一、概念
- SASE 是一种基于实体的身份、实时上下 文、企业安全/合规策略,以及在整个会话中持续 评估风险/信任的服务
- 实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。
- SASE是一个融合了SD-WAN(软件定义广域网)和网络安全功能的新兴技术
二、企业IT现状及安全困境
- 企业IT现状
- 企业应用云化,包括内部应用、外部应用
- 业务场景边缘化,越来越多的数据处理和计算下沉到边缘节点完成
- 办公场景多样化、移动办公、远程办公、总部/分支机构协同办公
- 网络边界转变,企业服务、应用和数据越来越多处在多云、混合云、企业私有设备等
- 企业安全困境
- 企业应用云化\边缘化后,企业IDC安全防护失灵了(安全防护、访问控制)
- 企业应用云化后,本地IDC防护鞭长莫及
- 企业无法将硬件防火墙、流量清晰、日志审计等安全设备部署在云端
- 分布式介入后,企业无法对所有接入用户做统一的安全管控
- 企业无法对多点接入提供单独的安全设备部署
三、SASE云安全架构
- SASE主要特征
- 身份驱动:基于用户、设备等的身份决定访问权限以及服务质量、路由选择、风险控制
- 云原生架构:SASE架构利用云的功能,包括弹性、自适应性、自恢复能力、自维护能力
- 支持所有边缘:SASE为公司资源(数据中心、分公司、云资源、移动用户)创建了一个私有网络
- 全球分布:为确保所有网络和安全功能随处可用,自身覆盖要全面,向企业交付低时延服务
- 业界主流观点及架构
SASE将网络控制置于云端边缘,而不是数据中心
SASE简化网络和安全服务,创建安全、无缝的网络边缘
在边缘网络实施基于身份的零信任访问策略
网络边界扩展到任何远程用户、分支机构、设备或应用程序
- SASE核心工作原理
- SASE借助SD-WAN架构去集中化,将核心能力附加到边缘进行
- SASE将软件定义广域网(SD-WAN)能力与多种安全功能整合,通过单以云平台统一交付和管理。
- 安全Web网关(secure web gateway,SWG),从web流量种过滤非法内容、阻止未授权用户行为、执行公司安全策略。做到防止网络威胁和数据泄露
- 云访问安全代理(cloud access security broker,CASB),为云托管服务执行多项安全功能,包括揭示影子IT(未授权系统),访问控制和数据丢失防护DLP保护机密数据
- 防火墙即服务(firewall-as-a-service,FWaaS),指云端防火墙服务作为交付的物,FWaaS是一组安全能力,包括URL过滤、入侵防御、流量统一策略控制
- 零信任网络访问(zero trust network access,ZTNA),对资源精细化授权、持续评估风险、动态访问控制
- 远程浏览器隔离(remote browser isolation,RBI),让浏览器运行在云端沙箱里
四、SASE实践方案
SASE能力架构方案
安全云管控平台和安全资源池(即插即用可视化、网络优化、安全管控)
管控平台能够提供安全服务化、流量编排、策略管理、计量计费、态势呈现等
平台通过对了的界面实现安全组件的资源管理、策略管理、资源监控、计量计费、服务模板、工单流转、运营和运维大屏
SASE系统架构方案
- 统一云安全一体化管控平台:对集中化安全能力池和边缘接入点安全能力池的集中调度管理
- 集中化安全能力池:监控、检测、审计等能力服务化
- 边缘接入POP端安全能力池:安全网关作为集中安全能力池的延申,对边缘接入流量分析检测
SASE安全资源池服务编排方案
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PHLgqHcJ-1687785224340)(C:\Users\xpc\AppData\Roaming\Typora\typora-user-images\image-20230504172338129.png)]
云租户访问流量分析与防护、全流量镜像给态势感知平台进行威胁检测
- 安全管控平台实现安全产品的纳管,对软硬件拉起、调度、编排、策略管理、计量计费、报表、统一运维、数据运营等
- 防火墙、负载均衡和交换机双击部署,提高可靠性
- 规划独立安全资源池,虚拟化安全网元(堡垒机、WAF、数据库审计)采用虚拟机接入租户业务网络
- 安全管控平台对安全资源池的网元纳管、安全日志发送给态势感知
SASE组网拓扑
接入企业通过边缘网关接入交换中心,边缘网关提供安全防护
中小企业简化组网:中小企业可以直接接入边缘网关,或SD-WAN接入
多边缘节点统一安全纳管:管控平台对全网安全设备统一纳管,实现全网能力可视、资源可视、安全状态可视
运维审计能力集中上收:
边缘安全网关流量防护:
SASE核心能力
- 灵活接入:为分布式用户、场所提供随时随地的灵活接入
- 跨地加速:凭借SD-WAN核心优势,将网络控制平面与数据平面分离,实现网络加速
- 身份驱动:融合零信任理念,将身份作安全策略的上下文因素,通过用户、设备、时间、场地、应用和数据,实现对网络服务质量、路由选择、风险控制的细粒度落地
- 按需安全:云原生安全能力与网络能力融合,根据用户实际需要 提供满足监管需求
- 持续运营:为用户提供持续的态势感知、事件检测、威胁分析、情报管理、同胞预警、应急处置等服务能力
五、SASE能力验证
- 统一管控能力验证
- 零信任内网访问管控能力验证:基于动态身份认证,支持端到端TCP,端到应用的最小权限访问
- 入侵检测与防御能力验证:云防火墙内置 威胁检测引擎,对恶意流量,常规攻击行为实时阻断和拦截
- 精细化访问控制能力验证