天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、CDN、云电脑、大数据及AI等全线产品和场景化解决方案。
分类: 网络与安全
2023-07-06 17:52:18
SASE(secure access service edge安全访问服务边缘):是一种安全框架,结合了软件定义广域网 (SD-WAN) ,零信任等网络安全技术的的分布式安全解决方案。
从技术而言,SASE其实是一种基于实体的身份(实体的身份识别可以包括人、组织、设备、应用、服务、IOT 系统或者边缘计算位置等等),结合实时上下文(这些上下文来源包括:用户使用的设备身份、日期、风险/信任评估、场地、正在访问的应用或数据的灵敏度)、企业安全/合规策略,在整个会话中持续评估风险/信任的服务。
企业之所以这么重视SASE,还因为它的“安全”功能。SASE的核心是身份,它是基于身份的访问决策。再具体点讲,SASE所提到的“身份”包括登录账户、所在的位置、设备、时间等多个因素,即身份是访问决策的中心,而不再是企业数据中心。
而且,SASE{BANNED}最佳终目标就是使得企业能够更加容易实现安全的云环境。通过将所有的安全设备包括Web 安全网关、云访问安全代理、DNS、零信任网络访问、防火墙等部署在云端,以一个安全的全球SD-WAN(软件定义广域网)服务进行统一管理,统一运维,从而降低网络安全的复杂性。
例如,无论在传统办公、远程办公等办公场景下,还是在业务防护场景下,SASE都可以通过多种方式将要防护的流量引导到距离{BANNED}最佳终实体位置{BANNED}最佳近的POP 点(接入点)上做安全策略处理,实现企业安全办公、业务安全,保护企业数据资产安全,且不影响办公效率。
SASE的核心是身份,即身份是访问决策的中心,这个和零信任架构也比较相似。用户,设备,服务的身份是策略中{BANNED}最佳重要的上下文因素之一,其他因素还包括访问地点,时间等。
SASE体系架构由两个核心组件组成:SASE云充当网络和安全功能的聚合器。SASE边缘连接器将流量从物理,云和设备边缘驱动到SASE云处理。
POP结构:核心云网络,由地理上分布的POPS组成,每个POP运行多个服务器,在所有流量上应用路由,加密,优化,高/级安全服务。
POPS的设计日志为了处理大量的流量,通过扩展服务器可以扩展处理能力。
如果POP服务器失效,则受影响边缘自动重新连接到同一个POP的可用服务器,如果一个POP完全失效,受影响边缘将连接到{BANNED}最佳近可用的POP。无论企业资源连接到哪个POP,云始终维护一个一致的逻辑企业网络,POP内置抗DDOS,深度包检测,TLS检测,以提高POP节点的安全和稳定。
简而言之,SASE的理念就是借助SD-WAN搭建起来的分布式云服务,将核心安全能力下沉到边缘进行处理,以满足业务快速安全的访问需求。
SASE区别于SD-WAN,并非着重于将分支机构连接到中央网络,而是专注于将各个端点(分支机构,移动终端)连接到服务边缘,服务边缘由运行SASE软件堆栈的分布式POP网络组成,此外SASE着重于固有的安全性。
SASE与SDWAN的差异主要在三类:与云的关系,安全性,如何进行流量检测。
与云的关系:SASE使用私有数据中心,公共云(公有云),或者托管设施作为pop(point of presense),这些pop形成了SASE堆栈运行的服务边缘。此外,这些pop通常位于公共云中,或者靠近公共云网关,以实现对云资源的低延迟安全访问。无论哪个节点都有足够的资源来满足用户的请求。SASE软件可以确定流量到达其端点使用的{BANNED}最佳/佳路径。
与SDWAN以数据中心为中心的架构不同,SASE采用的分布式架构。因为云服务被越来越多使用时,单一的私有数据中心作为网络焦点会导致效率低下。
安全性:安全是SASE和SDWAN竞争的关键因素。SASE的重点是为网络及其用户提供对分布式资源的安全访问,这些资源可以分布在私有数据中心,云上。SDWAN技术并不是以安全为重点,安全性通常是辅助功能。虽然一些SDWAN也集成了安全解决方案,但是这也只是少数。
流量检查:SASE中,流量一次可以被多个策略引擎检查,引擎并行工作,而不是在引擎之间传递流量,节约时间。SDWAN则采用服务链进行一个一个检查,效率比较低,而且容易形成单点故障。
总之,SASE专注于提供云原生安全工具,并以云为网络中心。SDWAN专注于将分支连接到中央总部和数据中心,当前也可以连接到云。
SASE将广域网功能和网络安全融合在一起,对于接入的终端设备,需要有agent来进行基于策略的访问控制,对于分支机构,需要本地部署的设备具备智能选路的功能。
SASE服务提供商一般在全球有多个POP节点,企业无需购买硬件(不需要购买安全硬件,但是本地需要部署SASE边缘连接器才能接入SASE服务),即可使用防火墙,终端安全,身份认证,上网行为管理服务,内网安全接入服务(云VPN),威胁检测等服务。这些安全服务都是部署在全球各地的POP节点上。分支机构,总部,移动终端通过POP节点后,再访问互联网,公有云,私有云等环境,保护企业的数据安全。
SASE是端到端安全,SASE平台上的所有通信都是加密的。包括解密,防火墙,URL过滤,反恶意软件等功能都被集成在SASE中,并且对所有连接的边缘都可用。
但是SASE的建设成本很高,不是一般组织能够承建的,有报告指出,为了实现低延迟随时随地访问云服务,承建企业需要具有全球POP点和对等连接的SASE产品。