安全接入服务边缘 (SASE:Secure Access Service Edge )是一种集各种解决方案于一体的新兴企业战略,可以实现对当地、云和在线资源的远程安全访问。不幸的是,市场上有大量的虚假投机,导致一些组织不清楚 SASE 到底是什么?SASE 的基本概念和组成部分对许多组织非常重要。幸运的是,SASE 的许多基本原理(如整合网络和安全)是客户多年来关注的发展趋势,因此很容易理解。然而,为了避免增加复杂性,甚至错过 SASE 的真正价值,我们仍然必须首先正确定义 SASE。
安全保护无处不在
今天的组织要求用户不断访问网络和云的资源和数据,包括关键业务应用程序,无论用户在哪里。现实是,因为 5G 的实施以及云迁移、家庭办公等数字创新趋势的兴起,改变了消费模式,使传统网络成为一个边缘网络。
与此同时,这些动态变化的网络配置和攻击面的快速扩展意味着许多传统的安全解决方案无法继续提供组织和用户所需的保护和访问控制水平。在这种环境中,任何地方(WAN 边缘,云边缘,DC 任何设备的边缘、核心网络边缘、分支边缘和移动远程员工边缘)都必须随时得到安全保护。这与传统安全与云安全的整合、安全要素与基本网络元的深度整合密不可分。
准确定义 SASE
SASE旨在帮助组织保护这些新的分布式网络。然而,与任何新兴技术类别一样,SASE 解决方案的确切含义和所涵盖的技术仍存在一些不确定性。此外,一些制造商正试图根据当前产品的解释重新定义市场,这意味着一些因素会被夸大,而基本因素往往被忽视。不幸的是,SASE 的一些营销概念遗漏了重要信息,导致一些组织对如何选择、实施和管理最能满足其独特环境的解决方案感到困惑。
不只是云
SASE 通常被归类为云交付服务,可以提供云资源的安全访问、远程用户之间的安全通信和非本地设备“始终在线”但在某些情况下,组织可能需要结合物理解决方案和云解决方案来有效地发挥 SASE 的作用。例如,支持包含完整安全能力的现有本地SD-WAN在处理机密或敏感信息时,解决方案在边缘提供保护,而不是将其传输到云进行检查。
本地组件和云组件的使用,SASE 也可以很容易地扩展到网络深处,而不是简单地将保护责任交给一个完全不同的边缘系统。这确保了 SASE 安全连接与同样依赖硬件的关键解决方案(如网络隔离和合规要求不能仅通过云安全方法满足)无缝集成,从而提供端到端的保护。
安全 LAN 和 WAN
一些 SASE 定义还忽略了许多组织必须考虑的因素,如安全 LAN 和安全 WLAN。 整合了这些技术SASE 解决方案可以保证整个安全架构的安全,而不是 SASE 部署单独的安全组件,在实施安全策略时可能会出现漏洞,限制可视性。如果你想成为现有的安全 LAN 或 WLAN 的扩展,SASE 还需要能够支持路由和 等硬件解决方案WAN 优化控制器 (WoC), 用于动态路径选择SD-WAN。另外,无论是使用NGFW还是FWaaS或物理和云解决方案ZTNA解决方案和 WLAN/LAN/5G控制器等网络工具来保障安全网络访问和动态隔离,SASE 必须保证功能的一致性。
消费模式灵活
无论使用哪种工具或部署在哪里,都需要记住一个核心问题。SASE 解决方案不仅要满足当今的访问需求,还要快速适应不断变化的网络环境和业务需求。这也对应 SASE 的一个关键标准:灵活的消费模式允许组织根据独特的用例进行选择,以释放 SASE 的真正价值。
【SASE 模型的组成部分
定义基本安全元素
真正的 SASE 解决方案必须包括一组核心的基本安全元素。为发挥 SASE组织必须充分了解这些安全组件,并将其部署到 WAN 边缘、LAN 边缘和云边缘。
- 全功能 SD-WAN 解决方案。SASE 建立在 SD-WAN 在解决方案之上,后者涉及动态路径选择和自我修复 WAN 功能、一致的业务应用功能和用户体验。
- NGFW(物理)或FWaaS(云)防火墙。SASE 还需要提供涵盖物理和云使用场景的完整安全能力。例如,远程办公人员不仅需要云安全访问在线资源,还需要物理安全和内部部分功能,以防止网络用户访问有限的企业网络资源。然而,为了实现最高的灵活性和安全性,物理硬件和云相同的高性能,以实现最高的灵活性和安全性。
- 安全 Web 网关。它可以实施互联网安全和合规性策略,并过滤恶意互联网流量,以保护用户和设备免遭在线安全威胁。它还可以实施可接受的 Web 访问使用策略,确保符合法律法规要求,防止数据泄露。
- CASB。有助于组织控制云服务SaaS保护应用访问权限,消除 Shadow IT 挑战。CASB 与本地 DLP 结合使用可实现数据丢失的全面保护。
SASE—网络与安全的融合
一般来说,实施 SASE 归根结底,它是为了安全地连接和访问任何边缘的关键资源。不幸的是,很少有供应商能够提供这项服务,因为他们的产品组合是单一产品,或者他们的安全功能不能达到强大的 SASE 解决方案所需的广度。即使他们提供了这项服务,解决方案也无法有效地相互操作。
因为要使 SASE 为了有效地发挥作用,其所有组件(包括连接、网络和安全因素)必须在单个集成系统下相互操作,即在单个集成管理和安排解决方案中。它们还需要与更大的企业安全框架无缝集成,并动态地适应网络环境的变化。如果没有上述特征,那么它就不是真正的 SASE 解决方案。
SASE 最近的市场发展势头令人兴奋,这反映了实施安全驱动网络方法的必要性。在云连接和数字创新时代,网络和安全必须相互融合,过时的岛屿架构已经消失。
John Maddison
Chief Marketing Officer and Executive Vice President,Products
Fortinet首席执行官:网络和安全技术催生安全驱动网络