SASE是一个什么样的黑科技

提起SASE这个词，可能对于大多数人都比较陌生，这是Gartner最新提出的一个技术理念，该理念很先进也很庞大，待您慢慢了解和熟悉整个SASE理论和预解决方案后，可能会觉得这是个了不起的创新。

在了解SASE前，首先要谈谈SD-WAN。那么，SD-WAN又是什么呢？

什么是SD-WAN

大家访问互联网几乎是每天都在进行，而技术人员对于WAN应该都很了解了。就是广域网（Wide Area Network），或者叫公网、外网也行。世界各地的WAN组成了我们现在的互联网。

但是传统WAN的架构设计是以数据中心为核心的集中式网络，所有末端数据最终都要回到核心处理，而后再返回到终端，这样的结构在如今的云计算/IoT环境下已经不再适用，而且也逐渐难以满足大家的需求。因此，SD-WAN出现了。

SD-WAN（software define Wide Area Network）即软件定义广域网。

思科对SD-WAN的描述：

软件定义广域网是一种用于管理广域网的软件定义方法。

主要优势包括：

1.不受传输方式限制，支持 MPLS、4G/5G LTE 和其他各种连接类型，可以降低运营成本。
2.提高应用性能和敏捷性。
3.优化软件即服务 (SaaS) 和公共云应用的用户体验与效率。
4.通过自动化和基于云的管理功能简化操作。

Cato Networks（Gartner官方推荐SASE厂商）对SD-WAN的描述：

组织工作的方式正在改变。工作在更多的地方完成，互联网已经成为商业运作的中心。这意味着企业网络也必须改变。答案便是——软件定义广域网(SD-WAN)。

SD-WAN为网络带来了无与伦比的灵活性和成本节约。使用SD-WAN，组织可以比企业传统的MPLS服务在更短的时间内以更低的成本交付响应更快、更可预测的应用程序。它更加敏捷，只需几分钟就可以部署站点；利用一切可用的数据服务，例如MPLS、专用互联网接入(Dedicated Internet Access,DIA)、宽频或无线网络；能够立刻重新配置网站。

SD-WAN通过使用基于策略的虚拟覆盖将应用程序与底层网络服务分离来实现这一点。该覆盖层监视底层网络的实时性能特征，并根据配置策略为每个应用程序选择最佳网络。

用简单通俗点的话来说就是，WAN就是我们平常出门所走的马路、公路、铁路，我们乘坐地面交通工具去想去的地方。但是，如果我要去比较远地方就要经过几段行程（公路、铁路、公路），往返费时费力。这时，突然有人提出来建立空中交通，在原有地面路线上边设置空中航线，大家可以乘坐空中交通工具出门，这样一来就能满足一些人的特殊需求。

图1：思科SD-WAN广域网交换矩阵 （来源：思科SD-WAN解决方案）

SD-WAN在WAN的基础上重新架设虚拟网络，通过VPN之类方式连接站点边缘，分为数据层面和控制层面。在这个虚拟化的网络架构中集成了路由策略和安全策略，以确保网络稳定安全运行。站点连接可以看成是航线，数据层就是乘客和飞机，控制层就是空管局中心，负责管理航空管制。

以上是用俗话解释的SD-WAN网络，便于大家理解，实际上并没有这么简单。官方一点的说明是这样的：

在SD-WAN中，位于站点边缘的专用设备连接到网络服务，通常是MPLS和至少两个Internet服务。通过这些服务，SD-WAN设备加入了一个与其他SD-WAN设备覆盖的加密隧道网络。在中央控制台配置的策略由设备使用基于策略路由算法推出并执行。当流量到达设备,SD-WAN软件评估潜在的网络服务的性能和可用性,引导数据包在最优服务任意时刻和预配置的应用程序策略，为一个特定的会话基于优先级和网络条件动态选择最优隧道。

