SASE访问架构成为云安全的未来

如何远程访问?

“远程接入”网络安全保护是市场最为关注的问题。移动用户访问重要的企业应用，将企业关键应用数据传输到云计算，或者企业采用混合云架构，这些都连接着网络基础设施。在线功能与网络安全功能融合的需求已经出现。针对这一趋势，Gartner定义了基于云服务SD-WAN技术、以用户身份为中心的SASE (Secure Access Service Edge)模型，被认为是网络安全接入架构最重要的发展趋势。

疫情过后，远程接入和云计算接入成为全球业务的新常态。企业面临着混合云配置、多样化网络接入、关键数据安全保护、网络接入管理等诸多问题。安全访问服务边缘(SASE)似乎是目前云安全的最佳解决方案。它融合了当今企业对网络即服务、信息安全即服务的需求，集成了全面的广域网WAN功能(包括SD-WAN、CDN等)，集成了网络和云安全功能(如SWG、CASB、FWaaS、ZTNA)，基于网络边缘的用户身份(可能是特定的个人、分支机构员工、第三方供应商、特定的物联网设备)。分流网络访问权限，将应用或智能数据直接接入企业数据中心或公有云应用或平台，而不是将网络流量导入总部再传输到云端，这样会增加数据传输被攻击的风险。

SASE网络边缘安全接入服务架构介绍:

在2020年疫情的影响下，VPN(企业虚拟专用网)成为企业第一个远程接入解决方案。然而，随着远程办公的新常态运营模式，企业正在加速部署许多云服务和应用程序。随着云数据中心和移动办公的快速发展，vpn打破了人们熟悉的网络边界保护，面临着巨大的挑战。只有建立“可信”的安全管理模型，用户的认证和授权才能可信，信息流和信息安全风险才能可见、可控、可控。

零信任网络安全框架(Zero Trust)认为，任何网络访问需求都应该被预设为不可信任的，只有经过认证后才能被管理策略权限访问。但是，零信任体系结构并不是指某一特定的技术，而是指多种技术的应用集成概念。因此，SASE (Secure Access Service Edge)市场现在已经成为企业实现“零信任”安全的最佳实践。

什么是SASE?

SASE是在终端设备和网络边缘实施身份管理，同时根据身份管理策略将网络流量引流到企业的应用云平台或数据中心，网络安全功能和设备都是内置的云解决方案。特别是疫情过后的远距离工作模式和5G时代的到来，这一趋势将越来越明显，市场需求将持续增长。在新常态下，在这种环境下使用传统的网络接入方式会带来非常复杂的网络管理配置问题。SASE架构将广域网连接能力(如SD-WAN)和网络安全防护能力(如SWG、CASB、FWaaS)集成在一起，有效降低了网络控制的复杂性。它不仅可以提供灵活和可扩展的网络，还可以提供基于用户权限策略的软件定义的安全访问服务。这种灵活的网络为数字化转型企业的安全团队提供了前所未有的网络可见性和可管理性。可以根据用户身份和数据包内容的上下文精确指定网络连接。安全团队为移动用户提供安全的数据访问、QoS性能、可靠性和安全性，分支团队通过云应用服务，安全地实现数字化转型所需的动态存储。

SASE网络边缘安全接入业务架构具有以下特点:

1. 关注用户身份:网络边缘安全访问服务(Network Edge Secure Access Service, SASE)是一种以身份作为访问决策中心，而不是企业数据中心的访问权限的新型中心。因此，网络访问权限基于用户身份、接入设备身份、应用访问权限等身份，而不是像过去那样基于设备的IP地址或地理位置。正是这种对已定义策略的逻辑级转换极大地简化了安全策略管理。
2. 以云应用为原生架构:SASE最大的假设是企业将重要的数据和服务逐步云化，或者直接采用公有云SaaS服务(如CRM、Mail、办公软件…)，因此在公司之外。移动用户或海外分公司不会因为使用VPN而将所有网络流量重定向回总部，也不会免费使用广域网服务而失去网络安全保护。SASE在其架构中充分利用了云计算的主要特点，如灵活性、自调节、自动化、自修复能力、自维护能力等。
3. 简化网络安全设备架构和配置:通过整合第三方安全产品提供商的安全接入服务，有效减少供应商数量，减少海外分支机构的物理或虚拟安全设备数量。这将减少用户终端设备上所需的代理数量。同时，整合供应商设备将有机会采用“单通”架构进行网络内容检测。在这种架构下，网络会话层的所有数据包将使用多个安全策略引擎(FW、IDS)同时解密和并行检查一次，而不是使用多个安全检查引擎进行串行检查，这样会增加延迟时间。这将为用户提供一致的网络访问体验，无论用户在哪里，他们正在访问什么网站，或者网站位于哪里。

SASE架构是网络服务和安全服务的集成

SASE架构代表了企业网络与安全系统的结构化集成趋势。适合当前疫情下远程接入和企业云服务的趋势。它集安全与网络接入于一体，可适用于任何类型的终端接入方式。企业不需要在设备上配置座席，也不需要连接VPN，然后将所有流量重新路由到Internet。SASE体系结构为每个访问服务带来了安全性。据估计，到2024年，至少40%的企业将采用基于sase的云服务。

构建一个完整的SASE接入服务平台并不容易，需要广泛和多样化的技术。目前市场上很少有厂商能够提供完整的解决方案。该技术仍处于起步阶段，但随着云服务的不断增长，SASE接入服务平台将推动对边缘计算设备的需求，未来的增长仍然是可以预期的。