什么是 SASE?| 安全访问服务边缘
安全访问服务边缘 (SASE) 架构是一种将安全和网络服务结合在一个云平台上的 IT 模型。
学习目标
阅读本文后,您将能够:
- 定义安全访问服务边缘 (SASE) 模型
- 了解 SASE 的重要性以及它如何使组织受益
- 探索组成 SASE 平台的技术组件
- 了解 SASE 与其他网络方法的比较,包括单一供应商 SASE 与双供应商 SASE 的比较
复制文章链接
什么是安全访问服务边缘(SASE)?
换句话说,SASE 为组织提供了一种简化的方法来共同管理以前脱节的基础设施——网络和访问控制。
SASE 平台将网络连接与采用最小特权原则的多种 Zero Trust 安全服务融合在一起。借助 Zero Trust 原则,成功验证的用户只能访问其角色所需的资源和应用程序。
SASE 基于通过互联网运行的云服务创建统一的企业网络。这使组织能够摆脱管理多个架构层和不同单点解决方案的困境。
SASE 为何重要?
SASE 架构很重要,因为它在连接和保护现代组织的员工方面比传统 IT 安全更有效。
在“旧世界”模型(即“城堡与护城河”安全架构)中,组织的 IT 基础设施相当同质,并由防火墙提供保护。为了访问网络资源,办公室外的员工(或承包商和其他第三方)通过虚拟专用网络 (VPN) 和防火墙连接到网络,或通过公共 IP 地址使用另一个网络路由。然后,网络“边界”内的任何人也可以访问该网络内的应用程序和数据。
然而,随着越来越多的应用程序和数据存在于云中,使用这种方法管理网络安全变得风险更大,也更加复杂。例如,传统安全难以跟上以下趋势:
- 移动员工更多:许多组织已经接受了远程和混合工作,并支持使用未受管理(非公司控制)设备。因此,更多的人(以及他们工作所需的应用程序)位于所谓的护城河之外。
- 加速云采用:组织已将更多应用、数据和基础设施从本地数据中心迁移到公有云或私有云环境。生成式 AI 和其他数字化转换计划也增加了云部署。
- 攻击面扩大:数字系统都有可被攻击者用作入口点的区域。更多的入口点意味着可利用的潜在攻击手段更多,这反过来又增加了横向移动的风险。
- 运营复杂性:随着混合工作模式的兴起,以及主要通过云部署应用程序,对网络的要求也发生了变化。这导致了管理的复杂性,以及安全控制应用方式的不一致。
- 网络相关成本更高:使用传统网络,必须配置和购买更多设备(例如防火墙、路由器和交换机)来支持每个区域。需要更多设备也会增加订阅和带宽成本。
- 数据隐私和合规法规:对组织来说,遵守最新的数据隐私和合规标准、认证以及监管要求可能并非易事。不同国家/地区和不同行业的数据保护法差异巨大,并且随着 GenAI 的普及而不断发展。
SASE 更适合应对此类挑战。SASE 为员工、工作场所和工作负载提供安全、快速且可靠的连接。组织无需单独构建和运营自己的现代网络,而是可以依靠分布式云原生服务来简化安全性和连接性的管理。
SASE 的五大好处
通过 SASE 架构将安全和网络功能整合为服务可带来多种好处,包括:
- 降低网络风险:SASE 在很大程度上基于 Zero Trust 安全模式运行,该模式在实体身份通过验证之前,不会授予实体访问应用程序和数据的权限——即使在网络边界内也是如此。Zero Trust 安全不仅仅考虑实体的身份,还会考虑地理位置、设备态势、企业安全标准以及基于其他上下文信号的持续风险/信任评估。用户只能访问明确允许的资源。这可以防止威胁蔓延到整个网络,从而降低横向移动的风险。
- 降低成本:网络防火墙和安全 Web 网关 (SWG) 等安全硬件会产生远超标价的成本。安装、保修、维修和补丁管理都需要额外的支出和 IT 资源。通过将网络安全转移到云端来消除这些成本有助于降低总体拥有成本。
