SASE也是一種網絡架構,可將軟件定義廣域網(SD-WAN)和安全性集成到云計算服務中,從而保證簡化的WAN部署、提高效率和安全性,并為每個應用程序提供適當的帶寬。
由于SASE是一項云計算服務,因此可以輕松地按比例放大和縮小并進行計費。因此,在快速變化的時代,這可能是一個有吸引力的選擇。
盡管這一領域的一些供應商提供硬件設備,以便在家中遠程工作的員工和企業的數據中心連接到其SASE網絡,但大多數供應商通過軟件客戶端或虛擬設備來處理連接。
調研機構Gartner公司創建了SASE這一術語,并在2019年的白皮書中對其進行了首次描述,闡述了其目標以及SASE實施的情況。該公司指出,SASE仍在開發中,其有些功能還不能采用。
什么是SASE?
簡而言之,SASE將SD-WAN功能與安全性相結合,并將其作為服務交付。根據以下四個因素,針對用戶會話實施的安全策略將為每個會話量身定制:
•連接組織的身份
•場景(設備的健康狀況和行為、所訪問資源的敏感性)
•安全和合規政策
•進行風險評估。
SASE的WAN端依賴于由組織提供的功能,這些實體包括SD-WAN提供商、運營商、內容交付網絡、網絡即服務提供商、帶寬聚合器和網絡設備供應商。
安全方面依靠云訪問安全代理、云安全Web網關、零信任網絡訪問、防火墻即服務、Web API保護即服務、DNS和遠程瀏覽器隔離。
Gartner公司表示,在理想情況下,所有這些功能都是由單個實體作為SASE服務提供的,并將其整合在一起。
邊緣在哪里?
SASE的“邊緣”部分通常通過PoP或靠近端點的供應商數據中心(數據中心、人員和設備)傳遞,無論它們位于何處。在某些情況下,SASE供應商擁有PoP,而在另一些情況下,它使用第三方或希望客戶提供自己的連接性。
SASE的好處
因為SASE是一項服務,所以降低了復雜性和成本。企業可以與更少的供應商打交道,減少分支機構和其他遠程位置所需的硬件數量,也會減少最終用戶設備上的代理數量。
IT管??理人員可以采用基于云計算的管理平臺集中設置策略,并在靠近最終用戶的分布式PoP上實施策略。
無論最終用戶需要什么資源,以及自身和資源位于何處,他們都具有相同的訪問體驗。SASE還通過對用戶基于初始登錄請求的任何資源采用適當的策略來簡化身份驗證過程。而安全性得到了提高,因為無論用戶位于何處,策略都會得到執行。當新的威脅出現時,服務提供商解決了如何防范這些威脅的問題,而對企業不會提出新的硬件要求。
SASE支持零信任網絡,它基于用戶、設備和應用程序的訪問,而不是位置和IP地址。更多類型的最終用戶(員工、合作伙伴、承包商、客戶)可以獲得訪問權限,而不必擔心傳統安全性(例如VPN和DMZ)可能受到損害并成為潛在的企業廣泛攻擊的橋頭堡。
SASE可以提供不同的服務質量,因此每個應用程序都可以獲得所需的帶寬和網絡響應能力。
借助SASE,企業IT人員可以減少與部署、監視和維護相關的雜務,并且可以分配更高級別的任務。
SASE面臨的挑戰
Gartner公司列出了采用SASE面臨的一些挑戰:例如,最初可能會短缺某些服務,因為這些服務是由具有網絡或安全背景的提供商提供的,而另外一些提供商則缺乏專業知識。
最初的SASE產品可能沒有以云原生的思維方式設計,因為供應商的傳統經驗是在出售內部部署硬件,因此他們可能會選擇基礎設施專用于客戶的架構。
同樣,一些傳統硬件供應商可能缺乏SASE所需的在線代理的經驗,因此他們可能會遇到成本和性能問題。一些傳統供應商可能還缺乏評估場景的經驗,這可能會限制他們做出場景感知決策的能力。
由于SASE的復雜性,重要的是提供商必須具有良好的集成功能,而不是拼湊在一起的功能。對于某些SASE提供商來說,在全球范圍內擴展PoP的成本可能會很高。這可能會導致所有位置的性能不平衡,因為某些站點可能距離最近的PoP較遠,從而導致延遲。
SASE終結點代理必須與其他代理集成,以簡化部署。SASE的過渡可能會給IT人員帶來壓力。隨著SASE跨網絡和安全團隊的擴展,其競爭可能會加劇。而企業采用SASE可能需要對IT員工進行再培訓,以掌握新技術。
為什么需要SASE?
Gartner公司的分析師表示,更多的傳統企業如今將其功能托管在內部部署數據中心之外,而不是托管在IaaS提供者的云平臺、SaaS應用程序和云存儲中。物聯網和邊緣計算的需求只會增加對基于云計算的資源的依賴,而WAN安全架構仍然是為企業內部數據中心量身定做的。
遠程用戶通常通過VPN連接,并且需要在每個位置或單個設備上使用防火墻。傳統模型要求它們通過集中安全性進行身份驗證,以授予訪問權限,但也可以通過這一中心位置路由流量。這種傳統架構受到復雜性和延遲的阻礙。
借助SASE,最終用戶和設備可以通過身份驗證并獲得對其授權訪問的所有資源的安全訪問,這些資源可以受到安全保護。一旦經過身份驗證,它們就可以直接訪問資源,從而解決延遲問題。
Gartner公司分析師Nat Smith表示,SASE不僅僅是一種理念和方向,還是一種功能清單。但他表示,總體而言,SASE由五種主要技術組成:SD-WAN、防火墻即服務(FWaaS)、云訪問安全代理(CASB)、安全web網關,以及零信任網絡訪問。
集成SD-WAN
傳統上,WAN由獨立的基礎設施組成,通常企業需要在硬件上進行大量投資。
SASE版本全部基于云計算,由軟件定義和管理,并具有分布式PoP,在理想情況下,分布式PoP位于企業數據中心、分支機構、設備和員工附近。許多PoP對于確保盡可能多的企業流量直接訪問SASE網絡,避免公共互聯網的延遲和安全性問題至關重要。
通過這一服務,客戶可以監視網絡的運行狀況,并為他們的特定流量要求設置策略。
由于來自公共互聯網的流量首先通過提供商的網絡,因此SASE可以檢測到危險流量,并在到達企業網絡之前進行干預。例如,可以在SASE網絡中緩解DDoS攻擊,從而使客戶免受惡意流量泛濫的影響。
防火墻即服務
在當今的分布式環境中,用戶和計算資源都越來越多地位于網絡邊緣。作為服務交付的基于云計算的靈活防火墻可以保護這些邊緣。隨著邊緣計算的增長以及物聯網設備變得越來越智能和強大,這種功能將變得越來越重要。
將防火墻即服務(FWaaS)作為SASE平臺的一部分提供,可使企業更輕松地管理網絡安全,設置統一策略,發現異常,并快速進行更改。
云訪問安全代理
隨著越來越多的系統遷移到SaaS應用程序,身份驗證和訪問變得越來越重要。
企業使用云訪問安全代理(CASB)來確保其安全策略被一致地應用,即使服務本身不在其控制范圍之內。
借助SASE,員工訪問企業系統所使用的門戶也是該員工訪問的所有云計算應用程序(包括CASB)的門戶。流量不必在系統外部路由到單獨的云訪問安全代理(CASB)服務。
安全的Web網關
在當今的企業中,網絡流量很少局限于預先定義的范圍。現代工作負載通常需要訪問外部資源,但是可能出于合規性原因拒絕員工訪問某些站點。此外,企業還希望阻止對網絡釣魚站點和僵尸網絡命令與控制服務器的訪問。
安全Web網關(SGW)保護企業免受威脅。提供這一功能的SASE供應商應該能夠檢查云計算規模的加密流量。將安全Web網關(SGW)與其他網絡安全服務捆綁在一起可提高可管理性,并允許更統一的安全策略集。
零信任網絡訪問
零信任網絡訪問使企業可以詳細地查看和控制訪問企業應用程序和服務的用戶和系統。
零信任是一種相對較新的網絡安全方法,遷移到SASE平臺可以使企業獲得那些零信任功能。零信任的核心要素是安全性基于身份而不是IP地址。這使其更適合外出工作的人員,但需要更多級別的身份驗證,例如多因素身份驗證和行為分析。
其他技術可能是SASE的一部分
除了這五種核心功能之外,Gartner公司還推薦了SASE供應商應提供的其他一些技術。
它們包括Web應用程序和API保護,遠程瀏覽器隔離以及網絡沙箱。此外還建議采取網絡隱私保護和流量分散的措施,這使得網絡攻擊者很難通過跟蹤其IP地址或在流量上進行竊聽來獲取企業資產。
其他可選功能包括Wi-Fi熱點保護,對傳統VPN的支持以及對離線邊緣計算設備或系統的保護。
對網絡和安全數據的集中訪問可以讓企業運行整體行為分析,發現在孤立系統中不明顯的威脅和異常。當這些分析作為基于云計算的服務提供時,將更容易包含更新的威脅數據和其他外部情報。
將所有這些技術放在SASE的保護傘下的最終目標是為企業提供靈活和一致的安全性、更好的性能、更低的復雜性,所有這些都以較低的總體擁有成本來實現。
企業應該能夠獲得所需的規模,而不必雇用大量的網絡和安全管理員。
SASE服務提供商
Gartner公司的分析師指出,由于SASE是多種服務的結合體,因此實現這種混合的方式將有所不同。因此,他們無法提供完整的提供商列表,只匯總了已經或希望提供SASE的供應商列表:
•Akamai
•Cato Networks
•思科
•Cloudflare
•Forcepoint
•McAfee
•Netskope
•Palo Alto Networks
•Proofpoint
•賽門鐵克
•Versa
•VMware
•Zscaler
Gartner公司在介紹SASE提供商時表示,“主要的IaaS提供商(AWS、Azure和GCP)在SASE市場上還沒有更大競爭力,我們預計在未來五年內,將有一家以上的提供商將著手解決SASE的大部分市場需求,因為他們都在擴展其邊緣網絡業務和安全能力。”
如何采用SASE
企業可能首先轉向混合方法,傳統的網絡和安全系統處理數據中心和分支機構之間已有的連接。SASE將用于處理新的連接、設備、用戶和位置。
SASE不能解決網絡和安全問題,也不能防止未來的中斷,但是它可以使企業對中斷或危機做出更快的響應,從而最大程度地降低對企業的影響。此外,SASE將使企業能夠更好地利用邊緣計算、5G、移動通信、人工智能等新技術。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號