安全存取服務邊緣 (SASE) 架構是一種將安全和網路服務結合在一個雲端平台上的 IT 模型。
閱讀本文後,您將能夠:
相關內容
訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!
複製文章連結
安全存取服務邊緣 (SASE) 是一種架構模型,主張將網路連線與網路安全功能統一到基於雲端的單一平台上。與傳統企業網路不同,現代 SASE 方法將網路控制置於雲端邊緣而不是企業資料中心。這使得企業能夠為任何位置的任何使用者提供對任何應用程式的更簡單、安全和一致的存取。
換句話說,SASE 為組織提供了一種簡化的方法來共同管理以前脫節的基礎架構——網路和存取控制。
SASE 平台將網路連線與採用最低權限原則的多種 Zero Trust 安全服務融合在一起。藉助 Zero Trust 原則,成功驗證的使用者只能存取其角色所需的資源和應用程式。
SASE 基於透過網際網路執行的雲端服務建立統一的企業網路。這使組織能夠擺脫管理多個架構層和不同單點解決方案的困境。
SASE 架構很重要,因為它在連接和保護現代組織的員工方面比傳統 IT 安全更有效。
在「舊世界」模型(即「城堡加護城河」安全架構)中,組織的 IT 基礎架構相當同質,並由防火牆提供保護。為了存取網路資源,辦公室外的員工(或承包商和其他第三方)透過虛擬私人網路 (VPN) 和防火牆連接到網路,或透過公用 IP 位址使用另一個網路路由。然後,網路「週邊」內的任何人也可以存取該網路內的應用程式和資料。
然而,隨著越來越多的應用程式和資料存在於雲端,使用這種方法管理網路安全變得風險更大,也更加複雜。例如,傳統安全難以跟上以下趨勢:
SASE 更適合應對此類挑戰。SASE 為員工、工作場所和工作負載提供安全、快速且可靠的連線。組織無需單獨構建和營運自己的現代網路,而是可以依靠全球分散的雲端原生服務來簡化安全性和連線性的管理。
透過 SASE 架構將安全和網路功能整合為服務可帶來多種好處,包括:
SASE 平台通常包含以下核心技術元件:
根據廠商的功能,SASE 平台還可能包括:
下圖說明了 SASE 平台如何融合所有這些功能,為所有私人應用程式、服務和網路提供安全連線,並確保員工的網際網路存取安全。
SASE 實作是逐步進行的(需要數月甚至數年)。實施計畫千差萬別,取決於下列獨特因素:
由於每個組織的情況不同,因此並沒有通用的 SASE 部署方法。但是,啟用 SASE 的使用案例通常分為以下五個 IT 優先事項:
從 Zero Trust 網路存取開始,套用 Zero Trust 原則(作為更廣泛的 SASE 旅程的原則),實現以下使用案例:
SASE 架構支援「隨處辦公」方法,具有一致的可見性,並可防禦網路內外的威脅。使用案例範例包括:
組織無需維護傳統的企業網路,而是可以利用分散式和雲端原生 SASE 服務。這可實現以下使用案例:
未經批准使用生成式 AI 和影子 IT 可能暴露敏感性資料,造成可能需要高昂成本才能補救的洩露。但 SASE 架構可以實現以下使用案例:
應用程式需要對終端使用者保持安全、彈性和高效能,並提供可擴展性來處理資料增長,同時仍然滿足資料控管要求。SASE 架構可以協助簡化和保護應用程式現代化過程的多個階段,例如:
在傳統的網路模型中,資料和應用程式位於核心資料中心內。使用者、分支機搆和應用程式必須從本地私人網路或輔助網路(通常透過安全租用線路或 VPN 連線到主要網路)連線到資料中心。如果組織在雲端託管 SaaS 應用程式和資料,這個過程可能存在風險且效率低下。
與傳統網路不同,SASE 將網路控制置於雲端邊緣,而不是企業資料中心。SASE 不是需要單獨設定和管理的分層服務,而是使用一個控制平面融合網路和安全服務。SASE 在邊緣網路上實施基於身分的 Zero Trust 安全原則,讓企業可以將網路存取擴展到任何遠端使用者、分公司、裝置或應用程式。
多通訊協定標籤交換 (MLPS) 沿預定的網路路徑傳送網路封包。理想情況下,使用 MPLS 的結果是封包每次都採用相同的路徑。這就是 MPLS 普遍被認為可靠但不靈活的原因之一。例如,使用 MPLS,安全控制透過集中的「出口」位置實施;所有輸出和輸入流量都透過總部路由。這需要回傳流量才能實現安全功能。