- 降低复杂性:SASE 消除了对多个孤立网络和安全工具的需求,从而简化 IT 运营。它通过从单一界面对不同位置、人员、设备和应用程序集中实施政策和监控,简化管理。例如,SASE 架构可以通过提供可见性和自动化工具来帮助组织更有效地配置满足各种法规所需的安全设置,从而帮助简化合规性。
- 一致的数据保护:SASE 平台以统一的方式整合 Web、SaaS 和私有应用程序中的数据可见性和控制,确保一致地执行数据保护策略。例如,SASE 服务可保护敏感数据访问、防止数据泄露、管理云应用风险和保护 Web 浏览,从而帮助组织满足监管要求。SASE 通过支持集中日志记录、加密、实时威胁缓解等功能,进一步增强了安全性并简化了合规性。
- 改善员工体验:更可靠的互联网连接可提高生产力。借助 SASE,网络路由优化可通过在尽可能靠近用户的位置处理流量,来提高性能并减少延迟。此外,SASE 还可以帮助 IT 团队实现更多工作流程自动化,并减少响应访问相关工单的时间。
SASE 的典型技术组件
SASE 平台通常包含以下核心技术组件:
- Zero Trust 网络访问 (ZTNA) 是使 Zero Trust 安全访问方法成为可能的主要技术。ZTNA 持续检查每个资源的详细背景信息(例如身份和设备态势),简化和保护任何用户对任何应用的访问,无论使用什么设备,无论身处何地。
- 安全 Web 网关 (SWG) 通过在线过滤掉无用的 Web 流量内容和阻止存在风险或未经授权的行为,防范威胁和保护数据。SWG 可以筛选来自任何地方的 Web 流量,因此是混合办公的理想选择。
- 使用云和 SaaS 应用程序导致使数据保持私密和安全变得更加困难。云访问安全代理 (CASB) 是应对这一挑战的一种解决方案:CASB 为组织的云托管服务和应用程序提供数据安全控制(以及可视性)。此外,为了防止数据被盗或未经许可销毁,数据丢失防护 (DLP) 技术可检测 Web、SaaS 和私有应用程序中是否存在敏感数据。与 SWG 结合使用时,DLP 解决方案可以扫描传输中的数据(例如上传或下载的文件、聊天消息、表单填写)。与 CASB 结合使用时,DLP 解决方案可以扫描静态数据。
- 在 SASE 架构中,组织采用软件定义的广域网 (SD-WAN) 或 WAN 即服务 (WANaaS) 来连接和扩展远距离运营(例如办公室、零售店、数据中心)。SD-WAN 和 WANaaS 使用不同的方法:
- SD-WAN 技术利用企业站点的软件和集中式控制器来克服传统 WAN 架构的一些限制,简化操作和流量引导决策。
- WANaaS 基于 SD-WAN 的优势,采用“轻分支机构、重云”方法,在物理位置内部署所需的最低硬件,并使用低成本互联网连接到达最近的“服务边缘”位置。这可以降低总成本,提供更集成的安全性,提高中间英里性能,并更好地服务云基础设施。
- 下一代防火墙 (NGFW) 比传统防火墙更深层次地检查数据。NGFW 可以提供应用感知和控制、入侵防御和威胁情报,这使它们能够识别和阻止可能隐藏在看似正常的流量中的威胁。可以部署在云端的 NGFW 称为云防火墙或防火墙即服务 (FWaaS)。
- 远程浏览器隔离 (RBI) 将 Zero Trust 原则应用于 Web 浏览,假设默认情况下不应信任并运行任何网站代码。RBI 会在云端加载网页并执行任何相关代码,远离用户的本地设备。这种隔离有助于防止恶意软件下载,最大限度地降低零日浏览器漏洞的风险,并防御其他浏览器威胁。RBI 还可以对基于浏览器的资源应用数据保护控制,这对于保护未受管理设备访问非常有用。
- 集成所有服务的集中管理允许管理员定义策略,然后将其应用于所有连接的服务。
