通过用例
安全访问服务边缘,或SASE(发音为“sassy”),是一种用于网络的企业安全体系结构模型,旨在支持当今劳动力的快速应用程序访问需求。SASE架构将网络和云交付的安全汇聚到一个高性能的、统一管理的单通道架构中。
探索其他SaaS主题:
什么是SASE
推动网络和安全领域向SASE转变的主要市场趋势有三个:
今天的企业需要为所有员工提供快速、一致和安全的数字化工作空间体验,无论他们身处何地或使用何种设备。与此同时,IT团队需要变得更加敏捷,这样他们就可以专注于交付新的数字服务,而不是花大量时间管理复杂的网络和安全堆栈。通过确保网络和安全的演进和收敛,SASE框架实现:
SASE模型收敛全面SD-WAN而网络安全功能则为单通道架构,通过统一的网络和网络安全管理平面进行管理。创造了术语SASE的Gartner列出了SASE体系结构的“核心”和“推荐”功能。1
核心SASE功能包括:
SD-WAN能够在任何类型的网络传输上实现弹性的、低延迟的连接,同时与传统的基于路由器的解决方案相比,可以降低复杂性。云本地应用和实时应用尤其受益于sd - wan。sd -WAN通过基于路径质量评估的路径选择、广域网优化和与SaaS应用程序对等等功能来实现这一点。此外,一些sd - wan还采用了集成入侵检测/防御系统(IDS/IPS)、简化分支机构与SaaS应用之间的VPN隧道等网络安全措施。
安全网络网关(SWG)是一种企业网络安全解决方案,通常作为云服务实现,位于用户和网络之间。通过内置的URL过滤、应用控制、反恶意软件防御等网络安全功能,将用户流量转发到SWG进行检测和处理。
通过云访问安全代理(CASB),企业可以进行管理访问控制所有已批准和未批准的SaaS应用程序。CASB安全解决方案建立在四个主要支柱之上,包括:
零信任网络接入(ZTNA)强制授权用户访问授权应用程序的最低权限原则。它还能识别身份和上下文,根据身份信息评估访问尝试云服务比如微软Azure Active Directory,以及一天的时间和位置等参数。访问甚至可以授予应用程序而不是底层网络,以防止威胁的横向移动。总的来说,与传统的VPN解决方案相比,ZTNA提供了更好的用户体验,更严格的安全控制,并降低了复杂性。
FWaaS (Firewall as a Service)在整个企业网络中实现入口和出口安全控制,以确保只有可信的流量可以通过。更具体地说,FWaaS解决方案可以集成基于异常(无签名)的威胁检测、网络沙箱、地理位置、反恶意软件和IDS/IPS解决方案。FWaaS通常与安全分析为数据中心、云实例和分支机构提供全面保护解决方案。
数据丢失保护(也称为威胁防护)集成到SASE平台的单通道架构中。数据丢失保护引擎提供了对正在使用、正在运动和处于静止状态的数据的可见性。它可以隔离有风险的数据或活动,实施加密,并发送网络安全警报,以降低数据泄露的总体风险。
SASE的单通道架构允许加密流量只被打开和检查一次,以减少使用服务链检查引擎的传统安全堆栈的延迟。
推荐的SASE功能包括:
随着网络应用的使用增加,将恶意流量和请求拒之门外是很重要的。Web应用程序和API保护WAAP可以集成诸如高级速率限制、运行时应用程序自我保护和DDoS缓解等安全解决方案。
通过使用远程浏览器隔离,可以保护企业网络免受基于浏览器的攻击。来自网站的数据,包括可能被泄露的数据,不会被转移到终端用户设备,降低了泄密或感染的可能性。
网络沙箱将可疑内容发送到一个隔离的环境中,在该环境中,可疑内容可以在不影响其他应用程序的情况下运行。然后,SASE平台中的FWaaS解决方案可以进一步检查并阻止任何恶意文件和资产,如果它们被发现的话。
SASE平台为保护企业和员工提供的设备提供了更好的框架,具有多种安全解决方案,防止数据丢失、未经授权的访问和恶意软件等威胁。
SASE功能是在统一的“瘦分支、重云”服务模型中提供的:SD-WAN功能是作为“瘦”分支设备提供的,而安全功能是作为“重”云服务提供的。
1广域网边缘基础设施的关键能力,Gartner, 2020年9月
电子书
阅读本电子书,了解思杰如何将SASE的统一方法融合到网络和安全中
