安全访问服务边缘(Secure Access Service Edge,或SASE(发音为“sassy”))是一种用于网络的企业安全体系结构模型,旨在支持当今工作人员的快速应用程序访问需求。SASE体系结构将网络和云交付的安全性融合到具有统一管理的高性能、单通道体系结构中。
探索其他SaaS主题:
什么是SASE
有三个主要的市场趋势推动着网络和安全领域向SASE的转变:
今天的企业需要为所有员工提供快速、一致和安全的数字工作空间体验,无论其位置或设备如何。与此同时,IT团队需要变得更加敏捷,这样他们就可以专注于交付新的数字服务,而不是花费大量时间管理复杂的网络和安全堆栈。通过确保网络和安全的发展和融合,SASE框架实现了:
SASE模型是综合收敛的SD-WAN并将网络安全功能转化为单通道架构,通过统一的管理平面进行网络管理和网络安全管理。创造了SASE这个术语的Gartner列出了SASE体系结构的“核心”和“推荐”功能。1
SASE的核心功能包括:
SD-WAN能够在任何类型的网络传输上实现弹性的、低延迟的连接,同时与传统的基于路由器的解决方案相比,允许降低复杂性。原生云应用和实时应用尤其受益于sd - wan。sd -WAN通过基于路径质量评估的路径选择、广域网优化和与SaaS应用程序对等等功能实现这一点。此外,部分sd - wan还具有IDS/IPS (integrated intrusion detection/prevention system)集成入侵检测/防御系统、简化分支机构与SaaS应用之间的VPN隧道设置等网络安全措施。
安全网络网关(SWG)是一种企业网络安全解决方案,通常作为云服务内联实现,位于用户和web之间。通过内置的网络安全功能,如URL过滤、应用控制和反恶意软件防御,用户流量被转发到SWG进行检查和必要的进一步处理。
通过云访问安全代理(CASB),企业可以进行管理访问控制所有已批准和未批准的SaaS应用程序。CASB安全解决方案建立在四个主要支柱之上,包括:
零信任网络访问(ZTNA)为访问受制裁应用程序的授权用户强制执行最小特权原则。它也是识别身份和上下文的,基于来自的身份信息评估访问尝试云服务比如微软Azure活动目录,以及时间和地点等参数。访问甚至可以授予应用程序而不是底层网络,以防止威胁的横向移动。总的来说,与传统VPN解决方案相比,ZTNA提供了更好的用户体验,更严格的安全控制,降低了复杂性。
防火墙即服务(FWaaS)实现跨企业网络的入口和出口安全控制,以确保只有受信任的流量可以通过。更具体地说,FWaaS解决方案可以集成基于异常(无签名)的威胁检测、网络沙箱、地理定位、反恶意软件和IDS/IPS解决方案。FWaaS经常与安全分析数据中心、云实例、分支机构综合保护方案。
数据丢失保护(也称为威胁防护)集成到SASE平台的单通体系结构中。数据丢失保护引擎提供对正在使用、运动和静止的数据的可见性。它可以隔离有风险的数据或活动,强制加密,并发送网络安全警报,以降低数据泄露的整体风险。
SASE的单通体系结构允许加密的流量只被打开和检查一次,以减少使用服务链检查引擎的传统安全堆栈的延迟。
推荐的SASE功能包括:
随着web应用程序使用量的增加,将恶意流量和请求拒之门外是很重要的。Web应用程序和API保护WAAP可以集成高级速率限制、运行时应用程序自我保护和DDoS缓解等安全解决方案。
通过使用远程浏览器隔离,可以保护企业网络免受基于浏览器的攻击。来自网站的数据,包括可能被入侵的网站,不会被传输到最终用户的设备上,从而降低了被入侵或感染的可能性。
网络沙箱将可疑的内容发送到一个隔离的环境中,在那里它可以运行而不影响其他应用程序。SASE平台中的FWaaS解决方案可以进一步检查它,并在发现恶意文件和资产时阻止它们。
SASE平台为保护企业和员工提供的设备提供了更好的框架,提供了多种安全解决方案,防止数据丢失、未经授权的访问和恶意软件等威胁。
SASE功能以统一的“瘦分支、重云”服务模型交付:SD-WAN功能作为“瘦”分支设备提供,而安全功能作为“重”云服务提供。
1广域网边缘基础设施的关键能力,Gartner, 2020年9月
白皮书
发现统一SASE可以实现的好处,从更好的用户体验和安全性到提高IT敏捷性。
