SASE架构的概念

news2024/9/27 7:20:21

一、概念

SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务
实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。
SASE是一个融合了SD-WAN（软件定义广域网）和网络安全功能的新兴技术

二、企业IT现状及安全困境

企业IT现状
- 企业应用云化，包括内部应用、外部应用
- 业务场景边缘化，越来越多的数据处理和计算下沉到边缘节点完成
- 办公场景多样化、移动办公、远程办公、总部/分支机构协同办公
- 网络边界转变，企业服务、应用和数据越来越多处在多云、混合云、企业私有设备等
企业安全困境
- 企业应用云化\边缘化后,企业IDC安全防护失灵了（安全防护、访问控制）
- 企业应用云化后，本地IDC防护鞭长莫及
- 企业无法将硬件防火墙、流量清晰、日志审计等安全设备部署在云端
- 分布式介入后，企业无法对所有接入用户做统一的安全管控
- 企业无法对多点接入提供单独的安全设备部署

三、SASE云安全架构

SASE主要特征
- 身份驱动：基于用户、设备等的身份决定访问权限以及服务质量、路由选择、风险控制
- 云原生架构：SASE架构利用云的功能，包括弹性、自适应性、自恢复能力、自维护能力
- 支持所有边缘：SASE为公司资源（数据中心、分公司、云资源、移动用户）创建了一个私有网络
- 全球分布：为确保所有网络和安全功能随处可用，自身覆盖要全面，向企业交付低时延服务
业界主流观点及架构
- SASE将网络控制置于云端边缘，而不是数据中心
- SASE简化网络和安全服务，创建安全、无缝的网络边缘
- 在边缘网络实施基于身份的零信任访问策略
- 网络边界扩展到任何远程用户、分支机构、设备或应用程序
SASE核心工作原理
- SASE借助SD-WAN架构去集中化，将核心能力附加到边缘进行
- SASE将软件定义广域网（SD-WAN）能力与多种安全功能整合，通过单以云平台统一交付和管理。
- 安全Web网关（secure web gateway,SWG）,从web流量种过滤非法内容、阻止未授权用户行为、执行公司安全策略。做到防止网络威胁和数据泄露
- 云访问安全代理（cloud access security broker,CASB），为云托管服务执行多项安全功能，包括揭示影子IT（未授权系统），访问控制和数据丢失防护DLP保护机密数据
- 防火墙即服务（firewall-as-a-service，FWaaS），指云端防火墙服务作为交付的物，FWaaS是一组安全能力，包括URL过滤、入侵防御、流量统一策略控制
- 零信任网络访问（zero trust network access,ZTNA）,对资源精细化授权、持续评估风险、动态访问控制
- 远程浏览器隔离（remote browser isolation,RBI），让浏览器运行在云端沙箱里

四、SASE实践方案

SASE能力架构方案
- 安全云管控平台和安全资源池（即插即用可视化、网络优化、安全管控）
- 管控平台能够提供安全服务化、流量编排、策略管理、计量计费、态势呈现等
- 平台通过对了的界面实现安全组件的资源管理、策略管理、资源监控、计量计费、服务模板、工单流转、运营和运维大屏
SASE系统架构方案
- 统一云安全一体化管控平台：对集中化安全能力池和边缘接入点安全能力池的集中调度管理
- 集中化安全能力池：监控、检测、审计等能力服务化
- 边缘接入POP端安全能力池：安全网关作为集中安全能力池的延申，对边缘接入流量分析检测
SASE安全资源池服务编排方案

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PHLgqHcJ-1687785224340)(C:\Users\xpc\AppData\Roaming\Typora\typora-user-images\image-20230504172338129.png)]
云租户访问流量分析与防护、全流量镜像给态势感知平台进行威胁检测

安全管控平台实现安全产品的纳管，对软硬件拉起、调度、编排、策略管理、计量计费、报表、统一运维、数据运营等
防火墙、负载均衡和交换机双击部署，提高可靠性
规划独立安全资源池，虚拟化安全网元（堡垒机、WAF、数据库审计）采用虚拟机接入租户业务网络
安全管控平台对安全资源池的网元纳管、安全日志发送给态势感知

SASE组网拓扑
- 接入企业通过边缘网关接入交换中心，边缘网关提供安全防护
- 中小企业简化组网：中小企业可以直接接入边缘网关，或SD-WAN接入
- 多边缘节点统一安全纳管：管控平台对全网安全设备统一纳管，实现全网能力可视、资源可视、安全状态可视
- 运维审计能力集中上收：
- 边缘安全网关流量防护：
SASE核心能力
- 灵活接入：为分布式用户、场所提供随时随地的灵活接入
- 跨地加速：凭借SD-WAN核心优势，将网络控制平面与数据平面分离，实现网络加速
- 身份驱动：融合零信任理念，将身份作安全策略的上下文因素，通过用户、设备、时间、场地、应用和数据，实现对网络服务质量、路由选择、风险控制的细粒度落地
- 按需安全：云原生安全能力与网络能力融合，根据用户实际需要提供满足监管需求
- 持续运营：为用户提供持续的态势感知、事件检测、威胁分析、情报管理、同胞预警、应急处置等服务能力