安全接入服务边缘是Gartner的一种模式,用于简化网络接入,提高安全性,提升网络性能,并减少IT专业人士必须处理的供应商和设备的数量。
安全接入服务边缘(SASE)是一个网络架构,它将软件定义的广域网(SD-WAN)和安全功能结合到一个统一的云服务中,承诺简化广域网部署,提高效率和安全性,以及特定的应用带宽策略。
SASE(发音为 "sassy")在2019年首次被Gartner概述,它已经从一个小众的、安全至上的SD-WAN替代方案迅速发展成为一个受欢迎的广域网领域,分析师预计在未来几年内将发展成为一个超过100亿美元的市场。
市场研究公司Dell'Oro集团预测,到2026年,SASE市场将增加两倍,达到130亿美元。Gartner更看好,预测SASE市场在2020年至2025年期间将以36%的年复合增长率增长,到2025年达到147亿美元。
什么是SASE?
SASE将SD-WAN与一套安全服务整合在一起,帮助企业安全地适应不断扩大的边缘,包括分支机构、公共云、远程工作人员和物联网网络。
虽然一些SASE供应商提供硬件设备,将边缘用户和设备连接到附近的存在点(PoP),但大多数供应商通过软件客户端或虚拟设备处理连接。SASE通常作为一项单一的服务被消费,但也有一些移动的部分,所以一些SASE产品将来自不同合作伙伴的服务组合在一起。
在网络方面,SASE的关键功能是广域网优化、内容交付网络(CDN)、缓存、SD-WAN、SaaS加速和带宽聚合。使SASE的广域网方面发挥作用的供应商包括SD-WAN供应商、运营商、内容交付网络、网络即服务(NaaS)供应商、带宽聚合商和网络设备供应商。
SASE的安全功能可以包括加密、多因素认证、威胁保护、数据泄漏预防(DLP)、DNS、防火墙即服务(FWaaS)、安全Web网关(SWG)和零信任网络访问(ZTNA)。SASE的安全方面依赖于一系列的供应商,包括云接入安全经纪人、云安全网络网关供应商、零信任网络接入供应商等。
各个供应商的功能集会有所不同,顶级SASE供应商正在投资先进的功能,如支持广域网链接的5G,先进的基于行为和背景的安全功能,以及用于故障排除和自动补救的集成AIOps。
理想情况下,所有这些功能都是由单一的服务提供商作为统一的SASE服务提供的,即使某些组件是由其他供应商白标的。
SASE的好处是什么?
因为它是作为一个统一的服务来收费的,SASE有望减少复杂性和成本。企业与更少的供应商打交道,分支机构和其他远程地点所需的硬件数量减少,终端用户设备上的代理数量也减少了。
SASE消除了IT部门的管理负担,同时也为那些必须留在内部的事情提供了集中控制,如设置用户政策。IT主管可以通过基于云的管理平台集中设置政策,而政策则在靠近终端用户的分布式PoP上执行。因此,无论终端用户需要什么资源,以及他们和资源在哪里,都能获得相同的访问体验。
SASE还简化了认证过程,根据最初的登录,为用户寻求的任何资源应用适当的政策。SASE还支持零信任网络,它根据用户、设备和应用程序,而不是位置和IP地址来控制访问。
安全性得到了提高,因为无论用户在哪里,政策都会被平等地执行。随着新威胁的出现,服务提供商解决如何保护它们,对企业没有新的硬件要求。
更多类型的终端用户--雇员、合作伙伴、承包商、客户--可以获得访问权,而没有传统安全--如VPN和DMZ--可能被破坏并成为对企业潜在攻击的滩头堡的风险。
SASE供应商可以提供不同质量的服务,因此每个应用程序都能获得它所需要的带宽和网络响应。有了SASE,企业的IT人员减少了与部署、监控和维护有关的琐事,可以分配更高级别的任务。
SASE 的挑战是什么?
考虑部署SASE的组织需要解决几个潜在的挑战。首先,一些功能最初可能不够用,因为它们是由具有网络或安全背景的供应商实施的,但他们可能在不擅长的领域缺乏专业知识。
另一个需要考虑的问题是,多合一服务的便利性是否比最佳工具的集合更能满足组织的需求。
具有销售企业内部硬件历史的供应商提供的SASE产品可能不会以云原生的思维方式设计。同样,传统的硬件供应商可能缺乏SASE所需的在线代理的经验,因此客户可能会遇到意想不到的成本和性能问题。
一些传统供应商也可能缺乏评估用户环境的经验,这可能会限制他们执行与环境相关的政策的能力。由于SASE的复杂性,供应商可能会有一个功能列表,他们说这是很好的整合,但实际上是一些不相干的服务,没有很好地缝合在一起。
由于SASE承诺提供对边缘的安全访问,服务提供商的全球足迹很重要。对一些SASE供应商来说,建立一个全球网络的成本可能太高。这可能会导致各地的性能不平衡,因为一些站点可能远离最近的PoP,带来延迟。
SASE的过渡也会给人员带来压力。当SASE跨越网络和安全团队时,争夺战就会爆发。更换供应商以采用SASE也可能需要重新培训IT人员来处理新技术。
什么在推动SASE的采用?
