SASE安全访问服务边缘白皮书.pdf
《SASE安全访问服务边缘白皮书.pdf》由会员分享,可在线阅读,更多相关《SASE安全访问服务边缘白皮书.pdf(35页珍藏版)》请在咨信网上搜索。
1、 2022 云安全联盟大中华区版权所有1 2022 云安全联盟大中华区版权所有序 言序 言云计算、物联网、边缘计算等新兴技术的迅猛发展,对传统安全防御方式带来了极大挑战,CSA 的前沿研究一贯鼓励网络安全创新理念,例如网络业务与安全技术的深度融合。自 2019 年 Gartner 提出安全访问服务边缘(SASE)的概念起,海外的安全厂商、新创公司,甚至是运营商和网络设备厂商,都纷纷开始投入这个领域,不约而同的推出了自己的解决方案并在市场上得到快速的增长。2020 年,SASE 在国内也开始成为各类安全厂商们追逐的下一个风口。在市场上各类不同的网络和安全方案都基于自己的技术和模式,提供了 SAS
2、E 的解决方案。蓬勃发展对整个行业发展和用户选择是一件好事,但缺乏标准化可能也会导致技术的发展受限于割裂的技术框架,甚至会停滞不前。就像是安全设备的的日志不统一导致安全运营效果的问题。因此,本白皮书希望联合行业内的专家提供专业的回答来解释 SASE 是什么,基于什么样的技术,如何采用这个技术和解决方案,从而来推动 SASE 在国内的发展。让更多人了解到这个技术带来的变化和好处。同时,这只是个开始,本工作组将会联合厂商推出更多的标准,行业最新的信息,让整个技术规范化和标准化,让 SASE 的技术能在中国加速的发展。李雨航 Yale LiCSA 大中华区主席兼研究院院长 2022 云安全联盟大中华
3、区版权所有5目录致 谢.3序 言.41.SASE 概述.61.1 SASE 背景.61.2 什么是 SASE.71.3 SASE 的核心能力概述.91.4 SASE 和 ZTE 的关系.121.5 SASE 发展现状及趋势.131.5.1 SASE 发展现状.131.5.2 SASE 发展趋势.142.SASE 核心技术.162.1 边缘计算.162.2 零信任网络访问.162.2.1 为什么需要 ZTNA.162.2.2 ZTNA 模型.182.3 网络即服务.202.3.1 网络接入服务.202.3.2 灵活组网服务.212.3.3 组网安全服务.222.3.4 基于应用的服务保障.222
4、.3.5 统一监控和策略管理服务.232.4 安全即服务.242.4.1 企业员工安全访问互联网或外部应用.242.4.2 企业外部人员安全访问企业内部资源.262.4.3 企业内部人员安全访问企业内部资源.273.SASE 应用场景.293.1 连锁及加盟企业.293.2 跨地域分支机构.313.3 远程和移动办公.334.总结.36 2022 云安全联盟大中华区版权所有61.SASE 概述1.SASE 概述1.1 SASE 背景1.1 SASE 背景随着云计算、物联网、5G 等关键技术的不断突破发展,企业数字化转型节奏越来越快。企业为提高核心竞争力,其业务部署环境越来越多样,包括传统的ID
5、C 机房、私有云、多云、混合云等,同时业务访问端也由单一的内部用户扩展到企业分支用户、企业合作伙伴、远程移动办公终端等。在这个过程中安全紧随企业的网络和业务架构演进而发展。十几年前,企业业务流量总量不大、流量以内部流转为主、移动办公需求少且默认企业内流量安全,这种情况下集中式安全栈方案得到大规模应用,这种以企业自建数据中心为核心的中心辐射型网络拓扑备受企业青睐。近几年,随着云端 SaaS 应用普及和企业员工分散导致企业互联网流量增多,中心辐射型网络架构面对高成本的 MPLS 链路、总部集中上网应用访问体验差、安全边界绕行及总部 VPN 容量挑战等问题,不得不顺势改变网络及安全建设思路。在此阶段
6、 SDN 及 NFV 技术的发展促使企业在云端部署统一网络指挥中心成为可能,分支和总部互联可通过更便宜和更大的互联网宽带进行以分散专线压力。同时,对于远程用户来说,云端部署的安全接入网关类服务能够有效解决集中接入的体验和安全问题,此时云端或者总部集中提供网络调度和近源安全监测防护理念越来越深入人心。现在及未来几年,越来越多的公有云厂商,甚至有全球业务的 ICT 厂商、互联网厂商都在建设自己的数据中心,这些数据中心随着企业业务的不断扩张,业 2022 云安全联盟大中华区版权所有7务范围越来越广,服务数量越来越多,连通性越来越好。也许,是受“云”资源共享商业模式的启发,有声音提出此类拥有全球互联数
