什么是SASE?
目前,新基础设施在促进新冠肺炎疫情防控和复工复产方面发挥了重要作用。为了支持新基础设施中工业互联网、智慧城市、车联网、远程办公等各种业务场景,需要敏捷优化、安全可控的 *** 连接,确保业务顺利发展,即数据传输效率和安全控制是广域网的重要环节。
在过去的40年里,WAN架构基本变化不大。SD-WAN尽管向前迈出了一大步,提高了 *** 效率,但也带来了新的安全挑战。SD-WAN简化了分支机构分离隧道的工作,员工无需通过公司WAN云可以直接访问数据中心。这样可以改善用户体验,但也形成了严重的安全漏洞。
Gartner2019年发布的《云中 *** 安全的未来》提出了新的技术概念Secure Access Service Edge(SASE),它的定义是一种集软件定义广域网和 *** 安全功能于一体的新兴技术,以支持数字企业的需求。Gartner表示SASE它将取代现有的 *** 和安全模型。新 *** 安全模型的提出迅速成为国内外研究的热点。
SASE为什么 *** 和安全架构可以重新定义
随着企业拥抱数字化转型,边缘计算、云服务和混合 *** 的兴起,传统的云安全在实时、移动和边缘场景下通过企业数据中心检查数据流逐渐失败。在这种情况下,Gartner指出:“云服务和 *** 正在大力推动数字业务,但传统的 *** 和 *** 安全架构远未满足数字业务的需要。”
Gartner《云端 *** 安全未来》报告指出,SASE它不是一个独立的系统,而是包含一套技术,从SD-WAN和云访问安全 *** (CASB)到安全的web网关(SWG)、零信任 *** 访问(ZTNA)、防火墙即服务(FWaaS)隔离远程浏览器(RBI)。SASE该架构被确定为保护云和数据中心基础设施的关键 *** 安全解决方案,以确保应用程序、服务、用户和机器以云服务的形式访问云和 *** 资源。
按照Gartner对SASE的定义:SASE是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支机构)、设备、应用、服务、物联网系统或边缘计算场地相关联。
SASE核心是身份,即身份是访问决策的中心,而不是企业数据的中心。SASE框架可以识别设备和用户,并根据用户、角色、设备、行为、位置等特点应用基于策略的安全性,确保应用程序或数据的安全可靠访问,使企业能够在全球范围内实现安全访问。
SASE将SD-WAN集成一系列安全能力,如零信任访问,访问决策是基于用户身份,并在边缘强制执行,而战略则集中在云中定义和管理,从数据中心到身份,可以实现安全架构的核心转变。SASE它克服了分散集成和地理位置约束解决方案的成本、复杂性和刚性,为分布式云服务提供了企业 *** 和安全服务。
与传统的WAN不同,SASE将分支机构分支机构连接到中心机构的概念,而是将设备连接到基于云的集中服务模型。SASE检查引擎不会被迫将流量返回到数据中心,而是将检查引擎带到附近的存在点(PoP)。客户端发送流量PoP,检查并转发到Internet或通过SASE全球骨干网转发到其他地方SASE客户端。SASE将先前隔离的 *** 与安全服务融为一体,将本地用户、移动用户、物联网设备和云资源融为一体。
在传统WAN和SD-WAN的基础上,SASE将安全功能集成到 *** 中,使其成为一种 *** 服务。由于安全和 *** 管理是通过云完成的,管理员只需修改一次即可将其一次推送到所有地方将安全和 *** 功能集成到 *** 中,不仅可以升级 *** ,还可以实现WAN的改造。
SASE使企业信息系统更加安全高效
SASE一方面,身份策略可以使安全操作更加高效,另一方面也使攻击更加困难。SASE在身份策略中,应充分考虑 *** 实体需要访问的应用程序和数据的敏感性,帮助企业制定最小特权访问策略,实施严格的访问控制。
SASE可以将安全策略应用于每个用户,并根据企业中的身份而不是用户设置策略(零信任 *** 访问),从而进一步优化访问安全。借助统一有效的安全策略管理,将有助于减少恶意通信、身份欺诈和中间劫持攻击。SASE供应商可以忽略设备的具 *** 置,安全加密所有远程设备。SASE在智慧城市的公共热点 *** 环境等公共开放环境下实施更严格的访问检查策略。
最后,SASE服务提供商可以根据企业的需要,在基于云的基础设施上实施和交付特定的客户端安全服务。企业不需要处理 *** 攻击、设备扩展、软硬件更新等问题,以便企业IT运维团队从繁琐的工作中解放出来,专注于企业更重要IT在业务流程管理中。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章