隨著云服務(wù)和網(wǎng)絡(luò)不推動(dòng)數(shù)字業(yè)務(wù)概念的不斷進(jìn)行，我們逐漸發(fā)現(xiàn)，傳統(tǒng)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全架構(gòu)遠(yuǎn)遠(yuǎn)不能滿足數(shù)字業(yè)務(wù)的需求。而在企業(yè)紛紛擁抱數(shù)字業(yè)務(wù)的過(guò)程中，由于邊緣計(jì)算、云服務(wù)、混合網(wǎng)絡(luò)的逐漸興起，使得本就漏洞百出的傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)更加岌岌可危。

但就在2019年7月，曾發(fā)表過(guò)《零信任架構(gòu)及解決方案》白皮書(shū)的Gartner公司，又扔出了一個(gè)更加“勁爆”的“炸彈”。Gartner提出了一個(gè)比“零信任”更高一個(gè)維度的概念，即“SASE”（安全訪問(wèn)服務(wù)邊緣模型）。

根據(jù)Gartner的預(yù)計(jì)，到2024年，至少40％的企業(yè)將有明確的策略采用SASE，高于2018年底的不到1％。而且由于新冠疫情引發(fā)的全球遠(yuǎn)程辦公潮，很有可能加速SASE的普及。本期美創(chuàng)科技安全實(shí)驗(yàn)室將為大家繼續(xù)跟進(jìn)“零信任安全體系”的前沿技術(shù)——SASE。

Hype Cycle for Enterprise Networking

一、什么是SASE

SASE全稱是Secure Access Service Edge即安全訪問(wèn)服務(wù)邊緣。SASE這一概念最早出現(xiàn)在Gartner的《The Future of Network Security Isin the Cloud》這篇報(bào)告中，在其的另一篇報(bào)告中《Top 10 strategictechnology trends for 2020》也提到了邊緣賦能這項(xiàng)技術(shù)趨勢(shì)。無(wú)論如何從上述兩篇報(bào)告中，都可以看出SASE集成了我們之前文章中曾介紹過(guò)的：自動(dòng)化、CARTA（持續(xù)性自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估）、ZTNA（零信任網(wǎng)絡(luò)訪問(wèn)）、Advance APT防護(hù)等技術(shù)?？梢哉f(shuō)大部分新興技術(shù)大多都涵蓋到SASE架構(gòu)中。

Gartner對(duì)SASE的定義也很簡(jiǎn)單：SASE是一種基于實(shí)體的身份、實(shí)時(shí)上下文、企業(yè)安全／合規(guī)策略，以及在整個(gè)會(huì)話中持續(xù)評(píng)估風(fēng)險(xiǎn)／信任的服務(wù)。實(shí)體的身份可與人員、人員組（分支辦公室）、設(shè)備、應(yīng)用、服務(wù)、物聯(lián)網(wǎng)系統(tǒng)或邊緣計(jì)算場(chǎng)地相關(guān)聯(lián)。

SASE與零信任體系和CARTA自適應(yīng)框架一樣，都在強(qiáng)調(diào)“身份”這一概念的重要性。SASE的核心就是身份，即身份是訪問(wèn)決策的中心，而不再是企業(yè)數(shù)據(jù)中心。所有框架的核心要點(diǎn)便是：基于身份的訪問(wèn)決策。

而關(guān)于身份的問(wèn)題，在之前的“零信任“系列文章中也做了討論，所以這里簡(jiǎn)單提一下即可。我們可以確定對(duì)身份因子的可把控維度越大則安全框架發(fā)揮出的防護(hù)效果更好。而我們基本可以認(rèn)定：用戶、設(shè)備、服務(wù)是比較基本的身份因子，除此之外還有”上下文“信息也可以被認(rèn)定為身份因子，這些上下文信息來(lái)源包括：用戶使用的設(shè)備身份、日期、風(fēng)險(xiǎn)／信任評(píng)估、場(chǎng)地、正在訪問(wèn)的應(yīng)用或數(shù)據(jù)的靈敏度。企業(yè)數(shù)據(jù)中心仍存在，但不再是網(wǎng)絡(luò)架構(gòu)的中心，只是用戶和設(shè)備需要訪問(wèn)的眾多互聯(lián)網(wǎng)服務(wù)中的一個(gè)。

SASE按需提供所需的服務(wù)和策略執(zhí)行，獨(dú)立于請(qǐng)求服務(wù)的實(shí)體場(chǎng)所和所有訪問(wèn)能力。

SASE Conceptual Model

二、SASE云服務(wù)的主要特點(diǎn)

