安全接入服务边缘 (SASE:Secure Access Service Edge )是一种融合多种解决方案的新兴企业战略,可实现对本地、云和在线资源的安全远程访问。不幸的是,因为目前市场上存在着大量的不实炒作,导致一些组织不清楚 SASE 到底是什么。了解 SASE 的基本概念和组成部分很重要,对许多组织大有助益。幸运的是,SASE 的许多基本原理(例如融合网络与安全)都是客户多年来一直关注的发展趋势,因此了解起来也很容易。但是,为了避免增加复杂性,甚至错过 SASE 的真正价值,我们仍然必须要先正确定义 SASE。
安全保护无处不在
当今的组织要求无论用户位于何处,都可以不间断地即时访问网络和云端的资源和数据,包括关键业务应用。而现实情况是,由于 5G 的实施以及云迁移、持续居家办公和其他数字创新趋势的兴起,消费模式发生了变化,让传统网络变成了具有许多边缘的网络。
与此同时,这些动态变化的网络配置以及攻击面的迅速扩展,意味着许多传统安全解决方案无法再继续提供组织和用户所需的保护和访问控制级别。在这种环境中,任何地方(WAN 边缘、云边缘、DC 边缘、核心网络边缘、分支边缘和移动远程员工边缘)的任何设备必须在任何时候获得安全保护。这离不开传统安全与云安全的融合,以及安全要素和基础网元的深度集成。
准确定义 SASE
SASE旨在帮助组织保护这些新型分布式网络。然而,与任何新兴技术类别一样,SASE 解决方案的确切含义以及所涵盖的技术仍然存在一些不确定性。此外,一些厂商正尝试按最能匹配其当前产品的解释来重新定义该市场,这意味着有些要素会被夸大,而基本要素却常常被忽略。 可惜的是,SASE 的一些营销概念遗漏了重要信息,致使一些组织对于如何选择、实施和管理最能满足其独特环境的解决方案困惑不已。
不只是云
SASE 通常被归为云交付服务,可提供对云资源的安全访问、远程用户之间的安全通信以及非本地设备“始终在线”的安全性。但在某些情况下,组织可能需要结合物理解决方案和云解决方案才能有效发挥 SASE 的作用。例如,支持已经包含完整安全能力的现有本地SD-WAN解决方案,或者处理机密或敏感信息时在边缘提供保护,而不是将其传输到云端进行检查。
通过结合使用本地组件和云组件,SASE 还可以轻松扩展到网络深处,而不是简单地将保护责任交给一个完全不同的边缘系统。这样可以确保 SASE 安全连接与同样依赖硬件的关键解决方案(例如无法仅通过云安全方法满足的网络隔离和合规性要求)无缝集成,从而提供端到端的保护。
安全 LAN 和 WAN
一些 SASE 定义还忽略了许多组织必须考虑的要素,例如安全 LAN 和安全 WLAN。融合这些技术的 SASE 解决方案可确保为整个安全架构提供一致的安全性,而不是为 SASE 部署单独的安全组件,后者可能会在安全策略实施方面出现漏洞并限制可视性。要想作为现有安全 LAN 或 WLAN 的扩展,SASE 还需能够支持硬件解决方案,例如路由和 WAN 优化控制器 (WoC),以及用于动态路径选择的 SD-WAN。此外,无论是使用NGFW还是FWaaS解决方案又或者是物理和云ZTNA解决方案及 WLAN/LAN/5G控制器等网络工具来保障安全网络访问和动态隔离,SASE 都要确保功能的一致性。
灵活的消费模式
无论使用哪种工具或将其部署在何处,都需要记住一个核心问题。每种 SASE 解决方案不仅必须满足当今的访问需求,而且还必须能够迅速适应不断变化的网络环境和业务需求。这也对应着 SASE 的一个关键标准:灵活的消费模式,即允许组织根据独特的用例进行选择,以释放 SASE 的真正价值。
【SASE 模型的组成部分】
基本安全元素定义
一款 真正的 SASE 解决方案必须包括一组核心的基本安全元素。为发挥 SASE 的全部潜力,组织必须充分了解这些安全组件并将其部署到 WAN 边缘、LAN 边缘和云边缘。
- 全功能 SD-WAN 解决方案。 SASE 建立在 SD-WAN 解决方案之上,后者涉及动态路径选择、自我修复 WAN 功能以及一致的业务应用功能和用户体验等。
- NGFW(物理)或FWaaS(云)防火墙。 SASE 还需要提供涵盖物理和云使用场景的完整安全能力。例如,远程办公人员既需要云安全性来访问在线资源,又需要物理安全和内部分段功能来防止网络用户访问受限企业网络资源。但是,物理硬件和云原生安全功能必须都可大规模提供相同的高性能,才能实现最高灵活性和安全性。
- 安全 Web 网关。 它可以实施互联网安全和合规性策略,并过滤恶意互联网流量,以保护用户和设备免遭在线安全威胁。它还可以实施可接受的 Web 访问使用策略,从而确保符合法规要求,防止数据泄漏。
- CASB。 一项云服务,可帮助组织控制SaaS应用,比如保护应用访问权限、消除 Shadow IT 挑战。CASB 与本地 DLP 结合使用才可实现全面的数据丢失防护。
SASE—网络与安全的融合
总的来说,实施 SASE 归根结底是为了在任何边缘的任何地方安全连接和访问关键资源。遗憾的是,可以提供此服务的供应商非常之少,因为他们的产品组合中都是收购得来的单点产品,或者他们的安全功能无法达到强大 SASE 解决方案所需的广度。即使他们提供了此服务,其解决方案也无法有效地互操作。
这是一个严重的问题,因为要使 SASE 有效发挥作用,它的所有组件(包括连接性、网络和安全性要素)都必须要在单个集成系统下具有互操作性,也就是在单个集成式管理和编排解决方案中需要具有互操作性。它们还需要与更大的企业安全框架无缝集成,并动态适应网络环境的变化。如果不具有上述特点,那么它就不是真正的 SASE 解决方案。
SASE 近期的市场发展势头令人振奋,这反映了实施了安全驱动型网络方法的必要性。在云连接和数字创新的时代,网络与安全必须相互融合,过时的孤岛式架构已经一去不复返了。
John Maddison
Chief Marketing Officer and Executive Vice President, Products
Fortinet首席执行官:网络与安全技术催生安全驱动型网络
