安全接入服务边缘

什么是安全访问服务边缘(SASE)?

安全访问服务边缘(SASE)是一种新的企业网络和网络安全体系结构模型,由Gartner定义为一种支持当今劳动力快速和安全的应用程序访问需求的方法。SASE架构将网络和云交付的安全汇聚到一个高性能的、统一管理的单通道架构中。

0:44
什么是sass.

探索其他的SASE主题

为什么Sass需要?

推动网络和安全领域向SASE转变的主要市场趋势有三个:

  • 应用正在转向SaaS:在传统的体系结构中,将SaaS流量反向传输到数据中心将导致延迟恶化并增加网络成本。随着云服务变得越来越流行,安全必须从数据中心向用户靠拢,在用户和云之间的路径上。
  • 员工的流动性和远程性更强:无论在哪里,员工都希望得到同样的体验和安全保障。不幸的是,传统的vpn不提供细粒度的安全控制,从而使这种体验恶化。
  • 威胁正在迅速演变:安全团队需要不断升级和更新他们的基础架构,以跟上新的威胁。这是复杂,耗时的工作,仍然仍然让他们的组织开放为零威胁。

无论位置或设备,今天的企业都需要以快速,一致,安全的经验授权所有员工。Enterprise IT团队必须变得更加敏捷和经营高效,专注于提供新的数字服务,而不是管理复杂的网络和安全堆栈。

在应对这些趋势方面,SASE的作用是什么?它是一个框架,确保网络和安全都发展和融合,以实现:

  • 敏捷、统一、单一的管理——包括配置、细粒度策略控制和可见性——跨网络和安全。
  • 通过全面的广域网能力,克服了本地互联网爆发的不可预测性,始终快速和安全的应用程序访问无处不在。
  • 通过全球安全云为所有用户执行一致的安全策略,无论他们的位置。

SASE架构是什么样的?

SASE将全面的广域网和网络安全能力汇聚成一种单通道架构,通过统一的网络和网络安全管理平面进行管理。创造了术语SASE的Gartner列出了SASE体系结构的“核心”和“推荐”功能1

  • 核心
    • SD-WAN:SD-WAN在任何类型的网络传输上支持弹性的、低延迟的连接,同时与传统的基于路由器的解决方案相比,允许降低复杂性。云本地应用和实时应用尤其受益于sd - wan。sd -WAN通过基于路径质量评估的路径选择、广域网优化和与SaaS应用程序对等等功能来实现这一点。此外,一些sd - wan还采用了集成入侵检测/防御系统(IDS/IPS)、简化分支机构与SaaS应用之间的VPN隧道等网络安全措施。
    • 安全Web门户:安全网络网关(SWG)是一种企业网络安全解决方案,通常作为云服务实现,位于用户和网络之间。通过内置的URL过滤、应用控制、防恶意软件等网络安全功能,将用户流量转发到SWG进行检测,并根据需要采取相应的措施。
    • 云接入安全代理:通过云访问安全代理(CASB),企业可以管理所有已批准和未批准的SaaS应用程序的访问控制。CASB安全解决方案建立在四个主要支柱之上:
      • 提高可视性,包括影子IT应用程序。
      • 数据安全保护敏感资产不受未经授权的访问。
      • 通过行为分析等功能来保护威胁。
      • 简化的合规证明。
    • 零信任网络接入:零信任网络访问(ZTNA)为被授权的用户访问被批准的应用程序执行最低权限原则。它还能识别身份和上下文,根据来自微软Azure Active Directory等云服务的身份信息以及时间和位置等参数评估访问尝试。访问甚至可以授予应用程序而不是底层网络,以防止威胁的横向移动。总的来说,与传统的VPN解决方案相比,ZTNA提供了更好的用户体验,更严格的安全控制,并降低了复杂性。
    • FWAAS:FWaaS (Firewall as a Service)在整个企业网络中实现入口和出口安全控制,以确保只有可信的流量可以通过。更具体地说,FWaaS解决方案可以集成基于异常(无签名)的威胁检测、网络沙箱、地理位置、反恶意软件和IDS/IPS解决方案。FWaaS通常与分析解决方案集成,为数据中心、云实例和分支机构提供全面保护。
    • 数据丢失保护:数据丢失保护(或数据丢失预防)功能被集成到SASE平台的单通道架构中。数据丢失保护引擎提供了对使用中的数据、运动中的数据和静止的数据的可见性。它可以隔离有风险的数据或活动,强制加密和发送网络安全警报,以降低数据泄露的总体风险。
    • 以线速度、规模进行内容加密/解密:SASE的单通道架构允许加密流量只被打开和检查一次,以减少使用服务链检查引擎的传统安全堆栈的延迟。
  • 推荐:
    • Web应用程序和API保护:随着Web应用程序的使用增加,将恶意交通和在海湾的请求增加是很重要的。Web应用程序和API保护或WAAP可以集成安全解决方案,如高级速率限制,运行时应用自保护和DDOS缓解。
    • 远程浏览器隔离:通过使用远程浏览器隔离,可以保护企业网络免受基于浏览器的攻击。来自网站(包括可能受损的数据)未转移到最终用户设备,降低违规或感染的可能性。
    • 网络沙箱:网络沙箱将可疑内容发送到孤立的环境中,其中可以在不影响其他应用程序的情况下运行。然后,如果发现,Sase平台内的FWAAS解决方案可以进一步检查并阻止任何恶意文件和资产。
    • 对托管和非托管设备的支持:SASE平台为保护企业和员工提供的设备提供更好的框架,具有多种安全解决方案,可防止数据丢失,未经授权的访问和恶意软件等威胁。