7、据中心的企业是否可以将这种互联骨干网作为资源共享出去,企业想要访问的多云、公共 SaaS、互联网等连通问题由此骨干网解决,有互联需求的其他中小型企业均可以把流量引入这张网络中进行流转,同时为了降低时延提供统一的网络就近接入点,在此类接入点上同时部署身份校验、威胁发现、行为监控等按需增值安全服务,这实际上就是当前比较火热未来会成为趋势的安全访问服务边缘 SASE 模型。2019 年,Gartner 在报告Hype Cycle for Enterprise Networking 2019中首次提出了 SASE(Secure Access Service Edge)的概念,并在随后的一些列报告中进行
8、了详细阐述,通过对 SASE 的定义理解,我们可以认为 SASE 是企业网络和业务架构演进至“云化”、“服务化”后的自然而然的安全理念。1.2 什么是 SASE1.2 什么是 SASE为了适应数字化业务发展的需要,以及保护企业无处不在的业务接入边界,Gartner 在 2019 年发布的报告网络安全的未来在云端中首次提出安全访问服务边缘(SASE)这一概念,称其为一种新兴的服务,它将广域网接入与网络安全(如:SWG、CASB、FWaaS、ZTNA)结合起来,在整个会话过程中,综合基于实体的身份、实时上下文、企业安全/合规策略,以一种持续评估风险/信任的服务形式来交付,其中实体的身份可与人员、人
9、员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。SASE 可以为企业提供全网流量的可见性,包括本地、云和移动端访问应用和互联网的流量,甚至也包括分支之间的流量。SASE 可提供一系列丰富的网络 2022 云安全联盟大中华区版权所有8和安全功能,对流量进行安全检测与路由转发,实现企业全流量的威胁检测与控制,并根据应用优先级进行路由,以确保用户访问应用的体验与安全合规均可得到保障。从架构层面来看,SASE 需要包含如下服务组件:SASE 云基础设施:对于客户透明的 SASE 底座,包含网络与计算能力,提供覆盖全球范围的分布式云服务,能够为客户交付网络和安全能力。SASE 管理
10、平台:面向客户的管理界面,实现针对网络和安全能力的统一策略编排,安全与应用性能分析,实时状态监控。SASE PoP(Point of presence):为客户提供就近接入的网络接入节点与安全处理节点。SASE 接入边缘:为分支场所,移动用户提供硬件或软件的接入客户端,通常为 SD-WAN CPE 和移动客户端。从能力层面来看,SASE 需要包含主要的网络和安全能力:网络即服务(Network as a Service)SD-WAN 服务质量保障 QoS 高级路由 SaaS 加速 内容交付或缓存 广域网优化 分布式连接 安全即服务(Security as a Service)2022 云安全联
11、盟大中华区版权所有9 FWaaS ZTNA/VPN 安全 Web 网关 SSL 深度检测 云沙箱 IPS 入侵防御系统 CASB 云访问安全代理 RBI 远程浏览器隔离SASE 的四个主要特点:身份驱动:不像传统单点方案是基于设备特征或 IP 来识别资源或访问源,SASE 采用基于零信任的方法,以身份为依据,对是否能够接入平台和是否有访问目标应用的访问权限来进行控制。云原生:SASE 能够以云原生、“即服务”的方式提供给客户使用,是一种 OpEx 的采购模式,且能够提供多租户、可扩展、快速变更服务内容等能力。全边缘覆盖:SASE 作为企业广域网的新“核心”,能够支持所有企业边缘接入,并为其提供
12、网络和安全能力,无论接入用户或网络位于何地,并能提供端到端的路径或应用优化以确保访问体验。分布式连接:为了实现就近接入的应用访问体验和端到端可控,SASE提供商必须提供近源的 PoP 接入点,交付高性能、低延迟的服务给企业访问者,包含企业本地网络、企业云资源和远程办公用户。1.3 SASE 的核心能力概述1.3 SASE 的核心能力概述在 SASE 中,企业数据中心只是用户和设备需要访问的众多互联网服务中的 2022 云安全联盟大中华区版权所有10一个而不再是网络架构的中心,实体的身份成为访问决策的新中心。SASE 可以交付聚合的网络服务及网络安全服务,完成传统网络架构和安全硬件堆叠在数字化转
13、型浪潮下的结构化转变,简单来说,SASE 介于用户和企业资源之间,为企业提供全面、敏捷和可适应的服务。为了应对办公习惯的转变如移动办公、居家办公,应对基础设施云化、应用 SaaS 化转型带来的挑战,快速适应 IT 基础设施弹性、灵活的需求,将割裂的、碎片化的云化/本地安全整合,紧跟 IT 数字化转型进程,SASE 必须要具备以下核心能力:一、云原生安全架构一、云原生安全架构SASE 以云服务的形式交付网络和安全,是面向云计算开发部署运维的解决方案,其云原生架构使服务更具灵活性、弹性可扩展,具备自适应性、自恢复能力和自维护功能,不与特定硬件平台绑定,能够适配与集成多种云平台应用,形成网络与安全的
