什么是 SASE?| 安全访问服务边缘

安全访问服务边缘(简称 SASE)是结合了网络和安全服务的云端 IT 模型。

学习目标

阅读本文后,您将能够:

  • 定义安全访问服务边缘(SASE)
  • 了解 SASE 方法的组成部分
  • 探索采用 SASE 框架的优势

相关内容

Zero Trust 安全

安全 Web 网关

什么是 IAM?

访问控制

软件定义边界

复制文章链接

什么是 SASE?

安全访问服务边缘简称 SASE,是一种基于云的 IT 模型,它将软件定义的网络与网络安全功能捆绑在一起,并从单一服务提供商交付。“SASE”一词由全球研究和咨询公司 Gartner 在 2019 年提出。

SASE 方法可以更好地控制和了解访问公司网络的用户、流量和数据,这些功能对于现代全球分布的组织来说至关重要。使用 SASE 构建的网络灵活且可扩展,能够通过任何设备连接分布在全球各地的员工和办公室。

sase - 安全访问服务边缘

SASE 包括哪些安全功能?

SASE 将软件定义的广域网 (SD-WAN) 功能与一些网络安全功能相结合,所有这些功能都从一个平台提供。通过这种方式,SASE 让员工能够从任何地方进行身分验证并安全地连接到内部资源,让企业更好地控制进出其内部网络的流量和数据。

SASE 包括四个核心安全组件:

  1. 安全 Web 网关 (SWG):SWG 可从 Web 流量中过滤不需要的内容,阻止未经授权的用户行为,并执行企业安全策略,从而预防网络威胁和数据泄露。SWG 可以部署在任何地方,因此是确保远程员工安全的理想选择。
  2. 云访问安全代理 (CASB):CASB 为云托管服务执行多项安全功能,包括:揭示影子 IT(未经授权的公司系统)、通过访问控制数据丢失防护 (DLP) 保护机密数据,以及确保符合数据隐私法规。
  3. Zero Trust Network Access (ZTNA): ZTNA platforms lock down internal resources from public view and help defend against potential data breaches by requiring real-time verification of every user and device to every protected application.
  4. Firewall-as-a-service (FWaaS): FWaaS refers to firewalls delivered from the cloud as a service. FWaaS protects cloud-based platforms, infrastructure, and applications from cyber attacks. Unlike traditional firewalls, FWaaS is not a physical appliance, but a set of security capabilities that includes URL filtering, intrusion prevention, and uniform policy management across all network traffic.

根据供应商和企业的需求,这些核心组件可能与其他安全服务捆绑在一起,包括 Web 应用程序和 API 保护 (WAAP)、远程浏览器隔离或 Wi-Fi 热点保护。

SASE 框架有哪些优点?

与传统的基于数据中心的网络安全模型相比,SASE 具有多个优点:

  • 基于身份的零信任网络访问。SASE 高度依赖于零信任安全模型,在用户身份得到验证之前,该模型不会授予用户访问应用程序和数据的权限 —— 即使他们已经在私有网络的边界内也不例外。在建立访问策略时,SASE 方法不仅仅考虑实体的身份;它还考虑用户的位置、所处时段、企业安全标准、合规性策略以及对风险/信任的持续评估等因素。
  • 阻止对网络基础设施的攻击。SASE 的防火墙和 CASB 组件有助于防止外部攻击(如 DDoS 攻击和漏洞利用)进入并损害内部资源。SASE 方法可以保护本地网络和基于云的网络。
  • 防止恶意活动。通过过滤 URL、DNS 查询以及其他传出和传入网络流量,SASE 有助于防止基于恶意软件的攻击、数据泄露和针对公司数据的其他威胁。
  • 实施和管理更简单。SASE 将单点安全解决方案合并到单一云端服务中,企业可与更少的供应商进行交互,并节省配置物理基础设施所需的时间、金钱和内部资源。
  • 策略管理更简单。SASE 允许组织在单一门户上设置、调整和实施覆盖所有位置、用户、设备和应用程序的访问策略,而不必为不同解决方案处理多种策略。
  • 延迟优化的路由。SASE 通过一个全球边缘网络来路由网络流量,在尽可能靠近用户的位置进行处理,从而帮助减少延迟。路由优化可以根据网络拥塞和其他因素帮助确定最快的网络路径。

SASE 与传统网络相比有何不同?

在传统的网络模型中,数据和应用程序位于核心数据中心内。为了访问这些资源,用户、分支机构和应用程序从本地私有网络或二级网络(其一般通过安全租用线路或 VPN 连接到主要网络)连接到数据中心。

事实证明,这种模式无法应对软件即服务 (SaaS) 等基于云的服务带来的复杂性以及分布式劳动力的兴起。如果应用程序和数据托管在云中,则通过集中式数据中心重新路由所有流量不再可行。

相比之下,SASE 将网络控制置于云端边缘,而不是企业数据中心。与需要单独配置和管理的分层云服务不同,SASE 简化了网络和安全服务,以创建安全的网络边缘。通过在边缘网络上实施基于身份的零信任访问策略,企业可以将其网络边界扩展到任何远程用户、分支机构、设备或应用程序。

组织如何实施 SASE

许多组织对 SASE 实施采取逐一进行的方法。事实上,有些人可能已经在不知不觉中采用了某些 SASE 元素。要全面采用 SASE 模型,组织可采取以下关键步骤:

  1. 保护远程员工
  2. 2将分支机构置于云边界内
  3. 将 DDoS 保护移到边缘
  4. 将自我托管的应用程序迁移到云端
  5. 用统一的云原生政策执行取代安全设备

这些步骤在白皮书《SASE 入门》中进行了进一步细分,可在此处下载

Cloudflare 如何实现 SASE

Cloudflare 具有独特的架构,可以在全球超过 300 个城市的数据中心提供集成的网络和安全服务平台,使企业不再需要购买和管理复杂的单一功能解决方案集合。

Cloudflare One 是一个 SASE 平台,可将远程用户、办公室和数据中心彼此安全地连接起来,以及连接到它们需要的资源。要开始使用 Cloudflare One,请参阅 Cloudflare One 产品页面。或者,了解有关 ZTNA 的更多信息(这是 SASE 背后的一项关键技术)。

销售

关于访问管理

关于零信任

VPN 资源

词汇

学习中心导航

© 2023 Cloudflare 公司隐私政策使用条款报告安全问题信任与安全商标