SASE架构的设计意图是通过移动和移动设备实现对云应用程序的快速、可靠和安全访问远程工作者,同时提高IT敏捷性。假设企业关注所提供的功能的细微差别,例如跨网络和安全的统一管理、单通道架构设计和强大的SD-WAN功能,组织可以从SASE部署中获得以下好处:
卓越的用户体验。直接的互联网访问消除了反向连接的延迟。然而,SASE解决方案中的SD-WAN和WAN优化功能需要确保一致的性能,即使Internet性能波动。单通道架构确保检查和策略引擎本身不会增加不必要的延迟。
改进的安全。对认可的应用程序启用身份识别、零信任访问。这减少了攻击面,阻碍了恶意软件在企业网络内的横向移动。对于web和未经批准的应用程序,全面的、云交付的安全确保了一致的安全态势,无论员工在哪里。
大它的灵活性.SASE体系结构可以帮助巩固跨网络和安全的点解决方案。单一供应商解决方案提供了更深层次的集成和统一管理,简化了部署、配置、报告和支持服务。由于SASE架构需要将安全性转移到云,因此总体硬件占用减少了——这反过来又提高了架构的弹性和伸缩性。
一个SASE平台结合在一起云安全具有全面的WAN功能,这两种功能都是相互构建的。虽然云安全支持本地互联网爆发(用于消除从回送架构产生的延迟),但它并不能克服互联网连接的总体不可预测性。SD-WAN和WAN优化确保网络性能的变化不会影响员工体验。
通过SASE,团队可以获得对基础设施部署(包括网络安全)、网络策略配置和全面报告的统一看法。所有这些都有助于对整个企业架构进行更全面、更敏捷的控制。
功能的服务链经常迫使流量通过多个检查和策略引擎,增加延迟,并最小化从SASE体系结构预期的性能改进。相反,设计良好的SASE架构将遵循单通道方法,在此方法下,所有策略引擎只并行打开和检查一次流量。
隐私和法规需求(如GDPR)通常要求数据分离、选择性解密和可见性,以及控制数据如何和在何处流动。对于云交付的安全性,满足这些义务可能具有挑战性,因此对任何潜在的SASE解决方案进行遵从性度量的评估非常重要。
SASE的主要目标之一是提高IT敏捷性。通过整合供应商,您可以最大限度地减少计划、部署、管理和支持跨网络和安全解决方案的全面、统一架构所需的对话数量。这种整合不仅加速了运营,还有助于培养IT领域的跨职能对话,从而做出更好、更具战略性的决策。此外,从纯技术的角度来看,单一供应商架构提供了比通过组织之间的技术联盟更深入的所有功能集成。
为了满足员工的期望和业务需求,组织需要发展他们的企业网络和安全基础设施,以响应不断变化的使用模式——比如访问哪些应用程序,从哪里访问应用程序。这种发展将支持更广泛的战略计划,例如启用“在任何地方工作”的劳动力,并通过敏捷、弹性和高效的基础设施部署提高业务连续性。
大致上,下游的IT用例可以分为三类:
传统的基于中心辐射式设备的体系结构增加了延迟,增加了广域网的成本,而且管理起来很复杂。用SASE架构取代它们将允许安全的本地互联网突破,从任何位置快速、一致和安全地访问所有应用程序。在SASE体系结构中统一云交付的网络安全和SD-WAN,可以实现更好的应用程序性能、敏捷管理和无盲点的可见性。
虽然SD-WAN解决方案对于提高应用程序的性能至关重要,但是利用SD-WAN和基于数据中心的安全堆栈会增加可避免的延迟,并降低SD-WAN的整体效益。随着加密通信量的增加,分支机构中基于设备的安全也需要频繁升级,从而提高成本和操作复杂性。云交付的安全性是一种可行的替代方案,但必须作为统一的单通道SASE架构与SD-WAN解决方案一起交付。这种设置确保sd - wan所带来的好处(更快的应用程序性能、操作灵活性和降低的操作成本)得到最大化。
数字空间解决方案能够为所有工作应用程序和桌面提供高效的员工体验,而不管使用的设备是什么。在SASE架构的支持下,应用程序性能可以通过智能流量优先级和广域网优化进一步提高,安全性通过身份感知、零信任访问和强大的恶意软件保护增强。
Citrix SASE的解决方案通过将所有Gartner核心功能和推荐功能整合到一个单一、统一的架构中,确保用户可以轻松安全地访问应用程序,无论他们在哪里工作。这些统一的SASE产品提供了五个主要好处:
在北美:
1 800 424 8749