返回

从VPN到SASE:不止安全,还有连接

2023-03-08

VPN是一种技术,SASE是一种架构,VPN 是SASE 集成解决方案的一部分。网络从业者们大多对VPN耳熟能详,但部分网络从业者可能认为SASE更偏安全领域,因此对其关注甚少。其实,SASE作为融合了网络和安全的一个概念,在网络云化、云网融合的背景下,网络从业者需要对其加以关注。本文整理了SASE多角度的系统知识以飨读者。



1


SASE 的含义——不仅仅是一个流行词

近年来,数字化、云计算的发展加速了安全访问服务边缘(SASE,Secure Access Service Edge)的采用,以实现统一的云原生网络和安全服务。SASE 模型最初由 Gartner于 2019 年推出,它将网络和安全解决方案连接起来。


下面是一个简单的SASE定义:

Secure Access Service Edge(缩写为 SASE)是一种云架构模型,它结合了网络和安全即服务功能,将它们作为单一的基于云的服务提供。随着企业攻击面不断扩展到云应用、本地资源和个人设备,SASE 网络提供了一个具有完全集成的安全和网络堆栈的上下文感知解决方案,可以在数据流向的任何地方执行策略。


企业可以将他们的网络和安全工具整合到一个无缝的管理解决方案中。换句话说,在远程工作和云服务激增的时代,SASE为企业提供了一种方便、敏捷、可扩展的网络和安全 SaaS 解决方案。



2


SASE 是如何工作的?

SASE将SD-WAN边缘功能与全面的云安全功能相结合,包括


  • 防火墙即服务 (FWaaS)

  • 云安全 Web 网关 (SWG)

  • 零信任网络访问 (ZTNA)

  • 云访问安全代理 (CASB)

  • Web 应用程序和 API 保护即服务 (WAAPaaS)


传统上,来自分支机构的应用流量通过MPLS服务传输到企业数据中心进行验证,当所有应用程序都托管在数据中心时这种方式很有效,但随着业务向云迁移,传统架构不再能够满足需求。

如今,越来越多的应用程序、数据和工作负载位于云数据中心和基础设施即服务 (IaaS) 平台中。这意味着 IT 组织需要重新考虑如何建立网络以及如何保护他们的用户和资源。基于边界的安全性无法管理从多个位置通过云访问应用程序的远程用户。通过数据中心和公司防火墙路由去往互联网的流量首先会导致性能和用户体验下降。

SASE旨在通过转换和统一广域网和网络安全来解决这些问题。传统的网络架构是围绕网络策略执行点和强制路由流量构建的。SASE 架构颠覆了这种模式,安全和广域网功能在 SASE PoP上作为单一服务提供,用户连接到最近的可用 PoP 以访问服务。


通过集成高级 SD-WAN 和安全功能,SASE 模型降低了操作复杂性,同时确保对应用程序、用户、设备和物联网 (IoT) 的一致策略实施和访问控制。


3


SASE 模型的组成部分

SASE将安全重点从以流量为中心转移到以身份为中心,将安全性嵌入到网络中。SASE解决方案包括以下组成部分

  • 软件定义的广域网 (SD-WAN)

SD-WAN 为 SASE 解决方案提供了基础,实现了优化的网络路由和增强的性能。SD-WAN 是基于 Internet 的 VPN 的灵活可靠替代方案,也是 MPLS 的一种更经济实惠的替代方案。一些核心功能包括:延迟优化、流量路由、全球分布式网关、内联加密等


  • 零信任网络访问 (ZTNA)

零信任是一种安全策略,其运行前提是一切都不可信——用户、数据、设备、工作负载或网络本身都不可信。它是一个框架,确保所有资源都可以安全地访问,无论位置如何,并应用最小权限访问策略。

ZTNA 提供了粒度级控制来验证应用程序的用户身份,这使得它非常适合 SASE。ZTNA 是为适应业务变化而设计的,是 SASE 安全的一个可靠、弹性的组成部分。

  • 云访问安全代理 (CASB)

云访问安全代理 (CASB) 充当用户和云服务提供商之间的中介,旨在复杂的安全环境中保护组织基于云的应用程序。

CASB 整合了多种类型的安全策略实施,并将它们应用于企业在云中使用的一切——无论用户从什么设备访问它,包括非托管智能手机或个人笔记本电脑。这使组织能够安全地使用云,而不会损害其企业数据,这对于正在进行数字化转型的企业来说是一大优势。

  • 防火墙即服务 (FWaaS)

FWaaS 是一种云防火墙,可提供高级下一代防火墙 (NGFW) 功能,包括:URL过滤、高级威胁防护、入侵防御系统 (IPS)、DNS 安全。

就像传统防火墙会形成围绕企业内部网络的屏障一样,基于云的防火墙将形成围绕云平台、基础设施和应用程序的虚拟屏障。云防火墙也可以保护内部基础设施。

  • 安全 Web 网关 (SWG)

