什麼是 SASE?| 安全存取服務邊緣
安全存取服務邊緣 (SASE) 架構是一種將安全和網路服務結合在一個雲端平台上的 IT 模型。
學習目標
閱讀本文後,您將能夠:
- 定義安全存取服務邊緣 (SASE) 模型
- 瞭解 SASE 的重要性以及它如何使組織受益
- 探索組成 SASE 平台的技術元件
- 瞭解 SASE 與其他網路方法的比較,包括單一廠商 SASE 與雙廠商 SASE 的比較
相關內容
想要繼續瞭解嗎?
訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!
複製文章連結
什麼是安全存取服務邊緣 (SASE)?
換句話說,SASE 為組織提供了一種簡化的方法來共同管理以前脫節的基礎架構——網路和存取控制。
SASE 平台將網路連線與採用最低權限原則的多種 Zero Trust 安全服務融合在一起。藉助 Zero Trust 原則,成功驗證的使用者只能存取其角色所需的資源和應用程式。
SASE 基於透過網際網路執行的雲端服務建立統一的企業網路。這使組織能夠擺脫管理多個架構層和不同單點解決方案的困境。
為什麼 SASE 很重要?
SASE 架構很重要,因為它在連接和保護現代組織的員工方面比傳統 IT 安全更有效。
在「舊世界」模型(即「城堡加護城河」安全架構)中,組織的 IT 基礎架構相當同質,並由防火牆提供保護。為了存取網路資源,辦公室外的員工(或承包商和其他第三方)透過虛擬私人網路 (VPN) 和防火牆連接到網路,或透過公用 IP 位址使用另一個網路路由。然後,網路「週邊」內的任何人也可以存取該網路內的應用程式和資料。
然而,隨著越來越多的應用程式和資料存在於雲端,使用這種方法管理網路安全變得風險更大,也更加複雜。例如,傳統安全難以跟上以下趨勢:
- 行動員工更多:許多組織已經接受了遠端和混合工作,並支援使用未受管理(非公司控制)裝置。因此,更多的人(以及他們工作所需的應用程式)位於所謂的護城河之外。
- 加速雲端採用:組織已將更多應用程式、資料和基礎架構從內部部署資料中心遷移到公有雲端或私人雲端環境。生成式 AI 和其他數位轉換計畫也增加了雲端部署。
- 攻擊面擴大:數位系統都有可被攻擊者用作進入點的區域。更多的進入點意味著可利用的潛在攻擊手段更多,這反過來又增加了橫向移動的風險。
- 營運複雜性:隨著混合工作模式的興起,以及主要透過雲端部署應用程式,對網路的要求也發生了變化。這導致了管理的複雜性,以及安全控制應用方式的不一致。
- 網路相關成本更高:使用傳統網路,必須設定和購買更多裝置(例如防火牆、路由器和交換器)來支援每個區域。需要更多裝置也會增加訂閱和頻寬成本。
- 資料隱私權和合規性法規:對組織來說,遵守最新的資料隱私權和合規標準、認證以及監管要求可能並非易事。不同國家/地區和不同產業的資料保護法差異巨大,並且隨著 GenAI 的普及而不斷發展。
SASE 更適合應對此類挑戰。SASE 為員工、工作場所和工作負載提供安全、快速且可靠的連線。組織無需單獨構建和營運自己的現代網路,而是可以依靠分散式雲端原生服務來簡化安全性和連線性的管理。
SASE 的五大好處
透過 SASE 架構將安全和網路功能整合為服務可帶來多種好處,包括:
- 降低網路風險:SASE 在很大程度上基於 Zero Trust 安全模式運作,該模式在實體通過驗證之前,不會授予實體存取應用程式和資料的權限——即使在網路周邊內也是如此。Zero Trust 安全不僅僅考慮實體的身分,還會考慮地理位置、裝置狀態、企業安全標準以及基於其他上下文訊號的持續風險/信任評估。使用者只能存取明確允許的資源。這可以防止威脅蔓延到整個網路,從而降低橫向移動的風險。
- 降低成本:網路防火牆和安全 Web 閘道 (SWG) 等安全硬體會產生遠超標價的成本。安裝、保修、維修和修補程式管理都需要額外的支出和 IT 資源。透過將網路安全轉移到雲端來消除這些成本有助於降低總體擁有成本。
