SASE—讓安全無處不在
安全接入服務邊緣 (SASE:Secure Access Service Edge )是一種融合多種解決方案的新興企業戰略,可實現對本地、云和在線資源的安全遠程訪問。不幸的是,因為目前市場上存在著大量的不實炒作,導致一些組織不清楚 SASE 到底是什么。了解 SASE 的基本概念和組成部分很重要,對許多組織大有助益。幸運的是,SASE 的許多基本原理(例如融合網絡與安全)都是客戶多年來一直關注的發展趨勢,因此了解起來也很容易。但是,為了避免增加復雜性,甚至錯過 SASE 的真正價值,我們仍然必須要先正確定義 SASE。
安全保護無處不在
當今的組織要求無論用戶位于何處,都可以不間斷地即時訪問網絡和云端的資源和數據,包括關鍵業務應用。而現實情況是,由于 5G 的實施以及云遷移、持續居家辦公和其他數字創新趨勢的興起,消費模式發生了變化,讓傳統網絡變成了具有許多邊緣的網絡。
與此同時,這些動態變化的網絡配置以及攻擊面的迅速擴展,意味著許多傳統安全解決方案無法再繼續提供組織和用戶所需的保護和訪問控制級別。在這種環境中,任何地方(WAN 邊緣、云邊緣、DC 邊緣、核心網絡邊緣、分支邊緣和移動遠程員工邊緣)的任何設備必須在任何時候獲得安全保護。這離不開傳統安全與云安全的融合,以及安全要素和基礎網元的深度集成。
準確定義 SASE
SASE旨在幫助組織保護這些新型分布式網絡。然而,與任何新興技術類別一樣,SASE 解決方案的確切含義以及所涵蓋的技術仍然存在一些不確定性。此外,一些廠商正嘗試按最能匹配其當前產品的解釋來重新定義該市場,這意味著有些要素會被夸大,而基本要素卻常常被忽略。 可惜的是,SASE 的一些營銷概念遺漏了重要信息,致使一些組織對于如何選擇、實施和管理最能滿足其獨特環境的解決方案困惑不已。
不只是云
SASE 通常被歸為云交付服務,可提供對云資源的安全訪問、遠程用戶之間的安全通信以及非本地設備“始終在線”的安全性。但在某些情況下,組織可能需要結合物理解決方案和云解決方案才能有效發揮 SASE 的作用。例如,支持已經包含完整安全能力的現有本地SD-WAN解決方案,或者處理機密或敏感信息時在邊緣提供保護,而不是將其傳輸到云端進行檢查。
通過結合使用本地組件和云組件,SASE 還可以輕松擴展到網絡深處,而不是簡單地將保護責任交給一個完全不同的邊緣系統。這樣可以確保 SASE 安全連接與同樣依賴硬件的關鍵解決方案(例如無法僅通過云安全方法滿足的網絡隔離和合規性要求)無縫集成,從而提供端到端的保護。
安全 LAN 和 WAN
一些 SASE 定義還忽略了許多組織必須考慮的要素,例如安全 LAN 和安全 WLAN。融合這些技術的 SASE 解決方案可確保為整個安全架構提供一致的安全性,而不是為 SASE 部署單獨的安全組件,后者可能會在安全策略實施方面出現漏洞并限制可視性。要想作為現有安全 LAN 或 WLAN 的擴展,SASE 還需能夠支持硬件解決方案,例如路由和 WAN 優化控制器 (WoC),以及用于動態路徑選擇的 SD-WAN。此外,無論是使用NGFW還是FWaaS解決方案又或者是物理和云ZTNA解決方案及 WLAN/LAN/5G控制器等網絡工具來保障安全網絡訪問和動態隔離,SASE 都要確保功能的一致性。
靈活的消費模式
無論使用哪種工具或將其部署在何處,都需要記住一個核心問題。每種 SASE 解決方案不僅必須滿足當今的訪問需求,而且還必須能夠迅速適應不斷變化的網絡環境和業務需求。這也對應著 SASE 的一個關鍵標準:靈活的消費模式,即允許組織根據獨特的用例進行選擇,以釋放 SASE 的真正價值。
【SASE 模型的組成部分】
基本安全元素定義
一款 真正的 SASE 解決方案必須包括一組核心的基本安全元素。為發揮 SASE 的全部潛力,組織必須充分了解這些安全組件并將其部署到 WAN 邊緣、LAN 邊緣和云邊緣。
- 全功能 SD-WAN 解決方案。 SASE 建立在 SD-WAN 解決方案之上,后者涉及動態路徑選擇、自我修復 WAN 功能以及一致的業務應用功能和用戶體驗等。
- NGFW(物理)或FWaaS(云)防火墻。 SASE 還需要提供涵蓋物理和云使用場景的完整安全能力。例如,遠程辦公人員既需要云安全性來訪問在線資源,又需要物理安全和內部分段功能來防止網絡用戶訪問受限企業網絡資源。但是,物理硬件和云原生安全功能必須都可大規模提供相同的高性能,才能實現最高靈活性和安全性。
- 安全 Web 網關。 它可以實施互聯網安全和合規性策略,并過濾惡意互聯網流量,以保護用戶和設備免遭在線安全威脅。它還可以實施可接受的 Web 訪問使用策略,從而確保符合法規要求,防止數據泄漏。
- CASB。 一項云服務,可幫助組織控制SaaS應用,比如保護應用訪問權限、消除 Shadow IT 挑戰。CASB 與本地 DLP 結合使用才可實現全面的數據丟失防護。
SASE—網絡與安全的融合
總的來說,實施 SASE 歸根結底是為了在任何邊緣的任何地方安全連接和訪問關鍵資源。遺憾的是,可以提供此服務的供應商非常之少,因為他們的產品組合中都是收購得來的單點產品,或者他們的安全功能無法達到強大 SASE 解決方案所需的廣度。即使他們提供了此服務,其解決方案也無法有效地互操作。
這是一個嚴重的問題,因為要使 SASE 有效發揮作用,它的所有組件(包括連接性、網絡和安全性要素)都必須要在單個集成系統下具有互操作性,也就是在單個集成式管理和編排解決方案中需要具有互操作性。它們還需要與更大的企業安全框架無縫集成,并動態適應網絡環境的變化。如果不具有上述特點,那么它就不是真正的 SASE 解決方案。
SASE 近期的市場發展勢頭令人振奮,這反映了實施了安全驅動型網絡方法的必要性。在云連接和數字創新的時代,網絡與安全必須相互融合,過時的孤島式架構已經一去不復返了。
John Maddison
Chief Marketing Officer and Executive Vice President, Products
Fortinet首席執行官:網絡與安全技術催生安全驅動型網絡
