什麼是安全訪問服務邊緣 (SASE)?它是否適合您的基礎設施?
已發表: 2023-07-06安全訪問服務邊緣 (SASE) 是一種網絡架構框架,它將雲原生安全技術與廣域網 (WAN) 功能相結合,將用戶、系統或終端與各種應用程序和服務安全連接。 這些通過云作為服務提供,並且可以集中管理以促進現代敏捷操作。
隨著企業經歷數字化轉型,網絡安全正在向雲端轉移。 這就需要集成服務來最大限度地降低複雜性、提高速度和敏捷性、鼓勵多云網絡以及保護新的廣域網框架。
SASE 模型將多種網絡和安全功能(傳統上作為不同的單點解決方案提供)集成到集成雲服務中。
什麼是 SASE 及其工作原理?
SASE(發音為“sassy”)指的是一個框架而不是特定的技術。 Gartner 在其 2019 年題為“網絡安全的未來在於雲”的報告中,將 SASE 結構描述為雲優先的網絡安全解決方案,提供“全面的 WAN 能力和廣泛的網絡安全功能,以滿足不斷發展的安全連接要求”。數字化企業。”
SASE 使企業能夠將其安全和網絡工具整合到一個管理控制台中。 這提供了一種簡單的安全和網絡實用程序,獨立於員工和/或資源的精確位置。 重要的是,SASE 實際上不需要基礎設施。
相反,它依賴於:
- 防火牆即服務 (FWaaS)
- 軟件即服務 (SaaS)
- 安全 Web 網關 (SWG)
- 雲訪問安全代理 (CASB)
- 零信任網絡訪問 (ZTNA)
SASE 不依賴於數據中心檢查引擎。 SASE 檢測設備也可以移動到本地存在點 (POP)。 SASE 客戶端(例如移動設備、物聯網設備或分支機構機器)將流量發送到 POP 以供審查。 然後,系統與網絡或集中式 SASE 架構建立連接。
整個系統的工作原理如下:
- SASE 利用通過專用骨幹網的 SD-WAN 服務。 這有助於防止延遲問題並鏈接每個 POP。
- 除了連接設備之外,SASE 服務還通過內聯流量加密來保護它們。 SASE 利用惡意軟件檢測和沙箱等多個引擎來分析流量。
- SASE 還必須提供基於域名系統的保護以及針對分佈式拒絕服務攻擊的防禦。
- SASE 的路由和安全策略符合《通用數據保護條例》等法律。
- SASE 採用基於雲的架構和資產,沒有物理要求。 為了實現成本效益,需要多租戶軟件。
- 與站點相反,SASE 服務可以根據用戶身份指示器(例如特定的用戶設備或位置)進行訪問。
SASE 平台與 SASE 產品組合
由於安全訪問服務邊緣 (SASE) 指的是框架而不是技術,因此您可以使用關鍵要素(FWaaS、SaaS、SWG 等)組裝 DIY 產品組合,也可以購買平台。
SASE 平台之間的互操作性始終是朝著正確方向邁出的一步。 這是因為這些平台旨在有效利用安全組件的相互依賴性和相關功能。 相比之下,SASE 產品組合是單個產品的非正式分類。 它可能無法消除功能差距或重疊。
在投資方面,SASE平台提供端到端服務。 公司必須採用全新的安全和網絡策略,並進行認真的規劃和預算。 SASE 產品組合將不同的產品組合起來創建 SASE,並將與您當前的設置保持一致。 這可以保護您現有的投資。
“SASE 適合我嗎?” 5 購買參數
希望部署安全訪問服務邊緣的公司有兩個選擇:平台或產品組合。 但 SASE 對您來說是一項好的投資嗎? 您需要檢查以下五個參數:
1.“我的組織在廣域網技術上投入了大量資金”——同意還是不同意?
