亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        安全訪問服務(wù)邊緣架構(gòu)技術(shù)分析

        2021-04-08 08:11:42金稚華
        數(shù)字傳媒研究 2021年11期
        關(guān)鍵詞:應(yīng)用程序代理分布式

        金稚華 劉 斌

        1.2.內(nèi)蒙古自治區(qū)廣播電視監(jiān)測與發(fā)展中心 內(nèi)蒙古 呼和浩特市 010050

        1 什么是SASE

        1.1 SASE的定義

        安全接入服務(wù)邊緣 (Secure access service edge)簡稱SASE。SASE提 供SD-WAN、SWG、CASB、NGFW和ZTNA等多種功能。SASE支持分支機(jī)構(gòu)和遠(yuǎn)程工作者訪問。SASE作為一種服務(wù)提供,基于設(shè)備實體的身份,結(jié)合實時上下文和安全合規(guī)策略。身份可以與人、設(shè)備或邊緣計算位置相關(guān)聯(lián)。

        1.2 SASE的架構(gòu)

        SASE架構(gòu)圖如圖1所示。

        圖1 SASE的架構(gòu)組成圖

        1.3 SASE的市場前景

        2020年,全球SASE市場預(yù)測基本假設(shè)對于網(wǎng)絡(luò)和安全,企業(yè)會更喜歡云交付模式;在企業(yè)數(shù)據(jù)中心之外執(zhí)行的企業(yè)軟件將增加一倍;以及超過80%的安全I(xiàn)T供應(yīng)商將過渡到基于訂閱的定價模式。在市場組成分為網(wǎng)絡(luò)市場和安全市場兩方面:網(wǎng)絡(luò)市場有SD-WAN、防火墻;安全市場包括SWG、CASB、零信任。那么預(yù)測結(jié)論為:5年復(fù)合增長率:網(wǎng)絡(luò)(+52.6%)>整體(41.8%)>安全(35.5%)(見圖2)

        圖2 全球SASE市場規(guī)模預(yù)測圖

        1.4 網(wǎng)絡(luò)安全網(wǎng)格化簡介

        所謂網(wǎng)絡(luò)安全網(wǎng)格化是指一種現(xiàn)代安全方法,以可組合、可伸縮、靈活和彈性的方式,在最需要控制的地方部署控制。通過提供基本的安全服務(wù),如分布式身份結(jié)構(gòu)、安全分析、智能、自動化和觸發(fā)器,以及集中的策略管理和編排,使工具能夠互操作。網(wǎng)絡(luò)安全網(wǎng)格化技術(shù)特征主要有:

        1.4.1 分布式身份結(jié)構(gòu)

        分布式身份框架(即支持來自多個地方的身份),包括目錄服務(wù)、集中式和分散式身份系統(tǒng)、身份驗證和身份驗證功能。

        1.4.2 安全分析、智能和觸發(fā)器

        使用來自安全控制的上下文,包括身份和訪問管理、端點檢測和響應(yīng)以及擴(kuò)展檢測和響應(yīng)。

        1.4.3 集中的策略管理和編排

        策略決策化的功能,以便與分布式策略實施網(wǎng)絡(luò)集成;在那些不能從策略決策點請求運行時決策的安全控制中編制策略的能力。

        2 SASE的技術(shù)優(yōu)勢

        2.1 支持新的數(shù)字業(yè)務(wù)場景

        使企業(yè)能夠讓合作伙伴和承包商安全地訪問它們的應(yīng)用程序、服務(wù)、API和數(shù)據(jù),而無需暴露遺留VPN和遺留非軍事區(qū)(DMZ)體系結(jié)構(gòu)的大量風(fēng)險。

        2.2 改善性能延遲

        提供跨越世界各地存在點的延遲優(yōu)化路由。這對于協(xié)作、視頻、VolP和web會議等對延遲敏感的應(yīng)用程序尤其關(guān)鍵。

        2.3 易于使用透明性

        把設(shè)備上所需的代理數(shù)量(或分支機(jī)構(gòu)CPE數(shù)量)減少到單個代理或設(shè)備。減少了代理和設(shè)備的膨脹,并且應(yīng)該在不需要用戶交互的情況下自動應(yīng)用訪問策略。