- 降低複雜性:SASE 消除了對多個孤立網路和安全工具的需求,從而簡化 IT 營運。它透過從單一介面對不同位置、人員、裝置和應用程式集中實施政策和監控,簡化管理。例如,SASE 架構可以透過提供可見性和自動化工具來協助組織更有效地設定滿足各種法規所需的安全設定,從而幫助簡化合規性。
- 一致的資料保護:SASE 平台以統一的方式整合 Web、SaaS 和私人應用程式中的資料可見性和控制,確保一致地執行資料保護原則。例如,SASE 服務可保護敏感性資料存取、防止資料洩露、管理雲端應用風險和保護 Web 瀏覽,從而協助組織滿足監管要求。SASE 透過支援集中記錄、加密、即時威脅緩解等功能,進一步增強了安全性並簡化了合規性。
- 改善員工體驗:更可靠的網際網路連線可提高生產力。藉助 SASE,網路路由最佳化可透過在盡可能靠近使用者的位置處理流量,來提高效能並減少延遲。此外,SASE 還可以幫助 IT 團隊實現更多工作流程自動化,並減少回應存取相關工單的時間。
SASE 的典型技術元件
SASE 平台通常包含以下核心技術元件:
- Zero Trust 網路存取 (ZTNA) 是使 Zero Trust 安全存取方法成為可能的主要技術。ZTNA 持續檢查每個資源的詳細背景資訊(例如身分和裝置狀態),簡化和保護任何使用者對任何應用程式的存取,無論使用什麼裝置,無論身處何地。
- 安全 Web 閘道 (SWG) 透過線上篩選掉無用的 Web 流量內容和封鎖存在風險或未經授權的行為,防範威脅和保護資料。SWG 可以篩選來自任何地方的 Web 流量,因此是混合辦公的理想選擇。
- 使用雲端和 SaaS 應用程式導致使資料保持私密和安全變得更加困難。雲端存取安全性代理程式 (CASB) 是應對這一挑戰的一種解決方案:CASB 為組織的雲端託管服務和應用程式提供資料安全控制(以及可見性)。此外,為了防止資料被盜或未經許可銷毀,資料丟失預防 (DLP) 技術可偵測 Web、SaaS 和私人應用程式中是否存在敏感性資料。與 SWG 結合使用時,DLP 解決方案可以掃描傳輸中的資料(例如上傳或下載的檔案、聊天訊息、表單填寫)。與 CASB 結合使用時,DLP 解決方案可以掃描待用資料。
- 在 SASE 架構中,組織採用軟體定義的廣域網路 (SD-WAN) 或 WAN 即服務 (WANaaS) 來連接和擴展遠距離營運(例如辦公室、零售店、資料中心)。SD-WAN 和 WANaaS 使用不同的方法:
- SD-WAN 技術利用企業網站的軟體和集中式控制器來克服傳統 WAN 架構的一些限制,簡化操作和流量引導決策。
- WANaaS 基於 SD-WAN 的優勢,採用「輕分支機搆、重雲端」方法,在實體位置內部署所需的最低硬體,並使用低成本網際網路連線到達最近的「服務邊緣」位置。這可以降低總成本,提供更整合的安全性,提高中間英里效能,並更好地服務雲端基礎架構。
- 下一代防火牆 (NGFW) 比傳統防火牆更深層次地檢查資料。NGFW 可以提供應用程式感知和控制、入侵防禦和威脅情報,這使它們能夠識別和封鎖可能隱藏在看似正常的流量中的威脅。可以部署在雲端的 NGFW 稱為雲端防火牆或防火牆即服務 (FWaaS)。
- 遠端瀏覽器隔離 (RBI) 將 Zero Trust 原則套用至 Web 瀏覽,假設預設情況下不應信任並執行任何網站程式碼。RBI 會在雲端載入網頁並執行任何相關程式碼,遠離使用者的本機裝置。這種隔離有助於防止惡意程式碼下載,最大限度地降低零時差瀏覽器漏洞的風險,並防禦其他瀏覽器威脅。RBI 還可以對基於瀏覽器的資源套用資料保護控制,這對於保護未受管理裝置存取非常有用。
- 整合所有服務的集中管理允許管理員定義原則,然後將其套用至所有連線的服務。
