Por caso de uso
安全访问服务边缘(Secure Access Service Edge,简称SASE)是一种用于网络的企业安全体系结构模型,旨在支持当今工作人员的快速应用程序访问需求。SASE架构将网络和云交付的安全集成到一个具有统一管理的高性能、单道架构中。
探索其他SaaS主题:
什么是SASE
在网络和安全领域,有三个主要的市场趋势推动了向SASE的转变:
今天的企业需要为所有员工提供快速、一致和安全的数字工作空间体验,而无需考虑地点或设备。与此同时,IT团队需要变得更加敏捷,这样他们就可以专注于交付新的数字服务——而不是把大量的时间花在管理复杂的网络和安全栈上。通过确保网络和安全性的发展和收敛,SASE框架实现了:
SASE模型是全面收敛的SD-WAN而网络安全功能变成了单通架构,通过统一的网络和网络安全管理平面进行管理。创造了术语SASE的Gartner列出了SASE体系结构的“核心”和“推荐”功能。1
SASE的核心功能包括:
SD-WAN能够在任何类型的网络传输上实现弹性、低延迟的连接,同时与传统的基于路由器的解决方案相比,降低了复杂性。云原生和实时应用程序尤其受益于sd - wan。sd -WAN通过基于路径质量评估的路径选择、WAN优化和SaaS应用程序对等等功能实现了这一点。此外,部分sd - wan还具备集成入侵检测/防御系统(IDS/IPS)、简化分支机构和SaaS应用之间的VPN隧道设置等网络安全措施。
安全web网关(SWG)是一种企业网络安全解决方案,通常以云服务的形式内联实现,位于用户和web之间。通过内置的URL过滤、应用控制和反恶意软件防御等网络安全功能,将用户流量转发到SWG进行检查和进一步处理。
通过云访问安全代理(CASB),企业可以进行管理访问控制所有批准和未批准的SaaS应用。CASB安全解决方案建立在四个主要支柱之上,包括:
零信任网络接入(ZTNA)为授权用户访问受限制的应用程序强制最低权限原则。它还可以识别身份和上下文,根据来自的身份信息评估访问尝试云服务比如微软Azure活动目录,以及时间和位置等参数。访问甚至可以授予应用程序而不是底层网络,以防止威胁的横向移动。总体而言,与传统VPN解决方案相比,ZTNA提供了更好的用户体验、更严格的安全控制和降低复杂性。
防火墙即服务(FWaaS)实现跨企业网络的入口和出口安全控制,以确保只有可信的流量可以通过。更具体地说,FWaaS解决方案可以集成基于异常(无签名)的威胁检测、网络沙箱、地理定位、反恶意软件和IDS/IPS解决方案。FWaaS通常与安全分析数据中心、云实例、分支机构综合保护解决方案。
数据丢失保护(也称为威胁预防)集成到SASE平台的单通道架构中。数据丢失保护引擎提供了对使用中的、运动中的和静止的数据的可见性。它可以隔离有风险的数据或活动,实施加密,并发送网络安全警报,以降低数据泄露的总体风险。
SASE的单通道架构允许加密流量只被打开和检查一次,通过服务链式检查引擎减少传统安全栈的延迟。
推荐的SASE能力包括:
随着web应用程序使用的增加,阻止恶意流量和请求是很重要的。Web应用程序和API保护或WAAP,可以集成安全解决方案,如高级速率限制、运行时应用程序自我保护和DDoS缓解。
通过使用远程浏览器隔离,可以保护企业网络免受基于浏览器的攻击。来自网站的数据,包括可能被泄露的数据,不会传输到最终用户设备,从而降低了被入侵或感染的可能性。
网络沙箱将可疑内容发送到一个隔离的环境,在那里它可以运行而不影响其他应用程序。然后,SASE平台内的FWaaS解决方案可以进一步检查它,并阻止任何发现的恶意文件和资产。
SASE平台为保护企业和员工提供的设备提供了更好的框架,具有多种安全解决方案,可以防止数据丢失、未经授权的访问和恶意软件等威胁。
SASE功能在统一的“瘦分支、重云”服务模型中交付:SD-WAN功能作为“瘦”分支设备提供,而安全功能作为“重”云服务提供。
1广域网边缘基础设施的关键能力,Gartner, 2020年9月
电子书
阅读电子书,了解Citrix对SASE的统一方法如何将网络和安全融合在一起
