SASE接入架构成为云安全的未来

“远程访问”是网络安全保护市场最为关注的问题。移动用户访问重要的企业应用，将关键的企业应用数据传输到云计算，或者企业采用混合云架构，这些都连接着网络基础设施。在线功能和网络安全功能的融合需求已经出现。针对这一趋势，Gartner定义了一个基于云服务SD-WAN技术、以用户身份为中心的SASE（Secure Access Service Edge）模型，这被认为是网络安全接入体系结构最重要的发展趋势。

远程访问和云计算访问已成为流行后全球业务的新正常。企业面临许多问题，如混合云配置，多样化的网络访问，关键数据安全保护和网络访问管理等问题。安全访问服务边沿（SASE）似乎是目前云安全的最佳解决方案。It integrates the needs of today’s enterprises for the network as a service and information security as a service and integrates comprehensive wide area network WAN functions (including SD-WAN, CDN, etc.) Integrate with network and cloud security functions (such as SWG, CASB, FWaaS, and ZTNA), based on user identity (maybe specific individuals, branch employees, third-party vendors, specific IoT devices) at the edge of the network Network access permissions are shunted, and then applications or smart data are accessed directly to corporate data centers or public cloud applications or platforms, instead of importing network traffic to the head office and then transferring it to the cloud to increase data transmission risks and the aspect being attacked.

在2020个流行病的影响下，VPN（企业虚拟专用网络）是企业的第一个远程访问解决方案。但是，随着远程办公室的新正常操作模型，企业正在加速许多云服务和应用程序的部署。随着云数据中心和移动办公室的快速发展，通过打破熟悉的网络边界保护，VPN面临巨大挑战。只有通过建立“可信”的安全管理模型，才能可信，可以可信，信息流和信息安全风险只能可见，可控，可管理。

零信任网络安全框架（Zero Trust）认为，应预设任何网络访问要求是不值得不值得不可值得的，并且只有在身份验证后可以通过管理策略权限访问。成为新的正常经济下最好的网络安全示范。但是，零信任架构不指的是特定技术，而是概念集成多种技术的概念。因此，SASE（安全访问服务边缘）市场已成为现在企业中“零信任”安全的最佳实践。

什么是SASE？

SASE是实现身份管理终端设备和网络的边缘,而网络流量转移到云平台的应用程序或数据中心根据身份管理政策,在企业和网络安全功能和设备都是内置的云解决方案。特别是在疫情后的异地工作模式和5G时代到来的情况下，这一趋势将越来越明显，市场需求将继续增长。在新常态下，在这种环境下使用传统的网络接入方式将带来非常复杂的网络管理配置问题，SASE架构将广域网连接能力(如SD-WAN)和网络安全保护能力(如SWG、CASB、FWaaS)相结合，从而有效降低了网络控制的复杂性。它不仅可以提供一个灵活的、可扩展的网络，还可以提供基于用户权限策略的软件定义的安全访问服务。这种灵活的网络为数字化转换企业的安全团队提供了前所未有的网络可见性和可管理性。也就是说，可以根据用户身份和报文内容的上下文精确指定网络连接。QoS的性能、可靠性和安全性，使安全团队能够为遍布各地的移动用户、分支团队和基于云的应用服务提供安全的数据访问，安全地实现数字转换所需的动态存储。

1. 关注用户身份：网络边缘安全访问服务（networkedge Secure Access Service，SASE）是一个新的以身份作为访问决策中心的中心，而不是企业数据中心的访问权限。因此，网络访问权限基于诸如用户标识、连接设备标识和应用程序访问权限之类的标识，而不是过去设备的IP地址或地理位置。正是这种已定义策略的逻辑级转换大大简化了安全策略管理。
2. 将云应用程序作为本机架构：Sase的最大假设是企业将逐渐云的重要数据和服务，或直接采用公共云SaaS服务（如CRM，邮件，办公软件......），所以他们在外面公司。由于使用VPN，移动用户或海外分支机构不会将所有网络流量重定向到总部，也不会允许自由访问广域网服务并丢失网络安全保护。Sase充分利用了云计算的主要特征，如灵活性，自我调整，自动化，自我修复能力和自我维护。
3. 网络安全设备和配置的简化架构：通过集成来自第三方安全产品提供商的安全访问服务，它将有效减少供应商的总数，并减少海外分支机构中的物理或虚拟安全设备的数量。并减少用户终端设备所需的代理数量。与此同时，供应商设备的整合将有机会使用“单通机”架构进行网络内容检查。在此架构下，网络会话层的所有数据包都会立即解密并使用多个安全策略引擎（FW，ID）并行检查一次，而不是用于串行检查的多个安全检查引擎，增加延迟时间。无论用户所在的位置，这将为用户提供一致的网络访问体验，他们正在访问的内容以及它们所在的位置。

SASE架构代表了企业网络与安全系统的结构集成趋势。适合当前疫情下远程访问和企业云服务的趋势。它集安全与网络接入于一体，适用于任何类型的终端接入方式，企业不需要在设备上放置代理，也不需要接入VPN后将所有流量重新路由到Internet。SASE体系结构为每个访问服务带来了安全性。据估计，到2024年，至少40%的企业将采用基于sasa的云服务。

构建完整的SASE访问服务平台并不容易，需要进行广泛和多样化的技术。目前，很少有供应商可以在市场上提供完整的解决方案。这项技术仍处于初期，但随着云服务继续增长，Sase Access服务平台推动了对边缘计算设备的需求，并且仍然预期未来的增长。