根據廠商的功能,SASE 平台還可能包括:
下圖說明了 SASE 平台如何融合所有這些功能,為所有私人應用程式、服務和網路提供安全連線,並確保員工的網際網路存取安全。
SASE 使用案例範例
SASE 通常是逐步實施的(需要數月甚至數年)。實施計畫千差萬別,取決於下列獨特因素:
- 組織的短期和長期成長策略
- 哪些角色和應用程式面臨更大的網路攻擊風險
- 個別團隊對變更的靈活性和開放性
- 遷移的潛在速度、複雜性和成本
由於每個組織的情況不同,因此並沒有通用的 SASE 部署方法。但是,啟用 SASE 的使用案例通常分為以下五個 IT 優先事項:
1. 採用 Zero Trust
從 ZTNA 開始,套用 Zero Trust 原則(作為更廣泛的 SASE 旅程的原則),實現以下使用案例:
- 取代有風險的 VPN 和其他基於硬體的傳統安全措施
- 簡化第三方和 BYOD 存取
- 緩解勒索軟體攻擊
- 限制 SaaS 應用程式和雲端儲存中的資料暴露
2. 保護攻擊面
SASE 架構支援「隨處辦公」方法,具有一致的可見性,並可防禦網路內外的威脅。使用案例範例包括:
- 阻止跨電子郵件、社交媒體、協作應用程式和其他通路的網路釣魚
- 保護遠距工作者的連線性
- 保護和最佳化前往任何雲端或網際網路目的地的流量
- 保護廣域網路 (WAN)
3. 實現網路現代化
組織無需維護傳統的企業網路,而是可以利用分散式和雲端原生 SASE 服務。這可實現以下使用案例:
- 與 MPLS 和傳統 SD-WAN 相比,簡化了分支連線
- 將 DMZ 安全性轉移至雲端
- 消除區域網路 (LAN) 中的過度信任
- 降低併購 (M&A) 過程中的 IT 風險並加快連線速度
4. 保護資料
未經批准使用生成式 AI 和影子 IT 可能暴露敏感性資料,造成可能需要高昂成本才能補救的洩露。但 SASE 架構可以實現以下使用案例:
- 簡化對資料安全性法規的合規性
- 管理影子 IT
- 保護 GenAI 的使用
- 偵測和控制敏感性資料
5. 實現應用程式現代化
應用程式需要對終端使用者保持安全、彈性和高效能,並提供可擴展性來處理資料增長,同時仍然滿足資料控管要求。SASE 架構可以協助簡化和保護應用程式現代化過程的多個階段,例如:
- 保護對關鍵基礎架構的特殊權限(開發人員/IT)存取
- 防止洩漏和竊取開發人員程式碼
- 保護 DevOps 工作流程
- 保護正在進行雲端遷移的應用程式
SASE 與其他網路方法
SASE 與傳統網路
在傳統的網路模型中,資料和應用程式位於核心資料中心內。使用者、分支機搆和應用程式必須從本地私人網路或輔助網路(通常透過安全租用線路或 VPN 連線到主要網路)連線到資料中心。如果組織在雲端託管 SaaS 應用程式和資料,這個過程可能存在風險且效率低下。
與傳統網路不同,SASE 將網路控制置於雲端邊緣,而不是企業資料中心。SASE 不是需要單獨設定和管理的分層服務,而是使用一個控制平面融合網路和安全服務。SASE 在邊緣網路上實施基於身分的 Zero Trust 安全原則,讓企業可以將網路存取擴展到任何遠端使用者、分公司、裝置或應用程式。
SASE 與 MPLS
多通訊協定標籤交換 (MLPS) 沿預定的網路路徑傳送網路封包。理想情況下,使用 MPLS 的結果是封包每次都採用相同的路徑。這就是 MPLS 普遍被認為可靠但不靈活的原因之一。例如,使用 MPLS,安全控制透過集中的「出口」位置實施;所有輸出和輸入流量都透過總部路由。這需要回傳流量才能實現安全功能。
SASE 改為使用低成本的網際網路連線,而不是 MPLS 的私人網路路徑。這適合那些希望以較低成本實現網路效率的組織。SASE 平台提供靈活且可感知應用程式的智慧路由、整合安全性和細粒度的網路可見性。
SASE 和 SSE(安全服務邊緣)有什麼不同?
