一、概念

  • SASE 是一种基于实体的身份、实时上下 文、企业安全/合规策略,以及在整个会话中持续 评估风险/信任的服务
  • 实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。
  • SASE是一个融合了SD-WAN(软件定义广域网)和网络安全功能的新兴技术

二、企业IT现状及安全困境

  1. 企业IT现状
    • 企业应用云化,包括内部应用、外部应用
    • 业务场景边缘化,越来越多的数据处理和计算下沉到边缘节点完成
    • 办公场景多样化、移动办公、远程办公、总部/分支机构协同办公
    • 网络边界转变,企业服务、应用和数据越来越多处在多云、混合云、企业私有设备等
  2. 企业安全困境
    • 企业应用云化\边缘化后,企业IDC安全防护失灵了(安全防护、访问控制)
    • 企业应用云化后,本地IDC防护鞭长莫及
    • 企业无法将硬件防火墙、流量清晰、日志审计等安全设备部署在云端
    • 分布式介入后,企业无法对所有接入用户做统一的安全管控
    • 企业无法对多点接入提供单独的安全设备部署

三、SASE云安全架构

  1. SASE主要特征
    • 身份驱动:基于用户、设备等的身份决定访问权限以及服务质量、路由选择、风险控制
    • 云原生架构:SASE架构利用云的功能,包括弹性、自适应性、自恢复能力、自维护能力
    • 支持所有边缘:SASE为公司资源(数据中心、分公司、云资源、移动用户)创建了一个私有网络
    • 全球分布:为确保所有网络和安全功能随处可用,自身覆盖要全面,向企业交付低时延服务
  2. 业界主流观点及架构

    • SASE将网络控制置于云端边缘,而不是数据中心

    • SASE简化网络和安全服务,创建安全、无缝的网络边缘

    • 在边缘网络实施基于身份的零信任访问策略

    • 网络边界扩展到任何远程用户、分支机构、设备或应用程序

  3. SASE核心工作原理
    • SASE借助SD-WAN架构去集中化,将核心能力附加到边缘进行
    • SASE将软件定义广域网(SD-WAN)能力与多种安全功能整合,通过单以云平台统一交付和管理。
    • 安全Web网关(secure web gateway,SWG),从web流量种过滤非法内容、阻止未授权用户行为、执行公司安全策略。做到防止网络威胁和数据泄露
    • 云访问安全代理(cloud access security broker,CASB),为云托管服务执行多项安全功能,包括揭示影子IT(未授权系统),访问控制和数据丢失防护DLP保护机密数据
    • 防火墙即服务(firewall-as-a-service,FWaaS),指云端防火墙服务作为交付的物,FWaaS是一组安全能力,包括URL过滤、入侵防御、流量统一策略控制
    • 零信任网络访问(zero trust network access,ZTNA),对资源精细化授权、持续评估风险、动态访问控制
    • 远程浏览器隔离(remote browser isolation,RBI),让浏览器运行在云端沙箱里

四、SASE实践方案

  1. SASE能力架构方案

    • 安全云管控平台和安全资源池(即插即用可视化、网络优化、安全管控)

    • 管控平台能够提供安全服务化、流量编排、策略管理、计量计费、态势呈现等

    • 平台通过对了的界面实现安全组件的资源管理、策略管理、资源监控、计量计费、服务模板、工单流转、运营和运维大屏

  2. SASE系统架构方案

    • 统一云安全一体化管控平台:对集中化安全能力池和边缘接入点安全能力池的集中调度管理
    • 集中化安全能力池:监控、检测、审计等能力服务化
    • 边缘接入POP端安全能力池:安全网关作为集中安全能力池的延申,对边缘接入流量分析检测

  3. SASE安全资源池服务编排方案

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PHLgqHcJ-1687785224340)(C:\Users\xpc\AppData\Roaming\Typora\typora-user-images\image-20230504172338129.png)]
云租户访问流量分析与防护、全流量镜像给态势感知平台进行威胁检测

  • 安全管控平台实现安全产品的纳管,对软硬件拉起、调度、编排、策略管理、计量计费、报表、统一运维、数据运营等
  • 防火墙、负载均衡和交换机双击部署,提高可靠性
  • 规划独立安全资源池,虚拟化安全网元(堡垒机、WAF、数据库审计)采用虚拟机接入租户业务网络
  • 安全管控平台对安全资源池的网元纳管、安全日志发送给态势感知

  1. SASE组网拓扑

    • 接入企业通过边缘网关接入交换中心,边缘网关提供安全防护

    • 中小企业简化组网:中小企业可以直接接入边缘网关,或SD-WAN接入

    • 多边缘节点统一安全纳管:管控平台对全网安全设备统一纳管,实现全网能力可视、资源可视、安全状态可视

    • 运维审计能力集中上收:

    • 边缘安全网关流量防护:

  2. SASE核心能力

    • 灵活接入:为分布式用户、场所提供随时随地的灵活接入
    • 跨地加速:凭借SD-WAN核心优势,将网络控制平面与数据平面分离,实现网络加速
    • 身份驱动:融合零信任理念,将身份作安全策略的上下文因素,通过用户、设备、时间、场地、应用和数据,实现对网络服务质量、路由选择、风险控制的细粒度落地
    • 按需安全:云原生安全能力与网络能力融合,根据用户实际需要 提供满足监管需求
    • 持续运营:为用户提供持续的态势感知、事件检测、威胁分析、情报管理、同胞预警、应急处置等服务能力

五、SASE能力验证

  1. 统一管控能力验证
  2. 零信任内网访问管控能力验证:基于动态身份认证,支持端到端TCP,端到应用的最小权限访问
  3. 入侵检测与防御能力验证:云防火墙内置 威胁检测引擎,对恶意流量,常规攻击行为实时阻断和拦截
  4. 精细化访问控制能力验证