        2.4 改進(jìn)的安全

        對于支持內(nèi)容檢查(識別敏感數(shù)據(jù)和惡意軟件)的SASE供應(yīng)商,可以檢查任何訪問會話,并應(yīng)用相同的策略集。

        2.5 低操作開銷

        對于基于云的SASE產(chǎn)品,更新新的威脅和策略不需要企業(yè)部署新的硬件或軟件,應(yīng)該可以更快地采用新功能。

        2.6 啟用零信任網(wǎng)絡(luò)訪問

        對于基于云的SASE產(chǎn)品,更新的威脅和策略不需要企業(yè)部署新的硬件或軟件,應(yīng)該可以更快地采用新功能。

        2.7 提高工作效率

        網(wǎng)絡(luò)安全專業(yè)人員可以專注于理解業(yè)務(wù)、法規(guī)和應(yīng)用程序訪問需求,并將這些需求映射到SASE功能,而不是設(shè)置基礎(chǔ)設(shè)施的常規(guī)任務(wù)。

        2.8 集中式策略與本地執(zhí)行

        基于云的策略集中管理,具有邏輯上接近實體的分布式實施點,并在需要時包括本地決策。另一個例子是被管理設(shè)備上用于本地決策的本地代理。

        3 SASE的技術(shù)不足

        3.1 網(wǎng)絡(luò)和防火墻供應(yīng)商缺乏代理專家

        SASE的許多功能將使用代理模型進(jìn)入數(shù)據(jù)路徑并保護(hù)訪問。傳統(tǒng)的內(nèi)聯(lián)網(wǎng)絡(luò)和企業(yè)防火墻供應(yīng)商缺乏大規(guī)模構(gòu)建分布式內(nèi)聯(lián)代理的專業(yè)知識,可能會給SASE采用者帶來更高的成本或糟糕的性能風(fēng)險。

        3.2 持久性POPs和對等關(guān)系所需的投資

        SASE策略決策和實施功能需要放在端點標(biāo)識所處的任何地方。對于支持移動工作人員和分布式數(shù)字生態(tài)系統(tǒng)的大型組織來說,這意味著全球訪問。較小的SASE供應(yīng)商將無法維持必要的投資以保持競爭力,導(dǎo)致性能下降。

        3.3 缺乏數(shù)據(jù)上下文

        數(shù)據(jù)上下文對于設(shè)置訪問策略、理解并確定風(fēng)險的優(yōu)先級以及相應(yīng)地調(diào)整訪問策略至關(guān)重要。沒有這種上下文的供應(yīng)商在做出豐富的上下文感知的自適應(yīng)SASE決策方面的能力將受到限制

        3.4 領(lǐng)先的SASE需要代理

        要與基于前向代理的架構(gòu)集成并處理一些遺留應(yīng)用程序協(xié)議,將需要一個本地代理(例如,對舊應(yīng)用程序,SWG、ZTNA、本地Wi-Fi保護(hù)和本地設(shè)備安全態(tài)勢評估)。此外,SASE供應(yīng)商使用本地代理可以獲得更多的設(shè)備上下文。然而,如果必須使用多個代理來支持訪問,則代理增加了企業(yè)SASE部署的復(fù)雜性問題。

        4 SASE的配置與應(yīng)用實例

        4.1 SASE的兩種編制策略

        4.1.1 出口模式SASE

        從CASB 生長,許多組織使用CASB服務(wù)來保護(hù)它們的SaaS應(yīng)用程序。CASB供應(yīng)商正在擴(kuò)展功能,以與SASE架構(gòu)遠(yuǎn)景保持一致。對于一些人來說,這包括將CASB與IZTNA和SWG服務(wù)結(jié)合在一起。

        移動和遠(yuǎn)程用戶焦點,讓許多移動或遠(yuǎn)程用戶在企業(yè)外圍工作的趨勢已經(jīng)成為新的現(xiàn)實。從網(wǎng)絡(luò)和企業(yè)應(yīng)用程序訪問的角度關(guān)注他們的需求,可以指導(dǎo)架構(gòu)師使用SASE。

        從SWG的使用延伸,與CASB類似,SWG是組織中的一個常見特性。那些使用SWG的人應(yīng)該評估他們供應(yīng)商的SASE方法,以確定供應(yīng)商的附加功能是否足夠。如前所述,它可能將SWG與ZTNA和CASB結(jié)合在一起。

        4.1.2 入口模式SASE

        體系結(jié)構(gòu)模式的實現(xiàn)更多地關(guān)注網(wǎng)絡(luò)安全和應(yīng)用程序流量。因此,它涉及到安全組件的編排,如FWaaS、WAF、WAAP、DDoS以及ZTNA保護(hù)。典型的活動包括:

