量。將安全Web網(wǎng)關(guān)(SGW)與其他網(wǎng)絡(luò)安全服務(wù)捆綁在一起可提高可管理性,并允許更統(tǒng)一的安全策略集。
零信任網(wǎng)絡(luò)訪問
零信任網(wǎng)絡(luò)訪問使企業(yè)可以詳細(xì)地查看和控制訪問企業(yè)應(yīng)用程序和服務(wù)的用戶和系統(tǒng)。
零信任是一種相對(duì)較新的網(wǎng)絡(luò)安全方法,遷移到SASE平臺(tái)可以使企業(yè)獲得那些零信任功能。零信任的核心要素是安全性基于身份而不是IP地址。這使其更適合外出工作的人員,但需要更多級(jí)別的身份驗(yàn)證,例如多因素身份驗(yàn)證和行為分析。
其他技術(shù)可能是SASE的一部分
除了這五種核心功能之外,Gartner公司還推薦了SASE供應(yīng)商應(yīng)提供的其他一些技術(shù)。
它們包括Web應(yīng)用程序和API保護(hù),遠(yuǎn)程瀏覽器隔離以及網(wǎng)絡(luò)沙箱。此外還建議采取網(wǎng)絡(luò)隱私保護(hù)和流量分散的措施,這使得網(wǎng)絡(luò)攻擊者很難通過跟蹤其IP地址或在流量上進(jìn)行竊聽來獲取企業(yè)資產(chǎn)。
其他可選功能包括Wi-Fi熱點(diǎn)保護(hù),對(duì)傳統(tǒng)VPN的支持以及對(duì)離線邊緣計(jì)算設(shè)備或系統(tǒng)的保護(hù)。
對(duì)網(wǎng)絡(luò)和安全數(shù)據(jù)的集中訪問可以讓企業(yè)運(yùn)行整體行為分析,發(fā)現(xiàn)在孤立系統(tǒng)中不明顯的威脅和異常。當(dāng)這些分析作為基于云計(jì)算的服務(wù)提供時(shí),將更容易包含更新的威脅數(shù)據(jù)和其他外部情報(bào)。
將所有這些技術(shù)放在SASE的保護(hù)傘下的最終目標(biāo)是為企業(yè)提供靈活和一致的安全性、更好的性能、更低的復(fù)雜性,所有這些都以較低的總體擁有成本來實(shí)現(xiàn)。
企業(yè)應(yīng)該能夠獲得所需的規(guī)模,而不必雇用大量的網(wǎng)絡(luò)和安全管理員。
SASE服務(wù)提供商
Gartner公司的分析師指出,由于SASE是多種服務(wù)的結(jié)合體,因此實(shí)現(xiàn)這種混合的方式將有所不同。因此,他們無法提供完整的提供商列表,只匯總了已經(jīng)或希望提供SASE的供應(yīng)商列表:
•Akamai
•Cato Networks
•思科
•Cloudflare
•Forcepoint
•McAfee
•Netskope
•Palo Alto Networks
•Proofpoint
•賽門鐵克
•Versa
•VMware
•Zscaler
Gartner公司在介紹SASE提供商時(shí)表示,“主要的IaaS提供商(AWS、Azure和GCP)在SASE市場上還沒有更大競爭力,我們預(yù)計(jì)在未來五年內(nèi),將有一家以上的提供商將著手解決SASE的大部分市場需求,因?yàn)樗麄兌荚跀U(kuò)展其邊緣網(wǎng)絡(luò)業(yè)務(wù)和安全能力。”
如何采用SASE
企業(yè)可能首先轉(zhuǎn)向混合方法,傳統(tǒng)的網(wǎng)絡(luò)和安全系統(tǒng)處理數(shù)據(jù)中心和分支機(jī)構(gòu)之間已有的連接。SASE將用于處理新的連接、設(shè)備、用戶和位置。
SASE不能解決網(wǎng)絡(luò)和安全問題,也不能防止未來的中斷,但是它可以使企業(yè)對(duì)中斷或危機(jī)做出更快的響應(yīng),從而最大程度地降低對(duì)企業(yè)的影響。此外,SASE將使企業(yè)能夠更好地利用邊緣計(jì)算、5G、移動(dòng)通信、人工智能等新技術(shù)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)