什么是 SASE(安全接入服务边缘)?| 入门指南
安全接入服务边缘(SASE)是一种云原生架构,它将 SD-WAN 与 SWG、CASB、FWaaS 和 ZTNA 等安全功能统一为一项服务。
通过将网络和安全功能整合到单一的云交付服务中,SASE 简化了网络管理并增强了安全性。
该架构通过为分布式环境提供可扩展的统一访问和保护,支持现代组织的动态需求。
当今企业为何需要 SASE?
与过去传统的集中式 IT 环境相比,今天的企业正处于一个截然不同的环境中。
这就是安全接入服务边缘 (SASE) 框架出现的原因:解决现代安全和连接需求。
以下是企业现在比以往任何时候都需要 SASE 的原因:
安全访问服务边缘可应对因云应用、移动访问和远程工作的增加而带来的分散化问题。
这种转变意味着数据 和用户都不再局限于办公室。这使得传统的基于周边的安全模式变得不那么有效。
SASE 将全面的安全服务直接集成到网络结构中。这意味着安全团队可以安全、高效地管理每一个访问请求,无论其来源如何。
另外在 SASE 框架内整合安全功能可使企业更统一地管理其安全策略。
采用统一的方法可简化行政负担。
更不用说,它还能在所有环境中提供一致、实时的威胁防范和数据保护,从而增强安全性。
各组织将继续进行数字化转型。SASE 的灵活性和可扩展性使其成为保护分布式资源不可或缺的工具。
什么是 SASE 架构?
正如我们已经确定的那样,SASE(安全接入服务边缘)架构将网络和安全作为一种服务功能整合到网络边缘的单一云交付服务中。
就像这样:
SASE 架构允许企业自动支持分散的远程和混合用户,将他们连接到附近的云网关,而不是将流量回程到企业数据中心。
它还能为所有应用程序提供一致的安全访问。与此同时,安全团队还能对所有端口和协议的流量保持全面的可视性和检查。
该模式从根本上简化了管理,降低了复杂性,而这正是安全接入服务边缘的两大目标。
它将外围设备转化为一套基于云的一致功能,可随时随地根据需要进行部署。与使用一系列不同的点产品安全设备在数据中心周围建立外围设备相比,这种方法要精简得多。
此外,由于它是基于云的安全接入服务边缘,因此可以实现更动态、更高性能的网络。一个能适应不断变化的业务要求、不断演变的威胁环境和新创新的网络。
五项基本技术是安全接入服务边缘部署的基础:
安全 Web 网关 (SWG)
防火墙即服务 (FWaaS)
云访问安全代理 (CASB)
零信任网络访问 (ZTNA)
软件定义广域网 (SD-WAN)
安全 Web 网关 (SWG)
安全网络网关(SWG)为用户网络会话提供URL 过滤、SSL 解密、应用程序控制以及威胁检测和防范功能。
防火墙即服务 (FWaaS)
云访问安全代理(CASB)负责监管认可和不认可的 SaaS 应用程序,并提供恶意软件和威胁检测。
作为 DLP 解决方案的一部分,它可确保对 SaaS 储存库中敏感数据的可见性和控制。
零信任网络访问 (ZTNA)
SD-WAN提供了一个与底层硬件脱钩的覆盖网络,可在站点之间提供灵活、安全的流量,并可直接连接互联网。
SASE 有哪些用例?
