葉朝陽，王欣，張士聰，詹智勇，劉伊莎

工程與應(yīng)用

SASE云安全研究與實踐

葉朝陽，王欣，張士聰，詹智勇，劉伊莎

（浙江省新型互聯(lián)網(wǎng)交換中心有限責(zé)任公司，浙江 杭州 311215）

互聯(lián)網(wǎng)發(fā)展到今天，與傳統(tǒng)網(wǎng)絡(luò)相比已出現(xiàn)了翻天覆地的變化，在當(dāng)今網(wǎng)絡(luò)的變革中，“云化”成了企業(yè)IT架構(gòu)演進的主流方向，因此對云安全的要求也越來越高，主要介紹了通過SASE云安全架構(gòu)的實踐部署，解決客戶上云安全問題。提出了獨特完整的SASE解決方案，該方案將安全功能與SD-WAN功能結(jié)合，構(gòu)建統(tǒng)一管控平臺、集中部署核心安全資源池按需調(diào)用，實現(xiàn)對惡意軟件或惡意活動的實時監(jiān)控、智能分析和自動攔截。實踐證明該方案在統(tǒng)一管控、入侵檢測與防御、精細(xì)化訪問控制等方面達到預(yù)期效果，能夠充分保障企業(yè)的云上安全。

云安全；SASE；SD-WAN

0 引言

在Gartner（高德納，又譯顧能公司，是全球較具權(quán)威的IT研究與顧問咨詢公司）2019年發(fā)布的《網(wǎng)絡(luò)安全的未來在云端》報告中，提出安全訪問服務(wù)邊緣的概念，并將其稱為SASE（secure access service edge）。Gartner對SASE的定義為：SASE是一種基于實體的身份、實時上下文、企業(yè)安全/合規(guī)策略，以及在整個會話中持續(xù)評估風(fēng)險/信任的服務(wù)。實體的身份可與人員、人員組（分支辦公室）、設(shè)備、應(yīng)用、服務(wù)、物聯(lián)網(wǎng)系統(tǒng)或邊緣計算場地相關(guān)聯(lián)。SASE平臺可以支持整個廣域網(wǎng)（wide area network，WAN）轉(zhuǎn)換過程，因為它使IT能夠以敏捷和經(jīng)濟有效的方式提供業(yè)務(wù)需求的網(wǎng)絡(luò)和安全功能。因此，SASE是一個融合了SD-WAN（軟件定義廣域網(wǎng)）和網(wǎng)絡(luò)安全功能的新興技術(shù)，可以很好地支持企業(yè)的上云安全。

1 當(dāng)今企業(yè)的IT現(xiàn)狀及安全困境

1.1 企業(yè)的IT現(xiàn)狀

當(dāng)前企業(yè)數(shù)字化轉(zhuǎn)型已是大勢所趨，隨著大數(shù)據(jù)、云計算和5G新技術(shù)的引入，企業(yè)IT基礎(chǔ)設(shè)施架構(gòu)也發(fā)生了顯著的變化。

● 企業(yè)核心應(yīng)用“云化”，包括企業(yè)內(nèi)部應(yīng)用云化以及外部應(yīng)用的互聯(lián)網(wǎng)。

● 業(yè)務(wù)場景“邊緣化”，越來越多的數(shù)據(jù)處理和計算下沉到邊緣節(jié)點完成。

● 辦公場景“多樣化”，移動辦公、遠(yuǎn)程辦公、總部/分支機構(gòu)協(xié)同辦公。

● 網(wǎng)絡(luò)邊界轉(zhuǎn)變，網(wǎng)絡(luò)架構(gòu)演變到今天，服務(wù)、應(yīng)用和數(shù)據(jù)越來越多地處在多云、混合云上，無論通過SaaS（software as a service）訪問、公有云訪問，還是通過私有云訪問，其應(yīng)用、服務(wù)、數(shù)據(jù)已經(jīng)分散化，無處不在。帶邊界層的網(wǎng)絡(luò)轉(zhuǎn)變?nèi)鐖D1所示。

