?什么是SASE？

安全訪問服務邊緣 (SASE) 是一種基于云的 IT 模型，它將軟件定義的網絡與網絡安全功能捆綁在一起，并由單一服務提供商提供。全球研究和咨詢公司Gartner在 2019 年創造了“SASE”一詞。

SASE 方法可以更好地控制和查看訪問公司網絡的用戶、流量和數據——這對于現代的全球分布式組織來說至關重要。使用 SASE 構建的網絡靈活且可擴展，能夠通過任何設備連接全球分布的員工和辦公室。

SASE 包含哪些安全功能？?

SASE 將軟件定義的廣域網 ( SD-WAN ) 功能與大量網絡安全功能相結合，所有這些功能均由單一云平臺提供。通過這種方式，SASE 使員工能夠從任何地方進行身份驗證并安全地連接到內部資源，并使組織能夠更好地控制進出其內部網絡的流量和數據。

SASE 包括四個核心安全組件：

1.安全 Web 網關 (SWG)：SWG 通過從 Web 流量中過濾不需要的內容、阻止未經授權的用戶行為以及執行公司安全策略來防止網絡威脅和數據泄露。SWG 可以部署在任何地方，使其成為保護遠程勞動力的理想選擇。

2.云訪問安全代理 (CASB)：CASB 為云托管服務執行多種安全功能，包括揭示影子 IT （未經授權的公司系統）、通過訪問控制和數據丟失防護 (DLP)保護機密數據，以及確保遵守數據隱私規定。

3.零信任網絡訪問 (ZTNA)：ZTNA 平臺將內部資源鎖定在公眾視野之外，并通過要求對每個受保護應用程序的每個用戶和設備進行實時驗證來幫助防御潛在的數據泄露。

4.防火墻即服務 (FWaaS)： FWaaS 是指從云端作為服務提供的防火墻。FWaaS 保護基于云的平臺、基礎設施和應用程序免受網絡攻擊。與傳統防火墻不同，FWaaS 不是物理設備，而是一組安全功能，包括URL 過濾、入侵防御和跨所有網絡流量的統一策略管理。

根據供應商和企業的需求，這些核心組件可能與其他安全服務捆綁在一起，包括 Web 應用程序和API保護 (WAAP)、遠程瀏覽器隔離或 Wi-Fi 熱點保護。

SASE 框架有哪些優點？

與傳統的、基于數據中心的網絡安全模型相比，SASE 具有多項優勢：

?基于身份的零信任網絡訪問。SASE 在很大程度上依賴于零信任安全模型，該模型不會授予用戶訪問應用程序和數據的權限，直到他們的身份得到驗證——即使他們已經在專用網絡的邊界內。在建立訪問策略時，SASE 方法不僅僅考慮實體的身份；它還考慮了用戶位置、一天中的時間、企業安全標準、合規策略以及對風險/信任的持續評估等因素。

?阻止對網絡基礎設施的攻擊。SASE 的防火墻和 CASB 組件有助于防止外部攻擊（如DDoS 攻擊和漏洞利用）進入并破壞內部資源。SASE 方法可以保護本地網絡和基于云的網絡。

?防止惡意活動。通過過濾 URL、DNS 查詢和其他傳出和傳入的網絡流量，SASE 有助于防止基于惡意軟件的攻擊、數據泄露和對公司數據的其他威脅。

?簡化實施和管理。SASE 將單點安全解決方案合并到一個基于云的服務中，使企業能夠與更少的供應商交互，并花費更少的時間、金錢和內部資源來配置物理基礎設施。

?簡化策略管理。SASE 不是為單獨的解決方案處理多個策略，而是允許組織從單個門戶跨所有位置、用戶、設備和應用程序設置、調整和實施訪問策略。

?延遲優化的路由。SASE 通過在全球邊緣網絡中路由網絡流量來幫助減少延遲，在該網絡中，流量在盡可能靠近用戶的地方進行處理。路由優化可以幫助根據網絡擁塞和其他因素確定最快的網絡路徑。

SASE 與傳統網絡相比如何？?

在傳統的網絡模型中，數據和應用程序位于核心數據中心。為了訪問這些資源，用戶、分支機構和應用程序從本地專用網絡或輔助網絡連接到數據中心，輔助網絡通常通過安全租用線路或VPN連接到主要網絡。

事實證明，這種模式不足以應對由軟件即服務 (SaaS)等基于云的服務和分布式勞動力的興起帶來的復雜性。如果應用程序和數據托管在云中，則通過集中式數據中心重新路由所有流量不再可行。

相比之下，SASE 將網絡控制置于云邊緣——而不是企業數據中心。SASE 不是需要單獨配置和管理的分層云服務，而是簡化網絡和安全服務以創建安全的網絡邊緣。在邊緣網絡上實施基于身份的零信任訪問策略允許企業將其網絡邊界擴展到任何遠程用戶、分支機構、設備或應用程序。

組織如何實施 SASE?

許多組織采用零散的方法來實施 SASE。事實上，有些人可能已經在不知不覺中采用了某些 SASE 元素。組織可以采取的全面采用 SASE 模型的關鍵步驟包括：

1.保護遠程勞動力

2.將分支機構置于云邊界之后

3.將 DDoS 保護移動到邊緣

4.將自托管應用程序遷移到云端

5.用統一的云原生策略實施取代安全設備?