SASE 的主要用例包括
为混合型员工提供动力
连接并保护分支机构和零售点
支持云和数字计划
全球连通性
将 MPLS 迁移到 SD-WAN
为混合型员工提供动力
对于混合型员工来说,网络性能和安全的统一方法至关重要。
安全接入服务边缘架构强调可扩展性、弹性和低延迟,直接满足了这一需求。
其基于云的框架经过优化,可提供针对特定应用的性能。此外,集成的数字体验监控(DEM)还能精确地了解影响用户性能的一切因素。
SASE 的主要优势在于网络与安全的融合。这种组合既能加强威胁监控和检测,又能弥补安全漏洞。
其结果是精简了网络治理,简化了管理。
因此,安全访问服务边缘是支持混合工作环境的重要基础工具。
连接并保护分支机构和零售点
SASE 模式对使用 SaaS 和公共云服务的企业至关重要,因为它能解决性能和安全方面的挑战。
利用下一代 SD-WAN,安全接入服务边缘可优化带宽并确保动态安全,性能优于传统的数据中心方法。
同样,DEM 的集成也保证了用户体验的提升。
安全接入服务边缘还能降低网络和安全费用。并简化供应商管理。
另外安全访问服务边缘通过执行一致的策略、简化管理和应用零信任,加强分支机构和远程地点的数据安全。
这意味着,无论应用程序和数据位于何处,它们都是安全的。
支持云和数字计划
SASE 对于云计算和数字化转型至关重要。随着企业向 SaaS 转型,无缝、安全的连接变得越来越重要。
通过安全整合,安全访问服务边缘消除了基于硬件的方法的局限性。这意味着集成服务和优化分支机构部署。
还有先进的 SD-WAN 技术可扩展带宽并提供更深入的网络洞察力。这样就能提高运行和应用性能。
此外,基于人工智能和 ML 的安全功能也大大提高了威胁检测能力。
动态防火墙提供了一种全面的内容分析方法。
安全协议能有效管理来自物联网设备的数据流。
全球连通性
SASE 增强了全球连通性。其架构设计可将用户直接连接到全球网络,而无需通过集中式数据中心进行流量路由。
这种方法可以减少延迟,提高访问速度。因此,企业可为全球用户提供无缝连接体验。
基本上,安全接入服务边缘依赖于基于云的存在点(PoPs)分布式网络。这些 PoPs 战略性地分布在世界各地。用户连接到最近的 PoP,从而最大限度地减少数据传输距离。
这种设置可加快连接速度,使所有地点的网络性能和可靠性保持一致。
将 MPLS 迁移到 SD-WAN
通过 SASE从 MPLS 迁移到 SD-WAN是许多企业的战略举措。
原因:
传统的MPLS网络以成本高、灵活性差著称。它们需要大量的资本投入和较长的部署期,这可能会阻碍组织的灵活性和可扩展性。
幸运的是,安全接入服务边缘提供了从 MPLS 到更具扩展性和成本效益的SD-WAN 架构的有效途径。
方法:
利用互联网创建安全、高性能的网络连接。
这种迁移允许使用宽带互联网连接,其成本和灵活性远远低于多协议标签交换链路。
因此,企业一旦连接到 SASE 架构,就能立即受益于网络灵活性的提高和弹性的改善。
这是因为它能优化性能,最大限度地提高内部部署应用程序和云服务的吞吐量。
与传统的 MPLS 相比,部署过程也更快、更简化,通常只需几天甚至几小时。
SASE 有哪些好处?
跨混合环境的可见性:SASE 提供混合企业网络环境的可视性,包括数据中心、总部、分支机构、远程地点以及公共云和私有云。这种可视性扩展到所有用户、数据和应用程序,只需通过一个窗口即可访问。
加强对用户、数据和应用程序的控制:通过在应用层(第 7 层)对流量进行分类,安全接入服务边缘无需进行复杂的端口-应用研究和映射,就能清楚地了解应用使用情况并加强控制。
改善监控和报告:安全接入服务边缘将监控和报告整合到一个平台中。这种统一使网络和安全团队能够更有效地关联事件和警报,简化故障排除并加快事件响应。
降低复杂性:SASE 通过将操作转移到云端,简化了网络和安全,降低了操作的复杂性和与维护多个点解决方案相关的成本。
一致的数据保护:安全访问服务边缘通过简化数据保护策略并解决安全盲点和策略不一致等问题,优先为所有边缘位置提供一致的数据保护。
降低成本:安全接入服务边缘使企业能够以经济高效的方式将其网络和安全堆栈扩展到所有地点,通常还能降低长期管理和运营成本。
减少行政管理时间和精力:SASE 的单一窗口管理减轻了管理负担,减少了培训和留住网络与安全人员所需的时间和精力。
更少的集成需求:通过将多种网络和安全功能整合到统一的云交付解决方案中,安全接入服务边缘无需在不同供应商的不同产品之间进行复杂的集成。
