SASE安全访问服务边缘白皮书.docx

《SASE安全访问服务边缘白皮书.docx》由会员分享，可在线阅读，更多相关《SASE安全访问服务边缘白皮书.docx（29页珍藏版）》请在第一文库网上搜索。

1、目录致谢3序言41. SASE概述61.1 SASE背景61.2 什么是SASE71.3 SASE的核心能力概述91.4 SASE和ZTE的关系121.5 SASE发展现状及趋势131.6 .1SASE发展现状131.5.2SASE发展趋势142. SASE核心技术161. 1边缘计算162. 2零信任网络访问163. 2.1为什么需要ZTNA164. 2.2ZTNA模型185. 3网络即服务206. 3.1网络接入服务207. 3.2灵活组网服务218. 3.3组网安全服务229. 3.4基于应用的服务保障2210. 3.5统一监控和策略管理服务2311. 安全即服务2412. 4.1企业员

2、工安全访问互联网或外部应用2413. 4.2企业外部人员安全访问企业内部资源2614. 4.3企业内部人员安全访问企业内部资源273. SASE应用场景291 .1连锁及加盟企业293 .2跨地域分支机构313.3远程和移动办公334.总结361. SASE概述1.1 SASE背景随着云计算、物联网、5G等关键技术的不断突破发展，企业数字化转型节奏越来越快。企业为提高核心竞争力，其业务部署环境越来越多样，包括传统的IDC机房、私有云、多云、混合云等，同时业务访问端也由单一的内部用户扩展到企业分支用户、企业合作伙伴、远程移动办公终端等。在这个过程中安全紧随企业的网络和业务架构演进而发展。十几年前

3、，企业业务流量总量不大、流量以内部流转为主、移动办公需求少且默认企业内流量安全，这种情况下集中式安全栈方案得到大规模应用，这种以企业自建数据中心为核心的中心辐射型网络拓扑备受企业青睐。近几年，随着云端SaaS应用普及和企业员工分散导致企业互联网流量增多，中心辐射型网络架构面对高成本的MP1S链路、总部集中上网应用访问体验差、安全边界绕行及总部VPN容量挑战等问题，不得不顺势改变网络及安全建设思路。在此阶段SDN及NFV技术的发展促使企业在云端部署统一网络指挥中心成为可能，分支和总部互联可通过更便宜和更大的互联网宽带进行以分散专线压力。同时，对于远程用户来说，云端部署的安全接入网关类服务能够有效

4、解决集中接入的体验和安全问题，此时云端或者总部集中提供网络调度和近源安全监测防护理念越来越深入人心。现在及未来几年，越来越多的公有云厂商，甚至有全球业务的ICT厂商、互联网厂商都在建设自己的数据中心，这些数据中心随着企业业务的不断扩张，业务范围越来越广，服务数量越来越多，连通性越来越好。也许，是受“云”资源共享商业模式的启发，有声音提出此类拥有全球互联数据中心的企业是否可以将这种互联骨干网作为资源共享出去，企业想要访问的多云、公共SaaS,互联网等连通问题由此骨干网解决，有互联需求的其他中小型企业均可以把流量引入这张网络中进行流转，同时为了降低时延提供统一的网络就近接入点，在此类接入点上同时部

5、署身份校验、威胁发现、行为监控等按需增值安全服务，这实际上就是当前比较火热未来会成为趋势的安全访问服务边缘SASE模型。2019年，Gartner在报告HypeCyc1eforEnterpriseNetworking2019中首次提出了SASE（SecureAccessServiceEdge）的概念，并在随后的一些列报告中进行了详细阐述，通过对SASE的定义理解，我们可以认为SASE是企业网络和业务架构演进至“云化”、“服务化”后的自然而然的安全理念。1. 2什么是SASE为了适应数字化业务发展的需要，以及保护企业无处不在的业务接入边界，Gartner在2019年发布的报告网络安全的未来在云端

