SASE(Secure Access Service Edge),安全访问服务边缘
SASE在做什么? SASE用于从分布式云服务中提供集成的企业网络和安全服务。 SASE克服了分布式集成和地理位置限制解决方案的成本、复杂性和刚性。 SASE和全球专用主干网的结合还可以解决广域网和云连接的难题。
SD-WAN和SASE有什么区别? SD-WAN是SASE平台的重要组成部分,它将分支机构和数据中心连接到SASE云服务。 SASE扩展了SD-WAN,解决了整个WAN的转换过程,包括全球范围的安全性、云计算和移动性。
SASE比SD-WAN更好吗? SD-WAN只是广域网变革的第一步。 缺乏重要的安全功能、全局连接性、云资源和移动用户支持。 完整的SASE平台支持整个广域网转换过程。 这是为了帮助IT部门灵活且经济高效地提供业务需求网络和安全功能。
SASE安全吗? SASE是端到端的安全性。 SASE平台上的所有通信都是加密的。 所有威胁防护功能(如解密、防火墙、URL过滤、防恶意软件和IP )都集成在SASE中,可用于所有连接边缘。
虽然是耀眼的技术,但还是刚刚提出,发展和成熟需要时间,而且这个规模的框架不是一般组织能建设的。 报告概述了公司需要具有全球POP点和对等连接的SASE产品,以实现低延迟、随时随地访问用户、设备和云服务。 所以,追逐新事物是件好事,但不能盲目。
Gartner SASE定义: sase是一种基于实体的身份、实时上下文、公司安全和合规性策略以及跨会话持续评估风险/可靠性的服务。 实体的身份可以与个人、个人组(分支机构)、设备、APP、服务、物联网系统或边缘计算站点相关联。
SASE的核心是身份。 这意味着身份是访问决策的中心,而不是企业的数据中心。 这也与零信任架构和CARTA理念一致,是基于身份的访问决策。
用户、设备和服务身份是策略中最重要的上下文因素之一。 但是,您可以在策略中输入其他相关上下文源,例如用户使用的设备id、日期、风险/信任评估、站点、正在访问的APP应用程序或数据敏感度。 企业数据中心仍然存在,但不再是网络体系结构的中心,而只是用户和设备需要访问的许多互联网服务之一。
虽然这些实体需要访问越来越多的基于云的服务,但它们的连接方式和适用的网络安全策略类型取决于法规要求、企业策略和特定业务领导者的风险偏好。 与智能交换机一样,身份通过SASE提供商的全球安全访问功能连接到所需的网络功能。
SASE按需提供所需的服务和策略执行,独立于请求服务的实体的位置(如下图所示)和访问能力。
SASE云服务的主要特征SASE详细介绍了企业网络和安全架构的转换。 这样就可以为数字业务提供全面、敏捷、适应性强的服务。 SASE云服务具有四个主要特征:身份驱动、云本机、支持所有边缘(广域网、云、移动、边缘计算)和全局分布式。
id驱动程序不仅是IP地址,用户和资源的id还决定着网络互联的可操作性和访问权限级别。 服务质量、路由和APP风险安全控制——所有这些都由与每个网络连接相关联的身份驱动。 通过这种方法,企业可以为用户开发一组网络和安全策略,无需考虑设备和地理位置,从而降低运营成本。
云的本机SASE体系结构利用云的关键功能(如灵活性、自适应性、自恢复性和自维护功能),提供分散客户开销和提供最大效率的平台,以轻松满足新的业务需求
支持所有边缘SASE,创建了所有企业资源的网络——数据中心、分支机构、云资源和移动用户。 例如,软件定义的广域网(SD-WAN )设备支持物理边缘,移动客户端和无客户端浏览器可以访问连接频繁的用户。
全球分布为了确保所有网络和安全功能随时可用,并为所有边缘提供尽可能好的体验,SASE云必须全球分布。 因此,必须扩展自身的覆盖面,为企业边缘提供低延迟服务。
最终,SASE体系结构的目标是更容易实现安全的云环境。 SASE提供了摒弃传统方法的设计理念,而不是将SD-WAN设备、防火墙、IPS设备和其他各种网络和安全解决方案放在一起。 SASE提供了安全的全球SD-WAN服务,以取代难以管理的技术大杂烩。
SASE的理念是利用基于SD-WAN的虚拟化体系结构进行集中,在边缘添加核心功能,在边缘执行数据处理和安全功能,以满足当前和未来云上和移动业务的动态需求。