本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>

搜索
首页 信息速查 IP知识百科 在线课堂 智能辅助

什么是安全访问服务边缘(SASE)?

安全访问服务边缘SASE(Secure Access Service Edge)是一种云架构模型,它将软件定义的广域网SD-WAN)与安全Web网关(SWG)、防火墙即服务FWaaS)、云访问安全代理CASB)和零信任网络访问(ZTNA)等安全功能统一为一个服务。SASE的核心理念在于通过一个集成的云平台,将这些服务直接提供给用户、系统、终端和远程网络等连接源,而非依赖传统的数据中心架构。
SASE的这一架构设计实现了网络与安全的无缝融合,为企业提供了一个更加灵活、高效且安全的网络访问解决方案。它使得企业能够更有效地管理分布式的网络资源和安全策略,确保无论用户身处何地,都能享受到安全、高效的访问体验。

为什么需要SASE?

随着云计算、大数据、物联网和人工智能等新型ICT技术的普遍应用,各行各业正经历着深刻的数字化转型。然而,这些技术的普及也带来了诸多挑战。近年来,针对各大政企单位的外部高级持续性威胁APT)攻击和内部违规导致的大规模数据泄露等恶性安全事件层出不穷,各单位的信息安全负责人也逐渐意识到,传统的边界防护手段存在很多局限性,已无法满足新形势下的网络安全需求:

  • 随着网络边缘的不断扩展以及涵盖云和本地等混合网络环境的广泛部署,企业网络架构日趋复杂。与此同时,企业依然面临孤立运行的安全产品和工具无法协同工作的严峻挑战。
  • 新型技术及应用为网络攻击提供新的攻击载体,攻击实施更加灵活、过程更加隐蔽、技术更加智能。整个攻击横跨越网络、应用程序、内容和设备,威胁检测和溯源难度增大。
  • 数字化转型已经成为各行业的发展趋势,数据共享和流通将成为刚性业务需求,原来相互隔离的业务网络将打破安全边界走向融合,安全管控难度与泄密风险进一步扩大。

据Gartner调查显示,75%的企业组织正积极寻求安全供应商的全面整合。该调查还指出,运营效率低下以及无法有效应对异构安全架构的集成挑战,令安全和风险管理领导者的担忧持续升温。用户亟待部署更高效和全面集成的解决方案,而非孤立运行的单点安全产品。

为了应对这些挑战,2019年Gartner在《The Future of Network Security Is in the Cloud(网络安全的未来在云端)》提出SASE这一新兴技术概念,以支持数字化企业需求的新兴技术。

2020年,MEF(Metro Ethernet Forum,城域以太网论坛)发布了《MEF SASE服务框架》白皮书。该文旨在为SASE服务框架制定统一标准,涵盖SD-WAN、安全性、自动化和其他标准化工作。为了进一步推动SASE服务的规范化,MEF还启动了SASE服务定义项目,该项目致力于制定一系列标准化规范,包括SD-WAN服务属性与框架、SD-WAN服务的应用安全、零信任安全框架与服务属性、通用SD-WAN边缘设备、SD-WAN服务的性能监控与服务准备测试、以及基于意图的编排和策略驱动的业务流程等。

在Gartner和MEF的引领下,SASE正朝着更加开放和标准化的方向发展,一个更加开放、灵活和安全的网络未来正在逐步成型。

SASE有哪些好处?

与传统网络安全架构相比, SASE带来的主要好处有:

  • 提高安全性:SASE集成了如FWaaS、SWG、CASB等多种安全服务,为客户提供全面的安全保护。此外,SASE支持零信任网络,确保只有经过验证的用户、设备和应用程序(而不是位置和IP地址)才能访问网络资源,提高了整体安全性。
  • 简化网络管理:SASE提供集中式的网络和安全管理,简化了IT管理流程,减少了管理成本。SASE还可以根据用户身份、设备状态、位置等因素自动调整安全策略,减少了手动配置的需要。
  • 提升性能和可靠性:SASE利用SD-WAN技术优化数据传输路径,提高了网络性能和可靠性。SASE服务通过全球分布的边缘节点提供,确保用户可以从任何地点快速、安全地访问服务。
  • 支持远程和移动工作:SASE确保远程和移动用户可以安全地访问企业资源,支持远程工作和协作。SASE不依赖特定设备,支持各种终端设备的安全接入。
  • 降低成本:SASE基于云的服务模型减少了企业在硬件和基础设施上的投资。SASE通常采用按需付费的模式,企业只需为实际使用的服务付费,降低了运营成本。
  • 提供更高的灵活性和可扩展性:SASE服务可以快速部署,适应企业快速变化的需求。SASE的云基础架构提供了高度的可扩展性,企业可以根据需要轻松扩展服务。
  • 改善用户体验:SASE确保用户可以无缝、安全地访问企业资源,提高了用户体验。SASE通过优化数据传输路径,减少了网络延迟,提高了服务响应速度。

