SASE也是一種網(wǎng)絡(luò)架構(gòu)，可將軟件定義廣域網(wǎng)(SD-WAN)和安全性集成到云計算服務(wù)中，從而保證簡化的WAN部署、提高效率和安全性，并為每個應(yīng)用程序提供適當?shù)膸挕?/p>

由于SASE是一項云計算服務(wù)，因此可以輕松地按比例放大和縮小并進行計費。因此，在快速變化的時代，這可能是一個有吸引力的選擇。

盡管這一領(lǐng)域的一些供應(yīng)商提供硬件設(shè)備，以便在家中遠程工作的員工和企業(yè)的數(shù)據(jù)中心連接到其SASE網(wǎng)絡(luò)，但大多數(shù)供應(yīng)商通過軟件客戶端或虛擬設(shè)備來處理連接。

調(diào)研機構(gòu)Gartner公司創(chuàng)建了SASE這一術(shù)語，并在2019年的白皮書中對其進行了首次描述，闡述了其目標以及SASE實施的情況。該公司指出，SASE仍在開發(fā)中，其有些功能還不能采用。

什么是SASE?

簡而言之，SASE將SD-WAN功能與安全性相結(jié)合，并將其作為服務(wù)交付。根據(jù)以下四個因素，針對用戶會話實施的安全策略將為每個會話量身定制：

• 連接組織的身份
• 場景(設(shè)備的健康狀況和行為、所訪問資源的敏感性)
• 安全和合規(guī)政策
• 進行風險評估。

SASE的WAN端依賴于由組織提供的功能，這些實體包括SD-WAN提供商、運營商、內(nèi)容交付網(wǎng)絡(luò)、網(wǎng)絡(luò)即服務(wù)提供商、帶寬聚合器和網(wǎng)絡(luò)設(shè)備供應(yīng)商。

安全方面依靠云訪問安全代理、云安全Web網(wǎng)關(guān)、零信任網(wǎng)絡(luò)訪問、防火墻即服務(wù)、Web API保護即服務(wù)、DNS和遠程瀏覽器隔離。

Gartner公司表示，在理想情況下，所有這些功能都是由單個實體作為SASE服務(wù)提供的，并將其整合在一起。

邊緣在哪里?

SASE的“邊緣”部分通常通過PoP或靠近端點的供應(yīng)商數(shù)據(jù)中心(數(shù)據(jù)中心、人員和設(shè)備)傳遞，無論它們位于何處。在某些情況下，SASE供應(yīng)商擁有PoP，而在另一些情況下，它使用第三方或希望客戶提供自己的連接性。

SASE的好處

因為SASE是一項服務(wù)，所以降低了復(fù)雜性和成本。企業(yè)可以與更少的供應(yīng)商打交道，減少分支機構(gòu)和其他遠程位置所需的硬件數(shù)量，也會減少最終用戶設(shè)備上的代理數(shù)量。

IT管​​理人員可以采用基于云計算的管理平臺集中設(shè)置策略，并在靠近最終用戶的分布式PoP上實施策略。

無論最終用戶需要什么資源，以及自身和資源位于何處，他們都具有相同的訪問體驗。SASE還通過對用戶基于初始登錄請求的任何資源采用適當?shù)牟呗詠砗喕矸蒡炞C過程。而安全性得到了提高，因為無論用戶位于何處，策略都會得到執(zhí)行。當新的威脅出現(xiàn)時，服務(wù)提供商解決了如何防范這些威脅的問題，而對企業(yè)不會提出新的硬件要求。

SASE支持零信任網(wǎng)絡(luò)，它基于用戶、設(shè)備和應(yīng)用程序的訪問，而不是位置和IP地址。更多類型的最終用戶(員工、合作伙伴、承包商、客戶)可以獲得訪問權(quán)限，而不必擔心傳統(tǒng)安全性(例如虛擬專用網(wǎng)和DMZ)可能受到損害并成為潛在的企業(yè)廣泛攻擊的橋頭堡。

SASE可以提供不同的服務(wù)質(zhì)量，因此每個應(yīng)用程序都可以獲得所需的帶寬和網(wǎng)絡(luò)響應(yīng)能力。

借助SASE，企業(yè)IT人員可以減少與部署、監(jiān)視和維護相關(guān)的雜務(wù)，并且可以分配更高級別的任務(wù)。

SASE面臨的挑戰(zhàn)

Gartner公司列出了采用SASE面臨的一些挑戰(zhàn)：例如，最初可能會短缺某些服務(wù)，因為這些服務(wù)是由具有網(wǎng)絡(luò)或安全背景的提供商提供的，而另外一些提供商則缺乏專業(yè)知識。

最初的SASE產(chǎn)品可能沒有以云原生的思維方式設(shè)計，因為供應(yīng)商的傳統(tǒng)經(jīng)驗是在出售內(nèi)部部署硬件，因此他們可能會選擇基礎(chǔ)設(shè)施專用于客戶的架構(gòu)。