SASE体系结构的设计意图是通过移动和移动实现对云应用程序的快速、可靠和安全访问远程工作者,同时提高IT敏捷性。假设企业关注所提供功能的细微差别,例如跨网络和安全的统一管理、单通道体系结构设计和强大的SD-WAN功能,组织可以从SASE部署中获得以下好处:
卓越的用户体验。直接上网消除了回调连接带来的延迟。但是,SASE解决方案中的SD-WAN和WAN优化功能需要确保在Internet性能波动时也能保持一致的性能。单通道体系结构确保检查和策略引擎本身不会增加不必要的延迟。
改进的安全。为受制裁的应用程序启用了识别身份的零信任访问。这减少了攻击面,并阻止恶意软件在企业网络中的横向移动。对于web和未经批准的应用程序,全面的、云交付的安全确保了一致的安全态势,无论员工位于何处。
大它的灵活性.SASE体系结构可以帮助跨网络和安全性巩固点解决方案。单一供应商解决方案提供了更深层次的集成和统一管理,从而简化了部署、配置、报告和支持服务。由于SASE体系结构需要将安全性转移到云上,因此整体硬件占用减少了——这反过来提高了体系结构的弹性和规模。
一个SASE平台组合云安全具有全面的广域网功能,这两个功能是相互构建的。虽然云安全能够实现本地互联网爆发(消除回调架构的延迟),但它并不能克服互联网连接的整体不可预测性。SD-WAN和WAN优化确保网络性能的变化不影响员工的体验。
通过SASE,团队可以获得基础设施部署(包括网络安全)、网络策略配置和综合报告的统一视图。所有这些都使整个企业架构的控制更加全面和敏捷。
功能的服务链通常迫使流量通过多个检查和策略引擎,增加延迟并最小化SASE体系结构所期望的性能改进。相比之下,设计良好的SASE体系结构将遵循单遍方法,在这种方法下,所有策略引擎只并行地打开和检查一次流量。
隐私和监管要求(如GDPR)通常要求数据隔离、选择性解密、可见性以及对数据流动方式和位置的控制。对于云交付的安全性,满足这些义务可能具有挑战性,这使得对任何潜在SASE解决方案的遵从性度量的评估非常重要。
SASE的主要目标之一是提高IT敏捷性。通过整合供应商,您可以最小化计划、部署、管理和支持跨网络和安全解决方案的全面统一体系结构所需的对话数量。这种整合不仅加速了运营,还有助于培养IT领域的跨职能对话,从而实现更好、更有战略意义的决策。此外,从纯技术的角度来看,单一供应商体系结构提供了跨所有功能的更深层次的集成,而不是通过组织之间的技术联盟所能提供的。
组织需要发展他们的企业网络和安全基础设施,以响应不断变化的使用模式——例如从哪里访问哪些应用程序——以满足员工的期望和业务需求。这一演变将支持更广泛的战略计划,例如启用“从任何地方工作”的工作队伍,并通过灵活、弹性和高效的基础设施部署改善业务连续性。
广义上说,下游IT用例可以分为三类:
传统的基于hub-and-spoke设备的体系结构增加了延迟,增加了广域网成本,而且管理起来很复杂。用SASE体系结构取代它们将允许安全的本地互联网爆发,从任何位置快速、一致和安全地访问所有应用程序。在SASE体系结构中统一云交付的网络安全和SD-WAN,可以实现更好的应用程序性能、灵活的管理和无盲点的可见性。
虽然SD-WAN解决方案对于提高应用程序的性能至关重要,但是将SD-WAN与基于数据中心的安全堆栈结合使用会增加可避免的延迟,并降低SD-WAN的整体好处。随着加密通信量的增加,分支位置中基于设备的安全性也需要频繁升级,这增加了成本和操作复杂性。云交付的安全性是一种可行的替代方案,但必须作为统一的单通SASE体系结构与SD-WAN解决方案一起交付。这种设置确保了sd - wan预期的好处——更快的应用程序性能、操作敏捷性和减少的opex得到最大化。
数字空间解决方案为所有工作应用程序和桌面提供了精简和高效的员工体验,而不管使用的是什么设备。在SASE架构的支持下,通过智能流量优先级和广域网优化,以及对所有流量的身份识别、零信任访问和强大的恶意软件保护支持的安全性,可以进一步提高应用程序的性能。
的安全访问解决方案Citrix确保用户无论在哪里工作,都可以轻松安全地访问应用程序。与Citrix安全私有访问为了使ZTNA能够访问企业应用程序,企业攻击面被最小化,网络威胁被拒之门外。作为SASE体系结构的一个基本组件,它允许组织支持当今工作人员的快速应用程序访问需求——而不会将数据置于风险之中。
在北美:
1 800 424 8749