1.2 安全困境

在企業(yè)核心應(yīng)用“云化”“邊緣化”之后，企業(yè)需要敏捷、高速及穩(wěn)定地訪問云資源，無論何時何地，不論是人員還是設(shè)備，都能夠快速地訪問業(yè)務(wù)應(yīng)用及數(shù)據(jù)，但是在滿足此需求的同時，又暴露了其他問題，即原來基于IDC（internet data center）實體中心設(shè)計的傳統(tǒng)安全防護手段突然失靈了，不能很好地滿足企業(yè)所需的安全防護要求以及必要的訪問控制要求。例如：

● 企業(yè)核心應(yīng)用云化之后，本地IDC的防護措施鞭長莫及；

● 企業(yè)無法將傳統(tǒng)的硬件防火墻、流量清洗、日志審計等安全設(shè)備部署在云端；

● 分布式接入后，企業(yè)無法對所有接入用戶做統(tǒng)一的安全管控；

● 受限于成本，多數(shù)企業(yè)無法為每個接入點都單獨部署安全硬件設(shè)備，即便完成部署，也難以實現(xiàn)統(tǒng)一的運維和監(jiān)控。

“云化”“邊緣化”對傳統(tǒng)IT基礎(chǔ)設(shè)施的安全帶來了全新的挑戰(zhàn)，企業(yè)原先的邊界正在被打破，傳統(tǒng)的硬件安全方案已經(jīng)無法滿足企業(yè)數(shù)字化轉(zhuǎn)型中的防護要求，企業(yè)亟須實時、全面、統(tǒng)一管理的安全防護手段。應(yīng)運而生的SASE架構(gòu)更能適應(yīng)邊緣計算、云服務(wù)和混合云等IT環(huán)境，更快速、更安全地幫助企業(yè)完成數(shù)字化轉(zhuǎn)型。

2 SASE云安全架構(gòu)

2.1 SASE主要特征

根據(jù)Gartner的定義，SASE有如下4個主要特征。

（1）身份驅(qū)動

不僅僅是IP地址，用戶和資源身份也決定網(wǎng)絡(luò)互連體驗和訪問權(quán)限級別。服務(wù)質(zhì)量、路由選擇、應(yīng)用的風(fēng)險安全控制——這些都由與每個網(wǎng)絡(luò)連接相關(guān)聯(lián)的身份所驅(qū)動。采用該方法，公司企業(yè)為用戶開發(fā)一套網(wǎng)絡(luò)和安全策略，無須考慮設(shè)備或地理位置，從而降低運營開銷。

（2）云原生架構(gòu)

SASE架構(gòu)利用云的幾個主要功能，包括彈性、自適應(yīng)性、自恢復(fù)能力和自維護功能，提供一個可以分?jǐn)偪蛻糸_銷以提供最大效率的平臺，可方便地適應(yīng)新興業(yè)務(wù)需求，而且隨處可用。

（3）支持所有邊緣

SASE為所有公司資源（數(shù)據(jù)中心、分公司、云資源和移動用戶）創(chuàng)建了一個網(wǎng)絡(luò)。舉個例子，SD-WAN設(shè)備支持物理邊緣，而移動客戶端和無客戶端瀏覽器連接四處游走的用戶。

（4）全球分布

為確保所有網(wǎng)絡(luò)和安全功能隨處可用，并向全部邊緣交付盡可能好的體驗，SASE云必須全球分布。因此，Gartner指出，必須擴展自身覆蓋面，向企業(yè)邊緣交付低時延服務(wù)。

最終，SASE架構(gòu)的目標(biāo)是要能夠更容易地實現(xiàn)安全的云環(huán)境。SASE以一個安全的全球SD-WAN服務(wù)代替了難以管理的技術(shù)大雜燴。

2.2 業(yè)界主流觀點及架構(gòu)

數(shù)字業(yè)務(wù)轉(zhuǎn)型顛覆了網(wǎng)絡(luò)和安全服務(wù)的設(shè)計模式，將重心轉(zhuǎn)到了用戶和設(shè)備的身份上，不再聚焦數(shù)據(jù)中心。SASE是一項云計算服務(wù)，降低了復(fù)雜性和成本，旨在向企業(yè)整體交付聚合的網(wǎng)絡(luò)和安全服務(wù)。SASE擺脫了分散集成和地理位置的約束，SASE分布式安全服務(wù)原理如圖2所示。

