SASE的五大核心能力_nextscope casb运作模式

今天我们来聊聊SASE的核心安全能力。

2019年Gartner在《网络安全的未来在云端》报告中首次提出SASE这一概念，将其定义为一种基于实体的身份、实时上下文、企业安全或合规策略，以及在整个会话中持续评估风险或信任的服务。

SASE融合了网络即服务（Network-as-a-Service）和网络安全即服务（Network Security-as-a-Service）两大模型，作为一种新兴的网络安全框架，SASE将软件定义广域网（Software Defined Wide Area Network, SD-WAN）与网络安全功能集成到一个统一的云平台上，用户网络连接到最近的SASE  PoP 点以访问内部数据，满足了企业的动态安全访问需求。

---

从上面的示意图，我们可以明确知道，SASE不是一个单一技术，而是一整套解决方案，涵盖网络接入能力和网络安全能力，其中包括软件定义广域网（SD-WAN）、零信任网络访问（Zero Trust Network Access, ZTNA）、防火墙即服务（Firewall-as-a-Service, FWaaS）、安全Web网关（Secure Web Gateway, SWG）、云访问安全代理（Cloud Access Security  Broker, CASB）。下面我们将逐一介绍这些核心能力的含义和作用。

---

网络接入能力

软件定义广域网（SD-WAN）

① 定义/原理：

• SD-WAN是指软件定义广域网，是将SDN（软件定义网络）技术应用到广域网场景中的一种服务。SASE融合了SD-WAN与云交付安全功能，在SD-WAN网络的基础上，增加了更高的安全能力。

② 特性/能力:

• SD-WAN为SASE解决方案提供网络接入的基础，可以将数据中心、企业总部、企业分支机构、云服务等多种终端接入到SASE网关，在服务边缘进行一致的安全性检验。

• SD-WAN将数据处理和安全能力下沉到网络边缘，能够快速地编排、调度，及时发现网络威胁并响应，实现动态安全保障。

• SD-WAN可根据线路状态和应用类型来分配传输路径和优先级，智能选路，整体优化网络质量。

③ 优势/客户收益：

• SD-WAN提供更优秀的网络性能、云应用性能和可靠性，同时减少了网络连接成本。此外，还能对网络流量进行可视化管理。

网络安全能力

零信任网络访问（ZTNA）

① 定义/原理：

• 零信任网络访问（ZTNA）是一种安全模型，基于零信任策略，对网络访问进行动态身份验证和授权，只允许授权的用户或设备访问企业应用，实现最小权限访问原则。

② 特性/能力：

• 按照最小基于用户身份、设备状态和上下文的访问授权和控制，可以有效防止未经授权的访问和数据泄露。

• 实现应用层面的访问控制，保障应用的安全和可靠性。

• 实现网络隔离和数据加密，保障网络资源和数据的安全性。

③ 优势/客户收益：

• ZTNA可视为SSL VPN、IPSec VPN的替代品，适合任何地方的用户。

• 在设备级别管理远程用户，有效保护远程或在家工作的用户。

• 降低网络攻击和来自受损用户设备的勒索软件的风险，防止未经授权的访问。

防火墙即服务（FWaaS）

① 定义/原理：

• 防火墙即服务（FWaaS）是一种基于云的安全解决方案，提供防火墙和其他网络安全功能。它将安全策略和威胁检测功能部署在云端，而非使用传统的网络边界防火墙。

② 特性/能力：

• 云中的集中式虚拟防火墙，将安全检查转移到云架构中，实现物理设备和安全功能的分离。

• 保护用户的应用程序服务器和网络免受外部威胁。

• 对网络流量进行实时过滤和检测，监控网络活动，防范网络威胁和攻击。

③ 优势/客户收益：

• 增强了可管理性、灵活性和可扩展性。

• 降低了网络安全风险和管理成本。

• 缩短部署准备时间，提高网络性能和用户体验。

安全Web网关（SWG）

① 定义/原理：

• 安全Web网关（SWG）是一种Web安全解决方案，可以保护企业内部网络访问互联时免受恶意软件、网络钓鱼和其他网络安全威胁的攻击。SWG位于企业网络和互联网之间，监测和控制网络流量。

② 特性/能力：

• 利用URL过滤，对Web应用的流量进行实时过滤和检测，防范Web应用的安全威胁和攻击。

• 监控网络行为，实现对Web应用的访问控制和数据加密。

• 具备数据泄露防护（Data Loss Prevention, DLP）功能。

③ 优势/客户收益：

• 通过屏蔽与工作无关的网站来提高生产力。

• 保护最终用户免受恶意软件、病毒、网络钓鱼电子邮件/网站等互联网威胁。

• 可透过用户活动日志来确保适当的用户行为。

云访问安全代理（CASB）

① 定义/原理：

• 云访问安全代理（CASB）是一种部署在云服务使用者和云服务提供者之间的安全策略执行点，用于保护企业数据在云端存储和使用时的安全性，检测和防止未经授权的访问、数据泄露和其他网络安全威胁。

② 特性/能力：

• CASB是云和用户之间的安全网关，可以解决用户使用云服务时的安全漏洞。

• 对云应用的访问进行实时监测，防范未经授权的访问和数据泄露。

• 实现对云应用的数据保护和威胁检测，保障企业云应用的安全和可靠性。

• 提供可见的集中展示视图，追溯用户从任何设备或位置访问云服务中的数据。

③ 优势/客户收益：

• 提升用户（用户ID）和应用程序（应用程序ID）的级别控制。

• 保护敏感数据不被泄露。

• 协调公司安全合规性。

---

总的来说，SASE是网络接入能力和网络安全能力的融合，并统一在云端管理和交付，从而满足企业的动态安全访问需求。软件定义广域网（SD-WAN）、零信任网络访问（ZTNA）、防火墙即服务（FWaaS）、安全Web网关（SWG）、云访问安全代理（CASB）这五大核心能力可以帮助企业保护网络资源和数据安全，降低安全风险和管理成本，提高企业网络安全防护能力。

SASE的五大核心能力基于国际统一技术标准提出，而香港电讯为企业提供更适合中国市场的本地化Managed SASE服务，严格符合中国本地的法律法规要求。香港电讯Managed SASE服务是整合了香港电讯SD-WAN骨干网络与Palo Alto Network最佳的Prisma Access云端交付安全平台，并采用零信任网络访问（ZTNA）策略，针对易受攻击的在家办公及遥距用户，提供基于身份的高度保护，避免一些能绕过传统安全边界的进阶网路攻击。

---

 HKT Managed SASE服务优势有哪些？

▶ NaaS(网络即服务)和SaaS(安全即服务)融合，简化网络及安全部署难度，且集中可视化管理，从而降低风险及运营成本

▶ 全球丰富的SASE节点覆盖，配合企业数字业务快速发展步伐

▶ 云交付安全方案，具备高灵活性和可扩展性，安全有效地增强云端访问速度

▶ 拥有多年全球业务经验，能在不同的环境保持统一国际级的服务水平