■ 山東 王強 趙長林

編者按：SASE 是近期流行起來的一種訪問管理服務模型，與傳統(tǒng)基于網絡的控制和服務相比，SASE 提供的一種更有令人期待的功能是身份驅動的訪問管理。

Gartner 定義了一種基于云的多功能的新架構服務模 型：SASE，也 就是所謂的安全訪問服務邊緣模型。SASE 提供了多種服務，主要集中在軟件定義的網絡訪問、云服務訪問管理、VPN替換以及云訪問安全代理服務等領域。

與傳統(tǒng)基于網絡的控制和服務相比，SASE 提供的一種更有“魅力”的功能是身份驅動的訪問管理。那么，SASE 能否成為網絡安全領域的下一個翹楚？

SASE 擴展了身份的定義

SASE 實現(xiàn)訪問管理的首要方面就是，它定義了哪些內容構成了身份。雖然更傳統(tǒng)的身份概念仍然適用，也就是用戶、組、角色分配等仍然有其重要意義，但所有的邊緣位置和分布式WAN 分支及網絡源頭也都被認為是“身份”。

在一個以云為關注點的企業(yè)中，安全訪問的決策應當以連接源實體的身份為中心。例如，其中可能包括用戶、設備、分公司、物聯(lián)網設備以及邊緣計算位置等。

SASE 對身份的解釋如何影響其策略

用戶、組、設備及在用服務的身份仍是SASE 身份訪問策略的主要元素。有意思的是，SASE 的身份策略在不斷地演變，包括能夠納入到策略決策和應用的另外的一些相關的身份因素源，其中可能包括身份位置、時間及設備的安全性評估或信任驗證的某種組合。在SASE的身份策略中，企業(yè)可能還要考慮網絡實體需要訪問的應用程序和數(shù)據(jù)的敏感性。

這些因素可以幫助企業(yè)更精細地制定更積極的最小特權訪問策略，從而實施嚴格的強化訪問控制。SASE的身份策略旨在使企業(yè)能夠控制以更多相關屬性（其中包括應用程序的訪問、實體的身份、被訪問數(shù)據(jù)的敏感性等）為基礎的資源交互。

SASE 如何適合更大規(guī)模的身份和訪問的演變

安全和身份環(huán)境在持續(xù)改變，尤其是零信任網絡訪問、針對應用的微分段、身份相似性策略都是這種改變的證明。從以往來看，這種改變是一種重要的內部技術的革新，但如今卻擴展為一種更廣泛的訪問控制方法，該方法可以使整個辦公場所、遠程用戶、物聯(lián)網設備等更容易實施基于身份的控制。

SASE 模型旨在深刻地改進傳統(tǒng)的訪問策略，后者僅專注于可能難以建立和維護的網絡信息。例如，復雜的網絡信息可能包括IP 地址和范圍，或者使用嚴格連接方法的網絡邊緣設備。

這種面向應用、數(shù)據(jù)、設備、用戶相似性的策略改變可以簡化訪問策略的創(chuàng)建和管理。SASE 服務在得到認證和授權從而可以訪問資源后，就可以充當一個類似于VPN 的 代 理。SASE 保 護整個會話，而不管此會話連接到哪里，也不管它源自哪里。在涉及零信任的框架時，SASE 系統(tǒng)應當擁有一些靈活的選擇，可以實施會話的端到端加密。其他的選項還可以包括額外的Web 應用保護、API 的檢查和安全評估、DLP（數(shù)據(jù)防泄露）的內容檢查以及代理訪問模式中的其他種類的安全服務。

SASE 模式如何使企業(yè)更安全

SASE 服務的有效應用可能能夠減少大量的攻擊。借助于強健的統(tǒng)一策略的管理，企業(yè)就可以構建和維護子公司連接的更徹底的認證、經許可的物聯(lián)網設備，以及邊緣服務和位置。這也必將有助于減少一些中間人的劫持攻擊、欺詐以及惡意通信。

終端用戶也可以從這種模式中獲益。SASE 供應商可以對所有的遠程設備進行安全加密，而不管設備在哪里。SASE 的選項甚至可以基于公共訪問實施更為嚴格的檢查策略，如在機場和咖啡廳等網絡環(huán)境都可以實現(xiàn)。根據(jù)用戶和發(fā)起通信設備的身份，通過將通信轉發(fā)到特定位置的節(jié)點上，也可以更好地實施私密控制。

構建關于身份的訪問模式需要花費時間，而且還要求在初始階段花費大量的努力才能從過去陳舊的基于IP地址的訪問模式中轉變過來。

但是，如果考慮到SASE的身份策略及其帶來的益處將使得安全運營更為高效并且使得攻擊更加困難，我們相信最終的目標將證明新方法的可行性。