<
    • 为什么会出现SASE
    • Gartner眼中的SASE
    • SASE的关键特征
    • SASE典型应用场景
    • 为您推荐
    >

    为什么会出现SASE

    在数字化转型的驱动下,传统的以用户DC为中心的组网架构正发生变化,工作负载从单一的DC向多云迁移,如企业微信等分支SAAS应用流量激增,居家&移动办公、第三方接入成为常态,随着安全攻防向分支下沉,互联网出口如何管控也亟待解决。这些变化给组织在组网、安全、运维、敏捷等方面带来了新的挑战,客户需要一种全新的架构去适配数字化转型的要求。

     

    主要变化

    • 工作负载从数据中心向多云分布迁移
    • 分支SaaS应用流量激增
    • 远程/混合办公成为常态
    • 安全攻防向分支下沉

     

    面临挑战

    • 组网:在保障用户访问体验下降低组网成本
    • 安全:全局安全策略、高级安全威胁,合规
    • 运维:集中高效的统一运维管理
    • 敏捷:快速上线、可靠运行、弹性扩展

    Gartner眼中的SASE

    SASE是Gartner在2019年8月的一份名为《网络安全的未来在云端》的报告中首次提出的概念,SASE是一种结合了广域网接入与网络安全功能的一套网络安全架构,基于用户的身份、上下文的零信任策略,让用户、分支能够更安全、更快速、更简单的访问所有的互联网、SaaS、数据中心及云应用。通过下面这张图,我们来了解Gartner眼中SASE的基本概念:

     什么是SASE1

    1. SASE:安全访问服务边缘 Secure Access Service Edge,基于SASE的直译比较难以理解,所以中文的名称也可以叫“云安全访问服务”“云安全访问服务平台”,通俗一句话解释:SASE是一套云化交付的网络和安全融合服务,可以一次部署、一次安装、一次接入解决办公安全问题(包括:安全上网、零信任接入、防泄密、全球组网等);

     

    2. 为了更精确地定义和追踪技术发展,满足不同用户的特定需求,Gartner把SASE分成了网络与安全两个部分,SASE=SD-WAN+SSE。

    • SD-WAN:软件定义网络Software-Defined WAN
    • SSE:安全服务边缘 Secure Service Edge

    深信服是同时具备SASE-SDWAN和SASE-SSE能力的厂商,国内唯一的单一供应商SASE市场代表厂商。

    ——来源于Gartner®发布的报告《新兴技术:在三重挤压中蓬勃发展——对云安全风险投资的关键洞察》(Emerging Tech: Thriving Amid the Triple Squeeze— Critical Insights on VC Funding for Cloud Security, May 2023)

     

    3. SD-WAN定义了一套网络服务的能力,主要有SD-WANCarriers(运营商)、CDN(内容分发网络)、WAN Optimization(广域网优化)、Network as a Service(网络即服务)、Bandwidth Aggregators(带宽聚合商)、Networking Vendors(网络供应商)等;

     

    4. SSE定义了一套安全服务的能力,主要有:

    • ZTNA:零信任网络访问服务Zero Trust Network Access,提供零信任接入能力;
    • SWG:安全Web网关Secure Web Gateway,提供Web流量的过滤和控制能力,类似上网行为管理;
    • FWaaS:防火墙即服务Firewall as a Service,提供云原生的防火墙功能,类似下一代防火墙;
    • CASB:云访问安全代理Cloud Access Security Broker,对SaaS应用进行安全监控和管理;
    • RBI:远程浏览器隔离Remote Browser Isolation,在远程服务器上执行网页内容的加载和渲染,将结果传输到用户的本地浏览器上显示,从而隔离用户设备与潜在的网络威胁;
    • DNS:域名系统Domain Name System,检测并阻止基于DNS的攻击;
    • WAAPaaS:Web应用程序和API保护即服务Web Application and API Protection as a Service,将网页应用程序和API(应用程序编程接口)的保护服务作为云服务提供的一种模式。

    SASE的关键特征

    为了防止大家都说自己的产品是SASE,Gartner定义了真正的SASE需要符合如下四个特征:

    • 身份驱动Identity-Driven:以身份为中心,基于零信任的访问控制;
    • 云原生架构Cloud-native:通过云原生架构,而不是传统的NFV虚拟化架构,可提供所有云服务特有的可伸缩性、弹性、自适应性和自我修复功能;
    • 全球分布Globally Distributed:通过全球分布的POP点(接入点Point of Presence)提供网络与安全服务,POP点是SASE服务商部署在全球的一个接入节点,在POP点上以云原生架构的部署安全栈与网络服务能力,用户可以就近接入POP点获得所需的安全或网络服务;
    • 支持所有边缘接入Support all Edges:支持所有分支、用户、云数据中心等的接入。

    SASE典型应用场景

     SASE四大场景

    • 上网安全场景IA:互联网安全访问服务Internet Access,让分支与用户安全的访问互联网,主要是通过SWG与FWaaS的能力提供;
    • 接入安全场景PA:内网应用访问服务Private Access,让用户安全的访问数据中心、云应用,主要是通过ZTNA的能力提供;
    • 办公防泄密场景DLP:数据泄密保护Data Loss Prevention,让用户在全通路场景下保护敏感数据;
    • 全球组网加速场景GA:全球组网加速Global Accelator,可以让分布在全球的分支、用户高速的访问国内的数据中心、云应用。