什么是 SASE?| 安全访问服务边缘

安全访问服务边缘(简称 SASE)是指结合了网络和安全服务的云端 IT 模型。

Share facebook icon linkedin icon twitter icon email icon

SASE

学习目标

阅读本文后,您将能够:

  • 定义安全访问服务边缘(SASE)
  • 了解 SASE 包括哪些服务
  • 了解 SASE 与传统网络架构有何不同
  • 探索采用 SASE 框架的优势

什么是 SASE?

安全访问服务边缘简称 SASE,是一种云端安全模型,它将软件定义的网络与网络安全功能捆绑在一起,并从单一服务提供商交付。“SASE”一词由全球研究和咨询公司 Gartner 在 2019 年提出。

sase - 安全访问服务边缘

SASE 是传统“轴辐式”网络基础设施的云端替代方案,后者用于将多个位置(辐)中的用户连接到集中式数据中心(轴)中托管的资源。在传统的网络模型中,数据和应用程序位于核心数据中心内。为了访问这些资源,用户、分支机构和应用程序从本地私有网络或二级网络(其一般通过安全租用线路或 VPN 连接到主要网络)连接到数据中心。

尽管原理上很简单,但轴辐式模型不足以处理由软件即服务(SaaS)等基于云的服务及劳动力日益分散带来的复杂性。随着更多的应用程序、工作负载和敏感的公司数据转移到云中,企业被迫重新考虑如何以及在何处检查网络流量并管理安全的用户访问策略。如果大多数应用程序和数据都在云端托管,则通过集中式数据中心重新路由所有流量不再可行,因为这会引入不必要的延迟。同时,大批远程用户在通过 VPN 连接到公司网络时可能会遇到较大的延迟,或者会在通过不安全的连接访问公司资源时面临额外的安全风险。

相比之下,SASE 将网络控制置于云端边缘,而不是企业数据中心。与需要单独配置和管理的分层云服务不同,SASE 简化了网络和安全服务,以创建安全、无缝的网络边缘。通过在边缘网络上实施基于身份的零信任访问策略,企业可以将其网络边界扩展到任何远程用户、分支机构、设备或应用程序。反过来,这消除了对传统 VPN 和防火墙的需求,并使企业能够更细致地控制其网络安全策略。为此,Cloudflare 在一个单一全球网络之上构建了一个 SASE 框架,以使这些集成服务更接近最终用户。

为何有必要使用 SASE?

将传统的网络体系结构模型想象成一座实体银行。现在,设想 Bob 要在付房租之前查看账户余额。为此,他将必须亲自前往银行,并向柜员核实身份。他必须每个月去银行以重复此过程,这将花费他大量的时间和精力,如果他住在远离银行的地方则更是如此。

这有点类似于以硬件为中心的网络架构,其中,安全和访问决策是在固定的本地数据中心而不是在云端制定和实施的。将云服务添加到传统的网络架构模型中,就像让 Bob 可以通过拨打银行电话来了解其账户余额一样。这比开车去银行要方便一些,但是会要求他完成一个完全不同的身份验证过程(例如,他可能需要通过电话提供另一组机密信息来证明自己的身份,而非出示身份证明)。银行必须管理这些不同的程序,以确保客户账户信息安全。

轴辐式网络模型

传统的轴辐式基础设施在设计时并未考虑云服务。它依赖于围绕核心数据中心构建的安全网络边界,但仅当企业的大量应用程序和数据驻留在边界内时,这种架构才有效。对于 IT 团队来说,管理和更新各种安全服务和访问策略可能很快变得困难起来。

而 SASE 就像 Bob 移动设备上的银行应用程序。他不用开车去银行查询账户或长时间通话,而是可以用数字方式验证他的身份并立即在世界任何地方查询账户余额。这不仅适用于 Bob,还适用于银行的每个客户,无论他们身在何处。

轴辐式网络模型

SASE 将这些关键过程转移到云端,使网络安全服务和访问控制更接近最终用户,并在全球网络上运行,以最大程度地减少上述过程中的延迟。

SASE 包含什么能力?