上述功能必须在统一的“瘦分支、重云”模型中交付——SD-WAN功能作为“瘦”分支设备提供,而安全功能作为“重”云服务提供。

实现SASE体系结构的好处

SASE架构的设计目的是使移动和远程工作人员能够快速、可靠和安全地访问云应用程序,同时也提高IT灵活性。假设企业关注所提供的功能的细微差别,例如跨网络和安全的统一管理、单通道架构设计和强大的SD-WAN功能,那么企业可以从SASE部署中获得以下好处:

改善用户体验、协作和参与-直接互联网访问消除延迟从回拉连接。然而,SASE解决方案中的SDWAN和WAN优化功能需要确保一致的性能,即使Internet性能波动。单通道架构确保检查和策略引擎本身不会增加不必要的延迟。

无论员工在哪里,都提高了安全性- Identity-Aware,已启用零信任访问以用于制裁应用程序。这减少了攻击表面并阻碍了企业网络内恶意软件的横向移动。对于Web和未经遗失的应用程序,全面,云提供安全确保了不管员工位置的一致安全姿势。

简化操作,提高IT灵活性- SASE架构可以帮助巩固供应商的网络和安全。单一供应商解决方案提供了更深层次的集成和统一管理,简化了部署、配置、报告和支持服务。由于SASE架构需要将安全性转移到云,因此减少了总体硬件占用,从而提高了架构的弹性和规模。

在SASE框架中寻找细微差别

虽然许多供应商推广Sase架构的各个组件,但是提供所有必要的功能至关重要,因为统一的整体大于部分的总和。

只有拥有完整的“SASE栈”,企业才能在任何地方、任何设备上实现对所有应用程序的快速、一致和安全访问,同时提高IT灵活性。最强大的SASE架构包括以下细微差别,以区别于竞争对手:

  • 跨企业网络和安全性的深度集成:SASE平台将云安全与全面的WAN功能结合在一起,这两种功能是相互构建的。虽然云安全支持本地互联网爆发(用于消除从回送架构产生的延迟),但它并不能克服互联网连接的总体不可预测性。SD-WAN和WAN优化确保网络性能的变化不会影响员工体验。
  • Single-pane-of-glass管理:通过SASE,团队将统一的视图获得进入基础架构部署(包括网络安全),网络策略配置和全面报告。这一切都在整个企业架构中增加了更全面和敏捷的控制。
  • 单次的架构:功能链接的服务通常强制流量通过多个检查和策略引擎,添加延迟并最大限度地减少了Sase架构中预期的任何性能改进。相比之下,精心设计的SASE架构将遵循一次通过的方法,在任何策略发动机并行地打开一次流量并检查一次。
  • SASE架构本身的隐私/数据隔离:隐私和法规需求(如GDPR)通常要求数据分离、选择性解密和可见性,以及控制数据如何和在何处流动。对于云交付的安全性,满足这些义务可能具有挑战性,因此对任何潜在的SASE解决方案进行遵从性度量的评估非常重要。
  • 统一的供应商管理:SASE的主要目标之一是提高IT敏捷性。通过整合供应商,您可以最大限度地减少计划、部署、管理和支持跨网络和安全解决方案的全面、统一架构所需的对话数量。这种整合不仅加速了运营,还有助于培养IT领域的跨职能对话,从而做出更好、更具战略性的决策。此外,从纯技术的角度来看,单一供应商架构提供了比通过组织之间的技术联盟更深入的所有功能集成。

用例为SASE

组织需要响应于更改的使用模式 - 即,访问哪些应用程序以及从哪里来,以迎接哪些应用程序,以满足员工的预期以及业务需求,以响应于其企业网络和安全基础架构。这种进化将支持更广泛的战略举措,例如通过敏捷,弹性和高效的基础设施部署来实现“工作 - 从任何地方”劳动力和改善业务连续性。

大致上,下游的IT用例可以分为三类:

  • 转换您的网络和安全架构:传统的基于中心辐射式设备的体系结构增加了延迟,增加了广域网的成本,而且管理起来很复杂。用SASE架构取代它们将允许安全的本地互联网突破,从任何位置快速、一致和安全地访问所有应用程序。在SASE体系结构中统一云交付的网络安全和SD-WAN,可以实现更好的应用程序性能、敏捷管理和无盲点的可见性。
  • 确保SD-WAN部署:虽然SD-WAN解决方案对于提高应用程序的性能至关重要,但是利用SD-WAN和基于数据中心的安全堆栈会增加可避免的延迟,并降低SD-WAN的整体效益。随着加密通信量的增加,分支机构中基于设备的安全也需要频繁升级,从而提高成本和操作复杂性。云交付的安全性是一种可行的替代方案,但必须作为统一的单通道SASE架构与SD-WAN解决方案一起交付。这种设置确保SD-WAN预期的好处——更快的应用程序性能,操作灵活性,降低运营成本——得到最大化。
  • 提供安全、高效的数字工作空间:数字化工作空间解决方案为所有工作应用程序和桌面提供了一种高效的员工体验,而不管使用的是什么设备。在SASE架构的支持下,应用程序性能可以通过智能流量优先级和广域网优化进一步提高,安全性通过身份感知、零信任访问和强大的恶意软件保护增强。

思杰如何通过SASE帮助企业?

Citrix将所有的SASE功能聚合到一个单一的、统一的体系结构中。思杰对SASE的统一方法提供了5个主要好处:

  1. 最全面的云交付安全堆栈它可以保护所有用户,无论他们在哪里,都能大规模地抵御所有威胁。
  2. Identity Invustn,Zero Trust Access用于连续和动态访问批准企业应用,同时最大限度地减少企业攻击表面。
  3. 最好的应用程序体验,总是,与强大的SD-WAN和应用程序优化功能。
  4. 深度取证和AI供电分析,以定位特定的安全事件,非典型活动和政策违反事件分析和监管遵守的行为。
  5. 统一管理,组网一体化,安全一体化,操作简单敏捷。

思杰获得了来自40万家组织的1亿用户的信任,使他们能够做好自己的工作。我们很乐意加入您的行列,共同迈向更高效、敏捷和高效的架构。

额外的资源:

1Gartner,网络安全的未来是在云,尼尔麦克唐纳,劳伦斯奥兰,和Joe Skorupa,2019年8月30日
Gartner并未认可在其研究出版物中描述的任何供应商,产品或服务,并且不建议技术用户只选择具有最高评级或其他名称的供应商。Gartner研究出版物由Gartner的研究组织的意见组成,不应被解释为事实陈述。Gartner在这项研究中驳回所有保证,表达或暗示,包括任何适用性或特定目的的健身保修。