        尋找工具來幫助編排CDN、FWaas、WAF、DDoS保護(hù)和WAAP的通用策略。在涉及公共服務(wù)提供者的情況下,這變得更有可能。

        圍繞新的SD-WAN部署建立安全性??纯碨D-WAN提供商的安全功能組合或他們的安全合作伙伴服務(wù)。

        使用云提供商服務(wù)邊緣功能擴(kuò)展多云和混合服務(wù)。

        用ZTNA服務(wù)替換或擴(kuò)展客戶端VPN,以實現(xiàn)對應(yīng)用程序的遠(yuǎn)程訪問。擴(kuò)展ZTNA的使用,使其執(zhí)行的不僅僅是“TLS VPN”;使用它的軟件定義的周邊功能。利用任何技術(shù)來減少攻擊面,例如使用單包授權(quán)。

        4.2 SASE的典型配置和方法

        4.2.1 安全供應(yīng)商提供所有的入口或出口組件

        已建立的安全供應(yīng)商正在獲取合適的功能,并致力于集成工具。例如,安全供應(yīng)商正在收購SD-WAN供應(yīng)商,以便它們能夠提供SD-WAN存在點(pop),并同時提供網(wǎng)絡(luò)和安全SASE組件。安全供應(yīng)商正在開發(fā)和獲取CASB、SWG、ZTNA、RBI和其他相關(guān)工具的功能,如UEBA和威脅監(jiān)控。

        4.2.2 網(wǎng)絡(luò)供應(yīng)商提供所有組件或與選定的安全供應(yīng)商合作

        網(wǎng)絡(luò)供應(yīng)商提供網(wǎng)絡(luò)即服務(wù)(NaaS),包括SD-WAN、運營商、CDN、網(wǎng)絡(luò)優(yōu)化和延遲控制。他們要么轉(zhuǎn)售或給其他供應(yīng)商的工具貼上白標(biāo)簽,要么已經(jīng)開始開發(fā)自己的一套安全服務(wù)。

        4.2.3 云供應(yīng)商提供組件(可選擇與安全供應(yīng)商合作)

        云提供商提供AWS Transit Gateway、GCP VPC網(wǎng)絡(luò)對等、edge等網(wǎng)絡(luò)服務(wù),支持SASE架構(gòu)的網(wǎng)絡(luò)側(cè)。云供應(yīng)商也開始提供一致的安全工具,如ZTNA(如GCP提供Beyond-Corp的遠(yuǎn)程訪問)和CASB(如微軟提供MCAS)。

        4.3 應(yīng)用實例1:分支對SaaS程序和因特網(wǎng)的訪問

        分支中的用戶必須使用組織IAM對自己進(jìn)行身份驗證。身份和分支位置為連接到網(wǎng)絡(luò)服務(wù)提供上下文。IAM與CASB和SWG等SASE組件集成在一起,因此可以使用用戶憑證來定義訪問策略。

        用戶的設(shè)備連接到分支機(jī)構(gòu)的網(wǎng)絡(luò),并請求訪問網(wǎng)站。SASE業(yè)務(wù)流程策略將用戶的連接請求定向到SWG。SWG將提供URL過濾、威脅和惡意軟件保護(hù)以及連接到互聯(lián)網(wǎng)服務(wù)時的數(shù)據(jù)丟失預(yù)防等服務(wù)。

        用戶的設(shè)備連接到分支網(wǎng)絡(luò),并請求訪問允許列出的SaaS服務(wù)。SASE業(yè)務(wù)流程策略將用戶的請求定向到CASB。CASB可以幫助防止連接到未經(jīng)批準(zhǔn)的SaaS,監(jiān)視異常用戶行為,提供DLP,并可以基于上下文實施自適應(yīng)訪問控制。

        圖3 分支對SaaS程序和因特網(wǎng)的訪問圖例

        根據(jù)SWG或CASB安全配置,以及分配給用戶的授權(quán),允許訪問外部服務(wù)。已消毒的DNS可以幫助過濾和阻止到不安全站點、拒絕列出的IP范圍和其他潛在威脅連接的不安全和風(fēng)險連接。安全連接根據(jù)網(wǎng)絡(luò)SASE策略編排進(jìn)行路由,以提供有效和高效的路由到互聯(lián)網(wǎng)和云服務(wù)。