SASE的架构,SASE是如何工作的?

SASE技术以其独特的特点,构建了一个创新的架构,旨在适应现代网络和安全需求的演变。

SASE的特点包括:

  • 身份驱动:不仅仅是IP地址,用户和资源身份决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由与每个网络连接相关联的身份所驱动。采用该方法,为用户开发一套网络和安全策略,无需考虑设备或地理位置,从而降低运营开销。
  • 云原生:SASE认为云的使用是网络安全的未来并将此作为核心特征,云所具备的高弹性、业务自恢复、业务自维护的特点,可以为SASE方案所天然继承,降低客户运营成本,提升业务部署的便利性,增强业务运行韧性以及方便客户实现随处接入。
  • 支持所有边缘:SASE为所有公司资源创建了一个网络——数据中心、分公司、云资源和移动用户。软件定义广域网SD-WAN设备支持物理边缘,而移动客户端和无客户端浏览器访问连接四处游走的用户。
  • 全球分布:为确保所有网络和安全功能随处可用,并向全部边缘交付尽可能好的体验,SASE云必须全球分布。因此,企业需要具有全球POP点和对等连接的SASE产品,扩展自身覆盖面,向企业边缘交付低延迟服务。

基于这些特点,业界建议SASE的架构设计从逻辑分层及功能角度进行了划分。SASE的逻辑架构主要包括管控层、安全服务边缘SSE)层、网络层以及终端层,每层承担的功能不同,其中又包括若干核心组件,如下图所示。

SASE整体架构
SASE整体架构
  • 管控层:管控析融合层,面向终端、用户和应用,提供统一的网络和安全管理能力。如下分别从管理、控制和分析三个维度进行介绍:

    管理

    控制器主要提供网络的管理和编排功能,是SASE解决方案的智慧大脑,也是整个SASE解决方案的最核心组件。控制器实现了对网络层设备的管理功能,并对最终客户进行网络拓扑、故障、性能等运维信息的多维度的统计和呈现。SASE实现的网络编排功能包括但不限于CPE开局、WAN组网创建、VPN拓扑定义以及各种网络增值服务策略定义等。

    控制

    SASE控制层的核心功能是负责控制SASE网络的路由转发和拓扑定义。具体来说包括VPN路由和隧道信息分发以及Overlay网络拓扑定义,除此之外,还提供了站点间IPSec秘钥交换以及NAT Stun Server服务。上述控制层功能是基于传统的BGP RR进行增强实现的,不仅支持独立部署,也支持与已有的站点Edge共部署,同时也支持多租户。

    分析

    分析器主要提供安全分析和安全运营能力;基于客户实际场景,通过边界网关、终端等对接,具备数据治理、日志审计、威胁检测、攻击溯源和响应处置等基础能力;汇集了威胁信息库、第三方威胁信息库等威胁信息数据,提供安全运营中心能力;同时通过安全实验室专家赋能等能力,支撑客户完成安全运维工作,提升安全防护实效。

  • SSE层

    通过模块化灵活组合,为用户提供多种安全服务,包括ZTNA、FWaaS、SWG、CASB等流量型安全能力或非流量型安全能力。

  • 网络层

    网络层通过SASE网关(如防火墙)实现网络特性和安全特性融合,即LAN、WAN、安全融合一体,形成网络、安全、资产(终端、用户、应用)的统一视图。通过扩展BGP EVPN协议,提供多VPN实例接入能力,满足不同租户的业务隔离要求。BGP融合IKE协议后,支持自动化创建分支间隧道,可实现分钟级站点开局。独立EVPN RR做控制器,可实现水平扩展,满足SASE解决方案大规模组网的扩展性和可靠性要求。

  • 终端层

    支持移动/固定OS,兼容第三方安全组件,提供ZTNA零信任接入和EDR/EPP终端防护能力。

SASE解决方案通过用户界面向最终用户提供服务,一般有两种形式,一种是自研的Portal界面,它集成了完整的SASE端到端业务处理和使能流程,主要用于企业租户自用或者方案Demo展示;另外一种方式是运营商或者企业客户根据自身BSS(Business Support System,业务支持系统)/OSS(Operations Support System,运营支持系统)的具体需求,利用SASE控制器的北向开放API,实现对SASE方案的集成和界面的灵活定制。

SASE的关键组件有哪些?