SD-WAN的世界正在发展。基本概念的变化集中在完成大部分网络和安全处理的地方，为准备从遗留WAN服务转移的组织创建了一组丰富的供应商和服务提供者选择。

而其能够带来的好处和优势也很给力。

借助软件定义广域网，IT部门可以提供路由和威胁防护，充分提高昂贵电路的使用效率，合理分流流量负载，并且简化广域网网络管理。业务优势包括：

改善应用体验

1.利用可预测的服务使多数关键企业应用实现高可用性
2.提供适用于多数网络场景的多个双活混合链路
3.利用应用感知路由动态地路由应用流量，实现高效传输并改善用户体验。
4.减少运营支出。将昂贵的多协议标签交换 (MPLS) 服务替换为更经济灵活的宽带（包括安全 VPN 连接）（个人觉得替代MPLS可能短时间内不太可能）

更安全

1.实施具有端到端分段和实时访问控制的应用感知策略
2.在适当的地方实施综合威胁防护
3.保护宽带互联网和进入云端的流量的安全
4.利用下一代防火墙、DNS安全和下一代防病毒解决方案将安全保护分布到分支机构和远程终端

优化云连接

1.将广域网无缝扩展到多个公有云
2.为 Microsoft Office 365、Salesforce 和其他主要 SaaS 应用实时优化性能
3.为 Amazon Web Services (AWS) 和 Microsoft Azure 等云平台优化工作流程

简化管理

1.采用单个集中式云交付管理控制面板，可用于配置和管理广域网、云和安全保护功能
2.可以实现适用于所有位置（分支机构、园区和云）的基于模板的零接触调配
3.提供详细的应用和广域网性能报告，用于进行业务分析和带宽预测

从思科IDC白皮书调查中，SD-WAN能够给组织带来的收益主要在于：

1.带宽增加 2.25 倍
2.同等带宽连接成本降低 65%
3.五年运营成本降低 38%
4.WAN 管理效率提升 33%
5.新服务自行激活速度提高59%
6.策略和配置更改实施速度提高 58%
7.意外停机时间减少 94%
8.应用延迟降低 45%
9.每个组织每年收入增加 1498万美元

图2：受访组织数据（来源：IDC白皮书|思科 SD-WAN 解决方案的商业价值）

SASE又是什么

好的，现在对SD-WAN有了一个基本的了解（如果想深入研究的可以去思科、VMware、Cato官方网站查看）。接下来，我们来说说SASE（Secure Access Service Edge），安全访问服务边缘。

最初接触SASE（发音同sassy）是Gartner的《 The Future of Network Security Is in the Cloud 》这篇报告（有关报告内容，可自行阅读），全篇都是在讲SASE，而且推荐了号称搭建了全球第一家SASE平台的厂商Cato Networks.下文有关SASE的理念和架构，也都是参考Cato。

在Gartner的《Top 10 strategic technology trends for 2020》报告中也提到了边缘赋能（Trend No.6）这项技术趋势（可参考本人翻译的中文报告《 Gartner：2020年十大战略技术趋势（下篇） 》）。从报告中可以看出，SASE是其主推的一项创新技术，因为SASE集成了敏捷、自动化、CARTA（持续自适应风险与信任评估）、ZTNA（零信任网络访问）、Advance APT防护等技术。可以说，近几年Gartner所提的新兴技术大多都涵盖到SASE架构中。下面我们初步认识一下它。

SASE是做什么的？

SASE用于从分布式云服务交付聚合的企业网络和安全服务。SASE克服了分散集成和地理位置约束解决方案的成本、复杂性和刚性。当SASE与全球私有骨干网相结合时，还可以解决WAN和云连接方面的挑战。

SD-WAN和SASE的区别？

SD-WAN是SASE平台的关键组件，它将分支位置和数据中心连接到SASE云服务。SASE扩展了SD-WAN，以解决包括全球范围内的安全性、云计算和移动性在内的整个WAN的转换过程。

SASE比SD-WAN更好么？

SD-WAN只是广域网转型的第一步。它缺乏关键的安全功能、全球连接能力以及对云资源和移动用户的支持。一个完整的SASE平台可以支持整个WAN转换过程，因为它使IT能够以敏捷和经济有效的方式提供业务需求的网络和安全功能。

SASE是否安全？

SASE是端到端安全。SASE平台上的所有通信都是加密的。包括解密、防火墙、URL过滤、反恶意软件和IP在内的威胁预防功能都被集成到SASE中，并且对所有连接的边缘都可用。

