SASE也是一种可以定义广域网软件的网络架构(SD-WAN)并将安全集成到云计算服务中,以确保简化WAN部署,提高效率和安全性,并为每个应用程序提供适当的带宽。
由于SASE它是一种云计算服务,因此可以很容易地按比例放大、缩小和计费。因此,在快速变化的时代,这可能是一个有吸引力的选择。
虽然这一领域的一些供应商为在家远程工作的员工和企业的数据中心提供硬件设备连接SASE但大多数供应商通过软件客户端或虚拟设备处理连接。
调研机构Gartner公司创建了SASE这个术语在2019年的白皮书中首次描述,阐述了它的目标和目标SASE实施情况。公司指出,SASE它的一些功能仍在开发中。
什么是SASE?
简而言之,SASE将SD-WAN功能与安全相结合,作为服务交付。根据以下四个因素,用户会话的安全策略将为每个会话量身定制:
•连接组织的身份
•场景(设备的健康状况和行为,访问资源的敏感性)
•安全合规政策
•进行风险评估。
SASE的WAN端依赖于由组织提供的功能,这些实体包括SD-WAN提供商、运营商、内容交付网络、网络是服务提供商、带宽聚合器和网络设备供应商。
安全依赖云访问安全代理,云安全Web网关、零信任网络访问、防火墙即服务Web API保护就是服务,保护就是服务。DNS隔离远程浏览器。
Gartner公司表示,理想情况下,所有这些功能都是以单个实体为基础的SASE并将其整合在一起。
边缘在哪里?
SASE的“边缘”部分通常通过PoP无论它们在哪里,供应商数据中心(数据中心、人员和设备)的传输都可以靠近端点。在某些情况下,SASE供应商拥有PoP,在其他情况下,它使用第三方或希望客户提供自己的连接。
SASE的好处
因为SASE这是一项降低复杂性和成本的服务。企业可以与更少的供应商打交道,减少分支机构和其他远程位置所需的硬件数量,减少最终用户设备上的代理数量。
IT管基于云计算的管理平台于云计算的管理平台的策略,并接近最终用户的分布式PoP实施策略。
无论最终用户需要什么资源,以及他们自己和资源在哪里,他们都有相同的访问体验。SASE身份验证过程也通过对用户基于初始登录请求的任何资源采取适当的策略来简化。安全性得到了提高,因为无论用户在哪里,该策略都将得到实施。当出现新的威胁时,服务提供商解决了如何防止这些威胁的问题,对企业提出新的硬件要求。
SASE基于用户、设备和应用程序的访问,支持零信任网络,而不是位置和IP地址。更多类型的最终用户(员工、合作伙伴、承包商、客户)可以在不担心传统安全(如私人虚拟网络和DMZ)桥头堡可能受到损害,成为潜在企业的广泛攻击。
SASE它可以提供不同的服务质量,因此每个应用程序都可以获得所需的带宽和网络响应能力。
借助SASE,企业IT人员可以减少与部署、监控和维护相关的杂务,并分配更高级别的任务。
SASE面临的挑战
Gartner公司列出了采用SASE一些挑战:例如,一些服务最初可能缺乏,因为它们是由具有网络或安全背景的供应商提供的,而其他供应商缺乏专业知识。
最初的SASE由于供应商的传统经验是在销售内部部署硬件,因此他们可能会选择专门用于客户架构的基础设施。
同样,一些传统的硬件供应商也可能缺乏SASE所需的在线代理经验,因此他们可能会遇到成本和性能问题。一些传统供应商可能仍然缺乏评估场景的经验,这可能限制他们做出场景感知决策的能力。
由于SASE重要的是,供应商必须具有良好的集成功能,而不是拼凑在一起。对于某些人来说SASE对于提供商来说,在全球范围内扩张PoP成本可能很高。这可能会导致所有位置的性能不平衡,因为有些站点可能离最近PoP远,导致延迟。
SASE为了简化部署,终结点代理必须与其他代理集成。SASE的过渡可能会给IT人员带来压力SASE随着跨网络和安全团队的扩张,竞争可能会加剧。企业采用SASE可能需要对IT再培训员工掌握新技术。
为什么需要SASE?
