带你探讨什么是安全访问服务边缘 (SASE)

近年来，随着云计算和网络技术的不断发展，出现了一种新的网络安全解决方案——SASE（安全访问服务边缘） 。SASE是一种将网络和安全功能融合到单个基于云的服务中的框架，旨在提供更加安全、高效和便捷的网络访问体验。SASE的出现可以帮助企业更好地应对网络安全挑战，同时简化网络管理和提高用户体验。

什么是SASE？

Gartner的定义是这样的：SASE是一种网络架构和服务模型，用于集成广域网（WAN）和网络安全功能，以提供安全、一致的访问企业应用程序和数据的能力。

SASE通过将网络和安全功能转移到云端，实现了边缘计算、安全性和网络连接的一体化。

简单来说：

SASE做的就是将SD-WAN的功能与安全性相结合，并作为服务进行交付。

SASE能给企业带来什么？

SASE提供了综合性的网络和安全解决方案，将多个功能集成为单一的云服务。

1. 简化架构

• SASE将网络和安全功能集成为统一的云服务，简化了架构。不再需要多个供应商和硬件设备，减少了复杂性。它简化了基础设施，并减轻了IT团队的管理负担。

2. 成本节约

• 采用SASE可以降低硬件采购、维护和管理的成本。由于减少了部署和维护的设备数量，企业在资本支出和运营费用方面可能实现成本节约。

3. 提升安全性

• SASE提供了全面的安全措施，包括加密、多因素身份验证、威胁保护和数据泄漏防护。这些安全功能会被均等地执行，无论用户身在何处，保证整个网络的一致性保护。SASE的零信任方法通过对用户、设备和应用程序的认证来增强安全性，而不仅仅依赖于IP地址或网络位置。

4. 提升用户体验

• SASE实现了从任何地方对应用程序和资源的优化访问，使用户体验无缝一致。通过SASE的分布式点（PoPs），用户可以连接到最近的PoP，减少延迟并提高应用程序性能。这确保用户能够可靠快速地访问所需的资源，无论其所在位置如何。

5. 可扩展性和灵活性

• SASE旨在满足组织不断变化的需求。它可以适应对云应用程序、远程办公和物联网设备的不断增长需求。SASE的云原生架构支持敏捷和灵活的部署，便于根据业务需求进行调整。

6. 集中化策略管理

• SASE通过云平台提供集中化的策略管理。IT管理员可以从单一控制点定义和执行用户访问、应用程序使用和安全措施等策略。这种集中化管理简化了策略实施，并确保网络安全的一致性。

SASE架构的设计逻辑

SASE架构旨在将网络和安全功能集成为统一的云服务。它通过将网络和安全功能从底层基础设施中解耦，实现了网络的云原生化、软件定义和全球化。

在传统的WAN架构中，网络基础设施是独立的，通常需要大量的硬件投资。SD-WAN并没有取代传统架构，而是对其进行了补充，将非关键任务和非实时敏感的流量从昂贵的链路中分离出来。

从短期来看，SASE可能不会取代诸如MPLS之类的传统服务，因为对于某些关键任务的流量，MPLS仍然具有重要性。但在安全方面，像IPsec VPN这样的工具可能会被基于云的替代方案所取代。

SASE架构将网络和安全功能从底层基础设施中解耦，实现了网络的云原生化。这意味着网络是以云为先的，由软件定义和管理，并在全球范围内运行。这样的网络架构理想情况下应该靠近企业的数据中心、分支机构、设备和员工。

通过SASE，用户可以监控网络的健康状况，并为特定的流量需求设置策略。因为来自互联网的流量首先经过提供商的网络，SASE可以在其到达企业网络之前检测到危险的流量并进行干预。例如，SASE网络可以减轻分布式拒绝服务（DDoS）攻击带来的影响，保护用户免受恶意流量的侵害。

总之，SASE架构通过集成网络和安全功能为用户提供了一个统一的云服务，将网络和安全整合在一起。它可以降低复杂性和成本，实现网络的云原生化和软件定义，提供全球范围内的网络访问，并增强安全性和性能。

核心组件

SASE架构是一种基于云原生的网络架构，将网络和安全功能集成为统一的服务。

它通常包括以下关键组件：

1. 软件定义广域网（SD-WAN）

• SD-WAN技术使组织能够在各个位置之间建立安全且优化的网络连接，包括分支机构、数据中心和云环境。它提供智能路由功能、动态流量管理和网络可见性。

2. 云原生安全服务

• SASE集成了广泛的安全服务，例如作为服务的防火墙（FWaaS）、安全网关（SWG）、数据丢失防护（DLP）、威胁检测和预防以及安全的远程访问。这些安全服务从云端提供，并与SASE架构进行集成。

3. 零信任网络访问（ZTNA）

• SASE采用零信任安全模型，即基于用户、设备和应用程序的身份授予资源访问权限，而不仅仅依赖于网络位置或IP地址。ZTNA确保只有经过身份验证和授权的用户可以访问特定资源，无论他们的位置在哪里。

4. 云原生网络功能

• SASE利用云原生的网络功能提供高级功能，如广域网优化、内容交付网络（CDN）、缓存和SaaS加速。这些功能有助于改善网络性能、减少延迟并提升用户体验。

5. 全球就近接入点（PoPs）

• SASE依赖于全球范围内就近分布的接入点。这些接入点作为流量的入口点，实现安全连接和快速访问资源。它们在执行安全策略、实时威胁检测和缓解中起着关键作用。

6. 集中化策略管理

• SASE通过基于云的平台提供集中化的策略管理。IT管理员可以从单一管理界面定义和执行访问策略、安全配置和网络设置。这种集中化的方法简化了策略管理，确保整个网络的一致性。

结语：

企业数字化转型和业务上云是SASE的重要驱动力。企业的数据中心不再是用户与设备访问需求的中心，大量SaaS 等基于云计算服务的部署，以及新兴的边缘计算平台，颠覆了传统的网络和应用架构模式，使企业网络架构出现“内外翻转”的现象。与此同时，数字化转型需要随时随地访问位于云端的应用和服务，传统的网络和网络安全体系架构无法满足数字业务的动态安全访问需求。

采用SASE架构，企业边界不再是一个位置；而是一组动态创建的、基于策略的安全访问服务边缘。SASE的本质是基于身份认证的整合网络和安全的边缘融合服务，是典型的云网安融合的新兴产品。