SASE的主要驱动力包括支持混合云、远程和移动工人、物联网设备,以及为MPLS和IPsec VPN等昂贵的技术找到可负担的替代方案。
作为数字化转型努力的一部分,许多组织正在寻求打破技术孤岛,消除VPN等过时的技术,并将平凡的网络和安全琐事自动化。SASE可以帮助实现所有这些目标,但你需要确保供应商对SASE的未来有一个与你自己一致的愿景。
根据Gartner的数据,目前在企业数据中心之外托管的传统数据中心功能比在数据中心内托管的功能要多--在IaaS供应商云中,在SaaS应用和云存储中。物联网和边缘计算的需求只会增加对基于云的资源的依赖,但典型的广域网安全架构仍然是针对企业内部数据中心的。
在后COVID时代的混合工作经济中,这构成了一个重大问题。传统的广域网模式要求远程用户通过VPN连接,在每个地点或个别设备上设置防火墙。传统模式还迫使用户对集中式安全进行认证,这些安全授予访问权,但也可能通过该中心位置路由流量。
这种模式没有规模。此外,在COVID冲击之前,这种传统的架构已经显示出它的年龄,但今天它的复杂性和延迟损害了竞争力。
有了SASE,终端用户和设备可以认证并获得对他们被授权的所有资源的安全访问,而用户则受到位于靠近他们的云中的安全服务的保护。一旦通过认证,他们可以直接访问资源,解决延迟问题。
什么是SASE架构?
传统上,广域网是由独立的基础设施组成的,往往需要大量的硬件投资。SD-WAN并没有取代这一点,而是增强了它,将非关键任务和/或非时间敏感的流量从昂贵的链接中移除。
在短期内,SASE可能不会取代像MPLS这样的传统服务,MPLS将为某些类型的关键任务流量保留下来,但在安全方面,IPsec VPN等工具可能会让位于云交付的替代品。
其他网络和安全功能将与底层基础设施脱钩,创建一个云优先的广域网,由软件定义和管理,并在全球网络上运行,最好是位于企业数据中心、分支机构、设备和员工附近。
有了SASE,客户可以监控网络的健康状况,并为他们的具体流量要求设置策略。由于来自互联网的流量首先经过供应商的网络,SASE可以检测到危险的流量,并在其到达企业网络之前进行干预。例如,DDoS 攻击可以在 SASE 网络内得到缓解,使客户免受恶意流量的冲击。
SASE的核心安全功能是什么?
SASE提供的主要安全功能包括:
- 防火墙即服务(FWaaS)
在今天的分布式环境中,用户和计算资源都位于网络的边缘。作为服务提供的灵活、基于云的防火墙可以保护这些边缘。随着边缘计算的发展和物联网设备变得更加智能和强大,这种功能将变得越来越重要。
将FWaaS作为SASE平台的一部分来提供,使企业更容易管理其网络的安全,设置统一的策略,发现异常情况,并迅速做出改变。
- 云访问安全代理(CASB)
随着企业系统从企业内部转移到SaaS应用,认证和访问变得越来越重要。企业使用CASB来确保他们的安全策略得到一致的应用,即使服务本身不在他们的控制范围内。
有了SASE,员工用来进入企业系统的同一门户也是他们被允许访问的所有云应用程序的门户,包括CASB。流量不必在系统外被路由到一个单独的CASB服务。
- 安全网络网关(SWG)
今天,网络流量很少被限制在一个预先定义的外围。现代工作负载通常需要访问外部资源,但可能有合规的理由拒绝员工访问某些网站。此外,公司希望阻止对钓鱼网站和僵尸网络命令和控制服务器的访问。即使是无害的网站也可能被恶意使用,例如,试图渗出敏感企业数据的员工。
SGW保护公司免受这些威胁。提供这种能力的SASE供应商应该能够在云规模上检查加密的流量。将SWG与其他网络安全服务捆绑在一起,可以提高可管理性,并允许有一套更统一的安全策略。
- 零信任网络访问(ZTNA)
零信任网络访问为企业提供了对访问企业应用和服务的用户和系统的细化可视性和控制。
ZTNA的一个核心要素是安全是基于身份的,而不是例如IP地址。这使得它更能适应移动劳动力,但需要额外的认证水平,如多因素认证和行为分析。
哪些其他技术可能是SASE的一部分?
除了这四个核心安全功能,各供应商还提供一系列额外的功能。
这些包括网络应用程序和API保护、远程浏览器隔离、DLP、DNS、统一威胁保护和网络沙箱。许多企业会发现两个有吸引力的功能是网络隐私保护和流量分散,这使威胁者难以通过追踪其IP地址或窃听流量流来找到企业资产。
其他可选功能包括Wi-Fi热点保护、对传统VPN的支持,以及对离线边缘计算设备或系统的保护。
对网络和安全数据的集中访问可以使公司运行整体的行为分析,发现威胁和异常,否则在孤立的系统中是不明显的。当这些分析作为基于云的服务提供时,将更容易包括更新的威胁数据和其他外部情报。
将所有这些技术汇集到SASE伞下的最终目标是为企业提供灵活和一致的安全、更好的性能和更少的复杂性--所有这些都是以较低的总拥有成本。
企业应该能够获得他们所需要的规模,而不必雇用相应数量的网络和安全管理员。