SWG 通过执行公司安全策略和实时过滤恶意流量来保护上网用户和设备免受在线安全威胁。

一个强大的 SWG 应该提供:
  • URL过滤

  • 数据丢失和泄漏预防

  • 恶意代码检测

  • 远程浏览器隔离 (RBI)

  • 应用程序识别和控制功能


  • 监控和审计追踪

审计追踪是企业安全态势的重要组成部分。它记录了使用数据发生的每个事件、活动或事务。审计追踪可帮助组织确保合规性、进行数字取证、维护数据完整性、执行业务分析、检测欺诈并防止数据泄露


由于企业数据使用量庞大,每天的审计日志量可达数十万。这种级别的规模和复杂性需要自动监控和跟踪。

  • 威胁预防

威胁防护是指保护网络的策略和工具。虽然威胁预防过去主要关注边界安全,但随着云采用的扩大,攻击面也在扩大,组织不得不采取多层安全方法。

SASE 模型中的高级威胁防御策略可以包括用于入侵威胁检测和防御、高级恶意软件保护和端点安全威胁防御的工具。


  • 可扩展性

Scalability与Extensibility(通常指硬件和系统)密切相关,随着云计算的加速发展,用户正在从更多的设备和位置访问更多的应用程序。更多的应用意味着更多的数据、更多的流量和更多的威胁。SASE 依靠动态可扩展性作为网络安全的核心组件,以灵活地适应日益复杂的网络。

  • 数据丢失防护 (DLP)

数据丢失防护 (DLP) 是一组用于检测和防止数据泄露或未经授权破坏敏感数据的工具和流程。组织使用 DLP 来保护他们的数据并确保合规性。

DLP 对于保护个人身份信息 (PII) 和知识产权、保护移动员工、加强自带设备 (BYOD) 环境的安全性以及保护远程云系统上的数据尤为重要。DLP 是SASE模型下集成安全方法的重要组成部分。



4


SASE 的 11 项优势

据Gartner 预测,到 2025 年,至少 60% 的企业将拥有明确的 SASE 采用战略和规划,高于 2020 年的 10%。以下是采用SASE的 11 个好处:

1. 集中式动态RBACSASE 依赖于集中式基于角色的访问控制 (RBAC),它根据用户在组织中的角色来限制访问。角色由公司分配,并确定通过系统授予每个用户的权限和访问权限。

例如,角色可能包括管理员、专家和最终用户——每个人都有不同级别的访问或权限。一些员工可能有权访问和修改文档,而其他员工只能查看文件。

这使组织能够以更有针对性和更灵活的方式保护访问。使用 RBAC,员工只能访问完成工作所必需的信息,从而限制了公司内部可以访问或共享敏感数据的人数。

2. 跨混合环境的集中式管理SASE 统一了网络管理,可提供跨所有混合环境的集中式管理。随着组织越来越多地迁移到云中,安全环境变得更加复杂,需要不同的工具和管理解决方案将它们组合在一起。这在数据和网络管理中产生了盲点,使组织容易受到攻击。

SASE 通过弥合这些技术差距并将网络和安全管理置于一个无缝保护伞下,解决了数据和工具孤立的问题。


3. 用户、应用程序和数据整体治理通过统一安全技术堆栈,SASE 模型改进了用户、应用程序和数据的整体治理。它确保最佳实践安全解决方案(包括 RBAC、DLP、FWaaP 和 SWG)在所有环境中得到应用,消除安全边界中的漏洞并实施一致的策略和合规性,无论用户身在何处或他们如何访问数据。

4. 审计追踪和报告数据监控和报告是网络安全的重要组成部分。依靠机器学习和人工智能,SASE 模型将审计跟踪和报告机制构建到网络架构中,以确保在混合环境中每个接触点的全面可见性和实时、可扩展的威胁预防、检测和分析。

5. 简化的安全模型SASE 的最大好处之一是它简化了云和混合安全模型。传统网络解决方案需要额外的工具和系统来跟上数字化的步伐、攻击面的扩大和新出现的安全威胁。然而,传统解决方案往往无法满足当今现代 IT 保护其组织所需的高级功能。


SASE 通过应用 FWaaS 解决了这一挑战,FWaaS 将 URL 过滤、反恶意软件和防火墙等安全功能嵌入到其基础设施中。这简化了安全管理,使组织能够设置和执行统一的策略,快速识别问题。

6. 一致的边-边安全SASE 将网络和安全功能结合在一个单一的多租户云平台中,增强了安全性和性能。作为完整网络安全堆栈的一部分,该解决方案将 SWG、NGFW 和 DLP 等高级安全功能嵌入到其架构中,实现了边-边的保护。