同樣，一些傳統(tǒng)硬件供應(yīng)商可能缺乏SASE所需的在線代理的經(jīng)驗，因此他們可能會遇到成本和性能問題。一些傳統(tǒng)供應(yīng)商可能還缺乏評估場景的經(jīng)驗，這可能會限制他們做出場景感知決策的能力。

由于SASE的復(fù)雜性，重要的是提供商必須具有良好的集成功能，而不是拼湊在一起的功能。對于某些SASE提供商來說，在全球范圍內(nèi)擴展PoP的成本可能會很高。這可能會導(dǎo)致所有位置的性能不平衡，因為某些站點可能距離最近的PoP較遠，從而導(dǎo)致延遲。

SASE終結(jié)點代理必須與其他代理集成，以簡化部署。SASE的過渡可能會給IT人員帶來壓力。隨著SASE跨網(wǎng)絡(luò)和安全團隊的擴展，其競爭可能會加劇。而企業(yè)采用SASE可能需要對IT員工進行再培訓，以掌握新技術(shù)。

為什么需要SASE?

Gartner公司的分析師表示，更多的傳統(tǒng)企業(yè)如今將其功能托管在內(nèi)部部署數(shù)據(jù)中心之外，而不是托管在IaaS提供者的云平臺、SaaS應(yīng)用程序和云存儲中。物聯(lián)網(wǎng)和邊緣計算的需求只會增加對基于云計算的資源的依賴，而WAN安全架構(gòu)仍然是為企業(yè)內(nèi)部數(shù)據(jù)中心量身定做的。

遠程用戶通常通過虛擬專用網(wǎng)連接，并且需要在每個位置或單個設(shè)備上使用防火墻。傳統(tǒng)模型要求它們通過集中安全性進行身份驗證，以授予訪問權(quán)限，但也可以通過這一中心位置路由流量。這種傳統(tǒng)架構(gòu)受到復(fù)雜性和延遲的阻礙。

借助SASE，最終用戶和設(shè)備可以通過身份驗證并獲得對其授權(quán)訪問的所有資源的安全訪問，這些資源可以受到安全保護。一旦經(jīng)過身份驗證，它們就可以直接訪問資源，從而解決延遲問題。

Gartner公司分析師Nat Smith表示，SASE不僅僅是一種理念和方向，還是一種功能清單。但他表示，總體而言，SASE由五種主要技術(shù)組成：SD-WAN、防火墻即服務(wù)(FWaaS)、云訪問安全代理(CASB)、安全web網(wǎng)關(guān)，以及零信任網(wǎng)絡(luò)訪問。

集成SD-WAN

傳統(tǒng)上，WAN由獨立的基礎(chǔ)設(shè)施組成，通常企業(yè)需要在硬件上進行大量投資。

SASE版本全部基于云計算，由軟件定義和管理，并具有分布式PoP，在理想情況下，分布式PoP位于企業(yè)數(shù)據(jù)中心、分支機構(gòu)、設(shè)備和員工附近。許多PoP對于確保盡可能多的企業(yè)流量直接訪問SASE網(wǎng)絡(luò)，避免公共互聯(lián)網(wǎng)的延遲和安全性問題至關(guān)重要。

通過這一服務(wù)，客戶可以監(jiān)視網(wǎng)絡(luò)的運行狀況，并為他們的特定流量要求設(shè)置策略。

由于來自公共互聯(lián)網(wǎng)的流量首先通過提供商的網(wǎng)絡(luò)，因此SASE可以檢測到危險流量，并在到達企業(yè)網(wǎng)絡(luò)之前進行干預(yù)。例如，可以在SASE網(wǎng)絡(luò)中緩解DDoS攻擊，從而使客戶免受惡意流量泛濫的影響。

防火墻即服務(wù)

在當今的分布式環(huán)境中，用戶和計算資源都越來越多地位于網(wǎng)絡(luò)邊緣。作為服務(wù)交付的基于云計算的靈活防火墻可以保護這些邊緣。隨著邊緣計算的增長以及物聯(lián)網(wǎng)設(shè)備變得越來越智能和強大，這種功能將變得越來越重要。

將防火墻即服務(wù)(FWaaS)作為SASE平臺的一部分提供，可使企業(yè)更輕松地管理網(wǎng)絡(luò)安全，設(shè)置統(tǒng)一策略，發(fā)現(xiàn)異常，并快速進行更改。

云訪問安全代理

隨著越來越多的系統(tǒng)遷移到SaaS應(yīng)用程序，身份驗證和訪問變得越來越重要。

企業(yè)使用云訪問安全代理(CASB)來確保其安全策略被一致地應(yīng)用，即使服務(wù)本身不在其控制范圍之內(nèi)。

借助SASE，員工訪問企業(yè)系統(tǒng)所使用的門戶也是該員工訪問的所有云計算應(yīng)用程序(包括CASB)的門戶。流量不必在系統(tǒng)外部路由到單獨的云訪問安全代理(CASB)服務(wù)。

