SASE(安全访问服务边缘)

什么是SASE

物联网(IoT)设备和外部用户的急剧增长迫使IT部门将存储和处理功能移至更靠近网络边缘的位置,以处理所有数据,并避免对用户和数据中心过载所造成的性能影响。但是,边缘计算通过将数据中心风险分散到更靠近互联网的更大区域中而产生了自己的安全问题。为应对这些挑战,出现了一种边缘安全工具:安全访问服务边缘(SASE)。

SASE是一个总体解决方案,是一种软件和硬件工具的框架,可确保通常以云服务形式提供的应用程序、服务、用户和机器对云和网络资源的安全访问。

Gartner在其《云计算网络安全的未来》报告中创造了SASE这个词,将SASE架构确定为保护云和数据中心基础设施的关键网络安全解决方案。

Gartner对SASE的定义:SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。

SASE不是单独的独立系统,而是包含一套技术,从SD-WAN和云访问安全代理(CASB)到安全的web网关、零信任网络访问(ZTNA)、防火墙即服务(FWaaS)和微分段。

SASE的需求

云基础设施投资连年增长,但Canalys的数据显示,2019年云基础设施投资激增了30%之多。而且,2020年依然延续了如此迅猛的增长势头。IDG最近的一份报告指出,超过50%的买家计划在来年投身云领域。

云技术有很多优势,尤其是在规模和可靠性方面,是支持员工、客户和合作伙伴的基础。然而,云能够快速扩张的特性模糊了网络边界,给确保和遵循数据安全最佳实践带来了不确定性。

企业迈向云端的最大顾虑就是安全相关问题。传统的网络安全技术无法处理网络外围面临的日益高级的威胁和漏洞。随着云和外部访问的加速,企业需要实施高级访问控制,以确保他们具有处理相关网络安全需求和风险的能力。

随着远程访问和软件即服务(SaaS)不断增加的云和外部流量,SASE将重点从中央私有数据中心转移到了网络外围和云中,而安全控制则集中在网络边缘。除了持续监控恶意软件,风险和连接的信任级别外,SASE还能以线速识别敏感数据并加密/解密内容,以适应流量需求,并通过随时随地的强大访问权限为分布式最终用户提供安全的体验数据、应用程序和服务。

SASE特征

根据Gartner的定义,SASE有四个主要特征:

1.身份驱动

不仅仅是IP地址,用户和资源身份决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由与每个网络连接相关联的身份所驱动。采用该方法,公司企业为用户开发一套网络和安全策略,无需考虑设备或地理位置,从而降低运营开销。

2.云原生架构

SASE架构利用云的几个主要功能,包括弹性、自适应性、自恢复能力和自维护功能,提供一个可以分摊客户开销以提供最大效率的平台,可很方便地适应新兴业务需求,而且随处可用。

3.支持所有边缘

SASE为所有公司资源创建了一个网络——数据中心、分公司、云资源和移动用户。举个例子,软件定义广域网(SD-WAN)设备支持物理边缘,而移动客户端和无客户端浏览器访问连接四处游走的用户。

4.全球分布

为确保所有网络和安全功能随处可用,并向全部边缘交付尽可能好的体验,SASE云必须全球分布。因此,Gartner指出,必须扩展自身覆盖面,向企业边缘交付低延迟服务。

最终,SASE架构的目标是要能够更容易地实现安全的云环境。SASE提供了一种摒弃传统方法的设计哲学,抛弃了将SD-WAN设备、防火墙、IPS设备和各种其他网络及安全解决方案拼凑到一起的做法。SASE以一个安全的全球SD-WAN服务代替了难以管理的技术大杂烩。

SASE如何工作

SASE框架可识别设备和用户,并根据用户、角色、设备、行为、位置和其他特征来应用基于策略的安全性,从而确保对应用程序或数据的安全可靠访问,从而使企业能够在全球范围内实施安全访问。

对企业的好处:

  • 适应性:供应商可以在基于云的基础架构之上实施和交付特定于客户端的安全服务。企业可以部署Web筛选,DNS安全,威胁防御,凭据盗窃预防,防火墙策略,沙箱和数据丢失防护。
  • 零信任:工具确保当应用程序,设备和用户连接时,云和本地基础结构消除信任假设。无论用户是否连接到企业的网络,SASE工具都可以确保完全拥有会话。在一片增加本地和远程工作作为Covid-19大流行的结果,投资于SASE已变得更加重要,以确保企业网络,提高用户体验。
  • 更好的性能:随着互联网访问通过各种通信技术扩展到偏远地区,SASE使更多的人能够安全可靠地连接到网络。企业现在可以开始针对新的用户领域,而这些用户在传统上可能更难以监视和控制。
  • 降低复杂性:部署SASE的关键优势之一是减少了企业IT团队管理,维护和更新必要安全功能的需求。SASE在云服务模型中整合了安全风险和风险缓解。
  • 节省资金:投资SASE无需购买和维护多个价格不同的工具。企业可以更轻松地从其SASE实施中跟踪其投资回报。
  • 减少威胁的暴露:部署SASE的结果是,企业可以更深入地了解可能影响业务的潜在风险因素。SASE对所有通信进行加密,并启用入侵检测和防御系统(IDPS),URL过滤和防火墙,从而减轻了恶意软件和黑客攻击的威胁。
  • 数据保护: SASE可以成为提供数据保护和隐私的关键要素,以确保企业框架内的数据不受未经授权的访问。

