安全存取服務邊緣 (SASE) 架構是一種將安全和網路服務結合在一個雲端平台上的 IT 模型。
閱讀本文後,您將能夠:
相關內容
訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!
複製文章連結
安全存取服務邊緣簡稱 SASE(發音為「sassy」),是一種架構模型,它將網路連線與網路安全功能融合在一起,並透過單個雲端平台和/或集中原則控制來提供它們。
隨著組織越來越多地將應用程式和資料移轉到雲端,使用傳統的「城堡加護城河」方法管理網路安全變得更加複雜和危險。與傳統的網路方法不同,SASE 將安全性和網路統一到一個雲端平台和一個控制平面上,以實現從任何使用者到任何應用程式的一致可見性、控制和體驗。
透過這種方式,SASE 基於在網際網路上執行的雲端服務建立了一個新的統一企業網路,使組織能夠從許多架構層和單點解決方案逐步過渡。
在傳統的網路模型中,資料和應用程式位於核心資料中心內。為了存取這些資源,使用者、分支機搆和應用程式必須從本地私人網路或輔助網路(通常透過安全租用線路或 VPN 連線到主要網路)連線到資料中心。
然而,這種模式不足以應對基於雲端的新服務和分散式勞動力的興起帶來的複雜性。例如,如果組織在雲端中託管 SaaS 應用程式和資料,則透過集中式資料中心重新路由所有流量是不切實際的。
相比之下,SASE 將網路控制置於雲端邊緣,而不是企業資料中心。SASE 不是需要單獨設定和管理的分層服務,而是使用一個控制平面融合網路和安全服務。它在邊緣網路上實作基於身分的 Zero Trust 安全性原則,允許企業將網路存取擴展到任何遠端使用者、分支機搆、裝置或應用程式。
SASE 平台將網路即服務 (NaaS) 功能與從一個介面管理並從一個控制平面提供的多項安全功能結合在一起。
這些服務包括:
SASE 透過將這些服務合併到一個統一的架構中,來簡化網路基礎架構。
由於安全存取服務邊緣涉及融合許多傳統上不同的服務,因此組織可能會逐步採用 SASE 架構,而不是一次性全部採用。組織可以首先實作滿足其最高優先順序用例的元件,然後再將所有網路和安全服務轉移到單個平台。
SASE 平台通常包括以下技術元件:
根據廠商的能力,上述 SASE 元件還可與雲端電子郵件安全、Web 應用程式和 API 保護 (WAAP)、DNS 安全和/或下文進一步介紹的安全服務邊緣 (SSE) 功能捆綁在一起。
與傳統的基於資料中心的網路安全模型相比,SASE 具有多個優點。
透過 Zero Trust 原則減少風險:SASE 在很大程度上依賴于 Zero Trust 安全模式,該模式在使用者身分通過驗證之前,不允許使用者存取應用程式和資料,即使使用者已經在私人網路的邊界內也是如此。在建立存取原則時,SASE 方法不僅僅考慮實體的身分,它還可以考慮地理位置、裝置狀態、企業安全標準以及風險/信任的持續評估等因素。
透過平台整合降低成本:SASE 將單點安全解決方案整合到一個基於雲端的服務中,使企業能夠與更少的廠商互動,並減少為強行整合不同產品而花費的時間、金錢和內部資源。
營運效率和敏捷性:SASE 使組織能夠從單個介面跨所有位置、使用者、裝置和應用程式設定、調整和實施安全性原則,而不是雜亂無章地使用不能協同工作的單點解決方案。IT 團隊可以更有效地排除故障,花更少的時間解決簡單的問題。
改善混合工作的使用者體驗:網路路由最佳化可根據網路擁塞情況和其他因素,協助確定最快的網路路徑。SASE 透過全球邊緣網路安全地路由流量,在盡可能靠近使用者的地方處理流量,從而協助減少終端使用者延遲。
增強或替換 VPN 以實現現代化的安全存取
遷移到 SASE 架構的一個常見驅動因素是改善資源存取和連線。在盡可能靠近使用者的全球雲端網路上路由和處理網路流量(而不是透過 VPN)可以減少終端使用者的摩擦,同時消除橫向移動的風險。
簡化承包商(第三方)存取
安全存取服務邊緣將安全存取範圍從內部員工擴展到第三方,例如承包商、合作夥伴和其他臨時或獨立工人。透過基於資源的存取,組織可以降低承包商過度佈建的風險。
分散式辦公室和遠端工作人員的威脅防禦
SASE 使組織能夠對所有使用者套用一致的 IT 安全性原則,無論他們身在何處。透過篩選和檢查所有傳出和傳入的網路流量,SASE 可協助防止以下威脅:基於惡意程式碼的攻擊、多通道網路釣魚(跨越多個通訊通道的攻擊)、內部人員威脅、資料外流等。
針對監管合規性提供資料保護
由於 SASE 提供對每個網路請求的可見性,因此組織可以將原則套用至每個請求中的資料。這些原則有助於確保遵守資料隱私法(這些法律要求組織以特定方式處理敏感性資料)。
簡化分支機構連線
SASE 架構可以協助增強或替換多通訊協定標籤交換 (MPLS) 電路和網路設備拼湊而成的方案,以便更輕鬆地在分支機搆之間路由流量,並促進不同位置之間的網站到網站連線。
行業分析公司 Gartner 將安全存取服務邊緣定義為包括 SD-WAN、SWG、CASB、NGFW 和 ZTNA,以「基於裝置或實體的身分,結合即時上下文以及安全性和合規性原則,實現 Zero Trust 存取」。
換句話說,SASE 將使用者的安全存取納入網路架構之中。(這裡值得注意的是,行業分析公司 Forrester 將 SASE 模型歸類為「Zero Trust 邊緣」,即 ZTE)。
但並不是所有組織都能在 IT、網路安全和網路團隊中採取協調一致的方法。因此,他們可能會優先考慮安全服務邊緣 (SSE),這是 SASE 功能的一部分,主要側重于確保安全存取 Web 、雲端服務和私人應用程式。
此外,雖然大多數 SASE 平台都包括前面提到的核心功能,但有些平台還包括額外的 SSE 功能,例如:
SSE 是全面部署 SASE 的一個常見步驟。然而,一些組織(特別是那些擁有成熟 SD-WAN 部署的組織)可能並不希望完全整合到一家 SASE 廠商。這些組織可部署單個 SASE 元件,以解決其即時用例,並可隨著時間的推移擴展其平台整合工作。
Cloudflare One 是 Cloudflare 的 SASE 平台,用於保護企業應用程式、使用者、裝置和網路的安全。它建立在 Cloudflare 的全球連通雲之上,全球連通雲是一個可程式設計雲端原生服務的統一、可組合平台,其實現了所有網路(企業和網際網路)、雲端環境、應用程式和使用者之間的任意連線。
Cloudflare One 服務(包括 SASE 的所有方面)設計為在所有 Cloudflare 網路位置執行,因此所有流量都在靠近來源的位置連接、檢查和篩選,以獲得最佳效能和一致的使用者體驗。進一步瞭解 Cloudflare One 和其他網路安全解決方案。