SASE架构的概念

一、概念

• SASE 是一种基于实体的身份、实时上下 文、企业安全/合规策略，以及在整个会话中持续 评估风险/信任的服务
• 实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。
• SASE是一个融合了SD-WAN（软件定义广域网）和网络安全功能的新兴技术

二、企业IT现状及安全困境

1. 企业IT现状
   • 企业应用云化，包括内部应用、外部应用
   • 业务场景边缘化，越来越多的数据处理和计算下沉到边缘节点完成
   • 办公场景多样化、移动办公、远程办公、总部/分支机构协同办公
   • 网络边界转变，企业服务、应用和数据越来越多处在多云、混合云、企业私有设备等
2. 企业安全困境
   • 企业应用云化\边缘化后,企业IDC安全防护失灵了（安全防护、访问控制）
   • 企业应用云化后，本地IDC防护鞭长莫及
   • 企业无法将硬件防火墙、流量清晰、日志审计等安全设备部署在云端
   • 分布式介入后，企业无法对所有接入用户做统一的安全管控
   • 企业无法对多点接入提供单独的安全设备部署

三、SASE云安全架构

1. SASE主要特征
   • 身份驱动：基于用户、设备等的身份决定访问权限以及服务质量、路由选择、风险控制
   • 云原生架构：SASE架构利用云的功能，包括弹性、自适应性、自恢复能力、自维护能力
   • 支持所有边缘：SASE为公司资源（数据中心、分公司、云资源、移动用户）创建了一个私有网络
   • 全球分布：为确保所有网络和安全功能随处可用，自身覆盖要全面，向企业交付低时延服务
2. 业界主流观点及架构

   • SASE将网络控制置于云端边缘，而不是数据中心

   • 

   • SASE简化网络和安全服务，创建安全、无缝的网络边缘

   • 在边缘网络实施基于身份的零信任访问策略

   • 网络边界扩展到任何远程用户、分支机构、设备或应用程序

3. SASE核心工作原理
   • SASE借助SD-WAN架构去集中化，将核心能力附加到边缘进行
   • SASE将软件定义广域网（SD-WAN）能力与多种安全功能整合，通过单以云平台统一交付和管理。
   • 安全Web网关（secure web gateway,SWG）,从web流量种过滤非法内容、阻止未授权用户行为、执行公司安全策略。做到防止网络威胁和数据泄露
   • 云访问安全代理（cloud access security broker,CASB），为云托管服务执行多项安全功能，包括揭示影子IT（未授权系统），访问控制和数据丢失防护DLP保护机密数据
   • 防火墙即服务（firewall-as-a-service，FWaaS），指云端防火墙服务作为交付的物，FWaaS是一组安全能力，包括URL过滤、入侵防御、流量统一策略控制
   • 零信任网络访问（zero trust network access,ZTNA）,对资源精细化授权、持续评估风险、动态访问控制
   • 远程浏览器隔离（remote browser isolation,RBI），让浏览器运行在云端沙箱里

四、SASE实践方案

1. SASE能力架构方案

   • 

   • 安全云管控平台和安全资源池（即插即用可视化、网络优化、安全管控）

   • 管控平台能够提供安全服务化、流量编排、策略管理、计量计费、态势呈现等

   • 平台通过对了的界面实现安全组件的资源管理、策略管理、资源监控、计量计费、服务模板、工单流转、运营和运维大屏

2. SASE系统架构方案

   

   • 统一云安全一体化管控平台：对集中化安全能力池和边缘接入点安全能力池的集中调度管理
   • 集中化安全能力池：监控、检测、审计等能力服务化
   • 边缘接入POP端安全能力池：安全网关作为集中安全能力池的延申，对边缘接入流量分析检测

3. SASE安全资源池服务编排方案

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PHLgqHcJ-1687785224340)(C:\Users\xpc\AppData\Roaming\Typora\typora-user-images\image-20230504172338129.png)]
云租户访问流量分析与防护、全流量镜像给态势感知平台进行威胁检测

• 安全管控平台实现安全产品的纳管，对软硬件拉起、调度、编排、策略管理、计量计费、报表、统一运维、数据运营等
• 防火墙、负载均衡和交换机双击部署，提高可靠性
• 规划独立安全资源池，虚拟化安全网元（堡垒机、WAF、数据库审计）采用虚拟机接入租户业务网络
• 安全管控平台对安全资源池的网元纳管、安全日志发送给态势感知

4. SASE组网拓扑

   • 

   • 接入企业通过边缘网关接入交换中心，边缘网关提供安全防护

   • 中小企业简化组网：中小企业可以直接接入边缘网关，或SD-WAN接入

   • 多边缘节点统一安全纳管：管控平台对全网安全设备统一纳管，实现全网能力可视、资源可视、安全状态可视

   • 运维审计能力集中上收：

   • 边缘安全网关流量防护：

5. SASE核心能力

   • 灵活接入：为分布式用户、场所提供随时随地的灵活接入
   • 跨地加速：凭借SD-WAN核心优势，将网络控制平面与数据平面分离，实现网络加速
   • 身份驱动：融合零信任理念，将身份作安全策略的上下文因素，通过用户、设备、时间、场地、应用和数据，实现对网络服务质量、路由选择、风险控制的细粒度落地
   • 按需安全：云原生安全能力与网络能力融合，根据用户实际需要 提供满足监管需求
   • 持续运营：为用户提供持续的态势感知、事件检测、威胁分析、情报管理、同胞预警、应急处置等服务能力

五、SASE能力验证

1. 统一管控能力验证
2. 零信任内网访问管控能力验证：基于动态身份认证，支持端到端TCP，端到应用的最小权限访问
3. 入侵检测与防御能力验证：云防火墙内置 威胁检测引擎，对恶意流量，常规攻击行为实时阻断和拦截
4. 精细化访问控制能力验证