安全访问服务边缘或SASE(发音为“Sassy”),是一个用于网络的企业安全架构模型,旨在支持当今员工的快速应用程序访问需求。SASE架构将网络和云提供的安全性集成到具有统一管理的高性能,单通架构中。
探索额外的SaaS主题:
什么是SASE
推动网络和安全领域向SASE转变的主要市场趋势有三个:
无论位置或设备如何,今天的企业都需要以快速,一致,最安全的数字工作空间体验授权所有员工。与此同时,IT团队需要变得更加敏捷,因此他们可以专注于提供新的数字服务 - 而不是花费大部分时间管理复杂的网络和安全堆栈。通过确保网络和安全性,Sase Framework都可以实现:
SASE模型收敛全面SD-WAN.和网络安全功能进入单通架构,通过统一管理平面进行网络和网络安全管理。Gartner创建了Sase,已列出Sase架构的“核心”和“推荐”功能。1
核心SASE功能包括:
SD-WAN通过任何类型的网络传输实现弹性,低延迟连接,同时与基于传统的路由器的解决方案相比,允许降低复杂性。特别是来自SD-WAN的云原生和实时应用。SD-WAN通过基于路径质量评估,WAN优化和与SaaS应用凝视等路径选择等路径选择来实现这一目标。此外,一些SD-WAN具有网络安全措施,如集成入侵检测/预防系统(IDS / IPS)和分支机构和SaaS应用程序之间的VPN隧道简化设置。
安全网络网关(SWG)是一种企业网络安全解决方案,通常作为云服务实现,位于用户和网络之间。通过内置的URL过滤、应用控制、反恶意软件防御等网络安全功能,将用户流量转发到SWG进行检测和处理。
使用云访问安全经纪人(CASB),企业可以管理访问控制适用于所有批准和未经批准的SaaS应用程序。Casb安全解决方案建于四个主要支柱,包括:
零信任网络接入(ZTNA)授权用户访问受批准应用程序的最小权限原则。它也是标识和上下文感知的,基于身份信息评估访问尝试云服务比如微软Azure Active Directory,以及一天的时间和位置等参数。访问甚至可以授予应用程序而不是底层网络,以防止威胁的横向移动。总的来说,与传统的VPN解决方案相比,ZTNA提供了更好的用户体验,更严格的安全控制,并降低了复杂性。
防火墙作为服务(FWAAS)在企业网络中实现入口和出口安全控制,以确保只有可信流量可能通过。更具体地,FWAAS解决方案可以集成基于异常的(签名)威胁检测,网络沙箱,地理定位,反恶意软件和IDS / IPS解决方案。FWAAS通常与安全分析全面保护数据中心,云实例和分支机构的解决方案。
数据丢失保护(也称为威胁预防)集成到Sase平台的单通架构中。数据丢失保护引擎能够进入使用中的数据,运动和休息。它可以隔离风险数据或活动,强制加密,并发送网络安全警报,以降低数据泄露的整体风险。
SASE的单通式架构允许加密流量仅打开和检查一次,以减少与服务链式检查引擎的传统安全堆栈的延迟。
推荐的SASE功能包括:
随着网络应用的使用增加,将恶意流量和请求拒之门外是很重要的。Web应用程序和API保护WAAP可以集成诸如高级速率限制、运行时应用程序自我保护和DDoS缓解等安全解决方案。
通过使用远程浏览器隔离,可以保护企业网络免受基于浏览器的攻击。来自网站(包括可能受损的数据)未转移到最终用户设备,降低违规或感染的可能性。
网络沙箱将可疑内容发送到一个隔离的环境中,在该环境中,可疑内容可以在不影响其他应用程序的情况下运行。然后,SASE平台中的FWaaS解决方案可以进一步检查并阻止任何恶意文件和资产,如果它们被发现的话。
SASE平台为保护企业和员工提供的设备提供了更好的框架,具有多种安全解决方案,防止数据丢失、未经授权的访问和恶意软件等威胁。
SASE功能是在统一的“瘦分支、重云”服务模型中提供的:SD-WAN功能是作为“瘦”分支设备提供的,而安全功能是作为“重”云服务提供的。
1万边缘基础设施的关键能力,Gartner,9020
电子书
阅读本电子书,了解思杰如何将SASE的统一方法融合到网络和安全中