SASE將網(wǎng)絡(luò)控制置于云端邊緣，而不是企業(yè)數(shù)據(jù)中心。與需要單獨配置和管理的分層云服務(wù)不同，SASE 簡化了網(wǎng)絡(luò)和安全服務(wù)，以創(chuàng)建安全、無縫的網(wǎng)絡(luò)邊緣。通過在邊緣網(wǎng)絡(luò)上實施基于身份的零信任訪問策略，企業(yè)可以將其網(wǎng)絡(luò)邊界擴展到任何遠(yuǎn)程用戶、分支機構(gòu)、設(shè)備或應(yīng)用程序。這消除了對傳統(tǒng)VPN和防火墻的需求，并使企業(yè)能夠更細(xì)致地控制其網(wǎng)絡(luò)安全策略。

圖2 SASE 分布式安全服務(wù)原理

2.3 SASE核心工作原理

SASE的理念是借助SD-WAN搭建的虛擬化架構(gòu)去集中化，將核心能力附加到邊緣進行，以滿足當(dāng)前和未來云上和移動業(yè)務(wù)的動態(tài)需求。SASE將軟件定義廣域網(wǎng)（SD-WAN）能力與多種安全功能整合，通過單一云平臺進行交付和管理。SASE產(chǎn)品5個核心安全部分和工作原理如下。

（1）安全Web網(wǎng)關(guān)（secure Web gateway，SWG）

SWG也稱為安全互聯(lián)網(wǎng)網(wǎng)關(guān)，它從Web流量中過濾不需要的內(nèi)容，阻止未經(jīng)授權(quán)的用戶行為，并執(zhí)行公司安全策略，從而防止網(wǎng)絡(luò)威脅和數(shù)據(jù)泄露。SWG可以部署在任何地方，因此是確保遠(yuǎn)程員工安全的理想選擇。

（2）云訪問安全代理（cloud access security broker，CASB）

CASB為云托管服務(wù)執(zhí)行多項安全功能，包括揭示影子 IT（未經(jīng)授權(quán)的公司系統(tǒng)）、通過訪問控制和數(shù)據(jù)丟失防護（DLP）保護機密數(shù)據(jù)、確保符合數(shù)據(jù)隱私法規(guī)等。

（3）防火墻即服務(wù)（firewall-as-a-service，F(xiàn)WaaS）

FWaaS是指用云端防火墻服務(wù)作為交付的防火墻，保護云端平臺、基礎(chǔ)設(shè)施和應(yīng)用程序免受網(wǎng)絡(luò)攻擊。與傳統(tǒng)防火墻不同，F(xiàn)WaaS 不是物理設(shè)備，而是一組安全能力，其中包括 URL 過濾、入侵防御以及對所有網(wǎng)絡(luò)流量的統(tǒng)一策略管理。

（4）零信任網(wǎng)絡(luò)訪問（zero-trust network access，ZTNA）

ZTNA平臺鎖定內(nèi)部資源，不允許公開查看，并要求對每個受保護應(yīng)用程序的每個用戶進行實時驗證，以幫助防止?jié)撛诘臄?shù)據(jù)泄露。

（5）遠(yuǎn)程瀏覽器隔離（remote browser isolation，RBI）

RBI是讓瀏覽器運行在遠(yuǎn)程云端的安全沙箱里，和本地終端隔離，這樣即使瀏覽器被感染，惡意軟件也無法侵害終端用戶的系統(tǒng)。

3 SASE實踐方案

SASE架構(gòu)作為業(yè)界的主流方向，交換中心也對此進行了探索，并設(shè)計了交換中心SASE架構(gòu)，旨在為上云客戶提供更安全的環(huán)境。本文將從能力架構(gòu)方案、系統(tǒng)架構(gòu)方案、安全資源池服務(wù)編排方案3方面具體闡述SASE架構(gòu)的組成，然后通過對實際的部署方案的闡述說明本架構(gòu)的優(yōu)化點、核心能力和價值優(yōu)勢。

3.1 SASE能力架構(gòu)方案

核心能力是即插即用可視化、網(wǎng)絡(luò)優(yōu)化與安全管控。主要分為兩大部分：安全云管理平臺和安全資源池。交換中心SASE能力架構(gòu)方案如圖3所示。

