什麼是 SASE?| 安全存取服務邊緣

安全存取服務邊緣 (簡稱 SASE) 是結合網路和安全性服務的雲端 IT 模型。

學習目標

閱讀本文後,您將能夠:

  • 定義安全存取服務邊緣 (SASE)
  • 瞭解 SASE 方法的組成部分
  • 探索採用 SASE 框架的優勢

複製文章連結

什麼是 SASE?

安全存取服務邊緣 (SASE) 是一種基於雲端的安全性模型,它將軟體定義的網路與網路安全性功能捆綁在一起,並由單一服務提供者提供。全球研究和諮詢公司 Gartner 在 2019 年提出了「SASE」一詞。

使用 SASE 方法可以更好地控制和瞭解存取企業網路的使用者、流量和資料,這對於現代的全球分散式組織至關重要。使用 SASE 建置的網路靈活且可擴展,能夠跨任何地點以及透過任何裝置連接分佈在全球的員工和辦公室。

sase - 安全存取服務邊緣

SASE 包括哪些安全功能?

SASE 將軟體定義的廣域網路 (SD-WAN) 功能與多種網路安全性功能相結合,並在單一雲端平台上交付。這樣一來,SASE 可讓員工進行驗證,以及從任何地點安全地連接至內部資源,並讓組織進一步控制進出其內部網路的流量和資料。

SASE 包括四個核心安全性元件:

  1. 安全 Web 閘道 (SWG):SWG 可從 Web 流量中篩選不需要的內容,阻止未經授權的使用者行為,並執行公司安全性原則,從而預防網路威脅和資料外洩。SWG 可以部署在任何地方,因此是確保遠端員工安全的理想選擇。
  2. 雲端存取安全性代理程式 (CASB):CASB 為雲端託管服務執行多項安全功能,包括揭露影子 IT (未經授權的公司系統)、透過存取控制資料丟失預防 (DLP) 保護機密資料,以及確保符合資料隱私法規。
  3. Zero Trust Network Access (ZTNA): ZTNA platforms lock down internal resources from public view and help defend against potential data breaches by requiring real-time verification of every user and device to every protected application.
  4. Firewall-as-a-service (FWaaS): FWaaS refers to firewalls delivered from the cloud as a service. FWaaS protects cloud-based platforms, infrastructure, and applications from cyber attacks. Unlike traditional firewalls, FWaaS is not a physical appliance, but a set of security capabilities that includes URL filtering, intrusion prevention, and uniform policy management across all network traffic.

根據廠商和企業的需求,這些核心元件可能與其他安全服務捆綁在一起,包括 Web 應用程式和 API 保護 (WAAP)、遠端瀏覽器隔離或 Wi-Fi 熱點保護。

SASE 框架有哪些優點?

與傳統的基於資料中心的網路安全模型相比,SASE 具有多個優點:

  • 基於身分的 Zero Trust 網路存取。SASE 非常依賴於 Zero Trust 安全性模型,在使用者身分得到驗證之前,該模型不會授予使用者應用程式和資料的存取權限,即使他們已經在私人網路的邊界內也不例外。在建立存取策略時,SASE 方法不僅僅考慮實體的身分;這還考慮使用者位置、一天中的時間、企業安全性標準、合規性策略以及對風險/信任的持續評估等因素。
  • 封鎖對網路基礎結構的攻擊。SASE 的防火牆和 CASB 元件有助於防止外部攻擊(如 DDoS 攻擊 和漏洞利用)進入和損害內部資源。內部部署和基於雲端的網路都可以採用 SASE 方法進行保護。
  • 防止惡意活動。透過篩選 URL、DNS 查詢以及其他傳出和傳入網路流量,SASE 有助於防止基於惡意軟體的攻擊、資料外流以及對公司資料的其他威脅。
  • 簡化的實作和管理。SASE 將單點安全性解決方案合併到一項雲端服務中,使企業僅需與更少的供應商進行接洽,並且設定實體基礎結構所需的時間、金錢和內部資源也更少。
  • 策略管理更簡單。SASE 允許組織在單個入口網站上設定、調整和實施涵蓋所有位置、使用者、裝置和應用程式的存取策略,而不必為單獨的解決方案使用多個策略。
  • 改善延遲的路由。SASE 在全域邊緣網路各處路由網路流量,藉此幫助減少延遲,在盡可能靠近使用者的位置處理流量。路由最佳化可以根據網路擁塞和其他因素説明確定最快的網路路徑。

SASE 與傳統網路相比如何?

在傳統的網路模型中,資料和應用程式位於核心資料中心內。為了存取這些資源,使用者、分支機搆和應用程式必須從本地私人網路或透過安全租用線路或 VPN 連線到主要網路的輔助網路中,才能連線到資料中心。

事實證明,這種模式不足以處理軟體即服務(SaaS) 等雲端型服務和分散式員工增長所帶來的複雜性。如果應用程式和資料託管在雲端,則透過集中式資料中心重新路由所有流量的方法不再可行。

相較之下,SASE 將網路控制置於雲端邊緣,而不是企業資料中心。SASE 不必對需要單獨設定和管理的雲端服務進行分層,而是簡化了網路和安全性服務,以建立安全的網路邊緣。透過在邊緣網路上實施基於身分的 Zero Trust 存取策略,企業可以將網路範圍擴展到任何遠端使用者、分支機構、裝置或應用程式。

組織如何實作 SASE

許多組織對 SASE 實作採取逐一進行的方法。事實上,有些人可能已經在不知情的情況下採用了某些 SASE 元素。要全面採用 SASE 模型,組織可採取以下關鍵步驟:

  1. 保護遠端員工
  2. 將分支機構置於雲端邊界內
  3. 將 DDoS 防護移至邊緣
  4. 將自託管應用程式移轉到雲端
  5. 用統一的雲端原生原則實施取代安全性設備

這些步驟在白皮書《SASE 入門》中進行了進一步細分,可在此處下載該白皮書。

Cloudflare 如何實現 SASE

Cloudflare 具有獨特的架構,可在全球超過 300 座城市的資料中心提供整合的網路和安全服務平台,使企業無需購買和管理複雜的單一功能解決方案集合。

Cloudflare One 是一個 SASE 平台,可以將遠端使用者、辦公室和資料中心及其所需的資源安全地連接在一起。要開始使用 Cloudflare One,請參閱 Cloudflare One 產品頁面。或者,瞭解有關 ZTNA 的更多資訊,這是支援 SASE 的一項關鍵技術。