浅析SASE的优势与挑战

SASE（Secure Access Service Edge），安全访问服务边缘，是一种Gartner模型，这种网络架构，可将软件定义的广域网（SD-WAN）和安全性集成到云服务中，从而保证简化WAN部署、提高效率和安全性，并为每个应用程序提供适当的带宽。

Gartner创建了SASE一词，并在2019年的白皮书中对其进行了首次描述，该白皮书列出了SASE的目标以及SASE实施应该是什么样子。让我们具体来了解SASE到底是什么：

什么是SASE？

简而言之，SASE将SD-WAN的功能与安全性相结合，并将其作为服务交付，根据以下四个因素，针对每个用户，实施的安全策略可以进行调整：

• 连接实体的身份
• 实时上下文（设备的健康状况和行为，所访问资源的敏感性）
• 企业安全/合规策略
• 在整个会话中持续评估风险/信任的服务

SASE的WAN端依赖于SD-WAN提供商、运营商、内容交付网络、网络即服务提供商、带宽聚合器和网络设备供应商提供的功能。

安全方面依靠云访问安全代理、云安全Web网关、零信任网络访问、防火墙即服务、Web API保护即服务（web-API-protection-as-a-service）、DNS和远程浏览器隔离。

Gartner表示，理想情况下，所有这些功能都是由单一的供应商以SASE服务的形式提供的，它可以将这些功能整合在一起。

“Edge”在哪里？

SASE中的“Edge”部分通常由通过pop或靠近端点的供应商数据中心（数据中心、人员和设备）交付。部分SASE供应商有自己建设的pop，而有些供应商则使用第三方服务或依靠客户自己提供的连接。

为什么需要SASE？

Gartner数据显示，目前很多传统企业数据中心功能托管在企业数据中心之外，而不是在IaaS提供商、SaaS应用程序和云存储中。物联网和边缘计算的需求只会增加对基于云的资源的依赖，而WAN安全架构仍然适合本地企业数据中心。

远程用户通常通过VPN连接，并且需要在每个设备上使用防火墙。传统架构要求它们通过集中式安全机制进行身份验证，以授予访问权限，但也可以通过该中心位置
路由流量。这种传统架构复杂性大且延迟高。

而借助SASE，就可以解决这种延迟问题。终端用户和设备一旦通过身份验证，就可以直接获得对其授权访问的所有资源，这些资源受附近的安全机制保护。

SASE的优势

• SASE降低了复杂性和成本，另外还减少了企业跟供应商之间不必要的交流，减少了分支机构和其他远程位置所需的硬件数量，也减少了终端用户设备上的代理数量。

• IT管理人员可以通过基于云的管理平台集中设置策略，并在靠近终端用户的分布式PoP上实施策略。SASE通过对用户基于初始登录所请求的资源进行适当的策略调整，来简化身份验证过程。

• 安全性得到了提高，因为无论用户需要什么资源、位于何处，都可以平等地实施策略，他们最终都享有相同的访问体验。当出现新的威胁时，服务提供商会提供如何防御这些威胁的解决方案，而企业没有新的硬件要求。

• SASE支持零信任网络，该网络基于用户、设备和应用程序（而不是位置和IP地址）进行访问。

• 更多类型的终端用户（例如员工、合作伙伴、承包商、客户）可以获得访问权限，而不必担心传统安全性（例如VPN和DMZ）可能受到损害。

• SASE提供商可以提供不同质量的服务，因此每个应用程序都可以获得所需的带宽和网络响应能力。

• 使用SASE，企业IT员工与部署、监视和维护相关的杂务更少，可以分配更高级别的任务。

SASE挑战

Gartner列出了采用SASE的可能会遇到的几个障碍：

• 最初，某些服务可能会短缺，因为它们是由具有网络或安全背景的提供商实施的，而网络安全以外的功能则缺乏专业知识。

• 最初的SASE产品可能没有以云原生的思维方式设计，因为供应商的传统经验是出售本地硬件，因此他们选择基础设施架构可能一次只能专用于一个客户。

• 同样，旧硬件供应商可能缺乏SASE所需的在线代理的经验，因此它们可能会遇到成本和性能问题。

• 一些传统供应商可能还缺乏评估上下文的经验，这可能会限制他们做出上下文感知决策的能力。

• 由于SASE的复杂性，提供的程序必须具有良好的集成功能，而不是简单地堆砌在一起。

• 对于某些SASE提供商而言，在全球范围内扩展PoP的成本会很高，这可能会导致不同地理位置的性能不平衡，某些站点可能距离最近的PoP较远，从而导致延迟。

• 为了简化部署，SASE端点代理必须与其他代理集成。

• 过渡到SASE可能会给人员带来压力。随着SASE跨网络和安全团队的扩展，改变供应商以采用SASE可能需要对公司IT员工进行再培训以使用新技术。

SASE的技术组成

根据Gartner分析师Nat Smith的说法，SASE更多的是一种理念和方向，而不是一个功能列表。总体而言，SASE由五种主要技术组成：SD-WAN、防火墙即服务（FWaaS）、云访问安全代理（CASB）、安全web网关（SWG）、以及零信任网络访问（ZTNA）。

