安全访问服务边

什么是安全访问服务边缘(Sase)?

安全访问服务边缘(或更广为人知的SASE)是一种新的企业网络和网络安全体系结构模型,Gartner将其定义为支持当今员工快速、安全的应用程序访问需求的一种手段。SASE体系结构将网络和云交付的安全性融合为一种高性能,具有统一管理的单通道体系结构。

0:44
什么是SASE

探索其他SASE主题

为什么需要SASE ?

在网络和安全方面,有三种主要的市场趋势推动着向SASE的转变:

  • 应用程序正在移动到SaaS:在传统架构中,向数据中心回程的SaaS流量将恶化延迟并提高网络成本。由于云服务变得更加普遍,安全性必须从更接近用户的数据中心移动到用户和云之间的路径。
  • 工人更加手机和偏远:员工希望获得相同的体验和安全性,而不管他们身处何处。不幸的是,传统VPN不提供细粒度的安全控制,这反过来会恶化这种体验。
  • 威胁正在迅速演变:安全团队需要不断升级和更新他们的基础架构,以跟上新的威胁。这是复杂,耗时的工作,仍然仍然让他们的组织开放为零威胁。

今天的企业需要赋予所有员工一种快速、一致和安全的体验,无论他们身处何地或使用何种设备。企业IT团队必须变得更加敏捷和高效,专注于新的数字服务的交付,而不是管理复杂的网络和安全堆栈。

萨斯在解决这些趋势方面的角色是什么?它是一种框架,可确保网络和安全兼容,以便启用:

  • 跨网络和安全的灵活、统一、单一的管理—包括资源调配、细粒度策略控制和可见性。
  • 凭借全面的广域网功能,克服了本地互联网突围带来的不可预测性,随时随地都能持续快速安全地访问应用程序。
  • 通过全球安全云为所有用户实施一致的安全策略,无论其位置如何。

Sase架构是什么样的?

Sase将全面的WAN和网络安全功能汇集为单通机架构,通过统一管理平面进行网络和网络安全管理。Gartner,它创造了Sase,已列出“核心”和“推荐”的Sase架构功能1

  • 核心
    • SD-WAN:SD-WAN.通过任何类型的网络传输实现弹性、低延迟的连接,同时与传统的基于路由器的解决方案相比,允许降低复杂性。云本地和实时应用尤其受益于SD WAN。SD WAN通过基于路径质量评估的路径选择、WAN优化和此外,一些SD WAN具有网络安全措施,如集成入侵检测/预防系统(IDS/IPS)和简化分支机构与SaaS应用之间的VPN隧道设置。
    • 安全Web网关:安全web网关(SWG)是一种企业网络安全解决方案,通常作为云服务内联实现,位于用户和web之间。用户流量通过内置的网络安全功能(如URL过滤、应用程序控制和反恶意软件防御)转发给SWG进行检查和必要的进一步行动。
    • 云访问安全经纪人:通过云访问安全代理(CASB),企业可以管理所有已批准和未批准的SaaS应用程序的访问控制。CASB安全解决方案建立在四个主要支柱之上:
      • 提高了可视性,包括跨阴影IT应用程序的可视性。
      • 保护敏感资产免受未经授权访问的数据安全。
      • 通过行为分析等功能威胁保护。
      • 简化的合规证明。
    • 零信任网络访问:零信任网络访问(ZTNA)强制执行授权用户访问已批准应用程序的原则。它也是标识和上下文感知的,基于来自Microsoft Azure Active Directory等云服务的身份信息以及日常和位置时的参数评估访问尝试。甚至可以被授予应用程序而不是底层网络,以防止威胁的横向移动。总体而言,与传统的VPN解决方案相比,ZTNA允许更好的用户体验,更严格的安全控制和减少复杂性。
    • FWaaS:防火墙即服务(FWaaS)跨企业网络实施入口和出口安全控制,以确保只有受信任的流量可以通过。更具体地说,FWaaS解决方案可以集成基于异常(无特征)的威胁检测、网络沙箱、地理定位、反恶意软件和IDS/IPS解决方案。FWaaS通常与分析解决方案集成,以全面保护数据中心、云实例和分支机构。
    • 数据丢失保护:数据丢失保护(或者数据丢失预防)这些功能集成到SASE平台的单通道体系结构中。数据丢失保护引擎提供了对使用中、移动中和静止数据的可见性。它可以隔离风险数据或活动、强制加密和发送网络安全警报,以降低数据泄露的总体风险。
    • 以线速按比例加密/解密内容:SASE的单通式架构允许加密流量仅打开和检查一次,以减少与服务链式检查引擎的传统安全堆栈的延迟。
  • 推荐:
    • Web应用程序和API保护:随着web应用的使用增加,将恶意流量和请求拒之门外是很重要的。Web应用程序和API保护(WAAP)可能集成高级速率限制、运行时应用程序自我保护和DDoS缓解等安全解决方案。
    • 远程浏览器隔离:通过使用远程浏览器隔离,可以保护企业网络免受基于浏览器的攻击。来自网站的数据,包括可能被泄露的数据,不会被转移到终端用户设备,降低了泄密或感染的可能性。
    • 网络沙盒:网络沙箱将可疑内容发送到一个独立的环境中,在该环境中可以运行而不影响其他应用程序。然后,SASE平台中的FWaaS解决方案可以进一步检查并阻止任何恶意文件和资产,如果它们被发现的话。
    • 支持托管和非托管设备:SASE平台为保护企业和员工提供的设备提供了更好的框架,具有多种安全解决方案,防止数据丢失、未经授权的访问和恶意软件等威胁。

