赞
踩
SASE(Secure Access Service Edge),安全访问服务边缘
SASE用于从分布式云服务交付聚合的企业网络和安全服务。SASE克服了分散集成和地理位置约束解决方案的成本、复杂性和刚性。当SASE与全球私有骨干网相结合时,还可以解决WAN和云连接方面的挑战。
SD-WAN是SASE平台的关键组件,它将分支位置和数据中心连接到SASE云服务。SASE扩展了SD-WAN,以解决包括全球范围内的安全性、云计算和移动性在内的整个WAN的转换过程。
SD-WAN只是广域网转型的第一步。它缺乏关键的安全功能、全球连接能力以及对云资源和移动用户的支持。一个完整的SASE平台可以支持整个WAN转换过程,因为它使IT能够以敏捷和经济有效的方式提供业务需求的网络和安全功能。
SASE是端到端安全。SASE平台上的所有通信都是加密的。包括解密、防火墙、URL过滤、反恶意软件和IP在内的威胁预防功能都被集成到SASE中,并且对所有连接的边缘都可用。
虽然是很耀眼的技术,但毕竟刚刚被提出来,发展和成熟需要时间,而且这种规模的架构也不是一般组织能够承建的,报告中在概要中就说明了:为了实现低延迟地随时随地访问用户、设备和云服务,企业需要具有全球 POP 点和对等连接的 SASE 产品。因此,追新是好事,但不能盲目。
Gartner对SASE的定义:SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。
SASE的核心是身份,即身份是访问决策的中心,而不再是企业数据中心。这也与零信任架构和CARTA理念相一致,基于身份的访问决策。
用户、设备、服务的身份是策略中最重要的上下文因素之一。但是,还会有其他相关的上下文来源可以输入到策略中,这些上下文来源包括:用户使用的设备身份、日期、风险/信任评估、场地、正在访问的应用或数据的灵敏度。企业数据中心仍存在,但不再是网络架构的中心,只是用户和设备需要访问的众多互联网服务中的一个。
这些实体需要访问越来越多的基于云的服务,但是它们的连接方式和应用的网络安全策略类型将根据监管需求、企业策略和特定业务领导者的风险偏好而有所不同。就像智能交换机一样,身份通过 SASE 供应商在全球范围内的安全访问能力连接到所需的网络功能。
SASE 按需提供所需的服务和策略执行,独立于请求服务的实体的场所(如下图所示)和所访问能力。
SASE详细介绍了企业网络和安全的体系结构转换,这将使它能够为数字业务提供全面、敏捷和可适应的服务。SASE云服务有4个主要特点:身份驱动、云原生、支持所有边缘(WAN、云、移动、边缘计算)、全球分布。
不仅仅是 IP 地址,用户和资源身份决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由与每个网络连接相关联的身份所驱动。采用该方法,公司企业为用户开发一套网络和安全策略,无需考虑设备或地理位置,从而降低运营开销。
SASE 架构利用云的几个主要功能,包括弹性、自适应性、自恢复能力和自维护功能,提供一个可以分摊客户开销以提供最大效率的平台,可很方便地适应新兴业务需求,而且随处可用。
SASE 为所有公司资源创建了一个网络——数据中心、分公司、云资源和移动用户。举个例子,软件定义广域网 (SD-WAN) 设备支持物理边缘,而移动客户端和无客户端浏览器访问连接四处游走的用户。
为确保所有网络和安全功能随处可用,并向全部边缘交付尽可能好的体验,SASE 云必须全球分布。因此,必须扩展自身覆盖面,向企业边缘交付低延迟服务。
最终,SASE 架构的目标是要能够更容易地实现安全的云环境。SASE 提供了一种摒弃传统方法的设计理念,抛弃了将 SD-WAN 设备、防火墙、IPS 设备和各种其他网络及安全解决方案拼凑到一起的做法。SASE以一个安全的全球SD-WAN服务代替了难以管理的技术大杂烩。
SASE的理念就是借助SD-WAN搭建起来的虚拟化架构去集中化,将核心能力附加到边缘,使数据处理和安全能力都在边缘进行,以满足当前和未来云上和移动业务的动态需求。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。