什麼是 SASE 架構?| 安全存取服務邊緣

安全存取服務邊緣 (SASE) 架構是一種將安全和網路服務結合在一個雲端平台上的 IT 模型。

學習目標

閱讀本文後,您將能夠:

  • 定義安全存取服務邊緣 (SASE) 模型
  • 瞭解 SASE 架構元件
  • 探索 SASE 的優勢和用例
  • 瞭解 SASE 與 SSE 和 Zero Trust 安全性的關係

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 SASE?

安全存取服務邊緣簡稱 SASE(發音為「sassy」),是一種架構模型,它將網路連線與網路安全功能融合在一起,並透過單個雲端平台和/或集中原則控制來提供它們。

隨著組織越來越多地將應用程式和資料移轉到雲端,使用傳統的「城堡加護城河」方法管理網路安全變得更加複雜和危險。與傳統的網路方法不同,SASE 將安全性和網路統一到一個雲端平台和一個控制平面上,以實現從任何使用者到任何應用程式的一致可見性、控制和體驗。

透過這種方式,SASE 基於在網際網路上執行的雲端服務建立了一個新的統一企業網路,使組織能夠從許多架構層和單點解決方案逐步過渡。

SASE 架構結合了 Zero Trust 安全性和網路服務

SASE 與傳統網路相比如何?

在傳統的網路模型中,資料和應用程式位於核心資料中心內。為了存取這些資源,使用者、分支機搆和應用程式必須從本地私人網路或輔助網路(通常透過安全租用線路或 VPN 連線到主要網路)連線到資料中心。

然而,這種模式不足以應對基於雲端的新服務和分散式勞動力的興起帶來的複雜性。例如,如果組織在雲端中託管 SaaS 應用程式和資料,則透過集中式資料中心重新路由所有流量是不切實際的。

相比之下,SASE 將網路控制置於雲端邊緣,而不是企業資料中心。SASE 不是需要單獨設定和管理的分層服務,而是使用一個控制平面融合網路和安全服務。它在邊緣網路上實作基於身分的 Zero Trust 安全性原則,允許企業將網路存取擴展到任何遠端使用者、分支機搆、裝置或應用程式。

白皮書
SASE 使用案例買家指南
指南
保護應用程式存取的 Zero Trust 指南

SASE 提供哪些功能?

SASE 平台將網路即服務 (NaaS) 功能與從一個介面管理並從一個控制平面提供的多項安全功能結合在一起。

這些服務包括:

  • 簡化連線的網路服務(如軟體定義廣域網路 (SD-WAN) 或 WAN 即服務 (WANaaS))可將各種網路連接成單一的企業網路
  • 對進出網路的流量套用安全服務,協助確保使用者和裝置存取的安全,抵禦威脅並保護敏感性資料
  • 提供全平台功能的營運服務,如網路監控和日誌記錄
  • 原則引擎支援所有上下文屬性和安全規則,然後在所有連線服務中套用這些原則

SASE 透過將這些服務合併到一個統一的架構中,來簡化網路基礎架構。

註冊
確保員工和應用程式在線上受到保護

SASE 平台的技術元件有哪些?

由於安全存取服務邊緣涉及融合許多傳統上不同的服務,因此組織可能會逐步採用 SASE 架構,而不是一次性全部採用。組織可以首先實作滿足其最高優先順序用例的元件,然後再將所有網路和安全服務轉移到單個平台。

SASE 平台通常包括以下技術元件:

  • Zero Trust 網路存取 (ZTNA):Zero Trust 安全模型假定網路內外都存在威脅;因此,每當個人、App 或裝置試圖存取企業網路資源時,都需要進行嚴格的上下文驗證。Zero Trust 網路存取 (ZTNA) 是一種使 Zero Trust 方法成為可能的技術——它在使用者和他們所需的資源之間建立一對一的連線,並需要定期驗證和重新建立這些連線。
  • 安全 Web 閘道 (SWG):SWG 透過篩選掉不需要的 Web 流量內容和阻止有風險或未經授權的使用者線上行為,來防止網路威脅和保護資料。SWG 可以部署在任何地方,因此非常適合用於保護混合工作。
  • 雲端存取安全性代理程式 (CASB):雲端和 SaaS App 的採用使得確保資料的私密性和安全性更加困難。CASB 是應對這一挑戰的一種解決方案:它為組織的雲端託管服務和應用程式提供資料安全控制(和可見性)。
  • 軟體定義廣域網路 (SD-WAN) 或 WANaaS:在 SASE 架構中,組織採用 SD-WAN 或 WAN 即服務 (WANaaS),以連接和擴展遠距離營運場所(如辦公室、零售店、資料中心)。SD-WAN 和 WANaaS 採用不同的方法:
    • SD-WAN 技術利用企業網站的軟體和集中式控制器來克服傳統 WAN 架構的一些限制,簡化操作和流量引導決策。
    • WANaaS 基於 SD-WAN 的優勢,採用「輕分支機搆、重雲端」方法,在實體位置內部署所需的最低硬體,並使用低成本網際網路連線到達最近的「服務邊緣」位置。這可以降低總成本,提供更整合的安全性,提高中間英里效能,並更好地服務雲端基礎架構。
  • 下一代防火牆 (NGFW) NGFW 比傳統防火牆更深層次地檢查資料。例如,NGFW 可以提供應用程式感知和控制、入侵防禦和威脅情報,這使它們能夠識別和封鎖可能隱藏在看似正常的流量中的威脅。可以部署在雲端的 NGFW 稱為雲端防火牆或防火牆即服務 (FWaaS)

根據廠商的能力,上述 SASE 元件還可與雲端電子郵件安全Web 應用程式和 API 保護 (WAAP)DNS 安全和/或下文進一步介紹的安全服務邊緣 (SSE) 功能捆綁在一起。

SASE 的主要優勢有哪些?

與傳統的基於資料中心的網路安全模型相比,SASE 具有多個優點。

透過 Zero Trust 原則減少風險:SASE 在很大程度上依賴于 Zero Trust 安全模式,該模式在使用者身分通過驗證之前,不允許使用者存取應用程式和資料,即使使用者已經在私人網路的邊界內也是如此。在建立存取原則時,SASE 方法不僅僅考慮實體的身分,它還可以考慮地理位置、裝置狀態、企業安全標準以及風險/信任的持續評估等因素。

透過平台整合降低成本:SASE 將單點安全解決方案整合到一個基於雲端的服務中,使企業能夠與更少的廠商互動,並減少為強行整合不同產品而花費的時間、金錢和內部資源。

營運效率和敏捷性:SASE 使組織能夠從單個介面跨所有位置、使用者、裝置和應用程式設定、調整和實施安全性原則,而不是雜亂無章地使用不能協同工作的單點解決方案。IT 團隊可以更有效地排除故障,花更少的時間解決簡單的問題。

改善混合工作的使用者體驗:網路路由最佳化可根據網路擁塞情況和其他因素,協助確定最快的網路路徑。SASE 透過全球邊緣網路安全地路由流量,在盡可能靠近使用者的地方處理流量,從而協助減少終端使用者延遲

常見的 SASE 用例有哪些?

增強或替換 VPN 以實現現代化的安全存取

遷移到 SASE 架構的一個常見驅動因素是改善資源存取和連線。在盡可能靠近使用者的全球雲端網路上路由和處理網路流量(而不是透過 VPN)可以減少終端使用者的摩擦,同時消除橫向移動的風險。

