网络安全(三)| 安全访问服务边缘(SASE)
安全访问服务边缘简称 SASE,是一种基于云的 IT 模型,它将软件定义的网络与网络安全功能捆绑在一起,并从单一服务提供商交付。“SASE”一词由全球研究和咨询公司 Gartner 在 2019 年提出。
SASE 方法可以更好地控制和了解访问公司网络的用户、流量和数据,这些功能对于现代全球分布的组织来说至关重要。使用 SASE 构建的网络灵活且可扩展,能够通过任何设备连接分布在全球各地的员工和办公室。
SASE 包括哪些安全功能?
SASE 将软件定义的广域网 (SD-WAN) 功能与一些网络安全功能相结合,所有这些功能都从一个云平台提供。通过这种方式,SASE 让员工能够从任何地方进行身分验证并安全地连接到内部资源,让企业更好地控制进出其内部网络的流量和数据。
SASE 包括四个核心安全组件:
- 安全 Web 网关 (SWG):SWG 可从 Web 流量中过滤不需要的内容,阻止未经授权的用户行为,并执行企业安全策略,从而预防网络威胁和数据泄露。SWG 可以部署在任何地方,因此是确保远程员工安全的理想选择。
- 云访问安全代理 (CASB):CASB 为云托管服务执行多项安全功能,包括:揭示影子 IT(未经授权的公司系统)、通过访问控制和数据丢失防护 (DLP) 保护机密数据,以及确保符合数据隐私法规。
- 零信任网络访问 (ZTNA):ZTNA 平台锁定内部资源,不允许公开查看,并要求对每个受保护应用程序的每个用户和每台设备进行实时验证,以助防止潜在的数据泄露。
- 防火墙即服务(FWaaS):FWaaS 是指从云端作为服务交付的防火墙。FWaaS 保护云端平台、基础设施和应用程序免受网络攻击。与传统防火墙不同,FWaaS 不是物理设备,而是一组安全能力,其中包括 URL 过滤、入侵防御以及对所有网络流量的统一策略管理。
根据供应商和企业的需求,这些核心组件可能与其他安全服务捆绑在一起,包括 Web 应用程序和 API 保护 (WAAP)、远程浏览器隔离或 Wi-Fi 热点保护。
SASE 框架有哪些优点?
与传统的基于数据中心的网络安全模型相比,SASE 具有多个优点:
- 基于身份的零信任网络访问。SASE 高度依赖于零信任安全模型,在用户身份得到验证之前,该模型不会授予用户访问应用程序和数据的权限 —— 即使他们已经在私有网络的边界内也不例外。在建立访问策略时,SASE 方法不仅仅考虑实体的身份;它还考虑用户的位置、所处时段、企业安全标准、合规性策略以及对风险/信任的持续评估等因素。
- 阻止对网络基础设施的攻击。SASE 的防火墙和 CASB 组件有助于防止外部攻击(如 DDoS 攻击和漏洞利用)进入并损害内部资源。SASE 方法可以保护本地网络和基于云的网络。
- 防止恶意活动。通过过滤 URL、DNS 查询以及其他传出和传入网络流量,SASE 有助于防止基于恶意软件的攻击、数据泄露和针对公司数据的其他威胁。
- 实施和管理更简单。SASE 将单点安全解决方案合并到单一云端服务中,企业可与更少的供应商进行交互,并节省配置物理基础设施所需的时间、金钱和内部资源。
- 策略管理更简单。SASE 允许组织在单一门户上设置、调整和实施覆盖所有位置、用户、设备和应用程序的访问策略,而不必为不同解决方案处理多种策略。
- 延迟优化的路由。SASE 通过一个全球边缘网络来路由网络流量,在尽可能靠近用户的位置进行处理,从而帮助减少延迟。路由优化可以根据网络拥塞和其他因素帮助确定最快的网络路径。
SASE 与传统网络相比有何不同?
在传统的网络模型中,数据和应用程序位于核心数据中心内。为了访问这些资源,用户、分支机构和应用程序从本地私有网络或二级网络(其一般通过安全租用线路或 VPN 连接到主要网络)连接到数据中心。
事实证明,这种模式无法应对软件即服务 (SaaS) 等基于云的服务带来的复杂性以及分布式劳动力的兴起。如果应用程序和数据托管在云中,则通过集中式数据中心重新路由所有流量不再可行。
相比之下,SASE 将网络控制置于云端边缘,而不是企业数据中心。与需要单独配置和管理的分层云服务不同,SASE 简化了网络和安全服务,以创建安全的网络边缘。通过在边缘网络上实施基于身份的零信任访问策略,企业可以将其网络边界扩展到任何远程用户、分支机构、设备或应用程序。
组织如何实施 SASE
许多组织对 SASE 实施采取逐一进行的方法。事实上,有些人可能已经在不知不觉中采用了某些 SASE 元素。要全面采用 SASE 模型,组织可采取以下关键步骤:
- 保护远程员工
- 将分支机构置于云边界内
- 将 DDoS 保护移到边缘
- 将自我托管的应用程序迁移到云端
- 用统一的云原生政策执行取代安全设备
这些步骤在白皮书《SASE 入门》中进行了进一步细分,可在此处下载。