金稚華 劉 斌

1.2.內(nèi)蒙古自治區(qū)廣播電視監(jiān)測與發(fā)展中心 內(nèi)蒙古 呼和浩特市 010050

1 什么是SASE

1.1 SASE的定義

安全接入服務(wù)邊緣 （Secure access service edge）簡稱SASE。SASE提 供SD-WAN、SWG、CASB、NGFW和ZTNA等多種功能。SASE支持分支機(jī)構(gòu)和遠(yuǎn)程工作者訪問。SASE作為一種服務(wù)提供，基于設(shè)備實體的身份，結(jié)合實時上下文和安全合規(guī)策略。身份可以與人、設(shè)備或邊緣計算位置相關(guān)聯(lián)。

1.2 SASE的架構(gòu)

SASE架構(gòu)圖如圖1所示。

圖1 SASE的架構(gòu)組成圖

1.3 SASE的市場前景

2020年，全球SASE市場預(yù)測基本假設(shè)對于網(wǎng)絡(luò)和安全，企業(yè)會更喜歡云交付模式；在企業(yè)數(shù)據(jù)中心之外執(zhí)行的企業(yè)軟件將增加一倍；以及超過80%的安全I(xiàn)T供應(yīng)商將過渡到基于訂閱的定價模式。在市場組成分為網(wǎng)絡(luò)市場和安全市場兩方面：網(wǎng)絡(luò)市場有SD-WAN、防火墻；安全市場包括SWG、CASB、零信任。那么預(yù)測結(jié)論為：5年復(fù)合增長率：網(wǎng)絡(luò)（+52.6%）＞整體（41.8%）＞安全（35.5%）（見圖2）

圖2 全球SASE市場規(guī)模預(yù)測圖

1.4 網(wǎng)絡(luò)安全網(wǎng)格化簡介

所謂網(wǎng)絡(luò)安全網(wǎng)格化是指一種現(xiàn)代安全方法，以可組合、可伸縮、靈活和彈性的方式，在最需要控制的地方部署控制。通過提供基本的安全服務(wù)，如分布式身份結(jié)構(gòu)、安全分析、智能、自動化和觸發(fā)器，以及集中的策略管理和編排，使工具能夠互操作。網(wǎng)絡(luò)安全網(wǎng)格化技術(shù)特征主要有：

1.4.1 分布式身份結(jié)構(gòu)

分布式身份框架（即支持來自多個地方的身份），包括目錄服務(wù)、集中式和分散式身份系統(tǒng)、身份驗證和身份驗證功能。

1.4.2 安全分析、智能和觸發(fā)器

使用來自安全控制的上下文，包括身份和訪問管理、端點檢測和響應(yīng)以及擴(kuò)展檢測和響應(yīng)。

1.4.3 集中的策略管理和編排

策略決策化的功能，以便與分布式策略實施網(wǎng)絡(luò)集成；在那些不能從策略決策點請求運行時決策的安全控制中編制策略的能力。

2 SASE的技術(shù)優(yōu)勢

2.1 支持新的數(shù)字業(yè)務(wù)場景

使企業(yè)能夠讓合作伙伴和承包商安全地訪問它們的應(yīng)用程序、服務(wù)、API和數(shù)據(jù)，而無需暴露遺留VPN和遺留非軍事區(qū)（DMZ）體系結(jié)構(gòu)的大量風(fēng)險。

2.2 改善性能延遲

提供跨越世界各地存在點的延遲優(yōu)化路由。這對于協(xié)作、視頻、VolP和web會議等對延遲敏感的應(yīng)用程序尤其關(guān)鍵。

2.3 易于使用透明性

把設(shè)備上所需的代理數(shù)量（或分支機(jī)構(gòu)CPE數(shù)量）減少到單個代理或設(shè)備。減少了代理和設(shè)備的膨脹，并且應(yīng)該在不需要用戶交互的情況下自動應(yīng)用訪問策略。

2.4 改進(jìn)的安全

對于支持內(nèi)容檢查（識別敏感數(shù)據(jù)和惡意軟件）的SASE供應(yīng)商，可以檢查任何訪問會話，并應(yīng)用相同的策略集。

2.5 低操作開銷

對于基于云的SASE產(chǎn)品，更新新的威脅和策略不需要企業(yè)部署新的硬件或軟件，應(yīng)該可以更快地采用新功能。

2.6 啟用零信任網(wǎng)絡(luò)訪問

對于基于云的SASE產(chǎn)品，更新的威脅和策略不需要企業(yè)部署新的硬件或軟件，應(yīng)該可以更快地采用新功能。

2.7 提高工作效率

網(wǎng)絡(luò)安全專業(yè)人員可以專注于理解業(yè)務(wù)、法規(guī)和應(yīng)用程序訪問需求，并將這些需求映射到SASE功能，而不是設(shè)置基礎(chǔ)設(shè)施的常規(guī)任務(wù)。