上述功能必须在统一的“薄分支中,重型云”模型 - SD-WAN功能作为“薄”分支设备,而安全功能被提供为“重”云服务。

实施SASE体系结构的好处

SASE架构的设计旨在通过移动和遥控器启用快速,可靠和安全的云应用程序,同时也提高IT敏捷性。假设企业关注提供的功能的细微差别,如网络和安全,单通架构设计和强大的SD-WAN功能,企业可以从SASE部署中达到以下好处:

改善用户体验,协作和参与- 直接Internet访问从回程连接中取消延迟。但是,即使互联网性能波动也是如此,需要在SASE解决方案中进行SASE解决方案中的SDWAN和WAN优化功能。SINELPASS架构确保检查和策略引擎本身不会添加不必要的延迟。

无论员工位置如何提高安全性—对认可的应用程序启用身份感知、零信任访问。这减少了攻击面,阻碍了恶意软件在企业网络内的横向移动。对于web和未经批准的应用程序,全面的云交付安全确保了一致的安全态势,无论员工在哪里。

简化操作,提高IT灵活性- SASE架构可以帮助整合网络和安全性的供应商。单供应商解决方案提供更深入的集成和统一管理,简化了部署,配置,报告和支持服务。由于SASE架构需要将安全性移动到云端,因此整体硬件占用占地面积又提高了架构弹性和比例。

在Sase框架中寻找细微差别

虽然许多供应商都在推广SASE体系结构的单个组件,但交付所有必需的功能是至关重要的,因为统一的整体比各部分的总和更重要。

只有完整的“SASE堆栈”,企业只能从任何地方和任何设备开始快速,一致,安全地访问所有应用程序,同时还可以提高IT敏捷性。最强大的Sase架构包括以下对竞争对手的以下细微差别:

  • 跨企业网络和安全的深度集成:SASE平台将云安全与全面的WAN功能相结合,两个功能都彼此构建。虽然云安全使本地互联网突破(用于消除回程架构的延迟),但它无需克服互联网连接的总体令人不可预测性。SD-WAN和WAN优化确保网络性能的变化不会影响员工体验。
  • 单板玻璃管理:通过SASE,团队可以对基础设施部署(包括网络安全)、网络策略配置和综合报告获得统一的观点。所有这些都有助于在您的企业架构中实现更全面、更敏捷的控制。
  • 单通道体系结构:功能的服务链经常迫使流量通过多个检查和策略引擎,增加延迟,并最小化从SASE体系结构预期的性能改进。相反,设计良好的SASE架构将遵循单通道方法,在此方法下,所有策略引擎只并行打开和检查一次流量。
  • SASE体系结构内部的隐私/数据隔离:GDPR等隐私和监管要求通常需要对数据进行分离,选择性解密和可见性,并控制数据如何以及何处流动。通过云交付的安全性,会符合这些义务可能是具有挑战性的,对任何潜在的SASE解决方案进行了评估对符合性措施的评估。
  • 统一供应商管理:Sase的主要目标之一是提高IT敏捷性。通过巩固供应商,您可以最大限度地减少计划,部署,管理和支持全面统一架构跨网络和安全解决方案所需的对话次数。这种合并不仅加速运营,还可以帮助培养跨职能对话,导致更好,更具战略性的决策。此外,从纯技术的角度来看,单个供应商架构在所有功能上都能通过组织之间的技术联盟提供更深入的集成。

sase使用案例

为了满足员工的期望和业务需求,组织需要发展他们的企业网络和安全基础设施,以响应不断变化的使用模式——例如,访问哪些应用程序,从哪里访问应用程序。这种发展将支持更广泛的战略计划,例如启用“在任何地方工作”的劳动力,并通过敏捷、弹性和高效的基础设施部署提高业务连续性。

广泛地,下游IT使用情况可以分为三类:

  • 转换您的网络和安全体系结构:传统的集线器和辐射设备基于设备的架构增​​加延迟,增加WAN成本,并且很复杂。用Sase架构替换它们将允许安全的本地Internet分支,以便快速,一致,安全地访问所有位置的所有应用程序。Sase架构中云交付的网络安全和SD-WAN的统一使得能够更好的应用程序性能,敏捷管理和无盲点的可见性。
  • 保护您的SD-WAN部署:虽然SD-WAN解决方案对于提高应用程序的性能至关重要,但在基于数据中心的安全堆栈旁边利用SD-WAN增加了可避免的延迟,并降低了SD-WAN的整体效益。随着加密流量的数量增加,提高成本和运行复杂性,分支位置中基于器具的安全性也需要频繁升级。云提供的安全性是一种可行的替代方案,但必须以SD-WAN解决方案串联交付作为统一的单通SASE架构。此设置可确保SD-WAN - 更快的应用程序性能,操作敏捷性,减少OPEX的预期所预期的益处最大化。
  • 提供安全且生产的数字工作空间:无论使用的设备如何,数字工作空间解决方案都可以实现简化和富有成效的员工体验,适用于所有工作应用程序和桌面。当由SASE架构提供支持时,可以通过智能流量优先级和WAN优化来进一步提高应用程序性能,并使用Identity Ippure,Zero-Trust访问和所有流量的强大恶意软件保护的安全性。

Citrix如何帮助企业进行SALE?

Citrix将所有SASE功能融入单个统一的架构中。Sase的Citrix统一方法提供了5个主要优点:

  1. 最全面,云交付的安全堆栈这可以保护所有用户,无论位置如何,在规模上抵御所有威胁。
  2. 身份识别,零信任访问用于连续和动态地访问被授权的企业应用程序,同时最小化企业攻击面。
  3. 最佳应用体验,始终是强大的SD-WAN和应用程序优化功能。
  4. 深度取证和人工智能支持的分析可以定位特定的安全事件、非典型活动和政策违规,用于事件分析和法规遵从性。
  5. 具有完全集成的网络和安全性的统一管理,可实现简单和敏捷操作。

Citrix由40万个组织的1亿用户信任,以赋予他们尽最大的工作。我们很乐意加入您走向更富有成效,敏捷和高效架构的旅程。

额外资源:

1《网络安全的未来在云端》,Neil MacDonald, Lawrence Orans和Joe Skorupa, 2019年8月30日
Gartner不支持其研究出版物中描述的任何供应商、产品或服务,也不建议技术用户只选择那些评级最高或其他指定的供应商。高德纳研究出版物由高德纳研究机构的意见组成,不应被解释为事实陈述。高德纳不就本研究作出任何明示或暗示的保证,包括对适销性或适合特定目的的任何保证。