什麼是 SASE?
安全存取服務邊緣簡稱 SASE,是一種雲端式安全性模型,它將軟體定義的網路與網路安全性功能捆綁在一起,並由單一服務提供者提供。「SASE」一詞由全球研究和顧問公司 Gartner 在 2019 年提出。
SASE 是代替傳統「軸輻式」網路基礎結構的雲端版本,軸輻式網路模型是將多個位置 (輻) 中的使用者,連線到集中式資料中心 (軸) 中代管的資源。在傳統的網路模型中,資料和應用程式位於核心資料中心內。為了存取這些資源,使用者、分支機搆和應用程式必須從本地私人網路或透過安全租用線路或 VPN 連線到主要網路的輔助網路中,才能連線到資料中心。
儘管原理很簡單,但軸輻式模型不足以處理由軟體即服務 (SaaS) 等雲端服務帶來的複雜性以及勞動人口日益分散的情況。隨著越來越多的應用程式、工作負載和敏感的公司資料轉移到雲端,企業不得不重新考慮該如何以及在何處,監督網路流量並管理使用者存取安全策略。如果大多數應用程式和資料都在雲端代管,透過集中式資料中心重新路由所有流量不再可行,因為這會產生不必要的延遲。此外,大批遠端使用者在透過 VPN 連線到公司網路時可能會遇到較大的延遲,或者會在透過不安全的連線存取公司資源時,面臨額外的安全性風險。
相較之下,SASE 將網路控制置於雲端邊緣,而不是企業資料中心。SASE 不必對需要單獨設定和管理的雲端服務進行分層,而是簡化了網路和安全性服務,以建立安全、順暢的網路邊緣。透過在邊緣網路上實施根據身分認證的零信任存取策略,企業可以將網路範圍擴展到任何遠端使用者、分支機構、裝置或應用程式。反過來,這樣消除了對傳統 VPN 和防火牆的需求,並讓企業能夠更細膩地控制網路安全策略。為此,Cloudflare 在單一全球網路之上建構了一個 SASE 框架,以便這些整合式服務更接近終端使用者。
為什麼有必要使用 SASE?
請將傳統的網路架構模型想像成一間實體銀行。現在,想像 Bob 想要在付房租之前查看帳戶餘額。為此,他將必須親自前往銀行,並向櫃員驗證身分,而且是每個月去銀行重複此過程,這會花費他大量的時間和精力,尤其是如果他住在離銀行很遠的地方。
這有點類似以硬體為中心的網路架構,在這樣的體系結構中,安全性和存取決策是在固定的內部部署資料中心而不是在雲端制定和實施。將雲端服務新增到傳統的網路架構模型中,就像讓 Bob 可以透過撥打銀行電話來查詢帳戶餘額一樣。這比開車去銀行要方便一些,但是會要求他完成完全不同的身分驗證過程 (例如,可能不要求交出他的 ID,而是要求他透過電話提供另一組機密資訊來證明自己的身分)。銀行必須管理這些不同的程式,以確保客戶的帳號資訊安全。
傳統的軸輻式基礎結構在設計時並未考慮雲端服務。這依靠圍繞核心資料中心構建的安全網路邊界,但只有在企業的大量應用程式和資料駐留在邊界內時,該邊界才有效。對於 IT 團隊來說,管理和更新各種安全性服務和存取策略可能在不久之後會困難了起來。
而 SASE 就像 Bob 行動裝置上的銀行應用程式。他不用開車去銀行查詢帳戶或透過長時間通話,而是用數位的方式驗證他的身分,並立即在世界任何地方查詢帳戶餘額。這不僅適用於 Bob,還適用於銀行的每個客戶,無論他們身在何處。
SASE 透過將這些關鍵過程轉移到雲端並在全球網路上運作,使網路安全性服務和存取控制更接近最終使用者,並盡可能減少延遲。
SASE 包括哪些功能?
