什么是 SASE？安全訪問服務(wù)邊緣 (SASE) 是一種網(wǎng)絡(luò)架構(gòu)框架，將廣域網(wǎng) (WAN) 與各種云原生安全技術(shù)相結(jié)合。其中包括防火墻即服務(wù) (FWaaS)、安全 Web 網(wǎng)關(guān) (SWG)、云訪問安全代理 (CASB) 和零信任網(wǎng)絡(luò)訪問 (ZTNA)。

這種聯(lián)合安全方法允許組織保持其系統(tǒng)安全，同時允許其用戶和端點(diǎn)遠(yuǎn)程連接到他們的服務(wù)和應(yīng)用程序。SASE 功能可作為云服務(wù)提供，以支持現(xiàn)代敏捷開發(fā)操作，使管理員能夠從中央平臺對其進(jìn)行管理。

SASE 是一個完整的框架，而不是一種特定的技術(shù)。Gartner 將此框架定義為基于云的安全解決方案，提供全面的 WAN 和網(wǎng)絡(luò)安全功能，使企業(yè)能夠滿足其動態(tài)訪問和安全要求。SASE 與安全服務(wù)邊緣 (SSE) 不同，后者是 SASE 的一個子集，專注于 SASE 平臺提供的安全服務(wù)。

大流行如何影響 SASE 的采用？

2020 年代初冠狀病毒大流行的爆發(fā)使企業(yè)爭先恐后地將其網(wǎng)絡(luò)安全轉(zhuǎn)移到支持遠(yuǎn)程勞動力需求的由外到外的方法。這種方法與僅針對內(nèi)部資源和用戶的傳統(tǒng)內(nèi)部到內(nèi)部網(wǎng)絡(luò)策略形成對比。

需要一種新方法，因為傳統(tǒng)的遠(yuǎn)程工作機(jī)制——VPN——在規(guī)模上通常過于昂貴。SASE 將用戶連接到靠近其位置的入網(wǎng)點(diǎn) (PoP)，而不是將他們路由到中央數(shù)據(jù)中心。這種機(jī)制使 SASE 作為一種外到外的網(wǎng)絡(luò)策略非常有用，因為它可以處理關(guān)鍵的安全性和網(wǎng)絡(luò)功能，如身份驗證和授權(quán)。

Gartner 預(yù)計，近一半的企業(yè)將在未來幾年采用基于 SASE 的方法。公司不太可能恢復(fù)大流行前的業(yè)務(wù)戰(zhàn)略，在家工作的員工人數(shù)可能仍將居高不下。因此，投資 SASE 是大多數(shù)企業(yè)的長期考慮。

SASE 架構(gòu)如何工作？

SASE 平臺提供了多個網(wǎng)絡(luò)和安全元素的捆綁。它將 SD-WAN 與 SaaS、FaaS、SWG、CASBs、ZTNA 和端點(diǎn)安全等一組安全服務(wù)相結(jié)合，創(chuàng)建了一個多區(qū)域、多租戶的安全平臺。該平臺獨(dú)立于數(shù)據(jù)中心、本地辦公室、云服務(wù)和員工運(yùn)行，因此它們的物理位置并不重要。

SASE 不依賴于基于數(shù)據(jù)中心的檢查引擎——相反，SASE 將檢查引擎帶到用戶或端點(diǎn)附近的存在點(diǎn) (PoP)。SASE 客戶端包括具有 SASE 代理的移動設(shè)備、IoT 設(shè)備、具有無客戶端訪問權(quán)限的移動設(shè)備和辦公設(shè)備。這些客戶端將流量發(fā)送到最近的 PoP，后者檢查并通過中央 SASE 基礎(chǔ)設(shè)施或互聯(lián)網(wǎng)轉(zhuǎn)發(fā)流量。