更好的网络性能和可靠性:SASE 集成了SD-WAN 功能,支持各种链路的负载平衡、聚合和故障切换配置,从而提高了网络性能和可靠性。
- 增强用户体验:安全接入服务边缘提供的数字体验监控(DEM)可优化运营并增强各地的用户体验,而无需安装额外的软件或硬件。
重新定义团队角色与协作:实施安全访问服务边缘需要重新评估 IT 环境中的角色,特别是在混合云设置中。加强网络和安全团队之间的合作至关重要,这可能会挑战传统的角色界限。
驾驭供应商的复杂性:借助 SASE 将各种工具和方法相结合的能力,企业可以更有效地驾驭点产品和安全工具的复杂局面,实现转型目标。
确保全面覆盖:安全接入服务边缘提供了一种综合方法,但在某些情况下,特别是在分支机构密集的设置中,可能需要混合使用云驱动和内部部署解决方案,以确保无缝联网和安全。
在 SASE 中建立信任:尽管安全接入服务有很多好处,但一些专业人士仍对过渡到安全接入服务边缘持谨慎态度,特别是在混合云场景中。与信誉卓著的 SASE 提供商合作至关重要。
产品选择和整合:对于 IT 团队各自为政的企业来说,部署 SASE 可能需要选择和集成多种产品,以分别满足网络和安全需求,确保功能互补,从而简化运营。
解决工具无序扩张问题:过渡到以云为中心的安全访问服务边缘模式可能会使某些现有工具变得多余。识别和减少这些冗余对于防止能力分散和确保技术基础设施的凝聚力至关重要。
SASE 协作方法:SASE 的成功实施有赖于安全和网络专业人员的共同努力。他们的综合专业知识有助于确保安全接入服务的边缘组件与更广泛的组织目标保持一致,从而优化技术的效益。
如何选择 SASE 提供商及注意事项
选择 SASE 提供商是一项战略决策,对企业的网络安全和运营灵活性有重大影响。
以下是如何做出明智选择的方法:
评估集成能力
由于 SASE 将众多网络和安全功能整合到单一、统一的云服务中,因此必须选择能够提供真正集成解决方案的提供商,而不是将不同服务拼接在一起的捆绑服务提供商。
集成解决方案可提供更顺畅的管理和更好的安全功效。
评估供应商网络的全球覆盖范围
SASE 服务通过云提供,因此提供商的全球业务对于减少延迟和确保各地用户都能可靠、快速地访问网络资源至关重要。
考虑解决方案的可扩展性和灵活性
随着业务的发展,您的网络需求也会不断变化。SASE 提供商应提供可扩展的解决方案,能够与您的业务共同发展,而无需在硬件上进行大量额外投资或更改现有基础设施。
验证零信任和持续安全能力
零信任是 SASE 的基本原则,重点是在允许访问任何资源之前持续验证信任。确保解决方案包含基于上下文的实时策略执行。
检查合规性和数据保护功能
对于受监管行业的企业来说,遵守相关标准和法规是不容商量的。SASE 提供商不仅应遵守这些标准,还应通过强有力的数据保护和安全措施帮助您遵守这些标准。
评估供应商的性能和可靠性保证
了解 SASE 提供商提供的服务水平协议 (SLA)。服务水平协议证明了提供商对正常运行时间、可靠性和性能的承诺。
分析管理和操作的易见性
对所有网络和安全服务进行有效管理和可见性至关重要。一个好的 SASE 解决方案可提供一个中央仪表板,用于监控和管理分布式网络。
考虑供应商的声誉和客户支持
供应商在市场上的声誉可以很好地反映其服务质量和客户满意度。此外,反应迅速、知识渊博的客户支持也至关重要,尤其是在部署 SASE 等复杂解决方案时。
要有效实施 SASE,就必须采用结构化方法,并高度重视协作和战略规划。
让我们概述一下指导贵组织成功部署的六步流程:
第 1 步:促进团队协调与合作
要有效实施 SASE,网络和安全团队必须密切合作。
从历史上看,这些团队的工作重点各不相同:网络侧重于速度,安全则强调威胁防护。
以DevOps演进为模型,将这些团队的优势结合起来,实现统一的目标。
依靠专家领导和 SASE 供应商提供教育和培训支持,实现学科合并。
第 2 步:起草灵活的 SASE 路线图
采用 SASE 并不意味着需要立即进行全面改革。
根据 IT 计划和业务目标,逐步整合安全访问服务边缘。在制定路线图时,一定要与供应商或 MSP 合作,这样才能确保路线图能适应动态的业务需求。
无论您是要对 SD-WAN 进行现代化改造,还是要增强安全性,都可以将 SASE 作为实现融合与进步的工具。
第 3 步:获得高层的支持
获得行政部门对 SASE 的支持至关重要。
突出基于云的应用程序的优势,强调投资回报率,并强调减少对多个供应商的需求。
