什麼是 SASE?| 安全存取服務邊緣

安全存取服務邊緣 (簡稱 SASE) 是結合網路和安全性服務的雲端 IT 模型。

學習目標

閱讀本文後,您將能夠:

  • 定義安全存取服務邊緣 (SASE)
  • 瞭解 SASE 方法的組成部分
  • 探索採用 SASE 框架的優勢

相關內容

Zero Trust 安全性

安全 Web 閘道(SWG)

什麼是 IAM?

存取控制

軟體定義邊界

複製文章連結

什麼是 SASE?

安全存取服務邊緣 (SASE) 是一種基於雲端的安全性模型,它將軟體定義的網路與網路安全性功能捆綁在一起,並由單一服務提供者提供。全球研究和諮詢公司 Gartner 在 2019 年提出了「SASE」一詞。

使用 SASE 方法可以更好地控制和瞭解存取企業網路的使用者、流量和資料,這對於現代的全球分散式組織至關重要。使用 SASE 建置的網路靈活且可擴展,能夠跨任何地點以及透過任何裝置連接分佈在全球的員工和辦公室。

sase - 安全存取服務邊緣

SASE 包括哪些安全功能?

SASE 將軟體定義的廣域網路 (SD-WAN) 功能與多種網路安全性功能相結合,並在單一雲端平台上交付。這樣一來,SASE 可讓員工進行驗證,以及從任何地點安全地連接至內部資源,並讓組織進一步控制進出其內部網路的流量和資料。

SASE 包括四個核心安全性元件:

  1. 安全 Web 閘道 (SWG):SWG 可從 Web 流量中篩選不需要的內容,阻止未經授權的使用者行為,並執行公司安全性原則,從而預防網路威脅和資料外洩。SWG 可以部署在任何地方,因此是確保遠端員工安全的理想選擇。
  2. 雲端存取安全性代理程式 (CASB):CASB 為雲端託管服務執行多項安全功能,包括揭露影子 IT (未經授權的公司系統)、透過存取控制資料丟失預防 (DLP) 保護機密資料,以及確保符合資料隱私法規。
  3. Zero Trust Network Access (ZTNA): ZTNA platforms lock down internal resources from public view and help defend against potential data breaches by requiring real-time verification of every user and device to every protected application.
  4. Firewall-as-a-service (FWaaS): FWaaS refers to firewalls delivered from the cloud as a service. FWaaS protects cloud-based platforms, infrastructure, and applications from cyber attacks. Unlike traditional firewalls, FWaaS is not a physical appliance, but a set of security capabilities that includes URL filtering, intrusion prevention, and uniform policy management across all network traffic.

根據廠商和企業的需求,這些核心元件可能與其他安全服務捆綁在一起,包括 Web 應用程式和 API 保護 (WAAP)、遠端瀏覽器隔離或 Wi-Fi 熱點保護。

SASE 框架有哪些優點?

與傳統的基於資料中心的網路安全模型相比,SASE 具有多個優點:

  • 基於身分的 Zero Trust 網路存取。SASE 非常依賴於 Zero Trust 安全性模型,在使用者身分得到驗證之前,該模型不會授予使用者應用程式和資料的存取權限,即使他們已經在私人網路的邊界內也不例外。在建立存取策略時,SASE 方法不僅僅考慮實體的身分;這還考慮使用者位置、一天中的時間、企業安全性標準、合規性策略以及對風險/信任的持續評估等因素。
  • 封鎖對網路基礎結構的攻擊。SASE 的防火牆和 CASB 元件有助於防止外部攻擊(如 DDoS 攻擊 和漏洞利用)進入和損害內部資源。內部部署和基於雲端的網路都可以採用 SASE 方法進行保護。
  • 防止惡意活動。透過篩選 URL、DNS 查詢以及其他傳出和傳入網路流量,SASE 有助於防止基於惡意軟體的攻擊、資料外流以及對公司資料的其他威脅。
  • 簡化的實作和管理。SASE 將單點安全性解決方案合併到一項雲端服務中,使企業僅需與更少的供應商進行接洽,並且設定實體基礎結構所需的時間、金錢和內部資源也更少。
  • 策略管理更簡單。SASE 允許組織在單個入口網站上設定、調整和實施涵蓋所有位置、使用者、裝置和應用程式的存取策略,而不必為單獨的解決方案使用多個策略。
  • 改善延遲的路由。SASE 在全域邊緣網路各處路由網路流量,藉此幫助減少延遲,在盡可能靠近使用者的位置處理流量。路由最佳化可以根據網路擁塞和其他因素説明確定最快的網路路徑。

SASE 與傳統網路相比如何?

在傳統的網路模型中,資料和應用程式位於核心資料中心內。為了存取這些資源,使用者、分支機搆和應用程式必須從本地私人網路或透過安全租用線路或 VPN 連線到主要網路的輔助網路中,才能連線到資料中心。

事實證明,這種模式不足以處理軟體即服務(SaaS) 等雲端型服務和分散式員工增長所帶來的複雜性。如果應用程式和資料託管在雲端,則透過集中式資料中心重新路由所有流量的方法不再可行。

相較之下,SASE 將網路控制置於雲端邊緣,而不是企業資料中心。SASE 不必對需要單獨設定和管理的雲端服務進行分層,而是簡化了網路和安全性服務,以建立安全的網路邊緣。透過在邊緣網路上實施基於身分的 Zero Trust 存取策略,企業可以將網路範圍擴展到任何遠端使用者、分支機構、裝置或應用程式。

組織如何實作 SASE

許多組織對 SASE 實作採取逐一進行的方法。事實上,有些人可能已經在不知情的情況下採用了某些 SASE 元素。要全面採用 SASE 模型,組織可採取以下關鍵步驟:

  1. 保護遠端員工
  2. 將分支機構置於雲端邊界內
  3. 將 DDoS 防護移至邊緣
  4. 將自託管應用程式移轉到雲端
  5. 用統一的雲端原生原則實施取代安全性設備

這些步驟在白皮書《SASE 入門》中進行了進一步細分,可在此處下載該白皮書。

Cloudflare 如何實現 SASE

Cloudflare 具有獨特的架構,可在全球超過 300 座城市的資料中心提供整合的網路和安全服務平台,使企業無需購買和管理複雜的單一功能解決方案集合。

Cloudflare One 是一個 SASE 平台,可以將遠端使用者、辦公室和資料中心及其所需的資源安全地連接在一起。要開始使用 Cloudflare One,請參閱 Cloudflare One 產品頁面。或者,瞭解有關 ZTNA 的更多資訊,這是支援 SASE 的一項關鍵技術。

銷售

關於存取管理

關於零信任

VPN 資源

字彙

學習中心導覽

© 2023 Cloudflare, Inc.隱私權原則使用條款報告網路安全問題信任和安全商標