SASE框架畢竟也是與“零信任體系“一脈相承，所以”零信任體系“所包含的特點(diǎn)SASE自然是都有，除此之外，SASE還有著4個(gè)與眾不同的特點(diǎn)：身份驅(qū)動(dòng)、云原生、兼容所有邊緣、全球分布。

1、身份驅(qū)動(dòng)

所有行為和訪問(wèn)控制全部依賴于“身份“，服務(wù)質(zhì)量、權(quán)限級(jí)別、路由選擇、應(yīng)用的風(fēng)險(xiǎn)安全控制等等，所有這些與網(wǎng)絡(luò)連接相關(guān)聯(lián)的服務(wù)全部由身份驅(qū)動(dòng)?；诖耍酒髽I(yè)只需專注于身份管理與對(duì)應(yīng)的安全策略，從而無(wú)需考慮設(shè)備或地理位置等因素，以此達(dá)到降低運(yùn)營(yíng)開(kāi)銷的目的。

2、云原生

SASE認(rèn)定未來(lái)網(wǎng)絡(luò)安全一定會(huì)集中在云服務(wù)上，因此SASE框架利用云原生的幾個(gè)主要功能：彈性、自適應(yīng)性、自恢復(fù)能力、自維護(hù)能力，以此提供一個(gè)分?jǐn)偪蛻糸_(kāi)銷以提供最大效率的平臺(tái)，可很方便地適應(yīng)新興業(yè)務(wù)需求，而且隨處可用。

3、兼容所有邊緣

SASE 為所有公司資源創(chuàng)建了一個(gè)網(wǎng)絡(luò)——數(shù)據(jù)中心、分公司、云資源和移動(dòng)用戶。舉個(gè)例子，軟件定義廣域網(wǎng) （SD－WAN） 設(shè)備支持物理邊緣，而移動(dòng)客戶端和無(wú)客戶端瀏覽器訪問(wèn)連接四處游走的用戶。

4、全球分布

為確保所有網(wǎng)絡(luò)和安全功能隨處可用，并向全部邊緣交付盡可能好的體驗(yàn)，SASE 云必須全球分布。因此，企業(yè)需要具有全球 POP 點(diǎn)和對(duì)等連接的 SASE 產(chǎn)品，必須擴(kuò)展自身覆蓋面，向企業(yè)邊緣交付低延遲服務(wù)。

三、SASE帶給企業(yè)的價(jià)值

SASE畢竟是一種各種新興技術(shù)的集大成之作，雖然目前SASE過(guò)于龐大導(dǎo)致內(nèi)部并不能很好處理各個(gè)接口和數(shù)據(jù)，但沒(méi)有任何人會(huì)懷疑一旦SASE成熟后將給安全形式帶來(lái)巨大改變。尤其是SASE將給企業(yè)帶來(lái)巨大的價(jià)值，主要體現(xiàn)在以下幾個(gè)方面：

1、靈活性

基于云基礎(chǔ)架構(gòu)提供多種安全服務(wù)，例如威脅預(yù)防、Web過(guò)濾、沙箱、DNS安全、數(shù)據(jù)防泄漏和下一代防火墻策略。

2、節(jié)省成本

利用單一平臺(tái)，無(wú)需購(gòu)買和管理多點(diǎn)產(chǎn)品，可以大大降低成本和IT資源。

3、降低復(fù)雜性

通過(guò)將安全堆棧整合到基于云的網(wǎng)絡(luò)安全服務(wù)模型中來(lái)簡(jiǎn)化IT基礎(chǔ)架構(gòu)，可以最大限度地減少IT團(tuán)隊(duì)管理以及需要更新和維護(hù)的安全產(chǎn)品數(shù)量。

4、提高性能

借助云基礎(chǔ)架構(gòu)，你可以輕松連接到資源所在的任何位置?？梢栽谌蚍秶鷥?nèi)訪問(wèn)應(yīng)用程序、互聯(lián)網(wǎng)和公司數(shù)據(jù)。

5、零信任

基于云的零信任方法消除了用戶、設(shè)備和應(yīng)用程序連接時(shí)的信任假設(shè)。一個(gè)SASE解決方案能提供完整的會(huì)話保護(hù)，無(wú)論用戶是在公司網(wǎng)絡(luò)上還是在公司網(wǎng)絡(luò)外。

6、威脅防護(hù)

通過(guò)將完整的內(nèi)容檢查集成到SASE解決方案中，用戶可以從網(wǎng)絡(luò)的更高安全性和可見(jiàn)性中受益。

7、數(shù)據(jù)保護(hù)

在SASE框架內(nèi)實(shí)施數(shù)據(jù)保護(hù)策略有助于防止未授權(quán)訪問(wèn)和濫用敏感數(shù)據(jù)。
責(zé)任編輯:pj