重要:强调该模式带来的全面安全,尤其是在威胁不断升级的情况下。
随着项目的进展,衡量并报告各种指标的成功情况。
第 4 步:制定计划
首先要明确确定针对贵组织独特挑战的 SASE 目标。
然后分析现有的网络设置,确定需要改进的地方,并进行技能和技术审核,以确保您的团队为过渡做好准备。
步骤 5:选择、测试和部署
确定并采用与现有技术兼容的合适的 SASE 解决方案。
优先考虑能与现有工具无缝集成的解决方案。
千万不要忘了:在全面部署之前,应在受控环境中进行测试,以确保效率。
尽管 SASE 有很多好处,但人们对它仍有很多误解和神话。
可能是因为它还比较新,所以概念还在不断演变。此外,传统的网络和安全模式通常较为分散,这使得 SASE 的综合融合方法显得陌生,有时甚至过于宽泛。
咄咄逼人的市场营销可能会延伸或过度简化安全接入服务边缘的实际内涵,这往往会加剧混淆。
因此,让我们来澄清几个常见的 SASE 误解,更清楚地了解 SASE 的真正功能:
SASE 是基于云的 VPN。
SASE 只是在 SD-WAN 的基础上稍作改进。
只有大公司才能从 SASE 中受益。
SASE 解决方案专用于远程环境。
为了获得云计算的优势,SASE 牺牲了内部部署的安全性。
采用 SASE 意味着放弃其他安全技术。
SASE 是基于云的 VPN。
SASE 提供一套全面的网络和安全服务,超出了传统VPN 的范围。
由于 SASE 集成了各种功能,因此可为广泛的安全和网络需求提供一个统一的平台。这远远超过了标准 VPN 的功能。
SASE 只是在 SD-WAN 的基础上稍作改进。
SASE 绝对不仅仅是 SD-WAN 的升级版,还增加了一些安全功能。
实际上,安全接入服务边缘标志着云网络与安全整合的根本性变革。通过将可扩展网络与基于角色的安全融合到一项服务中,它消除了管理多个系统和供应商的需要。
这种方法确实是一次重大变革。它将企业推向一个更加统一、易于管理的网络安全模式。这一变革具有革命性意义,因为它引入了一个可扩展的敏捷框架。
只有大公司才能从 SASE 中受益。
各种规模的企业都可以利用 SASE 的优势。即使是中小型企业,SASE 也能绝对简化网络和安全管理。
另外它的可扩展性确保组织能够根据其独特的要求和发展轨迹进行调整。
SASE 解决方案专用于远程工作环境。
虽然 SASE 因其安全访问功能而经常与促进远程工作联系在一起,但它对办公室内的基础设施同样有益。
安全访问服务边缘可确保远程用户和办公室工作人员都能始终安全地访问云资源。它可以抵御任何物理位置的威胁。
为了获得云计算的优势,SASE 牺牲了内部部署的安全性。
SASE 架构并不强制要求只采用以云为中心的方法。
实际上,企业可以将 SASE 解决方案与内部系统(如下一代防火墙设备)集成,并根据具体要求优化性能和安全性。
采用 SASE 意味着放弃其他必要的安全技术。
虽然安全接入服务边缘提供了广泛的安全解决方案,但它并不能消除对端点检测和响应或云工作负载保护等辅助技术的需求。
实施 SASE 并不意味着放弃其他重要的安全组件。这就需要将它们整合在一起,形成整体的安全立场。
SASE 如何与互补技术协同工作
由于 SASE 具有如此灵活的架构,因此可在各种应用和环境中使用。
安全接入服务边缘与支持云计算和分布式网络架构的系统集成得特别好。
它可以轻松地与云服务、移动网络和物联网系统等技术一起工作,这些技术都受益于 SASE 在不同环境中提供集中安全管理的能力。
让我们来看看 SASE 如何与 5G、物联网和 DLP 解决方案配合使用。
SASE 和 5G 如何协同工作
5G 以更快的速度和更低的延迟彻底改变了移动网络。随着 5G 网络的发展超越传统架构,迫切需要应对新的安全挑战。
SASE 是一个潜在的解决方案,因为它提供了一个针对现代网络动态特性的集中式安全框架。
与 5G 集成后,SASE 可在不影响安全性的情况下优化网络潜力。通过 SASE 平台路由 5G 流量,企业可以执行一致的安全措施,并提高运营效率。
这样,用户就可以从不同地点访问企业资源。每个连接都要经过严格的验证。
SASE 的 SD-WAN 组件进一步增强了这种效果。
5G 和 SASE 的结合提供了一个安全、高性能的框架,有助于在扩展网络中进行快速、安全的通信。
物联网如何与 SASE 集成
传统的物联网系统在很大程度上依赖于集中式服务提供商网络,这就导致了复杂的路由选择和更高的延迟可能性。
物联网设备和数据在多地区云中的广泛传播加剧了这些问题。
