《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > Gartner口中的SASE,為什么會成為國內外追捧的熱點

Gartner口中的SASE,為什么會成為國內外追捧的熱點

2021-03-04
來源:安全牛
關鍵詞: SASE Gartner

  當前,新基建在推進新冠疫情防控和復工復產等方面發(fā)揮了重要作用。為了支撐新基建中工業(yè)互聯(lián)網、智慧城市、車聯(lián)網、遠程辦公等各種業(yè)務場景,針對每個分散的地點/實體,都需要敏捷優(yōu)化且安全可控的網絡連接才能保證業(yè)務的順利開展,即在廣域網中數(shù)據(jù)的傳輸效能與安全管控是重要環(huán)節(jié)。

  在過去的40年時間里,WAN架構基本上沒有大的變化。SD-WAN雖然向前邁進了一大步,提高了網絡效率,但是也帶來了新的安全挑戰(zhàn)。例如,SD-WAN簡化了為分支機構配置分離隧道的工作,員工不必通過公司WAN和數(shù)據(jù)中心就可以直接訪問云端。這樣雖然可以改善用戶體驗,但是也形成了嚴重的安全漏洞。

  Gartner在2019年發(fā)布的《網絡安全的未來在云端》中提出一項新的技術概念Secure Access Service Edge(SASE),其定義是一個融合了軟件定義廣域網和網絡安全功能、以支持數(shù)字化企業(yè)需求的新興技術。Gartner表示SASE將取代現(xiàn)有的網絡和安全模型。這一全新網絡安全模型的提出,迅速成為國內外研究熱點。

1.png

  SASE為什么可以重新定義網絡和安全架構

  隨著企業(yè)紛紛擁抱數(shù)字化轉型,以及邊緣計算、云服務和混合網絡的興起,傳統(tǒng)云安全通過企業(yè)數(shù)據(jù)中心對數(shù)據(jù)流進行檢查的方式在實時、移動和邊緣等場景下逐漸失靈。在這種背景下,Gartner指出:“云服務和網絡正在強勁驅動數(shù)字業(yè)務,但傳統(tǒng)網絡和網絡安全架構卻遠未達到數(shù)字業(yè)務的需要?!?/p>

  Gartner在其發(fā)布的《網絡安全的未來在云端》報告中指出,SASE不是單獨的獨立系統(tǒng),而是包含一套技術,從SD-WAN和云訪問安全代理(CASB)到安全的web網關(SWG)、零信任網絡訪問(ZTNA)、防火墻即服務(FWaaS)和遠程瀏覽器隔離(RBI)。SASE架構確定為保護云和數(shù)據(jù)中心基礎設施的關鍵網絡安全解決方案,可確保通常以云服務形式提供的應用程序、服務、用戶和機器對云和網絡資源的安全訪問。

 2.png

  按照Gartner對SASE的定義:SASE是一種基于實體的身份、實時上下文、企業(yè)安全/合規(guī)策略,以及在整個會話中持續(xù)評估風險/信任的服務。實體的身份可與人員、人員組(分支機構)、設備、應用、服務、物聯(lián)網系統(tǒng)或邊緣計算場地相關聯(lián)。

3.png

  SASE的核心是身份,即身份是訪問決策的中心,而不再是企業(yè)數(shù)據(jù)中心。SASE框架可識別設備和用戶,并根據(jù)用戶、角色、設備、行為、位置和其他特征來應用基于策略的安全性,從而確保對應用程序或數(shù)據(jù)的安全可靠訪問,從而使企業(yè)能夠在全球范圍內實施安全訪問。

  SASE將SD-WAN與零信任訪問等一系列安全能力集成,訪問決策基于用戶身份并在邊緣強制執(zhí)行,而策略則在云中集中定義和管理,可實現(xiàn)安全架構的核心從數(shù)據(jù)中心向身份的根本性轉變。SASE克服了分散集成和地理位置約束解決方案的成本、復雜性和剛性,提供了從分布式云服務交付聚合的企業(yè)網絡和安全服務。

4.png

  與傳統(tǒng)的WAN不同,SASE取消了將分支機構連接到中心機構的概念,而是轉變?yōu)閷⒃O備連接到基于云的集中式服務的模型。SASE不會強制將流量回傳到數(shù)據(jù)中心的檢查引擎,而是將檢查引擎帶到附近的存在點(PoP)??蛻舳藢⒘髁堪l(fā)送到PoP,以進行檢查并轉發(fā)到Internet或通過SASE全球骨干網轉發(fā)到其他SASE客戶端。SASE將先前隔離的網絡和安全服務融合在一起,將本地用戶、移動用戶以及物聯(lián)網設備和云資源,整合為統(tǒng)一的服務。

  在傳統(tǒng)WAN和SD-WAN的基礎上,SASE將安全功能集成到網絡上,讓其成為一種網絡服務。由于安全和網絡管理是通過云完成的,因此管理員只需要修改一次就可以將其一次性推送到所有地方,將安全性和網絡功能集成到網絡上不僅升級了網絡,還可以實現(xiàn)對WAN的改造。

 5.png

  SASE可以使企業(yè)信息系統(tǒng)更安全和高效

  SASE的身份策略一方面可以使安全運營更為高效,另一方面也使得攻擊更加困難。在SASE的身份策略中,要充分考慮網絡實體需要訪問的應用程序和數(shù)據(jù)的敏感性,這樣可以幫助企業(yè)更精細地制定最小特權訪問策略,從而實施嚴格的訪問控制。

6.png

  SASE能夠在每個用戶中應用安全策略,在企業(yè)中基于身份而非用戶設置策略(零信任網絡訪問),這樣訪問安全會得到進一步優(yōu)化。借助于統(tǒng)一和有效的安全策略管理,將有助于減少惡意通信、身份欺詐和中間人劫持攻擊等。另外,SASE供應商可以忽略設備的具體位置,對所有的遠程設備進行安全加密。SASE針對公共開放環(huán)境下的訪問執(zhí)行更為嚴格的檢查策略,如在智慧城市的公共熱點網絡環(huán)境。

  最后,SASE服務商可以針對企業(yè)需求在基于云的基礎架構之上實施和交付特定于客戶端的安全服務,企業(yè)無需去處理網絡攻擊、設備擴展、軟硬件更新等問題,從而可以將企業(yè)IT運維團隊從繁瑣工作中解放出來,將精力聚焦到本企業(yè)更重要的IT業(yè)務流程管理中。


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。