那些處理複雜混合廣域網併計劃進行變革的人可以從 SASE 的外包和整合產品中受益。 SASE 為將當前 WAN 投資視為固定成本的大型組織提供了一個消除路徑依賴的機會。 然而,如果您還沒有 WAN 投資,放棄當前的架構(例如用於基本流量的 MPLS 或用於所有其他流量的 SD-WAN)可能會非常昂貴。
2.“我們管理著大中型遠程勞動力”——同意還是不同意?
對於沒有技術專業知識或工具來處理分佈式員工網絡安全的企業,請考慮使用 SASE。 這是通過提供對本地和雲資源的快速、受保護的訪問來提高安全性和效率的成功方法。
SASE 的 SD-WAN 組件也至關重要,因為許多遠程員工依賴住宅寬帶網絡,而該網絡可能與其他在家工作或在家上學的家庭成員分開。 因此,流量管理、整合 4G 和 5G 帶寬的能力或複雜的內容分發網絡 (CDN) 功能等功能有助於打造類似辦公室的用戶體驗。
然而,擁有全職員工和 MPLS 線路的中型公司可能不會發現 SASE 如此有益。
3.“我們的網絡優勢正在穩步增長”——同意還是不同意?
如今,現代開發工具、容器以及微服務擴展了軟件與底層基礎設施和硬件解耦的模式。 SASE 服務的軟件定義部分可幫助企業根據策略完全自動化網絡選擇。 因此,可以將成本較高的 MPLS 連接直接分配給重要的應用程序(HR、ERP、CRM 等),並且隔離設備可以連接到外圍數據中心。
對於許多組織來說,管理雜亂的網絡外圍設備的成本很快變得不可持續。 這使得將這些職責外包給 SASE 供應商成為一個非常有吸引力的提議。 另一方面,如果您的網絡和安全功能高度集中(並且您希望保持這種狀態),那麼 SASE 可能不是正確的選擇。
4.“我們正在努力應對雲採用的負面影響”——同意還是不同意?
在後疫情時代,生產力需要雲原生工具。 雲原生框架消除了孤島,使應用程序能夠在整個企業以及雲之間共享數據。 然而,在正確的時間將此類信息傳送到正確的位置可能很困難。
簡而言之,如果沒有適當的基礎設施或網絡支持,混合雲和多雲可能會導致重大的集中化問題。
SD-WAN 是一種強大的工具,可提供對集中式本地或基於雲的服務的訪問。 SASE 通過基於策略的安全性和路由使其更加有效。 它促進了從 WFH 設備到工業探測器的全面帶寬和應用程序訪問,而不會危及安全性、機密性或合規性。
5.“我們寧願使用整合的安全工具,也不願使用同類最佳的安全工具”——同意還是不同意?
除了遺留障礙之外,一些大型組織可能還更喜歡同類最佳的安全解決方案。
SASE 提供一套統一的安全服務,例如加密、多因素身份驗證、攻擊防護和數據洩露防護 (DLP)、DNS 和標準防火牆服務,具體取決於服務提供商。 如果您對現有技術堆棧進行了深入投資,或者煞費苦心地構建了最佳的網絡和安全生態系統,那麼在投資 SASE 之前您可能需要三思而後行。
然而,隨著 Cisco、VMware 和其他公司推出 SASE 服務,當前擁有供應商合作夥伴關係的企業可以採用 SASE,而無需解除之前的投資。
如果您同意這五個參數中的兩個或多個,那麼安全訪問服務邊緣或 SASE 絕對是您團隊的合適 IT 考慮因素。
結論
SASE 有機會成為重要的雲優化和安全解決方案。 企業對 SASE 越來越感興趣,一項又一項的研究表明,它的使用在未來幾年只會增長。 Gartner 表示,從 2022 年到 2023 年,全球最終用戶在 SASE 上的支出預計將增長 39%,達到 92 億美元。
最終,安全訪問服務邊緣屬於任何最佳網絡安全軟件列表,了解 SASE 的細節對於掌握網絡安全終極指南至關重要。