安全接入服务边缘 (SASE)

什么是 SASE？

安全接入服务边缘（简称 SASE，发音为“sassy”）是集全面的广域网功能（包括 SD-WAN、路由和广域网优化）与 SWG、CASB 和 ZTNA 等云交付安全服务或 SSE（安全服务边缘）于一体的架构。

参加线上会议的商务人士。

SASE 释义

SASE 释义

现在的用户可能会从任何地方进行连接并访问云中敏感数据。在这样的情况下，SASE 便能够提供一种更安全、更灵活的连接方式，无需将应用的数据流回传到数据中心，而是将流量智能地引导到云中，并直接在云中执行高级安全检查。

如今，远程用户数量不断增加，企业继续将应用迁移到云。在这样的背景之下，SASE 能够同时满足改善应用性能和提升网络安全的需求。

SASE 的工作原理是什么？

示意图：SASE 的工作原理。

SASE 的工作原理是什么？

SASE 将在分支机构部署的高级 SD-WAN 边缘与全面的云交付安全服务 (SSE) 相结合。

过去，所有来自分支机构地点的应用流量都会通过专用 MPLS 服务传到企业数据中心进行安全检查和验证。当应用完全托管在企业数据中心时，这种架构便可以满足需求。如今，应用和服务已经迁移到云，传统的网络架构已然落后。因为互联网流量必须首先通过数据中心和公司防火墙才能到达目的地，所以应用性能和用户体验都会受到影响。

随着越来越多的远程工作者直接连接到云应用，仅依靠基于边界的传统安全机制已远远不够。通过使用 SASE 改造其广域网和安全架构，企业可以确保，用户能够在多云环境下直接且安全地访问任何应用和服务，而无需考虑访问位置或用于访问的设备。

SASE 的组件

SASE 的组件

SASE 的主要组件是高级 SD-WAN 和全面的云交付安全（安全服务边缘或简称 SSE）。

全面启用 SASE 需要以下关键的高级 SD-WAN 功能：

与 SSE 解决方案无缝集成，用于形成统一且一致的 SASE 架构。
首包应用识别，用于基于安全策略将流量精确引导到 SSE。
最佳路径选择，利用 SD-WAN 路径多样性并自动选择最近的 SSE 接入点 (PoP)。
隧道绑定，用于组合多个链路并支持自动故障转移。
WAN 优化和前向纠错 (FEC)，用于克服 WAN 的延迟效应并减轻互联网和无线链路经常遭受数据包丢失和抖动所受的影响。
多云网络，用于提供与公有云和私有云的端到端连接。
具有高级安全功能的内置防火墙，这些功能例如 IDS/IPS、DDoS 保护和基于角色的分段，用于为分支机构提供高级威胁防护。
零接触配置，用于自动部署配置和策略并无缝实施更改。

全面启用 SASE 需要以下关键 SSE 功能：

ZTNA 或零信任网络接入：假设默认情况下不能信任任何用户，并支持最低权限访问。它为远程用户提供了安全访问。
CASB 或云访问安全代理：通过强制执行安全策略来保护云应用中的敏感数据。
安全 Web 网关或简称 SWG：使用 URL 过滤和恶意代码检测等多种技术保护组织免受基于 Web 的威胁。
防火墙即服务或简称 FWaaS 提供云中防火墙功能，用于分析来自多个源的流量。
其他安全服务，如数据丢失防护 (DLP)、远程浏览器隔离 (RBI) 和沙盒。

为何应考虑使用 SASE？

为何应考虑使用 SASE？

SASE 确保混合工作的安全
当员工从任何地方、任何设备进行连接时，ZTNA 可确保对这些用户和设备强制实施一致的策略和访问控制。它支持最低权限访问，并确保默认情况下不信任任何用户。与广泛访问公司网络的 VPN 不同，ZTNA 限制用户只能访问其已获批的特定应用或微段。
SASE 保护用户免受网络威胁
为了保护组织免受勒索软件和网络钓鱼等网络威胁，SWG 采用 URL 过滤、恶意代码检测和网络访问控制来监控和检查流量，同时制定限制访问特定类别网站的策略，这些类别包括成人内容、赌博平台以及已知会带来重大风险的网站。
SASE 有助于保护 SaaS 应用中的敏感数据
现在，更多敏感数据托管在 SaaS 应用（经批准或未经批准的应用）中。云接入安全代理 (CASB) 在识别和检测云应用中的敏感数据、监控用户活动、发现影子 IT 以及防止数据丢失方面发挥着至关重要的作用。
SASE 可帮助云优先组织更新改造其网络
传统架构通常使用 MPLS 链路将分支机构连接到总部。在这种架构中，云流量必须回传到数据中心进行安全检查，这提高了延迟并因此影响了应用性能。借助 SD-WAN，组织可以智能方法，将流量直接从分支机构引导到云端，并采用一种强大而灵活的方式将分支机构办公室连接到总部。
由业务驱动型安全 SD-WAN 增强的 SASE 可确保物联网安全
物联网设备通常只包含基本的安全功能，不包含 ZTNA 代理。安全 SD-WAN 解决方案可通过集成下一代防火墙功能，超越 SASE 的定义。这些解决方案可以基于身份识别和访问控制实施零信任网络分段，确保用户和物联网设备只能连接到符合其在企业中角色的网络目的地。