2.8 集中式策略與本地執(zhí)行

基于云的策略集中管理，具有邏輯上接近實體的分布式實施點，并在需要時包括本地決策。另一個例子是被管理設(shè)備上用于本地決策的本地代理。

3 SASE的技術(shù)不足

3.1 網(wǎng)絡(luò)和防火墻供應(yīng)商缺乏代理專家

SASE的許多功能將使用代理模型進(jìn)入數(shù)據(jù)路徑并保護(hù)訪問。傳統(tǒng)的內(nèi)聯(lián)網(wǎng)絡(luò)和企業(yè)防火墻供應(yīng)商缺乏大規(guī)模構(gòu)建分布式內(nèi)聯(lián)代理的專業(yè)知識，可能會給SASE采用者帶來更高的成本或糟糕的性能風(fēng)險。

3.2 持久性POPs和對等關(guān)系所需的投資

SASE策略決策和實施功能需要放在端點標(biāo)識所處的任何地方。對于支持移動工作人員和分布式數(shù)字生態(tài)系統(tǒng)的大型組織來說，這意味著全球訪問。較小的SASE供應(yīng)商將無法維持必要的投資以保持競爭力，導(dǎo)致性能下降。

3.3 缺乏數(shù)據(jù)上下文

數(shù)據(jù)上下文對于設(shè)置訪問策略、理解并確定風(fēng)險的優(yōu)先級以及相應(yīng)地調(diào)整訪問策略至關(guān)重要。沒有這種上下文的供應(yīng)商在做出豐富的上下文感知的自適應(yīng)SASE決策方面的能力將受到限制

3.4 領(lǐng)先的SASE需要代理

要與基于前向代理的架構(gòu)集成并處理一些遺留應(yīng)用程序協(xié)議，將需要一個本地代理（例如，對舊應(yīng)用程序，SWG、ZTNA、本地Wi-Fi保護(hù)和本地設(shè)備安全態(tài)勢評估）。此外，SASE供應(yīng)商使用本地代理可以獲得更多的設(shè)備上下文。然而，如果必須使用多個代理來支持訪問，則代理增加了企業(yè)SASE部署的復(fù)雜性問題。

4 SASE的配置與應(yīng)用實例

4.1 SASE的兩種編制策略

4.1.1 出口模式SASE

從CASB 生長，許多組織使用CASB服務(wù)來保護(hù)它們的SaaS應(yīng)用程序。CASB供應(yīng)商正在擴(kuò)展功能，以與SASE架構(gòu)遠(yuǎn)景保持一致。對于一些人來說，這包括將CASB與IZTNA和SWG服務(wù)結(jié)合在一起。

移動和遠(yuǎn)程用戶焦點，讓許多移動或遠(yuǎn)程用戶在企業(yè)外圍工作的趨勢已經(jīng)成為新的現(xiàn)實。從網(wǎng)絡(luò)和企業(yè)應(yīng)用程序訪問的角度關(guān)注他們的需求，可以指導(dǎo)架構(gòu)師使用SASE。

從SWG的使用延伸，與CASB類似，SWG是組織中的一個常見特性。那些使用SWG的人應(yīng)該評估他們供應(yīng)商的SASE方法，以確定供應(yīng)商的附加功能是否足夠。如前所述，它可能將SWG與ZTNA和CASB結(jié)合在一起。

4.1.2 入口模式SASE

體系結(jié)構(gòu)模式的實現(xiàn)更多地關(guān)注網(wǎng)絡(luò)安全和應(yīng)用程序流量。因此，它涉及到安全組件的編排，如FWaaS、WAF、WAAP、DDoS以及ZTNA保護(hù)。典型的活動包括：

尋找工具來幫助編排CDN、FWaas、WAF、DDoS保護(hù)和WAAP的通用策略。在涉及公共服務(wù)提供者的情況下，這變得更有可能。

圍繞新的SD-WAN部署建立安全性?？纯碨D-WAN提供商的安全功能組合或他們的安全合作伙伴服務(wù)。

使用云提供商服務(wù)邊緣功能擴(kuò)展多云和混合服務(wù)。

用ZTNA服務(wù)替換或擴(kuò)展客戶端VPN，以實現(xiàn)對應(yīng)用程序的遠(yuǎn)程訪問。擴(kuò)展ZTNA的使用，使其執(zhí)行的不僅僅是“TLS VPN”;使用它的軟件定義的周邊功能。利用任何技術(shù)來減少攻擊面，例如使用單包授權(quán)。

4.2 SASE的典型配置和方法

4.2.1 安全供應(yīng)商提供所有的入口或出口組件

已建立的安全供應(yīng)商正在獲取合適的功能，并致力于集成工具。例如，安全供應(yīng)商正在收購SD-WAN供應(yīng)商，以便它們能夠提供SD-WAN存在點（pop），并同時提供網(wǎng)絡(luò)和安全SASE組件。安全供應(yīng)商正在開發(fā)和獲取CASB、SWG、ZTNA、RBI和其他相關(guān)工具的功能，如UEBA和威脅監(jiān)控。

