安全访问服务边缘 (SASE) 是一种云原生架构,它将 SD-WAN 与 SWG、CASB、FWaaS 和 ZTNA 等安全功能统一到一项服务中,SASE一句话描述为:sase = sdwan + safe.
从历史上看,公司依赖于中心辐射型广域网 (WAN) 拓扑,其中包括集中式服务器和昂贵的线路连接远程办公室。随着软件即服务 (SaaS) 应用程序的出现和虚拟专用网络 (VPN) 的流行,企业将应用程序迁移到云端。分支机构的防火墙开始实施安全策略并优化流量。
随着云服务的增长,对本地资源的依赖逐渐减少,传统网络访问效率低下的问题也逐渐凸显。为了应对这些挑战,安全访问服务边缘应运而生,将多种网络和安全技术集成到一个解决方案中。当Microsoft Office 365 等关键 SaaS 应用程序过渡到 Azure 时,这种转变变得更加突出,需要进行高效的流量检查。
随着远程工作激增且安全网络变得至关重要,COVID-19 疫情加速了 SASE 的采用。
总体如下:
传统的网络服务提供模式,都是将用户流量统一回传到公司数据中心,这就带来了访问延迟,如果就近访问,那么公司的安全边界将会扩大,之前传统的只在IDC做防御就完全不够了,我们需要一个既要用户访问体验,也要统一访问管理的统一解决方案。
2. 4-5个agent不好管理,维护/升级,也费钱,攻击面也大
网络打开后,员工随时随地的办公,那么就需要对客户的主机会加一些审计,防病毒,上网行为管控功能,传统的做法是买一些AC,EDR硬件设备进行堆叠,然后在客户主机上装好几个端,那这个维护和花费成本非常高,比如说升级,补丁更新,各种lic的维护,比如说某盟的等保一体机得要6w。
3. 安全防护的边界消失
用户的办公场景,移动办公,用户随时随地用各种终端和网络,这些场景安全如何防护,sase提到的就是零信任ztna
4. 云上安全能力补充本地网关能力,比如说堡垒机等
5. 多云的安全防护的割裂,第三方的安全厂商,统一安全防护,数据分析
架构如下:
2. FWaaS提供云原生的下一代防火墙,提供高级第 7 层检查、访问控制、威胁检测和预防以及其他安全服务。
3. 云访问安全代理(CASB) 负责监督已批准和未批准的 SaaS 应用程序,并提供恶意软件和威胁检测。作为 DLP 解决方案的一部分,它可确保 SaaS 存储库中敏感数据的可见性和控制
4. 零信任网络访问(ZTNA)可实现持续验证和检查功能。它提供基于身份和基于应用程序的策略实施,以访问组织的敏感数据和应用程序。
5. SD-WAN提供与底层硬件分离的覆盖网络,在站点之间以及直接到互联网之间提供灵活、安全的流量。
在全国甚至全球主要的节点,pop故障转移
2. 租户编排
3. 多租户就近接入,隔离
多租户能力,用户接入层面/链路/网络转发的隔离,sdwan广域网优化技术,数据传输,协议优化,压缩啊,缓存啊,多云互联的问题,也就是体验问题,毕竟专线太贵
4. 安全服务的串行,编排
软件化安全的性能问题,大规模租户上来的时候,降本,服务编排,服务的串行(安全功能的协同,dns发给防火墙,文件还原扔给沙箱)
5. 统一管理+数据融合,挖掘更深的安全威胁
多种安全威胁数据联动挖掘,安全能力不再割裂
6. 云原生架构
传统的sdwan出现是解决多分支互联,分支到总部的连接,集中统一管理,差异化的用户保障,用户体验的问题,但随着分支机构增多,那么就需要在分支机构的流量入口处额外继续堆砌原来的一些安全或者审计终端,即使是分支人数不多,数据中心边界明确到数字化转型业务上云,还有可能是多云,其次是移动办公,随时随地任何终端的办公诉求,这就带来的是网络边界消失的,到处都会有网络威胁,那么自然而然就就有安全的需求,能想到我们基于身份的访问边界,也就是ztna。其次就是多云这种安全防护的不统一,风险也不统一,这就需要一个信任第三方将这些安全统一纳管起来,并将数据和日志做一个关联分析,这就是sase诞生的需求。
但话说回来,SASE也面临很多挑战,一个是sdwan云上服务商能力的一个考验,另一个是数据主权,不愿意将自己的数据引流到第三方。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。