单一供应商还是多供应商 SASE？

单一供应商还是多供应商 SASE？

网络和安全虽然密切相关，但却是两个截然不同且非常复杂的专业领域。安全技术需要迅速发展以确保抵御不断变化的网络安全风险，而广域网的宗旨则是提供快速、可靠且灵活的连接。只有将高级广域网边缘功能与全面 SSE（在云中提供的安全服务）结合起来，才能真正实现 SASE 架构的强大功能。

选择单一还是多供应商解决方案因现有的安全性和 WAN 要求而异。在单一供应商 SASE 平台中，SSE 和 SD-WAN 紧密集成，这为组织提供了许多好处，包括更快的部署、集中管理、一致的安全策略以及无缝适应不断变化的威胁形势的能力。对于更青睐搭配使用 SASE 与指定安全服务或者与现有安全生态系统集成的组织，建议采用多供应商方法。在这种多供应商环境中，选择能够自动完成与第三方 SSE 解决方案的编排的 SD-WAN 至关重要，因为这样才能最大限度缩短部署时间并降低管理复杂性。

什么是单一供应商 SASE 平台？

什么是单一供应商 SASE 平台？

单一供应商 SASE 平台简化了管理多个安全组件所带来的复杂性。这种集成式架构不仅简化了部署，还确保了统一的安全策略、集中管理和一致的零信任访问。主要功能包括：

云原生架构和可扩展性
单一供应商 SASE 平台采用云原生架构设计，充分利用了云计算的可扩展性和敏捷性。这种架构使组织能够根据流量需求动态分配资源，构建更高效、适应性更强的网络。
全球网络覆盖
单一供应商 SASE 平台通过地理上分散的接入点 (PoP) 提供全球网络覆盖，确保一致的性能和低延迟，无论用户身在何处。它简化了这些接入点的管理，消除了多供应商 SASE 方法所需的多个接入点。
统一策略管理
单一供应商 SASE 平台通过单一界面管理所有安全策略，在简化操作的同时降低了复杂性，并可帮助组织有效地部署和实施一致的策略。
集中式用户界面、综合仪表板
单一供应商 SASE 平台使 IT 团队能够在集中式用户界面中管理所有网络和安全运营，并可更清晰全面地查看网络流量、安全事件和策略实施情况。它增强了报告功能，为组织提供了证明自己符合监管要求和行业标准的手段。
组合各种 SASE 功能
借助单一供应商 SASE 平台，组织可以轻松组合多种 SASE 功能，以此增强其安全态势并一次性完成流量检查。SSL 检查仅执行一次，提高了性能并降低了复杂性。此外，通过将 SWG 和 CASB 与 DLP 相结合，组织可以更好地监控用户活动，保护敏感数据免于泄露，并更精细地控制网络访问。
AIOps
单一供应商 SASE 解决方案包括 AI 功能，可提高对所连接用户和设备的可见性并实现自适应访问控制。它能够自动执行常见的故障排除活动并诊断常见的网络问题，同时进行预测性分析以预测未来的威胁和性能问题。

SASE 的优势

SASE 的优势

SASE 不仅仅是最新的流行术语，SASE 架构可以让企业获得非常重要的业务优势。

增强安全性
当组织采用云优先模式时，SASE 可在整个网络中强制执行一致的安全策略，并在云中进行安全检查。这样就可确保远程访问的安全，并保护企业数据免受恶意活动的威胁。
企业工作效率和客户满意度双提升
实施 SASE 架构后，组织可基于高级 SD-WAN 功能精简其网络基础设施。SD-WAN 不像基于路由器的传统网络那么复杂、僵化。它带来了数字化转型所需的灵活性，并显著提高了应用的性能和可靠性。
零信任安全模型
SASE 采用零信任安全模型，要求在授予资源访问权限之前持续验证用户身份。在当今的威胁形势下，传统的安全模型已不足以防御复杂的网络威胁，零信任因此变得尤为重要。

采用 AI 技术的统一 SASE。

借助采用 AI 技术的 HPE Aruba Networking 统一 SASE，保证现代化工作场所的安全，随时随地提供便捷、安全的应用和数据访问，同时增强最终用户体验。

了解更多

相关主题

SD-WAN

了解更多

SSE（安全服务边缘）

了解更多

网络安全

了解更多

SD-Branch

了解更多

安全 SD-WAN

了解更多

多云网络

了解更多