7. 降低成本SASE 消除了多厂商物理和虚拟设备的需求,降低了采用和维护解决方案的成本,同时简化了后端的管理。通过最大限度地减少 IT 工作负载、提高效率和降低人员成本进一步节省成本,并且不会牺牲安全性。

8. 减少管理工作和时间SASE 通过一个基于云的中央应用程序简化了网络安全管理。这意味着当网络扩展时,架构的复杂性不会增加。这减少了管理工作量,并让 IT 员工腾出时间专注于其他高价值的优先事项。

9. 减少依赖SASE 模型可以减少组织对多个设备和供应商的依赖。这不仅可以最大程度地减少成本和资源投资,还可以让组织对其网络基础设施和边缘安全具有更大的控制力和灵活性。

10. 更快更可靠的服务SASE用基于 ZTNA 原则的网络安全取代传统的 VPN 设备。对于传统的 VPN 解决方案,企业必须部署额外的设备来填补功能上的空白(如 SD-WAN 安全和 NGFW)。VPN 设备通常会降低 WAN 速度,对性能产生负面影响,因为它们有 CPU 和资源限制。云原生 SASE 解决方案不受规模限制,并通过其底层基础设施提供额外的 WAN 优化,从而实现更快、更可靠的服务。

11. 永久数据保护如今,企业收集、处理和分发大量数据,包括敏感的专有数据和个人数据。为了跨环境保护数据,SASE 支持通过云交付 DLP(数据丢失防护),从根本上消除了采用和维护多种保护工具的需要。这允许组织在所有边缘应用一致的安全策略,从移动设备到云,再到本地位置。


5


SASE 和 SD-WAN 有什么关系?

SASE 将 SD-WAN 与网络安全相结合,提供了一个整体的网络管理解决方案,可简化访问、增强安全性并提高性能。SD-WAN 将SDN的概念与传统 WAN 技术相结合,以提供更好的流量路由和网络操作。它在组织现有 WAN 连接上充当Overlay网络,以改善网络流量。

  • SASE 和 SD-WAN 之间主要区别

SASE 和 SD-WAN 都是虚拟化技术,覆盖广泛的地理区域并具有相同的目标:以可扩展且易于管理的方式将独立的分支机构和最终用户连接到企业的网络资源。

但是,SASE 和 SD-WAN 之间存在几个主要区别:

#

部署和架构 

SD-WAN 可以通过物理、软件或云连接进行部署,具体取决于组织的需要。它主要将分支机构连接到数据中心,而 SASE 仅作为专注于端点和最终用户设备的云原生解决方案运行。

企业可以选择 DIY、托管或混合 SD-WAN,其中 IT 可以自行管理网络,也可以将管理外包给第三方供应商,或两者兼而有之。SASE 平台通过单一的即服务(as-a-service)工具提供综合的网络和安全功能。与 SD-WAN 相比,这通常更简单,更适合组织定制。

#

安全性

SD-WAN 具有一些安全功能,但主要侧重于网络管理。相比之下,SASE 具有内置的安全性,采用了 SD-WAN 的许多优势,例如可扩展性和简化的管理,以获得更安全的云原生解决方案。

#

流量和连接

SASE 和 SD-WAN 具有不同的架构,这会影响各自处理流量和连接的方式。


SD-WAN 将分支机构连接到组织的网络和数据中心资源,遵循配置的网络策略来确定如何通过数据中心路由和回程流量。

SASE 专注于云环境以及将端点连接到服务边缘。因为它是基于云的,所以不需要通过数据中心回传流量,而是通过全球分布的 PoP 进行路由。

#

远程访问

由于 SASE 基于云,因此它具有内置的远程访问功能,相比之下,SD-WAN 依赖昂贵的第三方服务来改进远程访问功能,从而限制了公司选择连接远程员工的规模。


在许多方面,SASE 更是 SD-WAN 的进化。它将 SD-WAN 的功能和优势与高级网络安全服务相结合,打造出无缝的一体化解决方案。

  • SASE vs SD-WAN vs SWG vs UTM / NGFW




在基于云的环境中,SD-WAN、SWG 和统一威胁管理 (UTM) 或 NGFW 等单点解决方案无法在不增加成本和复杂性的情况下提供企业所需的功能。SASE 通过整合这些孤立的单点解决方案克服了这些问题,从而形成一个全球连接的云原生平台,提供增强的访问和安全性。

  • 实际采用 SASE 有多难?