安全访问服务边缘将软件定义的广域网(SD-WAN)能力与多种网络安全功能整合起来,通过单一云平台上交付和管理。SASE 产品包括四个核心安全组件:

  1. 安全 Web 网关(SWG):SWG也称为安全互联网网关,它从 Web 流量中过滤不需要的内容,阻止未经授权的用户行为,并执行公司安全策略,从而防止网络威胁和数据泄露。SWG 可以部署在任何地方,因此是确保远程员工安全的理想选择。
  2. 云访问安全代理(CASB):CASB 为云托管服务执行多项安全功能:揭示影子 IT(未经授权的公司系统)、通过访问控制和数据丢失防护(DLP)保护机密数据、确保符合数据隐私法规等等。
  3. 零信任网络访问(ZTNA):ZTNA 平台锁定内部资源,不允许公开查看,并要求对每个受保护应用程序的每个用户进行实时验证,以助防止潜在的数据泄露。
  4. 防火墙即服务(FWaaS):FWaaS 是指从云端作为服务交付的防火墙。FWaaS 保护云端平台、基础设施和应用程序免受网络攻击。与传统防火墙不同,FWaaS 不是物理设备,而是一组安全能力,其中包括 URL 过滤、入侵防御以及对所有网络流量的统一策略管理。

根据供应商和企业的需求,这些核心组件可以与任何数量的其他安全服务捆绑,从 Web 应用程序和 API 保护(WAAP)和远程浏览器隔离到递归 DNS、Wi-Fi 热点保护、网络混淆/分散、边缘计算保护等。

SASE 框架有哪些优点?

与传统的基于数据中心的网络安全模型相比,SASE 具有多个优点:

  • 实施和管理更简单。SASE 将单点安全解决方案合并到单一云端服务中,企业可与更少的供应商进行交互,并节省配置和执行物理基础设施维护所需的时间、金钱和内部资源。
  • 策略管理更简单。SASE 允许组织在单一门户上设置、监视、调整和实施覆盖所有位置、用户、设备和应用程序的访问策略,而不必为不同解决方案处理多种策略。
  • 基于身份的零信任网络访问。SASE 高度依赖于零信任安全模型,在用户身份得到验证之前,该模型不会授予用户访问应用程序和数据的权限 —— 即使他们已经在私有网络的边界内也不例外。在建立访问策略时,SASE 方法不仅仅考虑实体的身份;它还考虑用户的位置、所处时段、企业安全标准、合规性策略以及对风险/信任的持续评估等因素。
  • 延迟优化的路由。如果企业的服务会受延迟影响(例如视频会议、流媒体传输、在线游戏等),延迟的任何显著增加都会造成问题。SASE 通过一个全球边缘网络来路由网络流量,在尽可能靠近用户的位置进行处理,从而帮助减少延迟。路由优化可以根据网络拥塞和其他因素帮助确定最快的网络路径。

需要指出的是,并非所有的 SASE 实现看起来都是一样的。它们可能有一些共同的核心特征 —— 基于身份的访问策略、网络安全服务和以云为中心的架构 —— 但根据组织的需求,也可能存在一些显著差异。例如,SASE 实施可能会选择单租户架构而不是多租户架构,并结合 IoT(物联网)和边缘设备的网络访问控制、提供额外的安全能力、依靠最少的硬件/虚拟设备来提供安全解决方案,等等。

Cloudflare 如何协助 SASE 采用?

Cloudflare 的 SASE 模型既适用于 Cloudflare for Infrastructure,也适用于 Cloudflare for Teams,两者均由一个服务逾 2500 万互联网资产的单一全球网络支持。Cloudflare 具有独特的架构,可在全球 200+ 个城市提供集成的网络和安全服务,无需公司在云端购买和管理复杂的多点解决方案。

Cloudflare for Infrastructure 包含 Cloudflare 的集成安全性和性能服务套件,该套件可保护、加速并确保任何本地、混合和云环境的可靠性。Cloudflare Magic Transit 是 Cloudflare for Infrastructure 不可或缺的一部分,它可保护网络设施免受 DDoS 威胁和网络层攻击,并与Cloudflare Web 应用程序防火墙(WAF)协同工作以防御漏洞利用。Magic Transit 还使用 Cloudflare 的全球网络来加速合法网络流量,以实现最短延迟和最高吞吐量。了解有关Cloudflare Magic Transit 的更多信息。

Cloudflare for Teams 通过两种方式保护公司数据:使用Cloudflare Access(一种零信任网络访问解决方案)和 Cloudflare Gateway(一种 DNS 过滤和网络安全服务),防御恶意软件和网络钓鱼等威胁。Cloudflare Access 消除了对传统 VPN 的需求,无论用户位于何处,都能以安全、基于身份的方式访问内部应用程序和数据。Cloudflare Gateway 过滤和阻止恶意内容,识别遭到入侵的设备,使用浏览器隔离技术来防止恶意代码在用户设备上执行,从而保护用户和企业数据。了解有关 Cloudflare for Teams 的更多信息。