SASE架构的概念

news2024/12/28 2:14:05

一、概念

  • SASE 是一种基于实体的身份、实时上下 文、企业安全/合规策略,以及在整个会话中持续 评估风险/信任的服务
  • 实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。
  • SASE是一个融合了SD-WAN(软件定义广域网)和网络安全功能的新兴技术

二、企业IT现状及安全困境

  1. 企业IT现状
    • 企业应用云化,包括内部应用、外部应用
    • 业务场景边缘化,越来越多的数据处理和计算下沉到边缘节点完成
    • 办公场景多样化、移动办公、远程办公、总部/分支机构协同办公
    • 网络边界转变,企业服务、应用和数据越来越多处在多云、混合云、企业私有设备等
  2. 企业安全困境
    • 企业应用云化\边缘化后,企业IDC安全防护失灵了(安全防护、访问控制)
    • 企业应用云化后,本地IDC防护鞭长莫及
    • 企业无法将硬件防火墙、流量清晰、日志审计等安全设备部署在云端
    • 分布式介入后,企业无法对所有接入用户做统一的安全管控
    • 企业无法对多点接入提供单独的安全设备部署

三、SASE云安全架构

  1. SASE主要特征
    • 身份驱动:基于用户、设备等的身份决定访问权限以及服务质量、路由选择、风险控制
    • 云原生架构:SASE架构利用云的功能,包括弹性、自适应性、自恢复能力、自维护能力
    • 支持所有边缘:SASE为公司资源(数据中心、分公司、云资源、移动用户)创建了一个私有网络
    • 全球分布:为确保所有网络和安全功能随处可用,自身覆盖要全面,向企业交付低时延服务
  2. 业界主流观点及架构
    • SASE将网络控制置于云端边缘,而不是数据中心

    • SASE简化网络和安全服务,创建安全、无缝的网络边缘

    • 在边缘网络实施基于身份的零信任访问策略

    • 网络边界扩展到任何远程用户、分支机构、设备或应用程序

  3. SASE核心工作原理
    • SASE借助SD-WAN架构去集中化,将核心能力附加到边缘进行
    • SASE将软件定义广域网(SD-WAN)能力与多种安全功能整合,通过单以云平台统一交付和管理。
    • 安全Web网关(secure web gateway,SWG),从web流量种过滤非法内容、阻止未授权用户行为、执行公司安全策略。做到防止网络威胁和数据泄露
    • 云访问安全代理(cloud access security broker,CASB),为云托管服务执行多项安全功能,包括揭示影子IT(未授权系统),访问控制和数据丢失防护DLP保护机密数据
    • 防火墙即服务(firewall-as-a-service,FWaaS),指云端防火墙服务作为交付的物,FWaaS是一组安全能力,包括URL过滤、入侵防御、流量统一策略控制
    • 零信任网络访问(zero trust network access,ZTNA),对资源精细化授权、持续评估风险、动态访问控制
    • 远程浏览器隔离(remote browser isolation,RBI),让浏览器运行在云端沙箱里

四、SASE实践方案

  1. SASE能力架构方案

    • 在这里插入图片描述

    • 安全云管控平台和安全资源池(即插即用可视化、网络优化、安全管控)

    • 管控平台能够提供安全服务化、流量编排、策略管理、计量计费、态势呈现等

    • 平台通过对了的界面实现安全组件的资源管理、策略管理、资源监控、计量计费、服务模板、工单流转、运营和运维大屏

  2. SASE系统架构方案

    在这里插入图片描述

    • 统一云安全一体化管控平台:对集中化安全能力池和边缘接入点安全能力池的集中调度管理
    • 集中化安全能力池:监控、检测、审计等能力服务化
    • 边缘接入POP端安全能力池:安全网关作为集中安全能力池的延申,对边缘接入流量分析检测
  3. SASE安全资源池服务编排方案

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PHLgqHcJ-1687785224340)(C:\Users\xpc\AppData\Roaming\Typora\typora-user-images\image-20230504172338129.png)]
云租户访问流量分析与防护、全流量镜像给态势感知平台进行威胁检测

  • 安全管控平台实现安全产品的纳管,对软硬件拉起、调度、编排、策略管理、计量计费、报表、统一运维、数据运营等
  • 防火墙、负载均衡和交换机双击部署,提高可靠性
  • 规划独立安全资源池,虚拟化安全网元(堡垒机、WAF、数据库审计)采用虚拟机接入租户业务网络
  • 安全管控平台对安全资源池的网元纳管、安全日志发送给态势感知
  1. SASE组网拓扑

