?什么是SASE？

安全訪問服務(wù)邊緣 (SASE) 是一種基于云的 IT 模型，它將軟件定義的網(wǎng)絡(luò)與網(wǎng)絡(luò)安全功能捆綁在一起，并由單一服務(wù)提供商提供。全球研究和咨詢公司Gartner在 2019 年創(chuàng)造了“SASE”一詞。

SASE 方法可以更好地控制和查看訪問公司網(wǎng)絡(luò)的用戶、流量和數(shù)據(jù)——這對于現(xiàn)代的全球分布式組織來說至關(guān)重要。使用 SASE 構(gòu)建的網(wǎng)絡(luò)靈活且可擴(kuò)展，能夠通過任何設(shè)備連接全球分布的員工和辦公室。

SASE 包含哪些安全功能？?

SASE 將軟件定義的廣域網(wǎng) ( SD-WAN ) 功能與大量網(wǎng)絡(luò)安全功能相結(jié)合，所有這些功能均由單一云平臺提供。通過這種方式，SASE 使員工能夠從任何地方進(jìn)行身份驗(yàn)證并安全地連接到內(nèi)部資源，并使組織能夠更好地控制進(jìn)出其內(nèi)部網(wǎng)絡(luò)的流量和數(shù)據(jù)。

SASE 包括四個(gè)核心安全組件：

1.安全 Web 網(wǎng)關(guān) (SWG)：SWG 通過從 Web 流量中過濾不需要的內(nèi)容、阻止未經(jīng)授權(quán)的用戶行為以及執(zhí)行公司安全策略來防止網(wǎng)絡(luò)威脅和數(shù)據(jù)泄露。SWG 可以部署在任何地方，使其成為保護(hù)遠(yuǎn)程勞動力的理想選擇。

2.云訪問安全代理 (CASB)：CASB 為云托管服務(wù)執(zhí)行多種安全功能，包括揭示影子 IT （未經(jīng)授權(quán)的公司系統(tǒng)）、通過訪問控制和數(shù)據(jù)丟失防護(hù) (DLP)保護(hù)機(jī)密數(shù)據(jù)，以及確保遵守?cái)?shù)據(jù)隱私規(guī)定。

3.零信任網(wǎng)絡(luò)訪問 (ZTNA)：ZTNA 平臺將內(nèi)部資源鎖定在公眾視野之外，并通過要求對每個(gè)受保護(hù)應(yīng)用程序的每個(gè)用戶和設(shè)備進(jìn)行實(shí)時(shí)驗(yàn)證來幫助防御潛在的數(shù)據(jù)泄露。

4.防火墻即服務(wù) (FWaaS)： FWaaS 是指從云端作為服務(wù)提供的防火墻。FWaaS 保護(hù)基于云的平臺、基礎(chǔ)設(shè)施和應(yīng)用程序免受網(wǎng)絡(luò)攻擊。與傳統(tǒng)防火墻不同，F(xiàn)WaaS 不是物理設(shè)備，而是一組安全功能，包括URL 過濾、入侵防御和跨所有網(wǎng)絡(luò)流量的統(tǒng)一策略管理。

根據(jù)供應(yīng)商和企業(yè)的需求，這些核心組件可能與其他安全服務(wù)捆綁在一起，包括 Web 應(yīng)用程序和API保護(hù) (WAAP)、遠(yuǎn)程瀏覽器隔離或 Wi-Fi 熱點(diǎn)保護(hù)。

SASE 框架有哪些優(yōu)點(diǎn)？

與傳統(tǒng)的、基于數(shù)據(jù)中心的網(wǎng)絡(luò)安全模型相比，SASE 具有多項(xiàng)優(yōu)勢：

?基于身份的零信任網(wǎng)絡(luò)訪問。SASE 在很大程度上依賴于零信任安全模型，該模型不會授予用戶訪問應(yīng)用程序和數(shù)據(jù)的權(quán)限，直到他們的身份得到驗(yàn)證——即使他們已經(jīng)在專用網(wǎng)絡(luò)的邊界內(nèi)。在建立訪問策略時(shí)，SASE 方法不僅僅考慮實(shí)體的身份；它還考慮了用戶位置、一天中的時(shí)間、企業(yè)安全標(biāo)準(zhǔn)、合規(guī)策略以及對風(fēng)險(xiǎn)/信任的持續(xù)評估等因素。

