什么是安全访问服务边缘 (SASE)?它是否适合您的基础设施?

已发表: 2023-07-06

安全访问服务边缘 (SASE) 是一种网络架构框架,它将云原生安全技术与广域网 (WAN) 功能相结合,将用户、系统或终端与各种应用程序和服务安全连接。 这些通过云作为服务提供,并且可以集中管理以促进现代敏捷操作。

随着企业经历数字化转型,网络安全正在向云端转移。 这就需要集成服务来最大限度地降低复杂性、提高速度和敏捷性、鼓励多云网络以及保护新的广域网框架。

SASE 模型将多种网络和安全功能(传统上作为不同的单点解决方案提供)集成到集成云服务中。

什么是 SASE 及其工作原理?

SASE(发音为“sassy”)指的是一个框架而不是特定的技术。 Gartner 在其 2019 年题为“网络安全的未来在于云”的报告中,将 SASE 结构描述为云优先的网络安全解决方案,提供“全面的 WAN 能力和广泛的网络安全功能,以满足不断发展的安全连接要求”。数字化企业。”

SASE 使企业能够将其安全和网络工具整合到一个管理控制台中。 这提供了一种简单的安全和网络实用程序,独立于员工和/或资源的精确位置。 重要的是,SASE 实际上不需要基础设施。

相反,它依赖于:

  • 防火墙即服务 (FWaaS)
  • 软件即服务 (SaaS)
  • 安全 Web 网关 (SWG)
  • 云访问安全代理 (CASB)
  • 零信任网络访问 (ZTNA)

SASE 不依赖于数据中心检查引擎。 SASE 检测设备也可以移动到本地存在点 (POP)。 SASE 客户端(例如移动设备、物联网设备或分支机构机器)将流量发送到 POP 以供审查。 然后,系统与网络或集中式 SASE 架构建立连接。

整个系统的工作原理如下:

  • SASE 利用通过专用骨干网的 SD-WAN 服务。 这有助于防止延迟问题并链接每个 POP。
  • 除了连接设备之外,SASE 服务还通过内联流量加密来保护它们。 SASE 利用恶意软件检测和沙箱等多个引擎来分析流量。
  • SASE 还必须提供基于域名系统的保护以及针对分布式拒绝服务攻击的防御。
  • SASE 的路由和安全策略符合《通用数据保护条例》等法律。
  • SASE 采用基于云的架构和资产,没有物理要求。 为了实现成本效益,需要多租户软件。
  • 与站点相反,SASE 服务可以根据用户身份指示器(例如特定的用户设备或位置)进行访问。

SASE 平台与 SASE 产品组合

由于安全访问服务边缘 (SASE) 指的是框架而不是技术,因此您可以使用关键要素(FWaaS、SaaS、SWG 等)组装 DIY 产品组合,也可以购买平台。

SASE 平台之间的互操作性始终是朝着正确方向迈出的一步。 这是因为这些平台旨在有效利用安全组件的相互依赖性和相关功能。 相比之下,SASE 产品组合是单个产品的非正式分类。 它可能无法消除功能差距或重叠。

在投资方面,SASE平台提供端到端服务。 公司必须采用全新的安全和网络策略,并进行认真的规划和预算。 SASE 产品组合将不同的产品组合起来创建 SASE,并将与您当前的设置保持一致。 这可以保护您现有的投资。

“SASE 适合我吗?” 5 购买参数

希望部署安全访问服务边缘的公司有两个选择:平台或产品组合。 但 SASE 对您来说是一项好的投资吗? 您需要检查以下五个参数:

1.“我的组织在广域网技术上投入了大量资金”——同意还是不同意?

那些处理复杂混合广域网并计划进行变革的人可以从 SASE 的外包和整合产品中受益。 SASE 为将当前 WAN 投资视为固定成本的大型组织提供了一个消除路径依赖的机会。 然而,如果您还没有 WAN 投资,放弃当前的架构(例如用于基本流量的 MPLS 或用于所有其他流量的 SD-WAN)可能会非常昂贵。

2.“我们管理着大中型远程劳动力”——同意还是不同意?

对于没有技术专业知识或工具来处理分布式员工网络安全的企业,请考虑使用 SASE。 这是通过提供对本地和云资源的快速、受保护的访问来提高安全性和效率的成功方法。

SASE 的 SD-WAN 组件也至关重要,因为许多远程员工依赖住宅宽带网络,而该网络可能与其他在家工作或在家上学的家庭成员分开。 因此,流量管理、整合 4G 和 5G 带宽的能力或复杂的内容分发网络 (CDN) 功能等功能有助于打造类似办公室的用户体验。

然而,拥有全职员工和 MPLS 线路的中型公司可能不会发现 SASE 如此有益。

3.“我们的网络优势正在稳步增长”——同意还是不同意?

如今,现代开发工具、容器以及微服务扩展了软件与底层基础设施和硬件解耦的模式。 SASE 服务的软件定义部分可帮助企业根据策略完全自动化网络选择。 因此,可以将成本较高的 MPLS 连接直接分配给重要的应用程序(HR、ERP、CRM 等),并且隔离设备可以连接到外围数据中心。

对于许多组织来说,管理杂乱的网络外围设备的成本很快变得不可持续。 这使得将这些职责外包给 SASE 供应商成为一个非常有吸引力的提议。 另一方面,如果您的网络和安全功能高度集中(并且您希望保持这种状态),那么 SASE 可能不是正确的选择。

4.“我们正在努力应对云采用的负面影响”——同意还是不同意?

在后疫情时代,生产力需要云原生工具。 云原生框架消除了孤岛,使应用程序能够在整个企业以及云之间共享数据。 然而,在正确的时间将此类信息传送到正确的位置可能很困难。

简而言之,如果没有适当的基础设施或网络支持,混合云和多云可能会导致重大的集中化问题。

SD-WAN 是一种强大的工具,可提供对集中式本地或基于云的服务的访问。 SASE 通过基于策略的安全性和路由使其更加有效。 它促进了从 WFH 设备到工业探测器的全面带宽和应用程序访问,而不会危及安全性、机密性或合规性。

5.“我们宁愿使用整合的安全工具,也不愿使用同类最佳的安全工具”——同意还是不同意?

除了遗留障碍之外,一些大型组织可能还更喜欢同类最佳的安全解决方案。

SASE 提供一套统一的安全服务,例如加密、多因素身份验证、攻击防护和数据泄露防护 (DLP)、DNS 和标准防火墙服务,具体取决于服务提供商。 如果您对现有技术堆栈进行了深入投资,或者煞费苦心地构建了最佳的网络和安全生态系统,那么在投资 SASE 之前您可能需要三思而后行。

然而,随着 Cisco、VMware 和其他公司推出 SASE 服务,当前拥有供应商合作伙伴关系的企业可以采用 SASE,而无需解除之前的投资。

如果您同意这五个参数中的两个或多个,那么安全访问服务边缘或 SASE 绝对是您团队的合适 IT 考虑因素

结论

SASE 有机会成为重要的云优化和安全解决方案。 企业对 SASE 越来越感兴趣,一项又一项的研究表明,它的使用在未来几年只会增长。 Gartner 表示,从 2022 年到 2023 年,全球最终用户在 SASE 上的支出预计将增长 39%,达到 92 亿美元。

最终,安全访问服务边缘属于任何最佳网络安全软件列表,了解 SASE 的细节对于掌握网络安全终极指南至关重要。