安全云管理平臺用于集中管理各類軟硬件安全產(chǎn)品，實現(xiàn)云安全服務(wù)靈活編排，為云平臺和云租戶提供靈活、高性能的安全能力。平臺能夠提供安全服務(wù)化、流量編排、策略管理、計量計費、態(tài)勢呈現(xiàn)等諸多功能，為各類政企用戶的云安全保駕護航。

安全云平臺與業(yè)務(wù)云平臺松耦合，通過部署獨立的安全資源池實現(xiàn)在不改變原有云結(jié)構(gòu)的同時，為平臺和租戶提供全方面的安全能力。平臺除了可通過獨立的界面實現(xiàn)安全組件的資源管理、策略管理和資源監(jiān)控外，還提供統(tǒng)一的計量計費、服務(wù)模板、工單流轉(zhuǎn)、運營與運維大屏等諸多內(nèi)容。

在面向需要高性能的大型場景時，由于租戶數(shù)量多、服務(wù)節(jié)點數(shù)多，增加軟硬混合資源池方案，即為該場景使用頻率較高的安全設(shè)施配置專用高性能硬件，其余則通過平臺調(diào)度。該方案的優(yōu)勢為通過高性能的硬件安全資源與靈活的軟件安全資源結(jié)合的方式，保障業(yè)務(wù)的穩(wěn)定性與高效性。安全能力可以靈活選擇，具有全網(wǎng)統(tǒng)一的安全運營與運維視角。

3.2 SASE系統(tǒng)架構(gòu)方案

SASE系統(tǒng)架構(gòu)方案主要包含三大模塊：統(tǒng)一的云安全一體化管理平臺、集中化安全能力池和近源端安全能力池。交換中心SASE系統(tǒng)架構(gòu)如圖4所示。

圖3 SASE能力架構(gòu)方案

（1）統(tǒng)一的云安全一體化管理平臺

平臺可以適用不同場景、不同業(yè)務(wù)的云用戶，為用戶提供多場景、個性化安全能力服務(wù)；平臺可以實現(xiàn)對集中化安全能力池和云網(wǎng)POP近源端安全能力池的集中調(diào)度管理；平臺擁有標(biāo)準(zhǔn)API與各安全組件對接，實現(xiàn)安全能力的統(tǒng)一配置、編排和使用。

（2）集中化安全能力池

監(jiān)測審計類等安全能力集中云化部署，實現(xiàn)資源化、服務(wù)化和目錄化，按需快速開通調(diào)用；向云側(cè)輸出可調(diào)用的安全能力；安全能力資源共建共享，節(jié)約化建設(shè)運營。

（3）近源端安全能力池

部分網(wǎng)關(guān)類安全能力近源端部署，沉入云內(nèi)，作為集中安全能力池的延伸，經(jīng)由安全管理平臺統(tǒng)一管理，通過近源網(wǎng)絡(luò)流量牽引實現(xiàn)安全防護。快速實現(xiàn)云平臺內(nèi)南北向流量的檢測防護，保證用戶對安全能力的性能需求。

3.3 SASE安全資源池服務(wù)編排方案

對城域流量和云租戶訪問流量的防護，編排不同的服務(wù)方案，對城域流量同步鏡像給態(tài)勢感知平臺進行威脅檢測，交換中心SASE安全資源池服務(wù)編排方案如圖5所示。

圖4 交換中心SASE系統(tǒng)架構(gòu)

方案說明如下。

● 安全云管理平臺實現(xiàn)對安全產(chǎn)品的納管，可實現(xiàn)對軟硬件資源的拉起、調(diào)度、編排、策略管理、計量計費、報表、統(tǒng)一運維、數(shù)據(jù)運營等功能。

● 防火墻、負(fù)載均衡和交換機等硬件設(shè)備，采用雙機方式部署，提高網(wǎng)絡(luò)的可靠性。

● 規(guī)劃單獨的安全資源池，虛擬化的安全網(wǎng)元（堡壘機、WAF、數(shù)據(jù)庫審計等）采用虛擬機上線方式接入租戶業(yè)務(wù)網(wǎng)絡(luò)。

● 安全云管理平臺對安全資源池內(nèi)的網(wǎng)元納管以及安全業(yè)務(wù)網(wǎng)元將安全日志發(fā)送給態(tài)勢感知直接走安全網(wǎng)元的管理網(wǎng)通道。