虽然是很耀眼的技术，但毕竟刚刚被提出来，发展和成熟需要时间，而且这种规模的架构也不是一般组织能够承建的，报告中在概要中就说明了： 为了实现低延迟地随时随地访问用户、设备和云服务，企业需要具有全球 POP 点和对等连接的 SASE 产品。 因此，追新是好事，但不能盲目。

Gartner对SASE的定义： SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。

SASE的核心是身份，即身份是访问决策的中心，而不再是企业数据中心。这也与零信任架构和CARTA理念相一致，基于身份的访问决策。

图 3：SASE 身份为中心的架构

用户、设备、服务的身份是策略中最重要的上下文因素之一。但是，还会有其他相关的上下文来源可以输入到策略中，这些上下文来源包括：用户使用的设备身份、日期、风险/信任评估、场地、正在访问的应用或数据的灵敏度。企业数据中心仍存在，但不再是网络架构的中心，只是用户和设备需要访问的众多互联网服务中的一个。

这些实体需要访问越来越多的基于云的服务，但是它们的连接方式和应用的网络安全策略类型将根据监管需求、企业策略和特定业务领导者的风险偏好而有所不同。就像智能交换机一样，身份通过 SASE 供应商在全球范围内的安全访问能力连接到所需的网络功能。

SASE 按需提供所需的服务和策略执行，独立于请求服务的实体的场所（图4）和所访问能力。

图4：SASE技术栈 — 基于身份和上下文的动态应用

SASE云服务的主要特点

SASE详细介绍了企业网络和安全的体系结构转换，这将使它能够为数字业务提供全面、敏捷和可适应的服务。SASE云服务有4个主要特点： 身份驱动 、 云原生 、 支持所有边缘 (WAN、云、移动、边缘计算)、 全球分布 。

身份驱动

不仅仅是 IP 地址，用户和资源身份决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由与每个网络连接相关联的身份所驱动。采用该方法，公司企业为用户开发一套网络和安全策略，无需考虑设备或地理位置，从而降低运营开销。

云原生

SASE 架构利用云的几个主要功能，包括弹性、自适应性、自恢复能力和自维护功能，提供一个可以分摊客户开销以提供最大效率的平台，可很方便地适应新兴业务需求，而且随处可用。

支持所有边缘

SASE 为所有公司资源创建了一个网络——数据中心、分公司、云资源和移动用户。举个例子，软件定义广域网 (SD-WAN) 设备支持物理边缘，而移动客户端和无客户端浏览器访问连接四处游走的用户。

全球分布

为确保所有网络和安全功能随处可用，并向全部边缘交付尽可能好的体验，SASE 云必须全球分布。因此，必须扩展自身覆盖面，向企业边缘交付低延迟服务。

图5：SASE全球PoP（Points of Presence）来源：Cato Networks官网

最终，SASE 架构的目标是要能够更容易地实现安全的云环境。SASE 提供了一种摒弃传统方法的设计理念，抛弃了将 SD-WAN 设备、防火墙、IPS 设备和各种其他网络及安全解决方案拼凑到一起的做法。SASE以一个安全的全球SD-WAN服务代替了难以管理的技术大杂烩。

SASE的理念就是借助SD-WAN搭建起来的虚拟化架构去集中化，将核心能力附加到边缘，使数据处理和安全能力都在边缘进行，以满足当前和未来云上和移动业务的动态需求。

SASE框架和能力

为云原生构建统一管理的SD-WAN服务

提供一个全局的、安全管理的SD-WAN服务。能够从遗留的MPLS(一组单点解决方案和昂贵的托管服务)转移到简单、敏捷和可负担得起的网络。自助服务还是托管服务取决于自己。

图6：Cato云平台 来源：Cato Netwoks官网

用云原生网络架构取代传统的电信网络。将全球私有主干网、Edge SD-WAN、安全即服务（SaaS）、安全优化的云和移动访问聚合到一个云服务中。因此，云解决了组织的全球网络、安全、云和移动需求，以支持完整的WAN转换过程。