SASE 將使用者的安全存取作為網路架構的一部分。但是,並非所有組織都已在 IT、網路安全和網路團隊中採取了統一的方法。這些組織可能會優先考慮安全服務邊緣 (SSE),這是 SASE 功能的一部分,側重於保護內部使用者對 Web、雲端服務和私人應用程式的存取。
SSE 是全面部署 SASE 的常用跳板。雖然這可能過於簡單,但一些組織可能會將 SASE 視為「SSE 加 SD-WAN」。
單一廠商 SASE 與雙廠商 SASE
在 SASE 中,雙廠商方法意味著擁有兩個或多個 ZTNA、SWG、CASB、SD-WAN/WANaaS 和 FWaaS 提供者——通常一個用於安全性,一個用於網路。這樣一來,組織可以自訂其技術堆疊並利用每個廠商的優勢。這也意味著組織必須有時間和內部資源來協調和整合不同的服務。
企業也可以選擇採用單一廠商 SASE (SV-SASE)。這會將不同的安全和網路技術整合到一個雲端交付平台中。SV-SASE 非常適合希望整合單點產品、降低 TCO 並以更少的工作確保實施統一原則的組織。
無論採用哪種方法,SASE 平台都應該能夠增強或整合現有的網路入口、身分管理、端點安全、記錄儲存和其他網路安全元件工具。
向潛在 SASE 廠商提出的問題
無論選擇哪種 SASE 方法,在評估潛在廠商時都應考慮以下準則和範例問題:
降低風險
- 通過 SaaS 套件的所有資料流和通訊是否在每個通道都受到保護?
- 提供哪些使用者/裝置風險評分和分析?
- 是否會根據任何網路入口繞過任何安全功能?
- 應用程式流量是否可以一次性完成解密和檢查?部署時是否有任何注意事項?
- 威脅情報摘要能否整合到他們的架構中?
網路復原能力
- 安全性和網路功能是否預設原生整合?
- 每種連線方法和 SASE 服務是否可以依任何順序進行互通?
- 是否從每個資料中心位置提供每一項功能?
- 他們是否提供正常運作時間和/或終端使用者延遲保證?
- 如何進行網路架構設計,以在發生服務中斷時確保服務持續性?
與時俱進的架構
- 如果在雲端之間切換,SASE 服務/成本會發生什麼變化?
- 該平台是否適合開發人員使用?未來的 SASE 功能是否可以與目前的應用程式相容?
- 內建了哪些資料當地語系化和合規性功能?
- 該平台如何考慮未來的網際網路或安全標準(例如後量子加密)?
Cloudflare 如何實現 SASE
Cloudflare One 是 Cloudflare 的 SASE 平台,用於保護企業應用程式、使用者、裝置和網路的安全。它建立在 Cloudflare 的全球連通雲之上,全球連通雲是一個可程式設計雲端原生服務的統一、可組合平台,其實現了所有網路(企業和網際網路)、雲端環境、應用程式和使用者之間的任意連線性。
由於所有 Cloudflare 服務都設計為在每個網路位置執行,因此所有流量都在來源附近進行連線、檢查和篩選,以實現最佳效能和一致的使用者體驗。不存在可能增加延遲的回傳或服務鏈。
Cloudflare One 還提供可組合的 SASE 入口和服務,使組織能夠以任何順序採用安全和網路現代化使用案例。例如,許多 Cloudflare 客戶從 Zero Trust SSE 服務開始,以減少攻擊面、阻止網路釣魚或勒索軟體、防止橫向移動並保護資料。透過逐步採用 Cloudflare One,組織可以擺脫裝置拼湊和其他單點解決方案的桎梏,將安全和網路功能整合到一個統一的控制平面上。詳細瞭解 Cloudflare 如何提供 SASE。