安全存取服務邊緣將軟體定義的廣域網路 (SD-WAN) 功能與多種網路安全性功能相結合,在單一雲端平台上交付和管理。SASE 產品包括四個核心安全性元件:
- 安全 Web 閘道 (SWG):SWG 也稱為安全網際網路閘道,這從 Web 流量中篩除不需要的內容,封鎖未經授權的使用者行為,並執行公司安全性原則,以防止網路威脅和資料外洩。SWG 可以部署在任何地方,因此是確保遠端員工安全的理想選擇。
- 雲端存取安全性代理 (CASB):CASB 為雲端託管服務執行多項安全功能:揭露影子 IT (未經授權的公司系統)、透過存取控制和預防資料丟失 (DLP) 保護機密資料、確保符合資料隱私法規等等。
- 零信任網路存取 (ZTNA):ZTNA 平台要求對所有受保護應用程式的每一位使用者,進行即時驗證來鎖定內部資源,以防止公眾查看和潛在的資料外洩。
- 防火牆即服務 (FWaaS):FWaaS 是指從雲端提供服務的防火牆。FWaaS 保護雲端平台、基礎結構和應用程式免受網路攻擊。與傳統防火牆不同,FWaaS 不是實體設備,而是一組安全性功能,其中包括 URL 過濾、入侵預防以及對所有網路流量的統一策略管理。
根據供應商和企業的需求,這些核心元件可以與任何數量的其他安全性服務捆綁,從 Web 應用程式和 API 保護 (WAAP) 和遠端瀏覽器隔離到遞迴 DNS、Wi-Fi 熱點保護、網路混淆/分散、邊緣計算保護等。
SASE 框架有哪些優點?
與傳統的基於資料中心的網路安全模型相比,SASE 具有多個優點:
- 實施和管理更流暢。SASE 將單點安全性解決方案合併到一項雲端服務中,使企業僅需與更少的供應商進行接洽,並且設定和執行實體基礎設施維護所需的時間、金錢和內部資源也更少。
- 策略管理更簡單。SASE 允許組織在單個入口網站上設定、監控、調整和實施涵蓋所有位置、使用者、裝置和應用程式的存取策略,而不必為單獨的解決方案使用多個策略。
- 根據身分驗證的零信任網路存取。SASE 非常依賴於零信任安全性模型,在使用者身分得到驗證之前,該模型不會授予使用者應用程式和資料的存取權限,即使他們已經在私人網路的邊界內也不例外。在建立存取策略時,SASE 方法不僅僅考慮實體的身分;這還考慮使用者位置、一天中的時間、企業安全性標準、合規性策略以及對風險/信任的持續評估等因素。
- 改善延遲的路由。如果企業的服務會受延遲影響 (例如視訊會議、串流媒體傳輸、線上遊戲等),延遲的任何顯著增加都會造成問題。SASE 在全域邊緣網路各處路由網路流量,藉此幫助減少延遲,在盡可能靠近使用者的位置處理流量。路由最佳化可以根據網路擁塞和其他因素説明確定最快的網路路徑。
需要指出的是,並非所有的 SASE 實施看起來都是一樣的。它們有一些共同的核心特徵 - 基於身份的存取策略、網路安全性服務和以雲端為中心的體系結構,但根據組織的需求,也可能存在一些顯著差異。例如,SASE 實施可能會選擇單租用戶架構而不是多租用戶架構,並結合 IoT (物聯網) 和邊緣裝置的網路存取控制、提供額外的安全性功能、依靠最少的硬體/虛擬裝置來提供安全性解決方案,等等。
Cloudflare 如何協助採用 SASE?
Cloudflare 的 SASE 模型既適用於 Cloudflare for Infrastructure,也適用於 Cloudflare for Teams,兩者均由一個服務於 2500 萬個網際網路設備的單一全球網路支援。Cloudflare 具有獨特的架構,可在全球 200+ 個城市提供整合式網路和安全性服務,無需公司在雲端購買和管理複雜的多點解決方案。
Cloudflare for Infrastructure 包含 Cloudflare 的整合式安全性和效能服務套件,該套件可保護、加速並確保任何內部部署、混合和雲端環境的可靠性。Cloudflare Magic Transit 是 Cloudflare for Infrastructure 中不可或缺的一部分,這可保護網路基礎結構免受 DDoS 威脅和網路層攻擊,並與 Cloudflare Web 應用程式防火牆 (WAF, Web application firewall) 合作以防禦漏洞利用。Magic Transit 還使用 Cloudflare 的全球網路來加速合法網路流量,以實現最短延遲和最高輸送量。了解有關 Cloudflare Magic Transit 的更多資訊。
Cloudflare for Teams 透過兩種方式保護公司資料:使用 Cloudflare Access (一種零信任網路存取解決方案) 和 Cloudflare Gateway (一種 DNS 篩選和網路安全性服務),防禦惡意軟體和網路釣魚等威脅。Cloudflare Access 消除了對舊有 VPN 的需求,無論使用者位於何處,都可以根據身分驗證,安全地存取內部應用程式和資料。Cloudflare Gateway 透過篩除和封鎖惡意內容、識別遭受入侵的裝置以及使用瀏覽器隔離技術來防止惡意程式碼在使用者裝置上執行,從而保護使用者和公司資料。瞭解有關 Cloudflare for Teams 的更多資訊。