虽然SASE采用率正在上升,但这种转变可能需要时间,尤其是对于已经将资源投入到现有安全和数字化转型计划中的大型企业而言。


以下是采用SASE的潜在挑战:

> SASE 的成熟度——网络即服务 (NaaS) 和安全即服务 (SECaaS) 市场尚不成熟,这意味着构建 SASE 解决方案的供应商仍在不断发展。目前市场上的SASE厂商很多是安全供应商增加了云和 SD-WAN 功能,又或是添加了安全功能的网络供应商。

> 寻找值得信赖的供应商和服务提供商——同样,由于 SASE 技术还很年轻,因此可能需要更长的时间来确定满足企业需求的供应商。企业需要从一开始就充分了解需求,并据此评估供应商以及他们提供的服务水平。


> 现有解决方案与SASE之间的取舍——许多大型企业在软硬件解决方案方面都进行了大量投资,难以舍弃。企业通常有专门的人员甚至团队负责和管理当前的解决方案。采用 SASE 可能会破坏原本的规划,企业需要考虑对员工进行再培训和重新分配任务,这可能会减缓采用速度。


6


如何开始采用 SASE?

组织想要顺利过渡到 SASE 模型需考虑到以下几个因素:


1. 确定安全性和合规性要求SASE 不是一个单一的工具,而是一个用于集成和改进现有安全堆栈的框架。为了成功采用此模型,首先需要根据网络环境和用户需求了解组织的安全要求。

此外,需查看安全策略和标准以确保SASE 网络具有内置的合规性措施。在一开始就确定这些要求,将能够更好地设计出满足组织需求并确保最高标准安全性和合规性的体系结构。

2. 了解用户和应用程序每个组织都有一个独特的用户群,组织配置架构时可以提前了解他们在网络中如何运行和交互。换句话说,如果组织不了解自己的 IT 环境,就很难对其进行适当的保护。由于 SASE 支持 ZTNA,这需要根据业务需求定义访问控制,因此了解 IT 环境的结构和用例对于成功采用至关重要。


3. 获得整个团队的支持迁移需要对IT 和安全基础架构进行全面检查,这可能会打扰到团队,所以如果提前与利益相关者沟通,获得团队的支持,组织迁移到 SASE 模型会更顺利。

4. 针对特定目标测试 SASE 解决方案一旦组织采用了 SASE 模型,如何知道它是否成功?需要概述解决方案的关键目标和优先级,并将其作为衡量迁移有效性的基准。如果没有达到目标,需要确定SASE 解决方案中可能存在的差距。


5. 实施 SASE 作为云迁移的一部分云迁移和数字化工作正在兴起。据 Gartner 称,在 COVID-19 后,69% 的董事会加快了他们的数字业务计划。如果企业正在加入云迁移,将 SASE 作为云战略的一部分,可以更有效地调整整个组织的云计划。



7


七大疑问

  • SASE 有什么用?

SASE 是一种云架构模型,它结合了网络和安全即服务,通过单一的云交付平台向客户分发网络和安全功能,用于改善工作人员的的远程访问


  • SASE 需要哪些特性?

结合 SD-WAN 和安全功能

可扩展、敏捷和自我修复的云原生架构

全球分布的 PoP 结构,无论用户位于何处,都能确保高级 WAN 和安全功能

驱动影响安全策略实时上下文的身份驱动服务

  • SASE 安全吗?

SASE 提供端到端的安全性。它将 SD-WAN 与一整套高级安全功能相结合,提供集中式解决方案,提高数据可见性和监控、提升性能,并弥补了用户端点而非传统边界的安全漏洞。
  • SASE 是 VPN 吗?

VPN 是SASE 集成解决方案的一部分。采用此模型的组织将其现有的网络功能(如 VPN)结合起来提供无缝的云解决方案。例如,VPN 服务将流量路由到 SASE 解决方案,然后通过软件即服务 (SaaS) 路由到任何公共或私有云。
  • SASE 是 SD-WAN 吗?

SD-WAN 是 SASE 的一部分。SASE 在其架构中嵌入了边缘 SD-WAN 功能,作为其组合网络和基于策略的安全功能的一部分。
  • SASE 会取代 SD-WAN 吗?

SASE 将 SD-WAN 集成到其网络和安全框架中。也就是说,SD-WAN只是广域网转型的第一步。SASE 是迈向高级 WAN 功能的下一步,可实现 SD-WAN 所缺乏的安全、云和连接功能。
  • SASE 是 SD-WAN 和安全的未来吗?

SASE 是一个不断发展的框架,可以解决传统安全和网络解决方案(如 SD-WAN)的挑战和问题。随着混合工作和云应用的兴起,传统的安全和网络方法已不再足够。SASE 提供了一种简化的集成解决方案,以更高效、更易于管理且更具成本效益的模式中满足大多数网络和安全需求。



8


基于云的网络安全的未来

数字化和远程工作将继续存在,这意味着组织将需要采用能够满足远程用户和分布式员工需求的网络和安全态势。SASE为网络安全的未来提供了一个基于云的、动态的、完全集成的愿景。