簡化承包商(第三方)存取

安全存取服務邊緣將安全存取範圍從內部員工擴展到第三方,例如承包商、合作夥伴和其他臨時或獨立工人。透過基於資源的存取,組織可以降低承包商過度佈建的風險。

分散式辦公室和遠端工作人員的威脅防禦

SASE 使組織能夠對所有使用者套用一致的 IT 安全性原則,無論他們身在何處。透過篩選和檢查所有傳出和傳入的網路流量,SASE 可協助防止以下威脅:基於惡意程式碼的攻擊、多通道網路釣魚(跨越多個通訊通道的攻擊)、內部人員威脅資料外流等。

針對監管合規性提供資料保護

由於 SASE 提供對每個網路請求的可見性,因此組織可以將原則套用至每個請求中的資料。這些原則有助於確保遵守資料隱私法(這些法律要求組織以特定方式處理敏感性資料)。

簡化分支機構連線

SASE 架構可以協助增強或替換多通訊協定標籤交換 (MPLS) 電路和網路設備拼湊而成的方案,以便更輕鬆地在分支機搆之間路由流量,並促進不同位置之間的網站到網站連線。

SASE 和 SSE(安全服務邊緣)有什麼不同?

行業分析公司 Gartner 將安全存取服務邊緣定義為包括 SD-WAN、SWG、CASB、NGFW 和 ZTNA,以「基於裝置或實體的身分,結合即時上下文以及安全性和合規性原則,實現 Zero Trust 存取」。

換句話說,SASE 將使用者的安全存取納入網路架構之中。(這裡值得注意的是,行業分析公司 Forrester 將 SASE 模型歸類為「Zero Trust 邊緣」,即 ZTE)。

但並不是所有組織都能在 IT、網路安全和網路團隊中採取協調一致的方法。因此,他們可能會優先考慮安全服務邊緣 (SSE),這是 SASE 功能的一部分,主要側重于確保安全存取 Web 、雲端服務和私人應用程式。

此外,雖然大多數 SASE 平台都包括前面提到的核心功能,但有些平台還包括額外的 SSE 功能,例如:

  • 遠端瀏覽器隔離 (RBI):RBI 將 Zero Trust 原則套用至 Web 瀏覽,假定不應預設執行任何網站程式碼(例如 HTML、CSS、JavaScript)。RBI 載入網頁並在雲端中執行任何相關程式碼——遠離使用者的本機裝置。這種分離有助於防止惡意程式碼下載,最大限度地降低零時差瀏覽器漏洞的風險,並防禦其他瀏覽器傳播的威脅
  • 資料丟失預防 (DLP):為防止資料在未經許可的情況下被竊取或銷毀,DLP 技術可偵測 Web 、SaaS 和私人應用程式中是否存在敏感性資料。當與 SWG 結合使用時,DLP 解決方案可以掃描傳輸中的資料;當與 CASB 結合使用時,DLP 解決方案可以掃描待用資料
  • 數位體驗監測 (DEM):DEM 是一種監測使用者行為及其網站流量和應用程式效能體驗的工具。DEM 可協助組織獲取有關網路問題、效能下降和應用程式中斷的即時資料。這有助於準確定位網路問題,找出連線異常的根本原因。

SSE 是全面部署 SASE 的一個常見步驟。然而,一些組織(特別是那些擁有成熟 SD-WAN 部署的組織)可能並不希望完全整合到一家 SASE 廠商。這些組織可部署單個 SASE 元件,以解決其即時用例,並可隨著時間的推移擴展其平台整合工作。

Cloudflare 如何實現 SASE

Cloudflare One 是 Cloudflare 的 SASE 平台,用於保護企業應用程式、使用者、裝置和網路的安全。它建立在 Cloudflare 的全球連通雲之上,全球連通雲是一個可程式設計雲端原生服務的統一、可組合平台,其實現了所有網路(企業和網際網路)、雲端環境、應用程式和使用者之間的任意連線。

Cloudflare One 服務(包括 SASE 的所有方面)設計為在所有 Cloudflare 網路位置執行,因此所有流量都在靠近來源的位置連接、檢查和篩選,以獲得最佳效能和一致的使用者體驗。進一步瞭解 Cloudflare One 和其他網路安全解決方案