SASE为啥可以重新定义网络和安全架构?
随着企业纷纭拥抱数字化转型,和边沿计算、云服务和混合网络的兴起,传统云安全通过企业数据中心对数据流进行检查的方式在实时、移动和边沿等场景下逐步失灵。在这类背景下,Gartner指出,“云服务和网络正在强劲驱动数字业务,但传统网络和网络安全架构却远未到达数字业务的需要。”
Gartner在其发布的《网络安全的未来在云端》报告中指出,SASE不是单独的独立系统,而是包括一套技术,从SDWAN和云访问安全代理(CASB)到安全的web网关(SWG)、零信任网络访问(ZTNA)、防火墙即服务(FWaaS)和远程浏览器隔离(RBI)。SASE架构肯定为保护云和数据中心基础设施的关键网络安全解决方案,可确保通常以云服务情势提供的利用程序、服务、用户和机器对云和网络资源的安全访问。
依照Gartner对SASE的定义:SASE是一种基于实体的身份、实时上下文、企业安全/合规策略,和在全部会话中延续评估风险/信任的服务。实体的身份可与人员、人员组(分支机构)、装备、利用、服务、物联网系统或边沿计算场地相干联。
SASE的核心是身份,即身份是访问决策的中心,而不再是企业数据中心。SASE框架可辨认装备和用户,并根据用户、角色、装备、行动、位置和其他特点来利用基于策略的安全性,从而确保对利用程序或数据的安全可靠访问,从而使企业能够在全球范围内实行安全访问。
SASE将SDWAN与零信任访问等一系列安全能力集成,访问决策基于用户身份并在边沿强迫履行,而策略则在云中集中定义和管理,可实现安全架构的核心从数据中心向身份的根本性转变。SASE克服了分散集成和地理位置束缚解决方案的本钱、复杂性和刚性,提供了从散布式云服务交付聚合的企业网络和安全服务。
与传统的WAN不同,SASE取消了将分支机构连接到中心机构的概念,而是转变成将装备连接到基于云的集中式服务的模型。SASE不会强迫将流量回传到数据中心的检查引擎,而是将检查引擎带到附近的存在点(PoP)。客户端将流量发送到PoP,以进行检查并转发到Internet或通过SASE全球骨干网转发到其他SASE客户端。SASE将先前隔离的网络和安全服务融会在一起,将本地用户、移动用户和物联网装备和云资源,整合为统一的服务。
在传统WAN和SDWAN的基础上,SASE将安全功能集成到网络上,让其成为一种网络服务。由于安全和网络管理是通过云完成的,因此管理员只需要修改一次就能够将其一次性推送到所有地方,将安全性和网络功能集成到网络上不但升级了网络,还可以实现对WAN的改造。