    • 在这里插入图片描述

    • 接入企业通过边缘网关接入交换中心,边缘网关提供安全防护

    • 中小企业简化组网:中小企业可以直接接入边缘网关,或SD-WAN接入

    • 多边缘节点统一安全纳管:管控平台对全网安全设备统一纳管,实现全网能力可视、资源可视、安全状态可视

    • 运维审计能力集中上收:

    • 边缘安全网关流量防护:

  2. SASE核心能力

    • 灵活接入:为分布式用户、场所提供随时随地的灵活接入
    • 跨地加速:凭借SD-WAN核心优势,将网络控制平面与数据平面分离,实现网络加速
    • 身份驱动:融合零信任理念,将身份作安全策略的上下文因素,通过用户、设备、时间、场地、应用和数据,实现对网络服务质量、路由选择、风险控制的细粒度落地
    • 按需安全:云原生安全能力与网络能力融合,根据用户实际需要 提供满足监管需求
    • 持续运营:为用户提供持续的态势感知、事件检测、威胁分析、情报管理、同胞预警、应急处置等服务能力

五、SASE能力验证

  1. 统一管控能力验证
  2. 零信任内网访问管控能力验证:基于动态身份认证,支持端到端TCP,端到应用的最小权限访问
  3. 入侵检测与防御能力验证:云防火墙内置 威胁检测引擎,对恶意流量,常规攻击行为实时阻断和拦截
  4. 精细化访问控制能力验证

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/688691.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

关于安全生产月宣传教育答题活动的策划方案

安全生产月宣传教育活动 推荐功能:答题 安全生产月采用答题活动,可以最大化的检测到员工的安全生产意识,可设置门槛抽奖,规定满分员工可以参与抽奖,促进员工更快掌握安全知识,还可以从后台数据检测到每个人…

成为行业风向标,亚马逊云科技近年在数据库排名逐年上升

近10年,全球数据库市场加速变革,云数据库尤其是云原生数据库成为整个数据库市场的关键变量。某种程度上,亚马逊云科技作为全球云原生数据库的领导者,具有行业风向标的价值。 近期,发生了一件对全球数据库市场具有标志性…

MyBatis-Plus:条件构造器Wrapper

目录 1.Wrapper概述 1.1.Wrapper的继承关系 1.2.Wapper介绍 1.3.各个构造器使用区别 1.4.构造器常用方法 2.Wrapper常用构造器介绍 2.1.QueryWrapper 2.2.UpdateWrapper 2.3.LambdaQueryWrapper 2.4.AbstractWrapper 3. Lambda条件构造器 3.1.示例 4.鸣谢 MyBati…

Kubernetes(k8s)容器编排数据存储

目录 1 什么是数据卷1.1 存储卷概述1.2 存储卷类型1.2.1 非持久性存储1.2.2 网络连接性存储1.2.3 分布式存储1.2.4 云端存储 2 emptydir2.1 使用场景2.2 使用示例2.2.1 案例说明2.2.2 创建资源清单2.2.3 创建deploy2.2.4 访问测试 2.3 测试存储卷2.3.1 登录sidecar2.3.2 登录ng…

springboot+shiro+redis实现session共享和cache共享

在分布式应用中,若是使用了负载均衡,用户第一次访问,连接的A服务器,进行了登录操作进入了系统,当用户再次操作时,请求被转发到了B服务器,用户并没有在B进行登录,此时用户又来到了登录…

MySQL 主从复制[异步 同步 半同步复制] 读写分离 优化 (非常重要)

MySQL 主从复制 1、什么是读写分离? 读写分离,基本的原理是让主数据库处理事务性增、改、删操作(INSERT、UPDATE、DELETE),而从数据库处理SELECT查询操作。数据库复制被用来把事务性操作导致的变更同步到集群中的从数据…

MVP: Multi-view Prompting Improves Aspect Sentiment Tuple Prediction

MVP: Multi-view Prompting Improves Aspect Sentiment Tuple Prediction 论文地址: https://arxiv.org/pdf/2305.12627.pdf 论文代码: https://github.com/ZubinGou/multi-view-prompting 1. 介绍 Multi-view Prompting (MVP) 1.1 研究目标 本文提出了多试图提示(MVP)模型…

python 深度学习 解决遇到的报错问题

目录 一、解决报错ModuleNotFoundError: No module named ‘tensorflow.examples 二、解决报错ModuleNotFoundError: No module named ‘tensorflow.contrib‘ 三、安装onnx报错assert CMAKE, ‘Could not find “cmake“ executable!‘ 四、ImportError: cannot import na…