SASE能力

核心能力：即插即用可视化，优化与管控

SASE体系结构由两个核心组件组成。 SASE云 充当网络和安全功能的聚合器。 SASE边缘连接器 将流量从物理、云和设备边缘驱动到SASE云处理。SASE使用一个单通道的流量处理引擎来有效地应用优化和安全检查，并为所有流量提供丰富的前后关联。将SASE模型与堆叠单点产品进行对比，在堆叠单点产品中，每个产品分析特定需求的流量，增加解密等操作的开销，并且缺少在其他网络和安全点产品中生成的前后联系。SASE可选能力包括：

1.认证：在连接边缘时，动态风险评估驱动多因素认证的激活。
2.访问：对关键应用程序和服务的访问由支持应用程序和用户的下一代防火墙策略控制。此外，零信任网络访问模型可以确保用户只能访问授权的应用程序，而不能获得一般的网络访问权限。
3.优先级：应用程序标识为流量分配优先级，以对损失敏感（loss-sensitive）的应用程序进行优化（如VOIP和虚拟桌面访问（VID）），而不是其他流量（如常规的Internet浏览）。
4.解密：为启用深度包检查，可以对加密的通信流进行一次解密，从而允许多个威胁预防引擎处理这些通信流。
5.威胁预测：多个安全引擎解析流量以检测有风险的访问。这包括寻找恶意网站的安全Web网关、防止下载恶意文件的反恶意软件、停止指示机器人活动的入站和出站异常连接的IPS等等。
6.数据防泄漏：SASE应用特定的数据防泄漏规则来检测网络流量中的敏感数据并阻止其泄漏。类似地，云访问服务代理(CASB)可以对云应用程序实施粒度访问控制。

这是SASE功能的一个子集，SASE体系结构的设计目的是用新引擎快速扩展“单通道流量处理引擎”。SASE这个独特优势是未来的网络向SASE云扩展，新的功能无缝扩展到任何人和任何地方。类似地，使SASE云服务适应新的威胁或攻击载体可以集中完成，并立即影响所有企业和所有边缘，而不需要部署或激活这些新增功能（类似思科APIC自动化即插即用）。

SASE安全架构

SASE安全架构包括以下几个组件：PoP实例、边缘、安全即服务、威胁检测与响应管理（MDR）。

PoP实例—流量处理引擎

PoP结构

核心云网络, 由地理上分布的PoPs(Points of Presence)组成，每个PoP运行多个处理服务器。每个PoP运行一个专门构建的软件栈，在所有流量上应用路由、加密、优化和高级安全服务。PoP由运行相同软件栈的多个功能强大的现有服务器(commodity off the shelf servers,COTS)组成。

PoP的可扩展性和灵活性

PoPs的设计是为了处理大量的流量。通过将服务器实例添加到相同的PoP(垂直扩展)或在新位置添加PoP(水平扩展)，可以扩展处理能力。因为云平台来维护基础设施，所以客户不必调整他们的网络安全环境。所有许可的内容，即使被加密，也保证被所有受许可的安全服务的PoP处理。

如果PoP服务器实例失效,受影响边缘自动重新连接到同一个PoP的可用服务器。如果一个PoP完全失效，受影响的边缘将连接到最近的可用PoP。无论企业资源连接到哪个PoP, 云始终维护一个一致的逻辑企业网络，创建相应程度的可用性和弹性。

PoP内置抗DDoS

PoPs的设计用以处理大流量的同时。弹性能力使云能够适应客户增长和抵御各种类型的泛洪攻击。为了减少攻击面，只有授权站点和移动用户可以连接并发送流量到主干。PoP外部IP地址受特定的抗DDoS措施保护，如SYN cookie机制和速率控制机制。云平台拥有一组IP，部分用于自动将目标站点和移动用户重新分配到未受影响的地址。

PoP全连接加密

所有PoP都是通过完全加密的隧道互相连接。加密算法是AES-256，并使用受限制的对称密钥(每个PoP实例)。密钥每60分钟变化一次，以减少暴露。

深度包检测

PoP软件包括一个深度包检测(Deep Packet Inspection, DPI)引擎，该引擎以网速处理大量流量，包括报头或有效载荷。DPI引擎用于多种安全服务，包括NGFW反恶意软件、IDS/IPS和网络控制(SD-WAN)。

DPI引擎自动识别第一数据包中成千上万的应用程序和数以百万计的域名。这个健壮的库由第三方网址分类引擎和机器学习算法不断丰富,挖掘大量数据仓库建立元数据的所有流量贯穿整个云。客户还可以通过云平台工程师为他们配置自定义应用程序或策略。

TLS检测

PoP可以在针对高级威胁保护服务(如反恶意软件和IDPS)的TLS加密通信流上执行DPI。TLS检查必不可少，因为现在所有互联网流量大部分是加密的，恶意软件使用加密来逃避检测。启用TLS检查后，将对加密通信进行解密和检查。所有操作都是在PoP中完成的，因此没有性能限制。要解密，客户必须在其网络上安装云平台证书。客户可以创建规则来选择性地应用TLS检验流量的一个子集,如过滤数据包的应用程序中、服务领域、类别、不包括数据包从受信任的应用程序、出于合规性即使解密不是应用或配置、所有NGFW流量、URL过滤、和IPS规则涉及的元数据（如IP地址和URL）。

云上边缘

Socket和设备连接

客户通过加密的通道连接到云。隧道可以通过多种方式建立。socket是部署在物理位置的零接触设备。为了获得最佳的安全性和效率，socket通过DTLS隧道动态连接到最近的PoP。如果隧道由于PoP故障而断开连接，socket会重新将隧道连接到最近的可用PoP。或者，客户可以使用支持IPsec或GRE的设备(如UTMs或防火墙)连接到最近的PoP。

socket具备的保护措施：

1.阻断外部通信流量，只允许经过身份验证的流量
2.通过HTTPS或SSH连接内部接口的管理访问
3.管理员首次登陆强制重置密码
4.不存储数据包中的数据
5.对所有通信加密
6.通过加密通信、加密身份验证(数字签名软件包)安全分发更新

笔记本和移动设备客户端

云平台客户端运行在移动设备上，包括个人电脑、平板电脑和智能手机，包括Windows、Mac、iOS和Android。客户端使用设备VPN功能通过隧道连接到云。其他的VPN客户端也可以获得支持。

可以通过与Active Directory集成，或通过管理应用程序中的用户配置来启动移动用户的登陆面板。用户受邀请通过电子邮件注册到云。用户利用专用门户通过几个步骤为自己提供服务。用户身份验证可以通过几种方式进行：

1.用户名和密码
2.多因素认证（MFA）
3.单点登录（SSO）

安全即服务

安全即服务是一组企业级、敏捷的网络安全功能，作为紧密集成的软件堆栈的一部分直接构建到云网络中。目前的服务包括下一代防火墙(NGFW)、安全Web网关(SWG)、高级威胁预防、安全分析和管理威胁检测和响应(MDR)服务。因为云平台控制代码，所以可以快速引入新的服务，而不会对客户环境造成影响。客户可以有选择地启用服务，配置它们来执行公司策略。

下一代防火墙

1）应用感知

NGFW提供完整的应用程序感知，无论端口、协议、规避技术或SSL加密。DPI引擎分类相关的上下文，如应用程序或服务，早在第一个包且没有SSL检查时。相关的信息是提取自网络元数据。Cato研究实验室不断丰富应用程序库，以扩大覆盖面。

对于网络和安全监控，整个Cato都可以使用DPI分类的上下文；对“影子IT”识别和其他趋势的网络可视化；或者用于像强制执行阻塞/允许/监视/提示规则这类的强制执行。

平台提供了一个签名和解析器的完整列表，用于识别常见的应用程序。此外，自定义应用程序定义根据端口、IP地址或域标识特定于帐户的应用程序，这两类应用程序定义可供运行在云中的安全规则使用。

2）用户感知

平台使管理员能够创建上下文安全策略，方法是基于单个用户、组或角色定义和启用对资源的访问控制。此外，平台的内置分析可以被网站、用户、组或应用程序查看，以分析用户活动、安全事件和网络使用情况。

根据定义，不同的段之间不允许流量通信，允许这样的连接需要创建局部划分规则，由平台socket执行，或者创建WAN防火墙规则，由云在完全检查流量的情况下执行。

3）WAN流量保护

利用WAN防火墙，安全管理员可以允许或阻止组织实体(如站点、用户、主机、子网等)之间的通信。默认情况下，平台的广域网络防火墙遵循一种白名单方法，有一个隐式的任意块规则。管理员可以采用这种方法，也可以切换到黑名单方式。

4）Internet流量保护

通过使用Internet防火墙，安全管理员可以为各种应用程序、服务和网站设置允许或阻止网络实体(如站点、个人用户、子网等)之间的规则。默认情况下，平台的Internet防火墙遵循黑名单方法，有一个隐式的any-any permit规则。因此，要阻止访问，必须定义显式阻止一个或多个网络实体到应用程序的连接规则。管理员可以在必要时切换到白名单方式。

安全Web网关

SWG允许客户根据预定义和/或自定义的类别监视、控制和阻止对网站的访问。云在对特定可配置类别的每个访问上创建安全事件的审计跟踪。管理员可以根据URL类别配置访问规则。

URL分类与过滤规则

即来即用,平台提供了一个预定义策略的几十种不同的URL类别，包括安全类别、疑似垃圾邮件和恶意软件。作为默认策略的一部分,每个类别设置一个可定制的默认行为。使管理员能够创建自己的类别和使用自定义规则,提高网络访问控制的细粒度。

URL过滤操作

每一类URL过滤规则都可进行以下操作：

允许

阻断

监控

提示

反恶意软件

作为先进的威胁防护的一部分，平台提供了一系列优质服务。其中之一是反恶意软件保护。客户可以使用这项服务来检查广域网和互联网流量中的恶意软件。反恶意软件的处理包括：

1）深度包检测

对流量有效载荷的深度包检查，用于普通和加密的流量(如果启用)。文件对象从流量流中提取，检查，并在适当的时候阻塞。

2）真实文件类型检测

用于识别通过网络传输的文件的真实类型，而不考虑它的文件扩展名或内容类型头(在HTTP/S传输的情况下)。平台使用此功能来检测所有潜在的高风险文件类型，预防了由攻击者或错误配置导致的Web应用程序技术被绕过。IPS也使用这个引擎，它在流分析期间提供了更多的上下文，并且是检测恶意网络行为的关键因素。

3）恶意软件检测与预测

首先，基于签名和启发式的检查引擎，根据全球最新威胁情报数据库随时保持更新，扫描传输中的文件，以确保对已知的恶意软件的有效保护。

其次，与行业领导者SentinalOne合作，利用机器学习和人工智能来识别和阻止未知的恶意软件。未知的恶意软件包括0day，或更为常见的目的是逃避基于签名检查引擎的已知威胁的多态变种。有了签名和基于机器学习的保护，客户数据具备隐私保护，因为平台不与基于云的存储库共享任何东西。

此外，客户有能力配置反恶意软件服务，或者监测或者阻止，为特定的文件在一段时间的设置例外，也可以实现。

IPS

入侵防御系统(IPS)检查入站和出站、广域网和互联网流量，包括SSL流量。IPS可以在监视模式(IDS)下运行，而不执行阻塞操作。在IDS模式下，将评估所有流量并生成安全事件。IPS有多层保护组成。

1）IPS保护引擎组件

行为特征

IPS会寻找偏离正常或预期行为的系统或用户。通过在多个网络使用大数据分析和深度流量可视化来确定正常行为。例如,发出到一个包含可疑TLD的未知URL的HTTP连接。经过研究室分析后,这类流量可能是恶意流量。

名誉反馈（Reputaion Feeds）

利用内部和外部的情报反馈，IPS可以检测或防止受威胁或恶意资源的入站或出站通信。Cato研究室分析许多不同的反馈，针对云中的流量进行验证，并在将它们应用于客户生产流量之前对它们进行过滤以减少误报。反馈每小时更新一次，不需要用户担心。

协议批准

验证包与协议的一致性，减少使用异常流量的攻击面。

已知漏洞

IPS可以防止已知的CVE，并可以快速适应，将新的漏洞合并到IPS的DPI引擎中。这种能力的一个例子是IPS能够阻止利用永恒之蓝漏洞在组织内广泛传播勒索软件。

恶意软件通讯

基于名誉反馈和网络行为分析，可以阻止C&C服务器的出站流量。

定位

IPS执行客户特定的地理保护政策，根据源和/或目的地国家选择性地停止通信。

网络行为分析

能检测并防止南北向网络扫描。

平台中IPS的一个独有特点是，它是作为一种服务提供的，不需要客户的参与。研究室负责更新、优化和维护内部开发的IPS签名(基于对客户流量的大数据收集和分析)，以及来自外部的安全反馈。平台支持签名流程，因此客户不必平衡防护和性能，以避免在处理负载超过可用容量时进行意外升级。

安全事件API

平台持续收集网络和安全事件数据，用于故障排除和事件分析。一年的数据被默认保存，管理员可以通过Cato管理应用程序访问和查看这些数据。允许客户导出事件日志文件(JSON或CEF格式)，以便与SIEM系统集成或存储在远程位置。日志文件存储在安全的位置，每个帐户与其他帐户相互独立。

威胁检测与响应管理

MDR使企业能够将检测受危害端点的资源集中度和技术依赖性过程交给平台SOC团队。平台无缝地将完整的MDR服务应用于客户网络。自动收集和分析所有的网络流量，验证可疑活动，并向客户通知被破坏的端点。这就是网络和安全聚合的力量，简化了各种规模企业的网络保护。

图7 增加检测和预防手段的MDR服务 来源：Cato Networks Advanced Security Services

MDR服务能力

1）零痕迹网络可视化

为每个Internet和WAN流量初始化收集完整的元数据，包括原始客户端、时间轴和目的地址。所有这些都不需要部署网络探测器。

2）自动化威胁狩猎

高级算法寻找流数据仓库中的异常，并将它们与威胁情报来源相关联。这个机器学习驱动的过程会产生少量可疑事件，以供进一步分析。

3）专家级威胁验证

随着时间的推移，Cato安全研究员检查标记的端点和流量，并评估风险。SOC只对实际威胁发出警报。

4）威胁容器

通过配置客户网络策略来阻止C&C域名和IP地址，或断开受威胁的计算机或用户与网络的连接，可以自动包含已验证的实时威胁。

5）整改协助

SOC将建议风险的威胁级别、补救措施和威胁跟踪，直到威胁消除为止。

6）报告与溯源

每个月，SOC将发布一份自定义报告，总结所有检测到的威胁、它们的描述和风险级别，以及受影响的端点。

平台的安全即服务使各种规模的组织都可以在任意地方应用企业级通信流量。数据中心、分支机构、移动用户和云资源可以在统一的策略下以相同的防御设置进行保护。作为一种云服务，无缝地优化和调整安全控制，以应对新出现的威胁，而不需要客户的参与。与基于应用程序的安全性相关的传统工作，例如容量规划、规模调整、升级和补丁，不再需要，从而将这种责任从安全团队中剥离出来。

总结

总体看下来，感觉和之前本人所想的思路有些相似，就是未来的安全不是各家厂商争天下，而是以合作为主，相互补足，最后形成一个集成大多数厂商安全能力的整体安全防护平台。我们所看到的SASE就是这样一种理念，而Cato云的架构和能力设计也正是这种理念的体现。

但是，由于当前对于SASE的描述过于强大，可以说是集大成之作，那么如何集成这些技术、接口，怎么来管理如此庞大的一个平台都会是非常棘手的问题。比如，什么样的团队能够管理和运营SASE平台、新兴技术描述的非常令人向往但实际可能会有出入、这么复杂的平台如何构建、VPN构建的网络能否承载如此庞大的流量、各家厂商是否愿意一起建设SASE、PoP节点的投入和维护资源、前期高昂的建设和研究费用等等。

SASE的出现，颠覆了目前的网络和网络安全体系架构，就像IaaS对数据中心设计架构的影响一样。SASE为安全和风险管理人员提供了未来重新思考和设计网络和网络安全体系架构的机会。数字业务转型、部署云计算和越来越多地采用边缘计算，将带动对 SASE 的需求。（引自Gartner网络安全的未来在云端报告）

*本文作者：宇宸，转载请注明来自FreeBuf.COM