Gartner公司的分析师表示,更多的传统企业如今将其功能托管在内部部署数据中心之外,而不是托管在IaaS提供商的云平台,SaaS应用程序和云存储。对物联网和边缘计算的需求只会增加对基于云计算的资源的依赖,WAN企业内部数据中心仍定制安全架构。
远程用户通常通过私人虚拟网络连接,并且需要在每个位置或单个设备上使用防火墙。传统模型要求它们通过集中安全性进行身份验证,以授予访问权限,但也可以通过这一中心位置路由流量。这种传统架构受到复杂性和延迟的阻碍。
借助SASE,最后,用户和设备可以通过身份验证获得授权访问的所有资源的安全访问,这些资源可以得到安全保护。一旦身份验证,他们可以直接访问资源,以解决延迟问题。
Gartner公司分析师Nat Smith表示,SASE不仅仅是一个概念和方向,也是一个功能列表。但他说,总的来说,SASE由五大技术组成:SD-WAN、防火墙是服务(FWaaS)、云访问安
代理(CASB)、安全web以及零信任网络访问。
集成SD-WAN
传统上,WAN由独立的基础设施组成,企业通常需要大量的硬件投资。
SASE所有版本都是基于云计算,由软件定义和管理,分布式PoP,理想情况下,分布式PoP位于企业数据中心、分支机构、设备和员工附近。PoP确保尽可能多的企业流量直接访问SASE避免公共互联网的延迟和安全至关重要。
通过这项服务,客户可以监控网络的运行状态,并为其具体的流量要求制定策略。
由于公共互联网的流量首先通过提供商的网络,SASE在到达企业网络之前,可以检测到危险流量并进行干预。例如,可以在SASE网络中缓解DDoS攻击使客户免受恶意流量泛滥的影响。
防火墙是服务
在当今的分布式环境中,越来越多的用户和计算资源位于网络边缘。基于云计算的灵活防火墙作为服务交付,可以保护这些边缘。随着边缘计算和物联网设备的增长,这一功能将变得越来越重要。
服务是防火墙(FWaaS)作为SASE提供平台的一部分可以使企业更容易地管理网络安全,制定统一的策略,发现异常,并迅速改变。
云访问安全代理
随着越来越多的系统迁移到SaaS身份验证和访问越来越重要。
企业使用云访问安全代理(CASB)即使服务本身不在其控制范围内,也要确保其安全策略得到一致应用。
借助SASE,员工访问企业系统使用的门户也是员工访问的所有云计算应用程序(包括CASB)的门户。流量不必在系统外部路由到单独的云访问安全代理(CASB)服务。
安全的Web网关
在今天的企业中,网络流量很少局限于预定义的范围。现代工作负荷通常需要访问外部资源,但员工可能会因合规原因拒绝访问某些网站。此外,企业还希望防止访问在线钓鱼网站和僵尸网络命令和控制服务器。
安全Web网关(SGW)保护企业免受威胁。提供此功能SASE供应商应能够检查云计算规模的加密流量。Web网关(SGW)与其他网络安全服务捆绑可以提高可管理性,并允许更统一的安全策略集。
零信任网络访问
零信任网络访问使企业能够详细查看和控制访问企业应用程序和服务的用户和系统。
零信任是一种相对较新的网络安全方法SASE平台可以使企业获得零信任功能。零信任的核心要素是安全,而不是基于身份IP地址。这使得它更适合外出工作的人,但需要更多层次的身份验证,如多因素身份验证和行为分析。
其它技术可能是SASE的一部分
除这五个核心功能外,Gartner该公司推荐SASE其他供应商应提供的技术。
它们包括Web应用程序和API保护、远程浏览器隔离和网络沙箱。此外,建议采取网络隐私保护和流量分散措施,使网络攻击者难以跟踪IP地址或窃听流量以获取企业资产。
其它可选功能包括Wi-Fi热点保护,支持传统虚拟私人网络,保护离线边缘计算设备或系统。
集中访问网络和安全数据可以分析企业的整体行为,发现孤立系统中不明显的威胁和异常。当这些分析作为基于云计算的服务时,更容易包含更新的威胁数据和其他外部信息。
把这些技术都放在一边SASE伞下的最终目标是为企业提供灵活一致的安全性、更好的性能和更低的复杂性,以较低的整体所有权成本实现。
企业应该能够在不雇佣大量网络和安全管理员的情况下获得所需的规模。
SASE服务提供商
Gartner该公司的分析师指出,因为SASE它是各种服务的结合体,因此实现这种混合的方式将会有所不同。因此,他们不能提供完整的供应商列表,只总结已经或希望提供SASE供应商清单:
•Akamai
•Cato Networks
•思科
•Cloudflare
•Forcepoint
•McAfee
•Netskope
•Palo Alto Networks
•Proofpoint
•赛门铁克
•Versa
•VMware
•Zscaler
Gartner公司在介绍SASE提供商表示,“主要的IaaS提供商(AWS、Azure和GCP)在SASE市场上没有更大的竞争力。我们预计未来五年将有一家以上的供应商开始解决这个问题SASE由于其边缘网络业务和安全能力的扩大,大多数市场需求。”
如何采用SASE
传统网络与安全系统处理数据中心与分支机构之间的现有连接可能首先转向混合方法。SASE将用于处理新的连接、设备、用户和位置。
SASE它不能解决网络和安全问题,也不能防止未来的中断,但它可以使企业更快地响应中断或危机,从而最大限度地减少对企业的影响。SASE使企业能够更好地利用边缘计算,5G、移动通信、人工智能等新技术。