Gartner定义SASE的标准组件主要包含SD-WAN、ZTNA、FWaaS、SWG、CASB

SASE的5大关键组件
SASE的5大关键组件
  • SD-WAN:将网络逻辑与底层物理网络链路(例如,通过MPLS、宽带或无线链路提供的互联网连接)分离,并以最佳方式将站点到互联网和站点到站点的网络流量路由到其预期目的地。
  • ZTNA:基于“永不信任,始终验证”的原则,要求对每个访问请求进行严格的身份验证和授权。通过细粒度的访问控制,确保只有授权用户和设备才能访问特定的应用程序和服务。ZTNA通常与身份和访问管理(IAM)系统集成,以实现动态和上下文感知的访问控制。用户先认证后访问,访问行为实时监测,杜绝用户越权访问,对安全威胁及时处置。
  • FWaaS:将防火墙功能提供为云服务的模式。它将传统的基于硬件的防火墙功能移至云端,通过云服务提供商来提供和管理防火墙服务,以保护企业的网络和应用程序安全。
  • SWG:用于保护用户在互联网上的Web访问安全。它通过集成多种功能和技术来实现对Web流量的控制、监测和保护,以防止恶意软件、恶意网站和不良内容的传播。
  • CASB:一种用于保护企业在使用云服务时的安全性和合规性的解决方案。它充当企业内部网络与云提供商之间的中间代理,为企业提供了对云环境中的数据和应用程序的可见性、控制和保护。

SASE和SD-WAN有什么不同?SASE vs. SD-WAN

SASE和SD-WAN是两种不同的网络技术,SD-WAN主要关注网络连接的优化,而SASE则是一个更全面的解决方案,它不仅优化网络连接,还提供集成的安全功能。它们在功能和应用场景等方面有所区别,两者的关键差异如下所示。

SASE vs. SD-WAN
SASE vs. SD-WAN

SASE并不是SD-WAN的继任者,而是它的队友,两者不是互斥的关系,而是相互补充和加强的。企业可以根据自己的具体需求和优先级,选择单独部署SD-WAN,或者选择包含SD-WAN功能的SASE解决方案。在实际应用中,许多企业也可以选择逐步过渡,先部署SD-WAN,然后在业务需求和技术成熟度允许的情况下,引入SASE的安全功能。

SASE和SD-WAN的关系
SASE和SD-WAN的关系

SASE安全解决方案

数字化转型的高质量发展道路上,为用户提供更敏捷、更安全、更省心的服务是重中之重。SASE以其领先的综合优势,已然成为网络安全领域备受瞩目的焦点,众多厂商竞相推出各具特色的SASE解决方案,以满足市场对于高效、灵活和集成安全服务的迫切需求。

华为不仅提供云、网络、安全和终端一体化产品和解决方案,而且具备全场景、全日制分析与管控的能力,紧跟时代步伐,推出华为星河AI融合SASE解决方案。该方案遵从MEF SASE模型标准,通过将SD-WAN组网、安全性和远程管理融合到统一的网安融合解决方案中,实现监测、分析和运营的统一。这种集成化的方法极大减小了威胁扩散的潜在范围,并能迅速做出响应,为企业数字化转型提供网安融合SASE方案和服务。同时,该方案能确保用户在SASE环境以及整个网络中能享受到灵活的交付体验,且在任何边缘网络都能得到一致的企业级安全标准防护。更多解决方案介绍请参见:华为星河AI融合SASE解决方案,解决方案部署和维护请参见:华为星河AI融合SASE解决方案产品文档

词条统计
  • 作者: 于颀,杨晓芬
  • 最近更新: 2024-12-11
  • 浏览次数: 6651
  • 平均得分:
分享链接到: