什么是 SASE? SASE(安全接入服务边缘)是由 Gartner 定义的。
网络安全功能并不新鲜,SD-WAN 对业界来说也不新鲜。
SASE 以云服务的形式提供这些功能。
简单地说,SASE结合了SD-WAN、网络安全功能,并以云服务的形式提供。
SD-WAN 提供商通过地理分布 PoP 基础设施为在不同地点拥有多个办事处的企业提供确定性和可靠的连接。
SD-WAN 服务还提供基于 VPN 的安全远程访问,将 WFH(在家办公)和漫游用户连接到企业网络。
许多 SD-WAN 服务还包括防火墙和 NAT 等基本安全组件。
将威胁防护功能(下一代防火墙、反恶意软件、URL 过滤和数据丢失防护功能)与SD-WAN结合起来保护各种企业资产,可为企业带来多种好处
这些优势包括:减少网络基础设施的复杂性,随着企业网站、云服务、SaaS 服务、分布式员工的变化而更快地升级/降级,以及随着企业应用负载的增加而更快地扩展。
企业管理员还可通过单一窗口进行策略管理和观察。
网络和安全的分布式执行点为用户和应用提供一致和确定的体验,无论他们身在何处。 SASE 是什么? 下图提供了 SASE 的综合视图。
SASE 服务位于客户实体和企业应用程序/数据资产之间。
客户可以是人类客户、设备和程序。
客户可以在任何地方。
进行数字化转型的企业应用程序和数据不仅限于企业内部位置和 Colos。
出于弹性、冗余、低延迟和监管方面的考虑,企业正在多个地区和多个云中部署应用程序。
企业还越来越多地使用 SaaS 服务,这些服务也部署在多个地点。
由于客户和服务可在任何地方使用,SASE 服务也可作为分布式服务提供,但当然需要一个共同的管理平面。
SASE 的主要组成部分包括SD-WAN:SD-WAN 通过多个具有集中管理功能的 PoP,在办公室和数据中心之间提供安全、优化、确定、可靠的连接。
SD-WAN 服务正变得越来越智能。
它们不再具备替代 MPLS 的基本功能,还能提供用户和应用感知路由/QoS、通过智能路由加速 SaaS、为低延迟访问冗余数据而进行广域网优化和缓存,甚至还能提供 NAT、防火墙和 VPN 等基本安全服务。下一代防火墙(NGFW):它是任何类型访问的基础安全技术。
它通常提供 NAT、状态检测和 IDS/IPS(入侵检测和防御系统)服务。
为满足零信任要求,SASE 架构中的 NGFW 预计将支持身份感知访问功能。零信任网络访问(ZTNA):ZTNA 功能可保护企业应用和相关数据。
SD-WAN 服务通过 VPN 和状态检测防火墙实现了基本的 ZTNA 功能。
在 SASE 架构中,这还不足以称之为 ZTNA。
ZTNA 功能包括身份感知应用程序访问、基于用户角色的应用程序细粒度访问以实现 “最小权限访问 “原则、跨云和数据中心的应用程序多实例流量工程、关键服务的权限访问管理等。
与众不同的 ZTNA 框架通过 WAF(Web 应用程序防火墙)、API 安全性、DLP(数据丢失防护)和反恶意软件功能来增强威胁防护,并阻止任何数据外流企图。云访问安全代理(CASB):CASB 功能可确保真正的用户访问允许的资源,从而保护 SaaS 服务中的企业数据。
更重要的是,它提供了用户和被访问资源的可见性。
CASB 还有助于阻止对未经许可的 SaaS 网站的访问。
由于 CASB 阻挡了流量,它们还能识别任何影子 IT 访问,并识别企业账户和个人账户之间是否存在任何数据泄漏。
有些 SaaS 供应商不建议使用内联安全。
为了满足企业对这些 SaaS 服务的安全要求,预计 SASE 解决方案中将包含 API 级 CASB。 应用程序接口级 CASB 与 SaaS 提供商的应用程序接口协同工作,以自动执行权限并扫描内容,防止任何恶意软件和数据(敏感信息、PII)泄漏。安全 Web 网关(SWG):SWG 功能可在访问互联网时保护企业客户端资产。
它能阻止用户访问恶意软件的不良网站和窃取密码的社交工程网站。
它还能阻止用户下载或上传恶意软件内容。
SWG 通过 URL 恶意软件过滤和反恶意软件功能来实现这一点。
SWG 还提供基于身份的 URL 过滤功能,根据用户组/角色提供有区别的互联网服务访问。统一 SASE多种安全功能和 SD-WAN 的真正融合对于企业获得 SASE 的全部优势至关重要。
SASE 解决方案最初是在 SD-WAN 基础设施上提供多种安全功能的松散耦合。
虽然企业认为一个供应商就能提供 SASE 的所有功能,但这种分解式解决方案方法(”分解式 SASE”)面临着一些挑战:

  • 多个策略配置仪表板:这可能导致重复配置和陡峭的学习曲线,从而可能导致配置错误。
  • 多种可观察性堆栈:缺乏端到端可观察性和相关性会导致遗漏事件和事件响应缓慢。
  • 代理链带来的性能挑战:多个代理会导致多个 TCP/TLS 终止、验证和多跳。
    这会导致更高的延迟和更低的吞吐量,影响用户体验。
  • 多个 PoP 的性能挑战:不同 PoP 中的安全功能和 SD-WAN 可能会导致流量的 PoP 跳转,从而因 PoP 跳转带来的较高延迟而导致用户体验问题。

统一 SASE 是与应对上述挑战的供应商相关联的术语。
统一 SASE 能够

  • 真正的单层玻璃,兼顾配置和可观察性
  • 跨 SD-WAN 功能和安全功能的通用网络/服务/应用/用户对象。
  • 对于 SD-WAN 功能和安全功能,特定流量会话只通过一个 PoP。
  • 只检查一次 TLS 流量。
  • 跨 SD-WAN 和安全功能的特定会话单通道架构。
  • 减少对 SASE 本身的攻击面

从而为企业带来更好的用户体验、更低的成本和更高的信任度。
同样重要的是要明白,SASE 提供商可能无法独立开发所有安全功能。
技术合作是关键,因为有些供应商只专注于少数安全功能。
SASE 提供商的职责是与合作伙伴进行深入的技术合作,全面创建解决方案,以实现 “统一 SASE “愿景。通用 SASESASE 的 “边缘 “部分是 SASE 提供商的一组 PoP 位置或 SASE 不同安全功能提供商的一组多个 PoP/云。
这是一种分布式架构,即 PoP 点分布在全球各地,每个 PoP 点部署的 SASE 功能使 SASE 成为分布式的。
尽管如此,目前提供 SASE 的方式并不能很好地覆盖所有流量会话。
它能很好地覆盖客户与互联网和企业资源之间通过广域网传输的流量。
想想这些流量。
SASE 提供商没有很好地解决这些问题。

  • 客户端实体和应用服务实体位于同一数据中心/VPC 时的流量会话。
  • Kubernetes 集群内跨微服务的流量会话。
  • 通过云提供商广域网服务的跨 VPC 流量。
  • 来自 5G 移动用户和边缘应用的流量会话。

网络自动化和安全执行要么由其他机制负责,要么将流量固定在 SASE PoPs 上。
在第一种情况下,统一性会丧失,而在第二种情况下,用户体验可能会受到挑战。
因此,需要通用 SASE。
SASE 服务不应仅限于 PoP 位置。
企业希望以统一的方式为所有流量会话提供通用网络和安全服务。
通用 SASE 需要通过云提供的管理和可观察性平台实现云原生分布式数据平面。小结:SASE 之旅始于 2019 年。
虽然 “第一代 “SASE 以松散耦合的 SD-WAN 和安全功能开始,但这一旅程将导致统一和通用的 SASE,为拥有分布式劳动力和分布式应用部署的企业实现真正的零信任架构。
我们Aryaka正走在这条路上。如果您想了解更多信息,请与我们联系其他资源Dell’Oro Group 报告:统一 SASE:单一供应商 SASE 的注意事项

  • CTO Insights 博客

    Aryaka CTO Insights博客系列提供有关网络、安全和SASE主题的思想领导。
    有关Aryaka产品规格,请参阅Aryaka数据表。