本方案優(yōu)勢如下。

● 通過高性能的硬件安全資源與靈活的軟件安全資源結(jié)合的方式，保障業(yè)務(wù)的穩(wěn)定性與高效性。

● 全網(wǎng)統(tǒng)一的安全運營與運維視角。

3.4 SASE組網(wǎng)拓?fù)?/h3>

接入企業(yè)通過邊緣網(wǎng)關(guān)接入交換中心，由邊緣網(wǎng)關(guān)部署的安全綜合網(wǎng)關(guān)提供安全防護，而后接入公有云和邊緣云，或經(jīng)過外墻和抗DDoS攻擊等防護后接入經(jīng)互聯(lián)網(wǎng)接入邊緣云。交換中心SASE組網(wǎng)拓?fù)淙鐖D6所示。

該組網(wǎng)拓?fù)涞膬?yōu)化點如下。

（1）中小企業(yè)簡化組網(wǎng)

中小企業(yè)可以直接接入邊緣網(wǎng)關(guān)，使用邊緣網(wǎng)關(guān)的防護能力，也可以使用SD-WAN通過互聯(lián)網(wǎng)接入外墻，一點接入訪問各公有云和邊緣云節(jié)點，大大簡化了中小企業(yè)的組網(wǎng)結(jié)構(gòu)。

（2）多邊緣節(jié)點統(tǒng)一安全納管

由云安全管理中心對全網(wǎng)安全設(shè)備進行統(tǒng)一納管，實現(xiàn)全網(wǎng)能力可視、資源可視、安全狀態(tài)可視。

圖5 SASE安全資源池服務(wù)編排方案

圖6 SASE組網(wǎng)拓?fù)?/p>

（3）運維審計能力集中上收

在交換中心統(tǒng)一部署安全能力池，實現(xiàn)運維審計各項功能集中管理，實現(xiàn)可管可控。

（4）安全綜合網(wǎng)關(guān)近源端流量防護

將安全綜合網(wǎng)關(guān)部署在近源端，就近防護，減少對其他企業(yè)的影響。部署方式可以是獨立部署方式，也可以是池化部署方式，當(dāng)采用池化部署方式時，由云安全中心統(tǒng)一為所有客戶分配安全能力池資源。

3.5 SASE核心能力

（1）靈活接入

依托廣覆蓋的網(wǎng)絡(luò)資源，為各種分布式用戶、場所提供隨時隨地的靈活接入，并實現(xiàn)性能、可靠性、安全性的精確控制，幫助企業(yè)安全地實現(xiàn)數(shù)字化轉(zhuǎn)型所需的動態(tài)接入和訪問能力。

（2）跨地加速

憑借SD-WAN的核心優(yōu)勢，通過將網(wǎng)絡(luò)設(shè)備的控制面與數(shù)據(jù)面分離，實現(xiàn)了網(wǎng)絡(luò)流量的靈活控制，使網(wǎng)絡(luò)作為管道更加智能，為企業(yè)提供多維度的網(wǎng)絡(luò)加速能力。

（3）身份驅(qū)動

融合零信任安全理念，將身份作為安全策略最重要的上下文因素，通過用戶、設(shè)備、時間、場地、被訪問應(yīng)用和數(shù)據(jù)靈敏度等多維度信息，實現(xiàn)針對網(wǎng)絡(luò)服務(wù)質(zhì)量、路由選擇、應(yīng)用安全風(fēng)險控制的細(xì)粒度落地。

（4）按需安全

將云原生安全能力與網(wǎng)絡(luò)能力進行全面融合，能夠根據(jù)用戶實際需要，在鄰近實體的分布式執(zhí)行點處，按需提供滿足安全監(jiān)管需求、企業(yè)安全策略以及具體業(yè)務(wù)安全需求的安全能力。

（5）持續(xù)運營

以公司集中化安全運營服務(wù)能力為依托，為用戶提供持續(xù)的態(tài)勢感知、事件監(jiān)測、威脅分析、情報管理、通報預(yù)警、應(yīng)急處置等服務(wù)能力，幫助用戶實現(xiàn)安全能力的切實落地和安全事件的高效應(yīng)對。