6、中首次提出安全访问服务边缘（SASE）这一概念，称其为一种新兴的服务，它将广域网接入与网络安全（如：SWG、CASB、FWaaS、ZTNA）结合起来，在整个会话过程中，综合基于实体的身份、实时上下文、企业安全/合规策略，以一种持续评估风险/信任的服务形式来交付，其中实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。SASE可以为企业提供全网流量的可见性，包括本地、云和移动端访问应用和互联网的流量，甚至也包括分支之间的流量。SASE可提供一系列丰富的网络和安全功能，对流量进行安全检测与路由转发，实现企业全流量的威胁检测与控制,并根据应用优先级进行路由，以

7、确保用户访问应用的体验与安全合规均可得到保障。从架构层面来看，SASE需要包含如下服务组件： SASE云基础设施：对于客户透明的SASE底座，包含网络与计算能力，提供覆盖全球范围的分布式云服务，能够为客户交付网络和安全能力。 SASE管理平台：面向客户的管理界面，实现针对网络和安全能力的统一策略编排，安全与应用性能分析，实时状态监控。 SASEPoP(Pointofpresence)：为客户提供就近接入的网络接入节点与安全处理节点。 SASE接入边缘：为分支场所，移动用户提供硬件或软件的接入客户端，通常为SD-WANCPE和移动客户端。从能力层面来看，SASE需要包含主要的网络和安全能力： 网

8、络即服务(NetworkasaService) SD-WAN 服务质量保障QoS 高级路由 SaaS加速 内容交付或缓存 广域网优化 分布式连接安全即服务(SecurityasaService) FWaaS ZTNA/VPN 安全Web网关 SS1深度检测 云沙箱 IPS入侵防御系统 CASB云访问安全代理 RBI远程浏览器隔离SASE的四个主要特点： 身份驱动：不像传统单点方案是基于设备特征或IP来识别资源或访问源，SASE采用基于零信任的方法，以身份为依据，对是否能够接入平台和是否有访问目标应用的访问权限来进行控制。 云原生：SASE能够以云原生、“即服务”的方式提供给客户使用，是一种Op

9、Ex的采购模式，且能够提供多租户、可扩展、快速变更服务内容等能力。 全边缘覆盖：SASE作为企业广域网的新“核心”，能够支持所有企业边缘接入，并为其提供网络和安全能力，无论接入用户或网络位于何地，并能提供端到端的路径或应用优化以确保访问体验。 分布式连接：为了实现就近接入的应用访问体验和端到端可控，SASE提供商必须提供近源的PoP接入点，交付高性能、低延迟的服务给企业访问者，包含企业本地网络、企业云资源和远程办公用户。1.3SASE的核心能力概述在SASE中，企业数据中心只是用户和设备需要访问的众多互联网服务中的一个而不再是网络架构的中心，实体的身份成为访问决策的新中心。SASE可以交付聚合

10、的网络服务及网络安全服务，完成传统网络架构和安全硬件堆叠在数字化转型浪潮下的结构化转变，简单来说，SASE介于用户和企业资源之间，为企业提供全面、敏捷和可适应的服务。为了应对办公习惯的转变如移动办公、居家办公，应对基础设施云化、应用SaaS化转型带来的挑战，快速适应IT基础设施弹性、灵活的需求，将割裂的、碎片化的云化/本地安全整合，紧跟IT数字化转型进程，SASE必须要具备以下核心能力：一、云原生安全架构SASE以云服务的形式交付网络和安全，是面向云计算开发部署运维的解决方案，其云原生架构使服务更具灵活性、弹性可扩展，具备自适应性、自恢复能力和自维护功能，不与特定硬件平台绑定，能够适配与集成多