SASE架构的设计意图是通过移动和安全访问云应用程序,实现快速、可靠和安全远程工作者,同时提高IT敏捷性。假设企业关注所提供功能的细微差别,例如跨网络和安全性的统一管理、单通道架构设计和强大的SD-WAN功能,那么组织可以从SASE部署中获得以下好处:
卓越的用户体验。直接互联网接入消除了反向连接的延迟。但是,SASE解决方案中的SD-WAN和WAN优化功能需要确保即使在Internet性能波动时也能保持一致的性能。单通道架构确保检查和策略引擎本身不会增加不必要的延迟。
改进的安全。对批准的应用程序启用身份感知、零信任访问。这减少了攻击面,并阻止恶意软件在企业网络内横向移动。对于web和未经批准的应用程序,全面的,云交付的安全确保一致的安全态势,无论员工的位置。
大它的灵活性.SASE体系结构可以帮助整合跨网络和安全性的点解决方案。单供应商解决方案提供了更深入的集成和统一管理,从而简化了部署、配置、报告和支持服务。由于SASE体系结构需要将安全性转移到云上,因此总体硬件占用减少了——这反过来提高了体系结构的弹性和伸缩性。
SASE平台结合云安全具有全面的广域网功能,这两种功能都建立在彼此的基础上。虽然云安全使本地互联网爆发成为可能(用于消除回溯架构带来的延迟),但它并不能克服互联网连接的整体不可预测性。SD-WAN和WAN优化确保网络性能的变化不会影响员工的体验。
通过SASE,团队可以获得基础设施部署(包括网络安全)、网络策略配置和综合报告的统一视图。所有这些都有助于对整个企业架构进行更全面、更敏捷的控制。
功能的服务链接通常会迫使流量通过多个检查和策略引擎,从而增加延迟,并将期望从SASE体系结构获得的性能改进降至最低。相比之下,设计良好的SASE架构将遵循单通道方法,在这种方法下,所有策略引擎并行地只打开和检查一次流量。
隐私和监管要求(如GDPR)通常要求数据隔离、选择性解密和可见性,以及对数据如何流动和流向何处的控制。使用云交付的安全性,满足这些义务可能具有挑战性,因此对任何潜在的SASE解决方案的遵从性措施进行评估非常重要。
SASE的主要目标之一是提高IT敏捷性。通过整合供应商,您可以将跨网络和安全解决方案规划、部署、管理和支持全面统一的体系结构所需的对话数量降至最低。这种整合不仅加快了运营速度,还有助于培养IT部门的跨职能对话,从而产生更好的、更具战略性的决策。此外,从纯技术的角度来看,单一供应商的体系结构提供了跨所有功能的更深入的集成,这比通过组织之间的技术联盟可能实现的集成更深入。
组织需要发展其企业网络和安全基础设施,以响应不断变化的使用模式——比如访问哪些应用程序,从哪里访问——以满足员工的期望和业务需求。这种发展将支持更广泛的战略计划,例如支持“随时随地工作”的劳动力,并通过敏捷、弹性和高效的基础设施部署改善业务连续性。
大致上,下游的IT用例可以分为三类:
传统的基于中心辐射型设备的体系结构增加了延迟,增加了WAN成本,并且管理起来很复杂。用SASE体系结构取代它们将允许安全的本地互联网突破,以便从任何位置快速、一致和安全地访问所有应用程序。在SASE架构中,云交付的网络安全与SD-WAN的统一使得应用程序性能更好,管理敏捷,可视性没有盲点。
虽然SD-WAN解决方案对于提高应用程序的性能至关重要,但将SD-WAN与基于数据中心的安全栈结合使用会增加可避免的延迟,并降低SD-WAN的总体优势。随着加密通信量的增加,分支位置的基于设备的安全性也需要频繁升级,从而提高了成本和操作复杂性。云交付的安全性是一种可行的替代方案,但必须作为统一的单道SASE架构与SD-WAN解决方案一起交付。这种设置确保了sd - wan的预期好处——更快的应用程序性能、操作敏捷性和降低运营成本。
数字空间解决方案为所有工作应用程序和桌面提供了精简和高效的员工体验,而不管使用的设备是什么。在SASE体系结构的支持下,应用程序性能可以通过智能流量优先级和广域网优化进一步提高,安全性可以通过对所有流量的身份感知、零信任访问和强大的恶意软件保护来增强。
Citrix SASE的解决方案通过将Gartner所有的核心和推荐功能整合到一个单一的、统一的架构中,确保用户无论在哪里工作都可以轻松安全地访问应用程序。这些统一的SASE产品提供了五个关键的好处:
+34 91 414 9800