幸运的是,安全接入服务边缘擅长处理物联网的分布式特性。
通过融合虚拟化网络和安全服务,SASE 可提供集中式策略控制。它简化了数据路由,无论数据来源于何处或目的地,都能确保数据安全。
SASE 利用分布式存在点(PoP),根据不同的设备属性对访问进行验证,从而使安全性更接近数据源。此外,分散式技术还能增强物联网的安全性,减少延迟,并与地区数据法规保持一致。
利用 SASE 和 DLP 保护数据
从云端存储到移动设备,数据无处不在。
传统的数据丢失防护(DLP)方法无法为高度分布式的现代 IT 环境提供足够的保护。
它们往往不够灵活,无法管理分散的数据。这就给敏感信息的识别和分类带来了挑战。
这就是 SASE 的作用所在。
它在统一的云原生框架内结合了 DLP 和高级安全功能。这种设置可在数据跨网络移动时直接对其应用精确的安全策略。
更不用说,SASE 还能增强对敏感数据的可见性和控制。这样就能提供强大的保护,无缝适应复杂的 IT 基础设施和不断变化的网络威胁。
| 特征 | SD-WAN | SASE | CASB | 中兴通讯 | ZTNA | SSE | 传统网络安全 | 所有情况 | 零信任 | VPN |
|---|---|---|---|---|---|---|---|---|---|---|
| 网络和安全一体化 | 有限;主要侧重于连通性 | 全面;将联网与广泛的安全服务相结合 | 仅限于云应用 | 将网络与以云为中心的安全集成在一起 | 更广泛的 SASE 框架的一部分 | 注重安全,减少联网 | 分开;传统的设置无法将两者结合起来 | 有限;主要是过滤流量 | 可作为更广泛解决方案一部分的安全方法 | 主要提供安全的网络访问 |
| 部署重点 | 分支机构连接 | 跨各种环境的无缝连接 | SaaS 应用程序的安全性 | 融合网络功能和以云为中心的安全性 | 侧重于 SASE 内访问控制的特定安全模式 | 无网络元素的安全服务,如 SWG、CASB 和 ZTNA | 基于固定、安全的外围区域,通常在物理场所内 | 充当网络守门员 | 确保每个访问请求都经过验证和授权 | 通过中央服务器进行安全连接 |
| 主要效益 | 优化和管理分布式网络连接 | 为包括移动和云在内的各种环境提供安全、优化的连接性 | 将安全性扩展到基于云的部署 | 将“零信任”作为综合服务的重点 | 确保严格验证访问请求 | 简化各种安全措施,实现统一控制 | 依赖物理硬件和基于位置的防御系统 | 根据预定义规则控制流量 | 没有隐性信任;严格的持续验证 | 加密连接,保护传输中的数据 |
| 适合现代工作环境 | 适用于传统的办公室设置 | 非常适合远程和分散的团队 | 适合大量使用 SaaS 的组织 | 适用于采用零信任框架的组织 | 现代工作环境中安全远程访问的重要组成部分 | 解决边缘和远程环境中的安全问题 | 由于固定周边变得多余,因此不太适合 | 基本流量过滤功能不太适合复杂的数字环境 | 对确保分散式网络的安全至关重要 | 适合,但由于依赖中央服务器,可能会带来延迟 |
- SASE 与CASB:有什么区别?
- SASE 与SSE:有什么区别?
- SASE 与所有情况有什么区别?
- SASE 与VPN:有什么区别?
- 零信任和 SASE 如何合作
- SASE 与中兴通讯:有什么区别?
- SD-WAN 与SASE:有什么区别?
- SASE 和安全 Web 网关:它们有什么关系?
- SD-WAN 与SASE 与SSE:有哪些区别?
SASE 是如何演变的?
一直以来,公司依赖于集线器和辐条式广域网(WAN)拓扑结构,使用集中式服务器和昂贵的线路连接远程办事处。
随着软件即服务(SaaS)应用程序和虚拟专用网络(VPN)的流行,企业将应用程序过渡到云。
分支机构的防火墙开始执行安全策略,同时优化流量。
随着云服务的发展,对企业内部资源的依赖减少了。这意味着传统网络接入的低效率变得显而易见。
为了应对这些挑战,SASE 技术应运而生,它将多种网络和安全技术集成到一个解决方案中。
随着微软 Office 365 等关键 SaaS 应用程序迁移到 Azure,向集成网络和安全解决方案的转变变得至关重要,从而推动了对更有效流量管理和检测的需求。
COVID-19 大流行加速了 SASE 的采用,因为远程工作激增,安全联网变得至关重要。
- SD-WAN
- SWG
- CASB
- FWaaS
- ZTNA
