什么是 SASE？安全訪問服務邊緣 (SASE) 是一種網絡架構框架，將廣域網 (WAN) 與各種云原生安全技術相結合。其中包括防火墻即服務 (FWaaS)、安全 Web 網關 (SWG)、云訪問安全代理 (CASB) 和零信任網絡訪問 (ZTNA)。

這種聯合安全方法允許組織保持其系統安全，同時允許其用戶和端點遠程連接到他們的服務和應用程序。SASE 功能可作為云服務提供，以支持現代敏捷開發操作，使管理員能夠從中央平臺對其進行管理。

SASE 是一個完整的框架，而不是一種特定的技術。Gartner 將此框架定義為基于云的安全解決方案，提供全面的 WAN 和網絡安全功能，使企業能夠滿足其動態訪問和安全要求。SASE 與安全服務邊緣 (SSE) 不同，后者是 SASE 的一個子集，專注于 SASE 平臺提供的安全服務。

大流行如何影響 SASE 的采用？

2020 年代初冠狀病毒大流行的爆發使企業爭先恐后地將其網絡安全轉移到支持遠程勞動力需求的由外到外的方法。這種方法與僅針對內部資源和用戶的傳統內部到內部網絡策略形成對比。

需要一種新方法，因為傳統的遠程工作機制——VPN——在規模上通常過于昂貴。SASE 將用戶連接到靠近其位置的入網點 (PoP)，而不是將他們路由到中央數據中心。這種機制使 SASE 作為一種外到外的網絡策略非常有用，因為它可以處理關鍵的安全性和網絡功能，如身份驗證和授權。

Gartner 預計，近一半的企業將在未來幾年采用基于 SASE 的方法。公司不太可能恢復大流行前的業務戰略，在家工作的員工人數可能仍將居高不下。因此，投資 SASE 是大多數企業的長期考慮。

SASE 架構如何工作？

SASE 平臺提供了多個網絡和安全元素的捆綁。它將 SD-WAN 與 SaaS、FaaS、SWG、CASBs、ZTNA 和端點安全等一組安全服務相結合，創建了一個多區域、多租戶的安全平臺。該平臺獨立于數據中心、本地辦公室、云服務和員工運行，因此它們的物理位置并不重要。

SASE 不依賴于基于數據中心的檢查引擎——相反，SASE 將檢查引擎帶到用戶或端點附近的存在點 (PoP)。SASE 客戶端包括具有 SASE 代理的移動設備、IoT 設備、具有無客戶端訪問權限的移動設備和辦公設備。這些客戶端將流量發送到最近的 PoP，后者檢查并通過中央 SASE 基礎設施或互聯網轉發流量。

以下是 SASE 服務的定義元素：

• 全球 SD-WAN——SASE 依賴于具有私有骨干網的 SD-WAN 服務。這種架構有助于防止互聯網延遲，直接連接處理安全和網絡功能的 PoP。除非連接到 SASE 系統的全球骨干網，否則流量不會通過公共 Internet。
• 分布式檢查——除了連接設備外，SASE 通過檢查設備和執行安全策略來確保保護。SASE 通過加密和解密內聯流量來提供安全性。SASE 平臺應使用同時運行的多個檢查引擎（即沙盒和惡意軟件掃描工具）來檢查流量。它還應該提供額外的服務，如 DDoS 和基于 DNS 的保護。SASE 安全和路由策略應支持 GDPR 等法規的執行。
• 云架構——SASE 平臺利用云基礎設施和資源來支持無需特定硬件需求的服務。他們不應該鏈接服務，而是使用多租戶軟件，最好以靈活的價格支持快速擴展。
• 基于身份的訪問——SASE 服務應該根據用戶的身份標記（即用戶的特定設備或位置）訪問資源。

為什么 SASE 是遠程訪問的未來

應用程序和數據位于傳統網絡模型中的中央數據中心。用戶、工作站和應用程序必須連接到該數據中心才能訪問公司的資源，通常是從本地專用網絡或通過 VPN 或其他安全線路連接到主網絡的輔助網絡。

然而，這種方法已被證明不足以處理依賴于分布式勞動力和 SaaS 服務的云轉發系統的復雜性。今天，當數據和應用程序托管在分布式云環境中時，通過公司數據中心引導所有網絡流量是不切實際的。

另一方面，SASE 在云邊緣而不是統一的數據中心實施網絡控制。它簡化了安全和網絡服務以保護網絡邊緣，而不是創建具有獨立管理和配置要求的分層云服務堆棧。組織可以在網絡邊緣實施基于身份的零信任訪問策略，以擴展網絡的安全邊界以涵蓋遠程用戶、辦公室、設備和應用程序。

SASE 的主要優勢包括：

• 將復雜性降至最低——與在不同位置使用不同安全設備的多供應商方法相比，基于云的安全模型和單一供應商 WAN 功能降低了復雜性。單通流量檢測架構還有助于簡化系統，方法是解密流量并使用不同的策略引擎對其進行一次檢測，而不是組合不同的檢測服務。
• 促進訪問——與基于數據中心的訪問模型不同，SASE 架構提供對來自任何物理位置的實體的所有資源的一致、安全和快速的訪問。
• 優化成本——云模型具有成本效益，允許組織將成本分散到月費中，而不是前期資本投資。它還允許企業整合他們的供應商并減少虛擬和物理設備的數量以及相關的采購和維護成本。將升級和維護職責委托給 SASE 提供商也可以降低成本。
• 提高性能——服務和應用程序性能受益于優化延遲并通過高性能 SASE 主干引導流量的路由機制。更好的性能對于延遲敏感的應用程序尤其重要，例如視頻和 VoIP。
• 增強可用性——SASE 通常有助于減少設備所需的代理和應用程序的數量，將它們替換為單個用戶友好的應用程序，并確保無論用戶的位置或訪問的資源如何，都能獲得一致的用戶體驗。

我希望這將有助于您為您的組織評估下一代遠程訪問解決方案。