14、综合云化,为用户提供了一个成本更低、匹配度更高、效率更高的平台,可以快速适应新兴业务需求。二、广泛覆盖的边缘节点二、广泛覆盖的边缘节点SASE 将能力分布在边缘,提供接入、处理、执行能力,提供全网内低延时、安全的访问,SASE 基于云基础架构提供多种安全服务,例如威胁检测、DNS 安全、数据防泄密、Web 过滤、沙箱、下一代防火墙、上网审计、终端安全、ZTNA 等策略,且能力栈以分布式形式在全球部署,每个边缘接入节点都具有一致的网络和安全服务能力。依托覆盖全球的边缘云节点,保证在任何地方都可以提供统一的高质量网络和安全服务,使用户无论多分支办公、远程移动办公都享受与总部同级别的上网安全防护、隐
15、私数据保护,满足企业数字化业务与资源动态扩展场景,全方位覆盖安全边界。三、统一控制中心三、统一控制中心 2022 云安全联盟大中华区版权所有11为统一调度不同地理位置上实时都在发生的服务请求,SASE 需要具备一个统一的控制中心作为 SASE 的中枢神经系统,监控所有云节点并实施集中管控,除了主要的网络配置和安全策略的下发和同步,还包括软件和数据库的更新以及服务组件的配置管理。服务组件间通过控制中心保持通信,每个组件都能够实时获得全云运行状况,策略也能下发到所有服务组件。四、持续自适应风险与信任评估中心四、持续自适应风险与信任评估中心全球海量的日志数据同步到 SASE 数据中心,数据中心基于海
16、量日志数据,结合大数据分析、机器学习能力、UEBA 技术等,提供全球威胁情报,持续感知监测风险。让 SASE 用户获得关于安全、行为、状态等多维度的分析与告警服务。五、零信任访问架构SASE 的落地践行在零信任架构之上,任何身份都是在“默认拒绝”的基础上进行连接、认证、访问等动作,比如路由、权限、安全控制等均依赖于身份,并且严格防止任何访问/威胁在网络中横向移动/扩散。采用零信任架构,使用访问实体的身份来作为访问决策的新中心,根据实体上下文信息来判断身份,简化访问的策略设置,让企业从复杂的设备逻辑和分散的地理位置中抽身出来,聚焦于身份管理与对应的控制策略,构建带着零信任基因的 SASE,从访问
17、逻辑和 IT架构上保障安全、可信、便捷与弹性。六、网络即服务六、网络即服务对于任何类型的用户,都通过轻量级边缘组件来抓取流量并建立和 PoP 的连接。组件可以是 SD-WAN 设备、智能引流器、VPN 应用或是浏览器插件等,安全和网络处理统一在分布式节点中完成,以服务化的模式提供用户所需的能力。其中,网络即服务包括网络接入能力、智能选路能力、流量 QoS 能力、多云连接能力、网络加速能力、网络冗余能力等,以满足用户终端、分支、数据中心间数据互通、网络管理与加速等需求。2022 云安全联盟大中华区版权所有12七、安全即服务七、安全即服务将安全能力集中部署在边缘 PoP 节点中以服务化的模式交付,
18、构建完整的安全能力栈如威胁检测、DNS 安全、数据防泄密、Web 过滤、沙箱、下一代防火墙、上网审计、终端安全、ZTNA 等,用户可以按需获取所需的安全能力并且根据实际情况随时弹性扩展能力,以满足日益复杂的安全需求以及亟待减负的运维需要。八、云网安融合管理能力八、云网安融合管理能力SASE 将安全与网络深度融合,只需要一个统一管控平台,实现全局资源编排,提供统一的身份管理能力,网络与安全的配置能力、运维能力、监控能力,以及全局态势感知与分析能力等。交付一个平台即可实现企业移动办公人员、分支机构、总部统一的 IT 管理能力,企业无需购买和管理多点传统硬件产品,大大降低 IT 建设成本和运维压力。
19、1.4 SASE 和 ZTE 的关系1.4 SASE 和 ZTE 的关系Forrester 在 2021 年 2 月发表了 David Holmes 和 Andre Kindness 的关键报告,提出了安全和网络服务的零信任边缘模型(Zero Trust Edge,简称 ZTE),明确指出 SASE 就是零信任边缘。可以说这个定义对于网络和安全行业而言都是一个重要里程碑。Forrester将 ZTE 定义如下:“A Zero Trust edge solution securely connects and transports traffic,using Zero Trust accessp
20、rinciples,in and out of remote sites leveragingmostly cloud-based security and networking services.”即 ZTE 解决方案以零信任为原则,来实现企业办公地点出和入流量的安全连接和数据传输。举例说明,对于企业上网访问搜索引擎、新闻网站等这类流向互联网的流量,2022 云安全联盟大中华区版权所有13是应以身份为核心去保障每个员工的上网安全,针对不同的员工、设备、行为,SASE 在云端执行不同的访问控制和安全防护策略;而对于企业访问企业应用的流量,例如 ERP、CRM 等,SASE 也是以零信任理念做访
21、问控制的,例如访问过程中检测到访问者行为异常,可以随时中断连接。归根结底,ZTE 和 SASE 的目标都是要让用户可以在任意地点更好、更安全地办公,同时让企业数据得到更好的安全保障,两者没有本质不同。1.5 SASE 发展现状及趋势1.5.1 SASE 发展现状1.5 SASE 发展现状及趋势1.5.1 SASE 发展现状SASE 概念一经提出便吸引了业界高度关注。历经两年的发展,从全球来看SASE 产品逐渐成型、应用场景逐步落地、用户数量初具规模,但各供应商针对SASE 的解决方案不完全一致。总的来说,目前 SASE 领域主要存在五个现状:一、概念理解存在偏差,标准有待统一一、概念理解存在偏
22、差,标准有待统一目前市场对 SASE 仍存在理解偏差,如认为 SASE 可以解决一切安全问题、SD-WAN 就是 SASE 等,也存在供应商将堆叠式的安全产品,打包的解决方案作为SASE 对企业提供服务的现象。供应商不同的概念理解和不同的技术架构路径导致提供的 SASE 能力和标准不一,国内外对 SASE 的评估标准也不统一。就国内而言行业目前仍然缺少行业或官方统一标准。二、供应商持续投入,企业逐步应用二、供应商持续投入,企业逐步应用Garnter 发布的Hype Cycle for Emerging Technologies,2021(2021新兴技术成熟度曲线)中显示 SASE 目前正处于
23、期望膨胀期,各供应商通过研发、合作、并购等方式不断完善自身 SASE 解决方案能力,例如 Zscaler 收购 Edgewise 2022 云安全联盟大中华区版权所有14Neworks 补充 CASB 能力,Palo Alto Networks 收购 SD-WAN 供应商 CloudGenix等。但仍需再有一段时间才能具备提供完整的 SASE 服务能力。SASE 所具备的分布式边缘接入能力、可扩展性等特点使其在企业远程办公、跨区域互联等场景得到了一定的应用。三、企业网络和安全能力建设步伐不一,本土化发展仍需探索三、企业网络和安全能力建设步伐不一,本土化发展仍需探索网络架构和网络安全的转型难易程
24、度,以及部分企业网络和安全独立建设,造成在建设 SASE 过程中出现网络建设和安全建设不同步的现象。企业网络和业务逐步上云,云化的安全服务相对滞后。对于 SASE 的定义而言,应该是云原生化的、分布式的、重云端轻分支的、策略统一管理的。但是在国内具体落地时还需要考虑不同供应商情况、不同行业特征以及政策发展要求。例如国内企业级 SaaS 产品尚未标准化,因此 CASB在国内 SASE 供应商的解决方案中作为非核心模块,落地优先级不高。四、SASE 供应商技术积累不足四、SASE 供应商技术积累不足供应商在建设 SASE 的过程中,一个专业的 SASE 团队可以起到事半功倍的效果,但是 SASE
25、作为网络服务和网络安全服务的融合体,亦需要网络专家和网络安全专家通力合作,两种专家的磨合、两种技术的融合对建设 SASE 的供应商都是一个重大挑战。目前 SASE 还处于起步阶段,技术积累还需时日。五、企业尚未进入大规模采用阶段五、企业尚未进入大规模采用阶段企业在实施 SASE 落地过程中,如何解决漫长的硬件寿命更换周期和现有的软件合约带来的替换成本过高的问题也迫在眉睫。1.5.2 SASE 发展趋势1.5.2 SASE 发展趋势在远程办公、云端数据保护、企业数字化转型及安全建设和政策的驱动下边缘安全的建设势在必行,目前 SASE 是解决分布式访问的最适方案,由于环境等 2022 云安全联盟大
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SASE 安全 访问 服务 边缘 白皮书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。