3.6 SASE價值優(yōu)勢

（1）提升用戶多場景下網(wǎng)絡(luò)和安全的性能保障

通過POP（point of purchase）提供基于時延優(yōu)化的路由策略，全面支持企業(yè)數(shù)字化轉(zhuǎn)型、邊緣計算和員工移動接入等多場景下的網(wǎng)絡(luò)和安全需求，實現(xiàn)針對關(guān)鍵、敏感業(yè)務(wù)的性能和時延保障。

（2）增加用戶安全部署靈活度并降低安全建設(shè)成本

通過安全云交付的形式，企業(yè)的安全擴容需求擺脫傳統(tǒng)硬件容量的限制，可以根據(jù)需要隨時增加新的安全能力。同時，與傳統(tǒng)物理架構(gòu)模式相比，大幅降低了企業(yè)安全建設(shè)和擴容的成本。

（3）提升用戶安全效能并降低安全運營復(fù)雜度

企業(yè)安全技術(shù)人員不用再陷入安全基礎(chǔ)設(shè)施的常規(guī)配置和維護工作中，而可以專注于業(yè)務(wù)應(yīng)用的安全需求挖掘和策略規(guī)劃，有效降低安全運營的復(fù)雜度。

4 SASE能力驗證

在圖6組網(wǎng)拓?fù)湎?，企業(yè)通過專線或SD-WAN接入交換中心新型互聯(lián)網(wǎng)絡(luò)，通過SASE安全防護后提供至各公有云的訪問。交換中心通過實踐對新型SASE架構(gòu)的統(tǒng)一管控能力、零信任內(nèi)網(wǎng)訪問管控能力、入侵檢測與防御能力、精細(xì)化訪問控制能力進行了驗證，驗證結(jié)果如下。

（1）統(tǒng)一管控能力驗證

主要驗證云安全一體化管理平臺對全網(wǎng)安全資源池資源的管理能力，交換中心安全云管理平臺兼?zhèn)渚W(wǎng)絡(luò)、安全、配置、運維、資產(chǎn)、API管理等能力，達到預(yù)期效果。

（2）零信任內(nèi)網(wǎng)訪問管控能力驗證

實現(xiàn)通過自研HTTPS加密傳輸協(xié)議，基于動態(tài)身份認(rèn)證，支持端到端（TCP）、端到應(yīng)用（HTTP/HTTPS）的最小權(quán)限訪問控制。相較于傳統(tǒng)VPN訪問，訪問更快速、運維更高效、部署更便捷、系統(tǒng)安全性更高。

圖7 數(shù)據(jù)量化安全防護的顯示界面

（3）入侵檢測與防御能力驗證

云防火墻內(nèi)置了威脅檢測引擎，可對互聯(lián)網(wǎng)上的惡意流量入侵活動和常規(guī)攻擊行為進行實時阻斷和攔截，并提供精準(zhǔn)的威脅檢測虛擬補丁，智能阻斷入侵風(fēng)險。數(shù)據(jù)量化安全防護的顯示界面如圖7所示。

（4）精細(xì)化訪問控制能力驗證

實現(xiàn)統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務(wù)的訪問控制策略和業(yè)務(wù)與業(yè)務(wù)之間的微隔離策略，實現(xiàn)支持全網(wǎng)流量可視和業(yè)務(wù)間訪問關(guān)系可視，全面保護企業(yè)和用戶的網(wǎng)絡(luò)安全。

但由于現(xiàn)階段很多企業(yè)未能實現(xiàn)智能網(wǎng)關(guān)接入，因此未能實現(xiàn)Internet就近加密接入以獲得更加智能、可靠、安全的上云體驗，還需要不斷進行探索升級。

5 結(jié)束語

交換中心通過部署SASE 架構(gòu)，很好地滿足了企業(yè)上云的安全需求，也滿足了企業(yè)多分支機構(gòu)的安全管理、移動辦公安全管理、中小企業(yè)一體化辦公安全管理等場景的需求。在未來的發(fā)展中，隨著云安全重要性的提升，SASE架構(gòu)也會越來越完善，為用戶提供更豐富的解決方案，交換中心也需要與時俱進不斷探索，不斷滿足當(dāng)前和未來上云業(yè)務(wù)的動態(tài)需求。

[1] 李長連, 馬季春, 藺旋. 基于SD-WAN構(gòu)建SASE模型思路淺析[J]. 郵電設(shè)計技術(shù), 2021(06): 78-83.

