SASE
本文约需 2 分钟阅读
SASE (Secure Access Service Edge,发音为 "sassy") 是一种将网络功能 (SD-WAN) 与安全功能 (SWG、CASB、ZTNA、FWaaS) 在云端进行一体化提供的架构。它是 Gartner 于 2019 年提出的概念,从根本上重新审视传统以数据中心为核心的网络设计,实现用户无论身处何地都能安全且高速地访问应用程序的环境。作为在网络层面落实零信任原则的框架,它正逐渐成为远程办公时代企业网络的标准设计理念。
Gartner 提出该概念的背景
Gartner 在 2019 年的报告《The Future of Network Security Is in the Cloud》中提出 SASE,其背景是企业 IT 环境发生的三大结构性变化。第一,SaaS 的普及使大部分流量都流向互联网;第二,远程办公的扩大使用户分散到办公室之外;第三,云迁移使应用程序移到了数据中心之外。由于这些变化,将所有流量都经由数据中心检查的传统模式,在性能和成本两方面都已达到极限。
SASE 的构成要素
将 WAN 连接虚拟化,根据线路质量进行动态路由以优化通信
可视化 SaaS 使用情况、检测影子 IT、应用数据保护策略
检查 Web 流量、URL 过滤、恶意软件扫描
基于身份与上下文的应用级访问控制
云交付的下一代防火墙功能
与传统中心辐射型 (Hub-and-Spoke) 的对比
| 项目 | 中心辐射型 | SASE |
|---|---|---|
| 流量路径 | 所有通信都经由数据中心 | 从最近的 PoP 直接到云端 |
| 安全检查 | 数据中心的设备 | 云上的分布式 PoP |
| 远程用户 | 通过 VPN 连接数据中心 | 通过代理连接到最近的 PoP |
| 扩展性 | 需要增设硬件 | 在云端自动扩展 |
| 延迟 | 因回程 (backhaul) 导致延迟较大 | 走最短路径,延迟较小 |
在传统模式中,即使从东京办公室访问 Microsoft 365,也要先经过总部数据中心 (例如位于大阪) 才能出到互联网。而在 SASE 中,从东京的 PoP (Point of Presence) 直接连接 Microsoft 365,因此可大幅降低延迟。
远程办公时代的必要性
COVID-19 以来远程办公的扩大,是加速 SASE 普及的最大因素。在传统的 VPN 集中式架构中,当全体员工同时远程连接时,VPN 网关会成为瓶颈,导致全球各地都出现了业务受阻的情况。由于 SASE 无论用户身处何地都能应用一致的安全策略,因此无论从办公室、家中还是咖啡馆访问,都能维持相同的保护级别。对云存储的访问控制,也可通过 SASE 的统一策略进行集中管理。
与 SSE (Security Service Edge) 的关系
Gartner 于 2021 年又额外定义了 SSE (Security Service Edge) 这一概念。SSE 是从 SASE 中去除网络功能 (SD-WAN) 后、仅保留安全功能的子集。
网络优化
SWG + CASB + ZTNA + FWaaS
对于已经部署了 SD-WAN 的企业,仅追加引入 SSE、分阶段构建 SASE 的方式较为现实。各厂商擅长的领域不同:Zscaler 和 Netskope 在 SSE 方面具有优势,而 Palo Alto Networks 和 VMware (现 Broadcom) 则提供包含 SD-WAN 的完整 SASE。
一个常见的误解是认为「只要引入 SASE,就不再需要 VPN」,但由于需要访问遗留系统以及特定的合规要求,VPN 并不会完全消失。SASE 并非要替换 VPN,更现实的做法是借助 SASE 逐步降低对 VPN 的依赖度。
关于远程办公的安全,我们在远程办公安全的文章中详细说明;VPN 的基础则在VPN 的基础与选择方法的文章中讲解。也请一并参阅零信任安全。网络安全相关书籍 (Amazon)上也可以找到。
这篇文章对您有帮助吗?