根据供应商的能力,SASE 平台可能还包括:
- 云电子邮件安全
- 应用程序层安全
- DNS 安全
- 持续自适应风险评分
- 数字体验监测(DEM)
- 内容交付网络 (CDN)
- 其他高级网络功能
下图说明了 SASE 平台如何融合所有这些功能,为所有私有应用程序、服务和网络提供安全连接,并确保员工的互联网访问安全。
SASE 用例示例
SASE 通常是逐步实施的(需要数月甚至数年)。实施计划千差万别,取决于以下独特因素:
- 组织的短期和长期发展战略
- 哪些角色和应用面临更大的网络攻击风险
- 各个团队对变化的灵活性和开放性
- 潜在的迁移速度、复杂性和成本
由于每个组织的情况不同,因此并没有通用的 SASE 部署方法。但是,启用 SASE 的用例通常分为以下五个 IT 优先事项:
1. 采用 Zero Trust
从 ZTNA 开始,应用 Zero Trust 原则(作为更广泛的 SASE 之旅的宗旨),实现以下用例:
- 取代存在风险的 VPN 和其他基于硬件的传统安全产品
- 简化第三方和 BYOD 访问
- 缓解勒索软件攻击
- 限制 SaaS 应用和云存储中的数据暴露
2. 保护攻击面
SASE 架构支持“随处办公”方法,具有一致的可见性,并可防御网络内外的威胁。示例用例包括:
- 阻止跨电子邮件、社交媒体、协作应用和其他渠道的网络钓鱼
- 保护远程员工的连接
- 保护和优化流向任何云或互联网目的地的流量
- 保护广域网 (WAN)
3. 实现网络现代化
组织无需维护传统的企业网络,而是可以利用分布式和云原生 SASE 服务。这可以实现以下用例:
4. 保护数据
未经批准使用生成式 AI 和影子 IT 可能暴露敏感数据,造成可能需要高昂成本才能补救的泄露。但 SASE 架构可以实现以下用例:
- 简化数据安全法规合规性
- 管理影子 IT
- 保护 GenAI 的使用
- 检测和控制敏感数据
5. 实现应用程序现代化
应用程序需要为最终用户提供安全、韧性和高性能,具有处理数据增长的可扩展性,同时仍满足数据治理要求。SASE 架构可以帮助简化和保护应用程序现代化过程的多个阶段,例如:
- 保护对关键基础设施的特权(开发人员/IT)访问
- 防止开发人员代码泄露和被盗
- 保护 DevOps 工作流程
- 保护正在进行云迁移的应用
SASE 与其他网络方法
SASE 与传统网络
在传统的网络模型中,数据和应用程序位于核心数据中心内。用户、分支机构和应用程序从本地私有网络或二级网络(其一般通过安全租用线路或 VPN 连接到主要网络)连接到数据中心。如果组织在云中托管 SaaS 应用程序和数据,这个过程可能存在风险且效率低下。
与传统网络不同,SASE 将网络控制置于云边缘,而不是企业数据中心。SASE 不是需要单独配置和管理的分层服务,而是使用一个控制平面融合网络和安全服务。SASE 在边缘网络上实施基于身份的 Zero Trust 安全策略,允许企业将网络访问扩展到任何远程用户、分支机构、设备或应用程序。
SASE 与 MPLS
多协议标签交换 (MLPS) 沿预定的网络路径发送网络数据包。理想情况下,使用 MPLS 的结果是数据包每次都采用相同的路径。这就是 MPLS 普遍被认为可靠但不灵活的原因之一。例如,使用 MPLS,安全控制通过集中的“出口”位置实施;所有出站和入站流量都通过总部路由。这需要回传流量才能实现安全功能。
SASE 使用低成本的互联网连接,而不是 MPLS 的专用网络路径。这适合那些希望以较低成本实现网络效率的组织。SASE 平台提供灵活且可感知应用程序的智能路由、集成安全性和细粒度的网络可视性。
SASE 和 SSE(安全服务边缘)有何不同?
