■ 山東 王強(qiáng) 趙長林

編者按：SASE 是近期流行起來的一種訪問管理服務(wù)模型，與傳統(tǒng)基于網(wǎng)絡(luò)的控制和服務(wù)相比，SASE 提供的一種更有令人期待的功能是身份驅(qū)動(dòng)的訪問管理。

Gartner 定義了一種基于云的多功能的新架構(gòu)服務(wù)模 型：SASE，也 就是所謂的安全訪問服務(wù)邊緣模型。SASE 提供了多種服務(wù)，主要集中在軟件定義的網(wǎng)絡(luò)訪問、云服務(wù)訪問管理、VPN替換以及云訪問安全代理服務(wù)等領(lǐng)域。

與傳統(tǒng)基于網(wǎng)絡(luò)的控制和服務(wù)相比，SASE 提供的一種更有“魅力”的功能是身份驅(qū)動(dòng)的訪問管理。那么，SASE 能否成為網(wǎng)絡(luò)安全領(lǐng)域的下一個(gè)翹楚？

SASE 擴(kuò)展了身份的定義

SASE 實(shí)現(xiàn)訪問管理的首要方面就是，它定義了哪些內(nèi)容構(gòu)成了身份。雖然更傳統(tǒng)的身份概念仍然適用，也就是用戶、組、角色分配等仍然有其重要意義，但所有的邊緣位置和分布式WAN 分支及網(wǎng)絡(luò)源頭也都被認(rèn)為是“身份”。

在一個(gè)以云為關(guān)注點(diǎn)的企業(yè)中，安全訪問的決策應(yīng)當(dāng)以連接源實(shí)體的身份為中心。例如，其中可能包括用戶、設(shè)備、分公司、物聯(lián)網(wǎng)設(shè)備以及邊緣計(jì)算位置等。

SASE 對身份的解釋如何影響其策略

用戶、組、設(shè)備及在用服務(wù)的身份仍是SASE 身份訪問策略的主要元素。有意思的是，SASE 的身份策略在不斷地演變，包括能夠納入到策略決策和應(yīng)用的另外的一些相關(guān)的身份因素源，其中可能包括身份位置、時(shí)間及設(shè)備的安全性評估或信任驗(yàn)證的某種組合。在SASE的身份策略中，企業(yè)可能還要考慮網(wǎng)絡(luò)實(shí)體需要訪問的應(yīng)用程序和數(shù)據(jù)的敏感性。

這些因素可以幫助企業(yè)更精細(xì)地制定更積極的最小特權(quán)訪問策略，從而實(shí)施嚴(yán)格的強(qiáng)化訪問控制。SASE的身份策略旨在使企業(yè)能夠控制以更多相關(guān)屬性（其中包括應(yīng)用程序的訪問、實(shí)體的身份、被訪問數(shù)據(jù)的敏感性等）為基礎(chǔ)的資源交互。

SASE 如何適合更大規(guī)模的身份和訪問的演變

安全和身份環(huán)境在持續(xù)改變，尤其是零信任網(wǎng)絡(luò)訪問、針對應(yīng)用的微分段、身份相似性策略都是這種改變的證明。從以往來看，這種改變是一種重要的內(nèi)部技術(shù)的革新，但如今卻擴(kuò)展為一種更廣泛的訪問控制方法，該方法可以使整個(gè)辦公場所、遠(yuǎn)程用戶、物聯(lián)網(wǎng)設(shè)備等更容易實(shí)施基于身份的控制。

SASE 模型旨在深刻地改進(jìn)傳統(tǒng)的訪問策略，后者僅專注于可能難以建立和維護(hù)的網(wǎng)絡(luò)信息。例如，復(fù)雜的網(wǎng)絡(luò)信息可能包括IP 地址和范圍，或者使用嚴(yán)格連接方法的網(wǎng)絡(luò)邊緣設(shè)備。

這種面向應(yīng)用、數(shù)據(jù)、設(shè)備、用戶相似性的策略改變可以簡化訪問策略的創(chuàng)建和管理。SASE 服務(wù)在得到認(rèn)證和授權(quán)從而可以訪問資源后，就可以充當(dāng)一個(gè)類似于VPN 的 代 理。SASE 保 護(hù)整個(gè)會(huì)話，而不管此會(huì)話連接到哪里，也不管它源自哪里。在涉及零信任的框架時(shí)，SASE 系統(tǒng)應(yīng)當(dāng)擁有一些靈活的選擇，可以實(shí)施會(huì)話的端到端加密。其他的選項(xiàng)還可以包括額外的Web 應(yīng)用保護(hù)、API 的檢查和安全評估、DLP（數(shù)據(jù)防泄露）的內(nèi)容檢查以及代理訪問模式中的其他種類的安全服務(wù)。

SASE 模式如何使企業(yè)更安全

SASE 服務(wù)的有效應(yīng)用可能能夠減少大量的攻擊。借助于強(qiáng)健的統(tǒng)一策略的管理，企業(yè)就可以構(gòu)建和維護(hù)子公司連接的更徹底的認(rèn)證、經(jīng)許可的物聯(lián)網(wǎng)設(shè)備，以及邊緣服務(wù)和位置。這也必將有助于減少一些中間人的劫持攻擊、欺詐以及惡意通信。

終端用戶也可以從這種模式中獲益。SASE 供應(yīng)商可以對所有的遠(yuǎn)程設(shè)備進(jìn)行安全加密，而不管設(shè)備在哪里。SASE 的選項(xiàng)甚至可以基于公共訪問實(shí)施更為嚴(yán)格的檢查策略，如在機(jī)場和咖啡廳等網(wǎng)絡(luò)環(huán)境都可以實(shí)現(xiàn)。根據(jù)用戶和發(fā)起通信設(shè)備的身份，通過將通信轉(zhuǎn)發(fā)到特定位置的節(jié)點(diǎn)上，也可以更好地實(shí)施私密控制。

構(gòu)建關(guān)于身份的訪問模式需要花費(fèi)時(shí)間，而且還要求在初始階段花費(fèi)大量的努力才能從過去陳舊的基于IP地址的訪問模式中轉(zhuǎn)變過來。

但是，如果考慮到SASE的身份策略及其帶來的益處將使得安全運(yùn)營更為高效并且使得攻擊更加困難，我們相信最終的目標(biāo)將證明新方法的可行性。