SASE架构的设计意图是通过移动和移动设备实现对云应用程序的快速、可靠和安全访问偏远工人,同时提高IT敏捷性。假设企业关注所提供的功能的细微差别,例如跨网络和安全的统一管理、单通道架构设计和强大的SD-WAN功能,组织可以从SASE部署中获得以下好处:
卓越的用户体验。直接的互联网访问消除了反向连接的延迟。然而,SASE解决方案中的SD-WAN和WAN优化功能需要确保一致的性能,即使Internet性能波动。单通道架构确保检查和策略引擎本身不会增加不必要的延迟。
改进的安全。Identity Ippure,启用零信任访问以用于制裁应用程序。这减少了攻击表面并阻碍了企业网络内恶意软件的横向移动。对于Web和未经遗失的应用程序,全面,云交付的安全性确保了不管员工位置如何保持一致的安全姿势。
大它的灵活性。SASE架构可以帮助跨网络和安全协商点解决方案。单供应商解决方案提供更深入的集成和统一管理,可简化部署,配置,报告和支持服务。由于SASE架构需要将安全性移动到云端,因此整体硬件占用空间减少 - 又提高了架构弹性和比例。
一个SASE平台结合在一起云安全具有全面的WAN功能,这两种功能都是相互构建的。虽然云安全支持本地互联网爆发(用于消除从回送架构产生的延迟),但它并不能克服互联网连接的总体不可预测性。SD-WAN和WAN优化确保网络性能的变化不会影响员工体验。
通过SASE,团队可以获得对基础设施部署(包括网络安全)、网络策略配置和全面报告的统一看法。所有这些都有助于对整个企业架构进行更全面、更敏捷的控制。
功能的服务链经常迫使流量通过多个检查和策略引擎,增加延迟,并最小化从SASE体系结构预期的性能改进。相反,设计良好的SASE架构将遵循单通道方法,在此方法下,所有策略引擎只并行打开和检查一次流量。
GDPR等隐私和监管要求通常需要对数据进行分离,选择性解密和可见性,并控制数据如何以及何处流动。通过云交付的安全性,会符合这些义务可能是具有挑战性的,对任何潜在的SASE解决方案进行了评估对符合性措施的评估。
SASE的主要目标之一是提高IT敏捷性。通过整合供应商,您可以最大限度地减少计划、部署、管理和支持跨网络和安全解决方案的全面、统一架构所需的对话数量。这种整合不仅加速了运营,还有助于培养IT领域的跨职能对话,从而做出更好、更具战略性的决策。此外,从纯技术的角度来看,单一供应商架构提供了比通过组织之间的技术联盟更深入的所有功能集成。
为了满足员工的期望和业务需求,组织需要发展他们的企业网络和安全基础设施,以响应不断变化的使用模式——比如访问哪些应用程序,从哪里访问应用程序。这种发展将支持更广泛的战略计划,例如启用“在任何地方工作”的劳动力,并通过敏捷、弹性和高效的基础设施部署提高业务连续性。
广泛地,下游IT使用情况可以分为三类:
传统的集线器和辐射设备基于设备的架构增加延迟,增加WAN成本,并且很复杂。用Sase架构替换它们将允许安全的本地Internet分支,以便快速,一致,安全访问所有位置的所有应用程序。Sase架构中云交付的网络安全和SD-WAN的统一使得能够更好的应用程序性能,敏捷管理和无盲点的可见性。
虽然SD-WAN解决方案对于提高应用程序的性能至关重要,但与基于数据中心的安全堆栈一起利用SD-WAN,增加了可避免的延迟,并降低了SD-WAN的整体优势。随着加密流量的数量增加,提高成本和运行复杂性,分支位置中基于器具的安全性也需要频繁升级。云提供的安全性是一种可行的替代方案,但必须以SD-WAN解决方案串联交付作为统一的单通SASE架构。此设置可确保SD-WAN - 更快的应用程序性能,运营敏捷性和opex的预期所预期的益处最大化。
数字空间解决方案能够为所有工作应用程序和桌面提供高效的员工体验,而不管使用的设备是什么。在SASE架构的支持下,应用程序性能可以通过智能流量优先级和广域网优化进一步提高,安全性通过身份感知、零信任访问和强大的恶意软件保护增强。
Citrix Sase解决方案通过将所有Gartner核心功能和推荐功能整合到一个单一、统一的架构中,确保用户可以轻松安全地访问应用程序,无论他们在哪里工作。这些统一的SASE产品提供了五个主要好处:
在北美:
1 800 424 8749