LI C L, MA J C, LIN X. Research and design of SASE model based on SD-WAN[J]. Designing Techniques of Posts and Telecommunications, 2021(6): 78-83.

[2] 林世榮, 姜守旭. 軟件定義企業(yè)級無線網(wǎng)絡(luò)平臺設(shè)計與實現(xiàn)[J]. 智能計算機與應(yīng)用, 2021, 11(02): 210-215.

LIN S R, JIANG S X. Design and implementation of software defined enterprise wireless network platform[J]. Intelligent Computer and Applications, 2021, 11(2): 210-215.

[3] 章岐貴, 黃海, 汪有杰. 基于零信任的軟件定義邊界安全模型研究[J]. 信息技術(shù)與信息化, 2020(11): 92-94.

ZHANG Q G, HUANG H, WANG Y J. Research on software definition boundary security model based on zero trust[J]. Information Technology and Informatization, 2020(11): 92-94.

[4] 康敏. 內(nèi)生安全SD-WAN網(wǎng)絡(luò)架構(gòu)與關(guān)鍵設(shè)備方案研究[J]. 信息安全與通信保密, 2021, 19(7): 95-104.

KANG M. Research on an endogenous safety SD-WAN network architecture and technical proposal of key equipment[J]. Information Security and Communications Privacy, 2021, 19(7): 95-104.

[5] 網(wǎng)絡(luò)安全的未來在云端[EB]. 2019.

secure-access-service-edge[EB]. 2019.

Research and practice of SASE cloud security

YE Chaoyang, WANG Xin, ZHANG Shicong, ZHAN Zhiyong, LIU Yisha

Zhejiang Province New-Type Internet Exchange Point Co., Ltd.,Hangzhou 311215,China

With the development of the Internet today, earth shaking changes have taken place compared with the traditional network. In today's network reform, "cloud" has become the mainstream direction of the evolution of enterprise IT architecture, so the requirements for cloud security are becoming higher and higher. The practical deployment scheme of SASE cloud security architecture was introduced to solve the problem of cloud security for customers. A unique and complete SASE solution was proposed, which combined security functions with SD-WAN functions, and realized real-time monitoring, intelligent analysis and automatic interception of malware or malicious activities by building a unified management and control platform and centralized deployment of core security resource pool. Practice has proved that the scheme achieves the expected results in unified management and control, intrusion detection and defense, fine access control and so on, and can fully ensure the cloud security of enterprises.

cloud security, SASE, SD-WAN

TN929

A

10.11959/j.issn.1000－0801.2022019

2021?10?28；

2021?12?20

葉朝陽（1976? ），男，浙江省新型互聯(lián)網(wǎng)交換中心有限責(zé)任公司高級工程師、總經(jīng)理，中國互聯(lián)網(wǎng)協(xié)會互聯(lián)網(wǎng)互聯(lián)互通工作委員會副主任委員，主要研究方向為新型互聯(lián)網(wǎng)交換中心相關(guān)的新技術(shù)、新業(yè)務(wù)的開發(fā)和推廣。

王欣（1973? ），男，浙江省新型互聯(lián)網(wǎng)交換中心有限責(zé)任公司副總經(jīng)理，主要研究方向為新型互聯(lián)網(wǎng)交換中心相關(guān)的新技術(shù)、新業(yè)務(wù)的開發(fā)和推廣。

張士聰（1990? ），男，浙江省新型互聯(lián)網(wǎng)交換中心有限責(zé)任公司技術(shù)部經(jīng)理，主要研究方向為新型互聯(lián)與網(wǎng)絡(luò)架構(gòu)。

詹智勇（1985? ），男，浙江省新型互聯(lián)網(wǎng)交換中心有限責(zé)任公司高級工程師，主要研究方向為新型互聯(lián)網(wǎng)絡(luò)架構(gòu)、新型互聯(lián)網(wǎng)絡(luò)安全等。

劉伊莎（1992? ），女，浙江省新型互聯(lián)網(wǎng)交換中心有限責(zé)任公司IT工程師，主要研究方向為新型互聯(lián)與網(wǎng)絡(luò)架構(gòu)信息化。