?阻止對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊。SASE 的防火墻和 CASB 組件有助于防止外部攻擊（如DDoS 攻擊和漏洞利用）進(jìn)入并破壞內(nèi)部資源。SASE 方法可以保護(hù)本地網(wǎng)絡(luò)和基于云的網(wǎng)絡(luò)。

?防止惡意活動。通過過濾 URL、DNS 查詢和其他傳出和傳入的網(wǎng)絡(luò)流量，SASE 有助于防止基于惡意軟件的攻擊、數(shù)據(jù)泄露和對公司數(shù)據(jù)的其他威脅。

?簡化實(shí)施和管理。SASE 將單點(diǎn)安全解決方案合并到一個(gè)基于云的服務(wù)中，使企業(yè)能夠與更少的供應(yīng)商交互，并花費(fèi)更少的時(shí)間、金錢和內(nèi)部資源來配置物理基礎(chǔ)設(shè)施。

?簡化策略管理。SASE 不是為單獨(dú)的解決方案處理多個(gè)策略，而是允許組織從單個(gè)門戶跨所有位置、用戶、設(shè)備和應(yīng)用程序設(shè)置、調(diào)整和實(shí)施訪問策略。

?延遲優(yōu)化的路由。SASE 通過在全球邊緣網(wǎng)絡(luò)中路由網(wǎng)絡(luò)流量來幫助減少延遲，在該網(wǎng)絡(luò)中，流量在盡可能靠近用戶的地方進(jìn)行處理。路由優(yōu)化可以幫助根據(jù)網(wǎng)絡(luò)擁塞和其他因素確定最快的網(wǎng)絡(luò)路徑。

SASE 與傳統(tǒng)網(wǎng)絡(luò)相比如何？?

在傳統(tǒng)的網(wǎng)絡(luò)模型中，數(shù)據(jù)和應(yīng)用程序位于核心數(shù)據(jù)中心。為了訪問這些資源，用戶、分支機(jī)構(gòu)和應(yīng)用程序從本地專用網(wǎng)絡(luò)或輔助網(wǎng)絡(luò)連接到數(shù)據(jù)中心，輔助網(wǎng)絡(luò)通常通過安全租用線路或VPN連接到主要網(wǎng)絡(luò)。

事實(shí)證明，這種模式不足以應(yīng)對由軟件即服務(wù) (SaaS)等基于云的服務(wù)和分布式勞動力的興起帶來的復(fù)雜性。如果應(yīng)用程序和數(shù)據(jù)托管在云中，則通過集中式數(shù)據(jù)中心重新路由所有流量不再可行。

相比之下，SASE 將網(wǎng)絡(luò)控制置于云邊緣——而不是企業(yè)數(shù)據(jù)中心。SASE 不是需要單獨(dú)配置和管理的分層云服務(wù)，而是簡化網(wǎng)絡(luò)和安全服務(wù)以創(chuàng)建安全的網(wǎng)絡(luò)邊緣。在邊緣網(wǎng)絡(luò)上實(shí)施基于身份的零信任訪問策略允許企業(yè)將其網(wǎng)絡(luò)邊界擴(kuò)展到任何遠(yuǎn)程用戶、分支機(jī)構(gòu)、設(shè)備或應(yīng)用程序。

組織如何實(shí)施 SASE?

許多組織采用零散的方法來實(shí)施 SASE。事實(shí)上，有些人可能已經(jīng)在不知不覺中采用了某些 SASE 元素。組織可以采取的全面采用 SASE 模型的關(guān)鍵步驟包括：

1.保護(hù)遠(yuǎn)程勞動力

2.將分支機(jī)構(gòu)置于云邊界之后

3.將 DDoS 保護(hù)移動到邊緣

4.將自托管應(yīng)用程序遷移到云端

5.用統(tǒng)一的云原生策略實(shí)施取代安全設(shè)備?