4.2.2 網(wǎng)絡(luò)供應(yīng)商提供所有組件或與選定的安全供應(yīng)商合作

網(wǎng)絡(luò)供應(yīng)商提供網(wǎng)絡(luò)即服務(wù)（NaaS），包括SD-WAN、運營商、CDN、網(wǎng)絡(luò)優(yōu)化和延遲控制。他們要么轉(zhuǎn)售或給其他供應(yīng)商的工具貼上白標(biāo)簽，要么已經(jīng)開始開發(fā)自己的一套安全服務(wù)。

4.2.3 云供應(yīng)商提供組件（可選擇與安全供應(yīng)商合作）

云提供商提供AWS Transit Gateway、GCP VPC網(wǎng)絡(luò)對等、edge等網(wǎng)絡(luò)服務(wù)，支持SASE架構(gòu)的網(wǎng)絡(luò)側(cè)。云供應(yīng)商也開始提供一致的安全工具，如ZTNA（如GCP提供Beyond-Corp的遠(yuǎn)程訪問）和CASB（如微軟提供MCAS）。

4.3 應(yīng)用實例1：分支對SaaS程序和因特網(wǎng)的訪問

分支中的用戶必須使用組織IAM對自己進(jìn)行身份驗證。身份和分支位置為連接到網(wǎng)絡(luò)服務(wù)提供上下文。IAM與CASB和SWG等SASE組件集成在一起，因此可以使用用戶憑證來定義訪問策略。

用戶的設(shè)備連接到分支機(jī)構(gòu)的網(wǎng)絡(luò)，并請求訪問網(wǎng)站。SASE業(yè)務(wù)流程策略將用戶的連接請求定向到SWG。SWG將提供URL過濾、威脅和惡意軟件保護(hù)以及連接到互聯(lián)網(wǎng)服務(wù)時的數(shù)據(jù)丟失預(yù)防等服務(wù)。

用戶的設(shè)備連接到分支網(wǎng)絡(luò)，并請求訪問允許列出的SaaS服務(wù)。SASE業(yè)務(wù)流程策略將用戶的請求定向到CASB。CASB可以幫助防止連接到未經(jīng)批準(zhǔn)的SaaS，監(jiān)視異常用戶行為，提供DLP，并可以基于上下文實施自適應(yīng)訪問控制。

圖3 分支對SaaS程序和因特網(wǎng)的訪問圖例

根據(jù)SWG或CASB安全配置，以及分配給用戶的授權(quán)，允許訪問外部服務(wù)。已消毒的DNS可以幫助過濾和阻止到不安全站點、拒絕列出的IP范圍和其他潛在威脅連接的不安全和風(fēng)險連接。安全連接根據(jù)網(wǎng)絡(luò)SASE策略編排進(jìn)行路由，以提供有效和高效的路由到互聯(lián)網(wǎng)和云服務(wù)。

4.4 應(yīng)用實例2：遠(yuǎn)程訪問內(nèi)部應(yīng)用程序

在本例中，所使用的ZTNA是一種終端發(fā)起的部署類型。用戶通過ZTNA控制器與集成的組織IAM進(jìn)行身份驗證。這些類型的ZTNA工具可能使用部署在用戶設(shè)備上的代理向ZTNA提供上下文信息。一些ZTNA工具通過向注冊用戶提供單包授權(quán)，可以將攻擊面減少到最低。

ZTNA控制器已經(jīng)獲得了關(guān)于每個用戶的必要信息，以允許拒絕訪問組織內(nèi)部應(yīng)用程序的請求。這些信息包括連接上下文（設(shè)備信息、地理位置等）和用戶標(biāo)識。ZTNA向用戶返回允許的應(yīng)用程序列表（通常以門戶頁面的形式）。ZTNA控制器通過ZTNA網(wǎng)關(guān)功能提供與允許的應(yīng)用程序的連接。

圖4 遠(yuǎn)程訪問內(nèi)部應(yīng)用程序圖例

根據(jù)ZTNA工具，一些工具保持不變（通常提供增值服務(wù)，如用戶和實體行為分析［UEBA］和會話記錄），一些工具從通信路徑中移除自己，以允許路由效率。由SASE網(wǎng)絡(luò)編配策略定義的經(jīng)過身份驗證和授權(quán)的會話路徑可能包括通過應(yīng)用層保護(hù)（例如WAF服務(wù)）和網(wǎng)絡(luò)安全（如FWaas）的路由。

5 結(jié) 語

目前，SASE仍然是一個藍(lán)海市場，相關(guān)產(chǎn)品SD-WAN（Software Defined Wide Area Network，即軟件定義廣域網(wǎng)，是將SDN技術(shù)應(yīng)用到廣域網(wǎng)場景中所形成的一種服務(wù)，這種服務(wù)用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用及云服務(wù)。）、ZTNA（零信任網(wǎng)絡(luò)訪問，標(biāo)志性的安全技術(shù)）、SWG （Secure Web Gateway，安全網(wǎng)頁閘道）已經(jīng)相對趨于成熟。