11、种云平台应用，形成网络与安全的综合云化，为用户提供了一个成本更低、匹配度更高、效率更高的平台，可以快速适应新兴业务需求。二、广泛覆盖的边缘节点SASE将能力分布在边缘，提供接入、处理、执行能力，提供全网内低延时、安全的访问，SASE基于云基础架构提供多种安全服务，例如威胁检测、DNS安全、数据防泄密、Web过滤、沙箱、下一代防火墙、上网审计、终端安全、ZTNA等策略，且能力栈以分布式形式在全球部署，每个边缘接入节点都具有一致的网络和安全服务能力。依托覆盖全球的边缘云节点，保证在任何地方都可以提供统一的高质量网络和安全服务，使用户无论多分支办公、远程移动办公都享受与总部同级别的上网安全防护、隐私

12、数据保护，满足企业数字化业务与资源动态扩展场景，全方位覆盖安全边界。三、统一控制中心为统一调度不同地理位置上实时都在发生的服务请求，SASE需要具备一个统一的控制中心作为SASE的中枢神经系统，监控所有云节点并实施集中管控，除了主要的网络配置和安全策略的下发和同步，还包括软件和数据库的更新以及服务组件的配置管理。服务组件间通过控制中心保持通信，每个组件都能够实时获得全云运行状况，策略也能下发到所有服务组件。四、持续自适应风险与信任评估中心全球海量的日志数据同步到SASE数据中心，数据中心基于海量日志数据，结合大数据分析、机器学习能力、UEBA技术等，提供全球威胁情报，持续感知监测风险。让SAS

13、E用户获得关于安全、行为、状态等多维度的分析与告警服务。五、零信任访问架构SASE的落地践行在零信任架构之上，任何身份都是在“默认拒绝”的基础上进行连接、认证、访问等动作，比如路由、权限、安全控制等均依赖于身份，并且严格防止任何访问/威胁在网络中横向移动/扩散。采用零信任架构，使用访问实体的身份来作为访问决策的新中心，根据实体上下文信息来判断身份，简化访问的策略设置，让企业从复杂的设备逻辑和分散的地理位置中抽身出来，聚焦于身份管理与对应的控制策略，构建带着零信任基因的SASE,从访问逻辑和IT架构上保障安全、可信、便捷与弹性。六、网络即服务对于任何类型的用户，都通过轻量级边缘组件来抓取流量并建

14、立和PoP的连接。组件可以是SD-WAN设备、智能引流器、VPN应用或是浏览器插件等，安全和网络处理统一在分布式节点中完成，以服务化的模式提供用户所需的能力。其中,网络即服务包括网络接入能力、智能选路能力、流量QoS能力、多云连接能力、网络加速能力、网络冗余能力等，以满足用户终端、分支、数据中心间数据互通、网络管理与加速等需求。七、安全即服务将安全能力集中部署在边缘PoP节点中以服务化的模式交付，构建完整的安全能力栈如威胁检测、DNS安全、数据防泄密、Web过滤、沙箱、下一代防火墙、上网审计、终端安全、ZTNA等，用户可以按需获取所需的安全能力并且根据实际情况随时弹性扩展能力，以满足日益复杂的

15、安全需求以及亟待减负的运维需要。/1、云网安融合管理能力SASE将安全与网络深度融合，只需要一个统一管控平台，实现全局资源编排,提供统一的身份管理能力，网络与安全的配置能力、运维能力、监控能力，以及全局态势感知与分析能力等。交付一个平台即可实现企业移动办公人员、分支机构、总部统一的IT管理能力，企业无需购买和管理多点传统硬件产品，大大降低IT建设成本和运维压力。1. 4SASE和ZTE的关系Forrester在2023年2月发表了DaVie1Ho1mes和AndreKindness的关键报告，提出了安全和网络服务的零信任边缘模型（ZeroTrustEdge,简称ZTE）,明确指出SASE就是零信任边缘。可以说这个定义对于网络和安全行业而言都是一个重要里程碑。Forrester将ZTE定义如下：“AZeroTrustedgeso1utionsecure1yconnectsandtransportstraffic,usingZeroTrustaccessprincip1es,inandoutofremotesites1everagingmost1yc1oud-basedsecurityandnetworkingservices.,即ZTE解决方案以零信任为原则，来实现企业办公地点出和入流量的安全连接和数据传输。举例