67、基于51单片机ADXL345计步器系统设计(程序+原理图+PCB源文件+参考论文+开题报告+设计资料+元器件清单等)

摘 要 计步器是一种颇受欢迎的日常锻炼进度监控器,可以激励人们挑战自己,增强体质,帮助瘦身。早期设计利用加重的机械开关检测步伐,并带有一个简单的计数器。晃动这些装置时,可以听到有一个金属球来回滑动&#xff0c…

MongoDB集群搭建(四)

基础环境准备 安装Docker 创建Docker网络 因为需要使用Docker搭建MongoDB集群,所以先创建Docker网络 docker network create mongo-cluster docker network ls 创建挂载目录 创建对应的挂载目录来存储配置文件以及日志文件 # 创建配置文件目录 mkdir -p /opt/mongo…

MYSQL数据类型介绍

一、MySQL的数据类型 主要包括以下五大类: 整数类型:BIT、BOOL、TINY INT、SMALL INT、MEDIUM INT、 INT、 BIG INT 浮点数类型:FLOAT、DOUBLE、DECIMAL 字符串类型:CHAR、VARCHAR、TINY TEXT、TEXT、MEDIUM TEXT、LONGTEXT、TINY…

测试进阶面试必问12个算法题,洞悉出题思路,拿的就是高薪!

可以明确的一点是,面试算法题目在难度上(尤其是代码难度上)会略低一些,倾向于考察一些基础数据结构与算法,对于高级算法和奇技淫巧一般不作考察。 代码题主要考察编程语言的应用是否熟练,基础是否扎实&…

GPIO通用输入输出口

GPIO 1、简介1.1、基本结构1.2、工作模式使用库函数的使用方法 2、GPIO输出LED流水灯蜂鸣器 3、GPIO输入按键控制LED光敏传感器控制蜂鸣器 1、简介 1、GPIO(general Purpose Input Output)通用输入输出口; 2、可配置为8种输入输出模式; 3、引脚电平&…

如何在Linux部署Jdk1.8备忘录(高效版)

提示:高效简洁版 文章目录 前言一、整理环境二、部署jdk1.8三、建立Java环境四、生效验证总结 前言 作为备忘录阐述,力求简洁明了,直接开始贴步骤。 一、整理环境 1.首先查看服务器上是否有Java,如果自带恭喜你不用装了。 java…

Linux5.gcc(g++),动静态链接,make和Makefile

1.gcc od 文件 :查看二进制文件。 2.动静态库(此处简单认识,详细内容后面介绍) ldd 文件 :查看文件所依赖的库。 file 文件 :查看文件的具体信息。 在Linux当中,程序在链接的时候,默认是动态链接(后缀是.so) 如果要使用静态链接&#xff…

Redis的3大特殊数据结构(3)-Geospatial

Geospatial地理空间,Redis 在 3.2 版本中加入了地理空间(geospatial)以及索引半径查询的功能,主要用在需要地理位置的应用上。将指定的地理空间位置(经度、纬度、名称)添加到指定的 key 中,这些…

JS逆向入门教程p1 浏览器设置 常用工具

1.准备工作 http 编程语言(网络apidavaScript) 逆向(js逆向 安卓逆向 ios逆向 PC逆向)调试 图像识别 下载城南Post助手、fiddler、wireshark(鲨鱼)抓包工具; 通过进程抓包 fiddler插件: f12配置推荐,实验功能全部关闭 时间线上的分配检测:js的运行时间线 关闭时间…

【软考网络管理员】2023年软考网管初级常见知识考点(21)-安装及配置DHCP服务器(图文结合)

涉及知识点 安装DHCP服务器,配置DHCP服务器,如何去安装DHCP服务器,如何去配置DHCP服务器,软考网络管理员常考知识点,软考网络管理员网络安全,网络管理员考点汇总。 原创于:CSDN博主-《拄杖盲学…

项目进度计划表的制作方法解析:简单易懂的步骤指南

项目进度计划表怎么做?创建项目进度表是项目管理的一个重要组成部分,它有助于确保项目的成功完成。它是一个详细的计划,概述了实现项目目标所需的工作范围、时间线、里程碑和资源。本文将讨论制定项目进度表所涉及的步骤。 1、定义项目范围: …

掌握Gradio的Audio模块:实时交互与多功能展示

❤️觉得内容不错的话,欢迎点赞收藏加关注😊😊😊,后续会继续输入更多优质内容❤️ 👉有问题欢迎大家加关注私戳或者评论(包括但不限于NLP算法相关,linux学习相关,读研读博…