以下是 SASE 服務(wù)的定義元素：

• 全球 SD-WAN——SASE 依賴于具有私有骨干網(wǎng)的 SD-WAN 服務(wù)。這種架構(gòu)有助于防止互聯(lián)網(wǎng)延遲，直接連接處理安全和網(wǎng)絡(luò)功能的 PoP。除非連接到 SASE 系統(tǒng)的全球骨干網(wǎng)，否則流量不會通過公共 Internet。
• 分布式檢查——除了連接設(shè)備外，SASE 通過檢查設(shè)備和執(zhí)行安全策略來確保保護(hù)。SASE 通過加密和解密內(nèi)聯(lián)流量來提供安全性。SASE 平臺應(yīng)使用同時運(yùn)行的多個檢查引擎（即沙盒和惡意軟件掃描工具）來檢查流量。它還應(yīng)該提供額外的服務(wù)，如 DDoS 和基于 DNS 的保護(hù)。SASE 安全和路由策略應(yīng)支持 GDPR 等法規(guī)的執(zhí)行。
• 云架構(gòu)——SASE 平臺利用云基礎(chǔ)設(shè)施和資源來支持無需特定硬件需求的服務(wù)。他們不應(yīng)該鏈接服務(wù)，而是使用多租戶軟件，最好以靈活的價格支持快速擴(kuò)展。
• 基于身份的訪問——SASE 服務(wù)應(yīng)該根據(jù)用戶的身份標(biāo)記（即用戶的特定設(shè)備或位置）訪問資源。

為什么 SASE 是遠(yuǎn)程訪問的未來

應(yīng)用程序和數(shù)據(jù)位于傳統(tǒng)網(wǎng)絡(luò)模型中的中央數(shù)據(jù)中心。用戶、工作站和應(yīng)用程序必須連接到該數(shù)據(jù)中心才能訪問公司的資源，通常是從本地專用網(wǎng)絡(luò)或通過 VPN 或其他安全線路連接到主網(wǎng)絡(luò)的輔助網(wǎng)絡(luò)。

然而，這種方法已被證明不足以處理依賴于分布式勞動力和 SaaS 服務(wù)的云轉(zhuǎn)發(fā)系統(tǒng)的復(fù)雜性。今天，當(dāng)數(shù)據(jù)和應(yīng)用程序托管在分布式云環(huán)境中時，通過公司數(shù)據(jù)中心引導(dǎo)所有網(wǎng)絡(luò)流量是不切實際的。

另一方面，SASE 在云邊緣而不是統(tǒng)一的數(shù)據(jù)中心實施網(wǎng)絡(luò)控制。它簡化了安全和網(wǎng)絡(luò)服務(wù)以保護(hù)網(wǎng)絡(luò)邊緣，而不是創(chuàng)建具有獨(dú)立管理和配置要求的分層云服務(wù)堆棧。組織可以在網(wǎng)絡(luò)邊緣實施基于身份的零信任訪問策略，以擴(kuò)展網(wǎng)絡(luò)的安全邊界以涵蓋遠(yuǎn)程用戶、辦公室、設(shè)備和應(yīng)用程序。

SASE 的主要優(yōu)勢包括：

• 將復(fù)雜性降至最低——與在不同位置使用不同安全設(shè)備的多供應(yīng)商方法相比，基于云的安全模型和單一供應(yīng)商 WAN 功能降低了復(fù)雜性。單通流量檢測架構(gòu)還有助于簡化系統(tǒng)，方法是解密流量并使用不同的策略引擎對其進(jìn)行一次檢測，而不是組合不同的檢測服務(wù)。
• 促進(jìn)訪問——與基于數(shù)據(jù)中心的訪問模型不同，SASE 架構(gòu)提供對來自任何物理位置的實體的所有資源的一致、安全和快速的訪問。
• 優(yōu)化成本——云模型具有成本效益，允許組織將成本分散到月費(fèi)中，而不是前期資本投資。它還允許企業(yè)整合他們的供應(yīng)商并減少虛擬和物理設(shè)備的數(shù)量以及相關(guān)的采購和維護(hù)成本。將升級和維護(hù)職責(zé)委托給 SASE 提供商也可以降低成本。
• 提高性能——服務(wù)和應(yīng)用程序性能受益于優(yōu)化延遲并通過高性能 SASE 主干引導(dǎo)流量的路由機(jī)制。更好的性能對于延遲敏感的應(yīng)用程序尤其重要，例如視頻和 VoIP。
• 增強(qiáng)可用性——SASE 通常有助于減少設(shè)備所需的代理和應(yīng)用程序的數(shù)量，將它們替換為單個用戶友好的應(yīng)用程序，并確保無論用戶的位置或訪問的資源如何，都能獲得一致的用戶體驗。

我希望這將有助于您為您的組織評估下一代遠(yuǎn)程訪問解決方案。