安全的Web網(wǎng)關(guān)

在當今的企業(yè)中，網(wǎng)絡(luò)流量很少局限于預(yù)先定義的范圍?，F(xiàn)代工作負載通常需要訪問外部資源，但是可能出于合規(guī)性原因拒絕員工訪問某些站點。此外，企業(yè)還希望阻止對網(wǎng)絡(luò)釣魚站點和僵尸網(wǎng)絡(luò)命令與控制服務(wù)器的訪問。

安全Web網(wǎng)關(guān)(SGW)保護企業(yè)免受威脅。提供這一功能的SASE供應(yīng)商應(yīng)該能夠檢查云計算規(guī)模的加密流量。將安全Web網(wǎng)關(guān)(SGW)與其他網(wǎng)絡(luò)安全服務(wù)捆綁在一起可提高可管理性，并允許更統(tǒng)一的安全策略集。

零信任網(wǎng)絡(luò)訪問

零信任網(wǎng)絡(luò)訪問使企業(yè)可以詳細地查看和控制訪問企業(yè)應(yīng)用程序和服務(wù)的用戶和系統(tǒng)。

零信任是一種相對較新的網(wǎng)絡(luò)安全方法，遷移到SASE平臺可以使企業(yè)獲得那些零信任功能。零信任的核心要素是安全性基于身份而不是IP地址。這使其更適合外出工作的人員，但需要更多級別的身份驗證，例如多因素身份驗證和行為分析。

其他技術(shù)可能是SASE的一部分

除了這五種核心功能之外，Gartner公司還推薦了SASE供應(yīng)商應(yīng)提供的其他一些技術(shù)。

它們包括Web應(yīng)用程序和API保護，遠程瀏覽器隔離以及網(wǎng)絡(luò)沙箱。此外還建議采取網(wǎng)絡(luò)隱私保護和流量分散的措施，這使得網(wǎng)絡(luò)攻擊者很難通過跟蹤其IP地址或在流量上進行竊聽來獲取企業(yè)資產(chǎn)。

其他可選功能包括Wi-Fi熱點保護，對傳統(tǒng)虛擬專用網(wǎng)的支持以及對離線邊緣計算設(shè)備或系統(tǒng)的保護。

對網(wǎng)絡(luò)和安全數(shù)據(jù)的集中訪問可以讓企業(yè)運行整體行為分析，發(fā)現(xiàn)在孤立系統(tǒng)中不明顯的威脅和異常。當這些分析作為基于云計算的服務(wù)提供時，將更容易包含更新的威脅數(shù)據(jù)和其他外部情報。

將所有這些技術(shù)放在SASE的保護傘下的最終目標是為企業(yè)提供靈活和一致的安全性、更好的性能、更低的復(fù)雜性，所有這些都以較低的總體擁有成本來實現(xiàn)。

企業(yè)應(yīng)該能夠獲得所需的規(guī)模，而不必雇用大量的網(wǎng)絡(luò)和安全管理員。

SASE服務(wù)提供商

Gartner公司的分析師指出，由于SASE是多種服務(wù)的結(jié)合體，因此實現(xiàn)這種混合的方式將有所不同。因此，他們無法提供完整的提供商列表，只匯總了已經(jīng)或希望提供SASE的供應(yīng)商列表：

• Akamai
• Cato Networks
• 思科
• Cloudflare
• Forcepoint
• McAfee
• Netskope
• Palo Alto Networks
• Proofpoint
• 賽門鐵克
• Versa
• VMware
• Zscaler

Gartner公司在介紹SASE提供商時表示，“主要的IaaS提供商(AWS、Azure和GCP)在SASE市場上還沒有更大競爭力，我們預(yù)計在未來五年內(nèi)，將有一家以上的提供商將著手解決SASE的大部分市場需求，因為他們都在擴展其邊緣網(wǎng)絡(luò)業(yè)務(wù)和安全能力。”

如何采用SASE

企業(yè)可能首先轉(zhuǎn)向混合方法，傳統(tǒng)的網(wǎng)絡(luò)和安全系統(tǒng)處理數(shù)據(jù)中心和分支機構(gòu)之間已有的連接。SASE將用于處理新的連接、設(shè)備、用戶和位置。

SASE不能解決網(wǎng)絡(luò)和安全問題，也不能防止未來的中斷，但是它可以使企業(yè)對中斷或危機做出更快的響應(yīng)，從而最大程度地降低對企業(yè)的影響。此外，SASE將使企業(yè)能夠更好地利用邊緣計算、5G、移動通信、人工智能等新技術(shù)。