集成SD-WAN

传统上，WAN由独立的基础设施组成，通常需要大量的硬件投资。

而SASE版本全部基于云，由软件定义和管理，并具有分布式PoP，理想情况下，分布式PoP位于企业数据中心、分支机构、设备和员工附近。为了确保尽可能多的企业流量能直接访问SASE网络，大量的pop至关重要，这避免了公共互联网的延迟和安全问题。

通过该服务，客户可以监视网络的运行状况，并为其特定的流量需求设置策略。

由于来自Internet的流量首先要通过提供商的网络，因此SASE可以检测到危险流量，并在其到达企业网络之前进行干预。例如，可以在SASE网络中缓解DDoS攻击，从而使客户免受恶意流量泛滥的影响。

防火墙即服务（FWaas）

在当今的分布式环境中，用户和计算资源都越来越多地位于网络边缘。作为服务交付的基于云的灵活防火墙可以保护这些边缘，随着边缘计算的增长以及物联网设备变得越来越智能和强大，此功能将变得越来越重要。

将FWaaS作为SASE平台的一部分提供，可使企业更轻松地管理网络安全，设置统一策略，发现异常并快速进行更改。

云访问安全代理（CASB）

随着越来越多的公司系统迁移到SaaS应用程序，身份验证和访问变得越来越重要。

企业使用CASB来确保其安全策略被一致地应用，借助SASE，员工访问公司系统所使用的门户也是该员工访问的所有云应用程序（包括CASB）的门户。流量不必在系统外部路由到单独的CASB服务。

安全的Web网关（SWG）

在当今的企业中，网络流量很少局限于预先定义的范围，现代工作负载通常需要访问外部资源，但是可能出于合规性原因拒绝员工访问某些站点。此外，公司还希望阻止对网络钓鱼站点、僵尸网络命令、控制服务器的访问，例如，有的无害的网站也会被试图泄露公司敏感数据的员工恶意使用。

而SGW可以保护公司免受这些威胁。提供此功能的SASE供应商能在云上检查加密流量，将SWG与其他网络安全服务捆绑在一起可提高可管理性，并允许更统一的安全策略集。

零信任网络访问（ZTNA）

零信任是一种相对较新的网络安全方法，迁移到SASE平台可以使公司获得零信任功能。使用零信任网络访问，企业可以详细地查看和控制访问公司应用程序和服务的用户和系统。

零信任的核心要素是安全性基于身份的访问决策，这使其更适合移动工作人员，但需要更多级别的身份验证，例如多因素身份验证和行为分析。零信任网络访问模型可以确保用户只能访问授权的应用程序，而不能获得一般的网络访问权限。

其他技术

除了五种核心功能外，Gartner还推荐了SASE供应商提供的其他一些技术，包括Web应用程序、API保护、远程浏览器隔离，以及网络沙箱。

Gartner还建议使用网络隐私保护和流量分散，这可以使威胁参与者很难通过跟踪其IP地址或窃听流量流来找到企业资产。

其他可选功能包括Wi-Fi热点保护、对旧版VPN的支持，以及对脱机边缘计算设备或系统的保护。

对网络和安全数据的集中访问可以让公司运行整体行为分析，发现在孤立系统中不明显的威胁和异常。这些分析可以作为基于云的服务提供，并且能包含更新的威胁数据和其他外部情报。

将所有这些技术放在SASE的保护伞下，最终为企业提供灵活一致的安全性、更好的性能和更低的复杂性，并且，所有这些都以较低的成本实现。

企业可以根据自身需求获得定制化的服务，而不必雇用冗余的网络和安全管理员。

SASE服务提供商

Gartner表示，由于SASE是多种服务的结合体，因此实现它的方式将有所不同。Gartner编制了一份供应商名单，其中包括已经提供SASE，或者有想法提供SASE的供应商：

Gartner表示，“目前主要的IaaS提供商（AWS，Azure和GCP）在SASE市场上还没有竞争力。”“我们预计，在未来五年内，至少有一家公司将大举进军SASE市场，因为它们都在扩展其边缘网络业务和安全能力。”

如何采用SASE

企业可能会首先采用混合部署的方式，利用传统的网络和安全系统来处理数据中心和分支机构之间的现有连接，而SASE将用于处理新的连接、设备、用户和位置。

SASE不能解决网络和安全问题，也不能防止未来的中断，但是它可以使公司对中断或危机做出更快的响应，从而最大程度地降低对企业的影响。此外，SASE将使企业能够更好地利用边缘计算、5G和移动AI等新技术。

原文链接：
https://www.networkworld.com/article/3574014/what-is-sase-a-cloud-service-that-marries-sd-wan-with-security.html