SASE 将用户的安全访问作为网络架构的一部分。但是,并非所有组织都已在 IT、网络安全和网络团队中采取了统一的方法。这些组织可能会优先考虑安全服务边缘 (SSE),这是 SASE 功能的一部分,侧重于保护内部用户对 Web、云服务和私有应用程序的访问。
SSE 是全面部署 SASE 的常用垫脚石。虽然这可能过于简单,但一些组织可能会将 SASE 视为“SSE 加 SD-WAN”。
单一供应商 SASE 与双供应商 SASE
在 SASE 中,双供应商方法意味着拥有两个或多个 ZTNA、SWG、CASB、SD-WAN/WANaaS 和 FWaaS 提供商——通常一个用于安全,一个用于网络。这样一来,组织可以定制其技术堆栈并利用每个供应商的优势。这也意味着组织必须有时间和内部资源来协调和整合不同的服务。
企业也可以选择采用单一供应商 SASE (SV-SASE)。这会将不同的安全和网络技术整合到一个云交付平台中。SV-SASE 非常适合希望整合点产品、降低 TCO 并以更少的工作确保实现统一策略的组织。
无论采用哪种方法,SASE 平台都应该能够增强或集成现有的网络入口、身份管理、端点安全、日志存储和其他网络安全组件工具。
向潜在 SASE 供应商提出的问题
无论选择哪种 SASE 方法,在评估潜在供应商时都应考虑以下标准和示例问题:
降低风险
- 通过 SaaS 套件的所有数据流和通信是否在每个渠道都受到保护?
- 提供哪些用户/设备风险评分和分析?
- 是否会基于任何网络入口绕过任何安全功能?
- 应用程序流量是否可以一次性完成解密和检查?部署时是否有任何注意事项?
- 威胁情报源是否可以集成到他们的架构中?
网络韧性
- 安全性和网络功能是否默认原生集成?
- 每种连接方法和 SASE 服务是否可以按任何顺序进行互操作?
- 是否会从每个数据中心位置交付每项功能?
- 他们是否提供正常运行时间和/或最终用户延迟保证?
- 网络架构如何确保发生中断时的服务连续性?
不会过时的架构
- 如果在不同云之间切换,SASE 服务/成本会发生什么变化?
- 平台是否对开发人员友好?未来的 SASE 功能是否适用于当前的应用程序?
- 内置哪些数据本地化和合规功能?
- 平台如何应对未来的互联网或安全标准(例如后量子加密)?
Cloudflare 如何实现 SASE
Cloudflare One 是 Cloudflare 的 SASE 平台,用于保护企业应用程序、用户、设备和网络安全。它建立在 Cloudflare 的全球连通云之上,全球连通云是一个可编程云原生服务的统一、可组合平台,可实现所有网络(企业和互联网)、云环境、应用程序以及用户之间的任意连接。
由于所有 Cloudflare 服务都设计为在每个网络位置运行,因此所有流量都在来源附近进行连接、检查和筛选,以实现最佳性能和一致的用户体验。不存在可能增加延迟的回传或服务链。
Cloudflare One 还提供可组合的 SASE 入口和服务,使组织能够以任何顺序采用安全和网络现代化用例。例如,许多 Cloudflare 客户从 Zero Trust SSE 服务开始,以减少攻击面、阻止网络钓鱼或勒索软件、防止横向移动并保护数据。通过逐步采用 Cloudflare One,组织可以摆脱设备拼凑和其他单点解决方案的桎梏,将安全和网络功能整合到一个统一的控制平面上。详细了解 Cloudflare 如何提供 SASE。