SASE 改為使用低成本的網際網路連線,而不是 MPLS 的私人網路路徑。這適合那些希望以較低成本實現網路效率的組織。SASE 平台提供靈活且可感知應用程式的智慧路由、整合安全性和細粒度的網路可見性。
SASE 將使用者的安全存取作為網路架構的一部分。但是,並非所有組織都已在 IT、網路安全和網路團隊中採取了統一的方法。這些組織可能會優先考慮安全服務邊緣 (SSE),這是 SASE 功能的一部分,側重於保護內部使用者對 Web、雲端服務和私人應用程式的存取。
SSE 是全面部署 SASE 的常用跳板。雖然這可能過於簡單,但一些組織可能會將 SASE 視為「SSE 加 SD-WAN」。
在 SASE 中,雙廠商方法意味著擁有兩個或多個 ZTNA、SWG、CASB、SD-WAN/WANaaS 和 FWaaS 提供者——通常一個用於安全性,一個用於網路。這樣一來,組織可以自訂其技術堆疊並利用每個廠商的優勢。這也意味著組織必須有時間和內部資源來協調和整合不同的服務。
企業也可以選擇採用單一廠商 SASE (SV-SASE)。這會將不同的安全和網路技術整合到一個雲端交付平台中。SV-SASE 非常適合希望整合單點產品、降低 TCO 並以更少的工作確保實施統一原則的組織。
無論採用哪種方法,SASE 平台都應該能夠增強或整合現有的網路入口、身分管理、端點安全、記錄儲存和其他網路安全元件工具。
無論選擇哪種 SASE 方法,在評估潛在廠商時都應考慮以下準則和範例問題:
降低風險
網路復原能力
與時俱進的架構
Cloudflare One 是 Cloudflare 的 SASE 平台,用於保護企業應用程式、使用者、裝置和網路的安全。它建立在 Cloudflare 的全球連通雲之上,全球連通雲是一個可程式設計雲端原生服務的統一、可組合平台,其實現了所有網路(企業和網際網路)、雲端環境、應用程式和使用者之間的任意連線性。
由於所有 Cloudflare 服務都設計為在每個網路位置執行,因此所有流量都在來源附近進行連線、檢查和篩選,以實現最佳效能和一致的使用者體驗。不存在可能增加延遲的回傳或服務鏈。
Cloudflare One 還提供可組合的 SASE 入口和服務,使組織能夠以任何順序採用安全和網路現代化使用案例。例如,許多 Cloudflare 客戶從 Zero Trust SSE 服務開始,以減少攻擊面、阻止網路釣魚或勒索軟體、防止橫向移動並保護資料。透過逐步採用 Cloudflare One,組織可以擺脫裝置拼湊和其他單點解決方案的桎梏,將安全和網路功能整合到一個統一的控制平面上。詳細瞭解 Cloudflare 如何提供 SASE。
SASE 架構將網路連線和安全功能結合到一項統一的雲端交付服務中。它將 SD-WAN 功能與 CASB、SWG 和 Zero Trust 等安全服務整合到單一平台中。
無論使用者位於何處,SASE 解決方案都可提供對資源的安全存取,使其成為遠端和混合式工作環境的理想選擇。它們對所有連線套用一致的安全性原則,無論使用者是在辦公室還是遠端工作,都能保護使用者和資料。
SASE 實作通常包括 SD-WAN、FWaaS、CASB、ZTNA 和 SWG 元件。這些組件協同運作,將網路連線性和安全性作為統一的服務提供。
與專注於將威脅隔離在已定義網路之外的傳統網路安全性不同,SASE 將安全性轉移到雲端,並將其套用至使用者進行連線的任何地方。SASE 還透過將網路和安全功能整合到單一雲端式服務中,消除了對多點解決方案的需求。
在實作過程中,組織可能會面臨整合現有網路安全基礎架構與新 SASE 部署模型的挑戰。挑戰可能包括技能缺口(隨著 IT 團隊從管理內部部署資源轉移到雲端資源而產生)、變更管理、確保資料通過雲端時的監管合規性,以及重新訓練員工以適應新工作流程的需求。此外,選擇合適的 SASE 廠商需要仔細評估網路和安全功能,以確保滿足所有要求。
開始使用
關於存取管理
關於零信任
VPN 資源
字彙
學習中心導覽