        4.4 應(yīng)用實例2:遠(yuǎn)程訪問內(nèi)部應(yīng)用程序

        在本例中,所使用的ZTNA是一種終端發(fā)起的部署類型。用戶通過ZTNA控制器與集成的組織IAM進(jìn)行身份驗證。這些類型的ZTNA工具可能使用部署在用戶設(shè)備上的代理向ZTNA提供上下文信息。一些ZTNA工具通過向注冊用戶提供單包授權(quán),可以將攻擊面減少到最低。

        ZTNA控制器已經(jīng)獲得了關(guān)于每個用戶的必要信息,以允許拒絕訪問組織內(nèi)部應(yīng)用程序的請求。這些信息包括連接上下文(設(shè)備信息、地理位置等)和用戶標(biāo)識。ZTNA向用戶返回允許的應(yīng)用程序列表(通常以門戶頁面的形式)。ZTNA控制器通過ZTNA網(wǎng)關(guān)功能提供與允許的應(yīng)用程序的連接。

        圖4 遠(yuǎn)程訪問內(nèi)部應(yīng)用程序圖例

        根據(jù)ZTNA工具,一些工具保持不變(通常提供增值服務(wù),如用戶和實體行為分析[UEBA]和會話記錄),一些工具從通信路徑中移除自己,以允許路由效率。由SASE網(wǎng)絡(luò)編配策略定義的經(jīng)過身份驗證和授權(quán)的會話路徑可能包括通過應(yīng)用層保護(hù)(例如WAF服務(wù))和網(wǎng)絡(luò)安全(如FWaas)的路由。

        5 結(jié) 語

        目前,SASE仍然是一個藍(lán)海市場,相關(guān)產(chǎn)品SD-WAN(Software Defined Wide Area Network,即軟件定義廣域網(wǎng),是將SDN技術(shù)應(yīng)用到廣域網(wǎng)場景中所形成的一種服務(wù),這種服務(wù)用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用及云服務(wù)。)、ZTNA(零信任網(wǎng)絡(luò)訪問,標(biāo)志性的安全技術(shù))、SWG (Secure Web Gateway,安全網(wǎng)頁閘道)已經(jīng)相對趨于成熟。

        猜你喜歡
        應(yīng)用程序代理分布式
        刪除Win10中自帶的應(yīng)用程序
        電腦報(2019年12期)2019-09-10 05:08:20
        代理圣誕老人
        代理手金寶 生意特別好
        分布式光伏熱錢洶涌
        能源(2017年10期)2017-12-20 05:54:07
        分布式光伏:爆發(fā)還是徘徊
        能源(2017年5期)2017-07-06 09:25:54
        復(fù)仇代理烏龜君
        基于DDS的分布式三維協(xié)同仿真研究
        西門子 分布式I/O Simatic ET 200AL
        一個村有二十六位代理家長
        中國火炬(2012年2期)2012-07-24 14:18:04
        關(guān)閉應(yīng)用程序更新提醒
        電腦迷(2012年15期)2012-04-29 17:09:47
        午夜免费观看一区二区三区| 欧洲色综合| 无码人妻丝袜在线视频| 久久精品天堂一区二区| 亚洲欧洲日产国码av系列天堂| 亚洲综合国产一区二区三区| 国产99re在线观看只有精品| 91精品国产乱码久久久| 国产一级一级内射视频| 亚洲va无码手机在线电影| 日本在线视频网站www色下载| 国产av熟女一区二区三区老牛| 国产一区二区三区仙踪林| 中文字幕人妻被公上司喝醉 | 四虎影院在线观看| 无码流畅无码福利午夜| 蜜桃免费一区二区三区| 狼人青草久久网伊人| 青青青爽国产在线视频| 亚洲中文字幕熟女五十| 日本一级特黄aa大片| 老师粉嫩小泬喷水视频90| 亚洲AV永久无码精品导航| 蜜桃人妻午夜精品一区二区三区 | 无码aⅴ精品一区二区三区| 亚洲精品久久无码av片软件| 国产强伦姧在线观看| 自拍成人免费在线视频| 人与动牲交av免费| 日韩精品电影在线观看| 国产偷拍自拍在线观看| 一本大道熟女人妻中文字幕在线| 婷婷成人基地| 亚洲国产一区久久yourpan| 精品国产一区二区三区av天堂| 熟女精品视频一区二区三区| 亚洲深夜福利| 亚洲av色av成人噜噜噜| 美女张开腿让男人桶爽| 久久av高潮av喷水av无码 | 人妻少妇被猛烈进入中文字幕|