SASE产品

专门从事网络安全和网络连接的供应商正在利用SASE市场带来的新机会。Gartner预计,到2024年,将有40%的企业采用SASE基础架构,而到2018年底,这一比例还不到1%。SASE供应商的关键要求之一是高度关注长期战略产品路线图。零信任,微细分市场和SASE市场之间存在重大重叠,因为供应商正在为面向边缘的新世界组装其安全产品。

一些领先的SASE供应商是:

  • 迈克菲(McAfee):为了扩大其SASE功能,该软件安全公司于今年早些时候收购了浏览器隔离技术的专业开发商Light Point Security。此举使McAfee能够将其现有的云原生安全Web网关解决方案与浏览器会话隔离相结合,以提高Web活动安全性并实时应对威胁。
  • 周边81:Gartner将周边81描述为“网络和网络物理系统安全的凉爽供应商”,并指出该企业是最早开发融合安全网络功能的企业之一。
  • Zscaler:提供一个云安全平台,它将网关安全设备的堆栈整合为集成的基于云的安全服务。
  • Twingate:提供对私有应用程序,数据和环境的安全访问,以更安全,可用,基于零信任的解决方案代替公司VPN,其重点是使远程工作更轻松,更安全。该公司以其提供可靠的用户体验的能力而感到自豪,无论是针对最终用户还是IT管理员。
  • Cato Networks:Cato声称建立了第一个SASE平台,根据客户的评价,该平台可以经济高效地提供所有主要的SASE功能。
  • Fortinet SASE:网络安全厂商的SASE产品与SD-WAN集成,利用其网络防火墙和安全的Web网关技术,为企业提供多层安全性。

与零信任的关系

零信任

零信任是一种安全理念,它强调不应该默认信任企业网络边界内外的任何事物,必须在授予访问权限之前进行身份验证。同时,信任也不应该基于特定连接、特定对象或者网络位置等某单一条件被授予给访问者。零信任要求用户(包括设备、数据、服务等)证明其应该被授予访问权限,并且仅授予其必要的、必需的访问权限。例如,若某员工不是财务部门人员,那么其账户不能访问财务数据。

为了防止账户冒用、泄漏等风险发生,企业员工还会使用无密码方式,如生物识别或安全密钥等方式登陆企业账户。相较于简单的用户名与密码登陆方式,这些方式使攻击者更难盗用账户。

SASE

SASE是一种安全架构,通过将网络接入和安全能力融合,统一在云端管理和交付,将安全执行点部署在离用户更近的边缘节点,克服了分散集成和地理位置约束解决方案的成本及复杂性,从而实现安全能力的服务化和企业安全服务的托管。

SASE与零信任

Gartner将零信任网络访问 (ZTNA) 作为SASE的核心组件之一,这可能是让大众误解SASE是包含零信任的原因。实际上,零信任架构不等于零信任网络访问或ZTNA。

零信任网络访问(ZTNA)可以主要理解是传统VPN解决方案的一种替代方案,目的是为了提供更安全的远程访问。但这并不意味着部署了ZTNA,整体企业IT环境中就全面实现了零信任架构。因此,零信任不是SASE的组成部分。零信任是一种安全理念,而不是单一的产品。

那么SASE 是零信任的一部分吗?答案是,有可能的。因为SASE可以帮助企业针对某些IT资产践行零信任原则,虽然这也并不意味着整体环境中全面部署了零信任。

无论两者之间是否存在包含关系,SASE和零信任都有相同的共同目标——保护业务、基于身份与上下文的策略分配。

零信任是一种安全理念,它并未聚焦在某些特定安全技术或者产品,而 SASE明确描述了几种网络和安全技术。

在零信任架构下,无论是部署杀毒软件、防火墙、IPS 还是新一代NDR 解决方案,零信任原则都应适用于系统的各个方面:人员、流程和技术等。

SASE则明确描述了几种网络和安全技术。此外,它还探讨了云服务厂商应该如何部署这些服务,以及企业应该如何使用这些服务。

如何协同

SASE 将安全性迁移至云端,更接近工作负载、应用程序、用户和数据,但它依然依赖于“预防-检测-纠正”的网络安全方法,它还是会使企业资源暴露在危险之中。

例如,攻击者可以运用社会工程研究进行网络钓鱼活动,通过恶意广告侵害可靠的网站,或使用虚假登录表单获取更多渗透机会。最后,即使检测到威胁存在,攻击者也可以通过简单的代码改变使其几乎无法被检测到。结果,网络安全团队不断修补系统中的漏洞,并希望漏洞不会导致灾难性破坏。

零信任和SASE解决方案应当结合起来,因为它们能够帮助企业将最小权限访问方法与云安全保护架构很好地结合在一起。