什么是安全访问服务边缘 (SASE)?
了解 SASE 框架如何将网络和安全整合到一项云交付服务中,从而降低风险、增强安全性、简化管理、提升性能以及支持混合工作。
关键要点
- SASE 将网络和安全集成到一个云交付平台中,帮助组织简化基础结构并提高敏捷性。
- 它通过提供安全、高性能的应用和数据访问,支持混合工作和现代云环境 - 无论用户身在何处。
- SASE 基于零信任原则构建,可持续评估用户标识、上下文和风险,以实施自适应安全策略。
- 通过整合安全工具、简化管理并消除对传统边界防护的需求,该模型可降低成本和复杂性。
- 随着 AI 辅助威胁检测、自动化以及与物联网 (IoT) 和边缘环境的集成等创新不断涌现,SASE 的采用正在加速。
为什么越来越多的组织正在转向 SASE
SASE 是一种基于云的体系结构,将广域网 (WAN) 和网络安全服务统一到一个统一的平台中。它专为远程团队、云原生环境和现代安全需求而构建。
随着组织逐步摆脱传统的数据中心型模型,SASE 越来越受欢迎。SASE 不通过集中式设备路由流量,而是在靠近用户、设备和云服务的边缘—提供安全性和连接性。
SASE 将网络和安全服务边缘 (SSE) 功能 - 例如 SWG、云访问安全代理 (CASB)、ZTNA 和防火墙即服务 (FWaaS) - 集成到一项云交付服务中。从彼此分离的工具转向集成的实时保护,有助于 IT 团队快速响应并降低运营开销。
SASE 如何支持现代 IT 需求
SASE 通过使安全性和连接性适用于用户访问应用的方式以及数据存储位置,来应对混合工作、云迁移和分布式基础结构日益增长的需求。实现方式如下:
SASE 体系结构专为灵活性而设计,可使服务更靠近用户、应用和资源,同时保持强大的安全控制。组织可以选择最符合其运营和性能需求的部署模型:
随着组织逐步摆脱传统的数据中心型模型,SASE 越来越受欢迎。SASE 不通过集中式设备路由流量,而是在靠近用户、设备和云服务的边缘—提供安全性和连接性。
SASE 将网络和安全服务边缘 (SSE) 功能 - 例如 SWG、云访问安全代理 (CASB)、ZTNA 和防火墙即服务 (FWaaS) - 集成到一项云交付服务中。从彼此分离的工具转向集成的实时保护,有助于 IT 团队快速响应并降低运营开销。
SASE 如何支持现代 IT 需求
SASE 通过使安全性和连接性适用于用户访问应用的方式以及数据存储位置,来应对混合工作、云迁移和分布式基础结构日益增长的需求。实现方式如下:
- 通过在用户、位置和设备之间提供一致的安全性和性能,支持混合工作。
- 通过将网络和安全合并到一个平台,简化基础结构。
- 使用可适应不断变化的需求的云原生基础,提升可扩展性和敏捷性。
- 通过实时检查、自适应策略实施和威胁预防,增强安全态势。
SASE 体系结构专为灵活性而设计,可使服务更靠近用户、应用和资源,同时保持强大的安全控制。组织可以选择最符合其运营和性能需求的部署模型:
- 端到端连接:SASE 通过一个全球分布式服务节点网络,安全地连接用户、站点和云资源 - 在提升性能的同时,减少对中央数据中心的依赖。
- 云原生功能:SASE 通过分布式云平台交付网络和安全服务,最大限度降低延迟,并随需求扩展。
- 统一管理:基于云的单一平台可简化跨技术的网络和安全管理 - 简化策略实施、访问控制和可见性。
组成部分
SASE 的重要组成部分
SASE 将关键的安全和网络技术整合到一个平台或双供应商方案中。了解每个组成部分如何帮助保护访问、应用和数据。
软件定义广域网 (SD-WAN)
软件定义广域网 (SD-WAN) 是一种覆盖体系结构,它使用路由或交换软件在终结点(物理终结点和逻辑终结点)之间创建虚拟连接。SD-WAN 为用户流量提供近乎无限制的路径,这可优化用户体验,并在加密和策略管理方面提供强大的灵活性。
安全 Web 网关 (SWG)
安全 Web 网关 (SWG) 是一项 Web 安全服务,可筛选未经授权的流量,使其无法访问特定网络。SWG 的目标是在威胁渗透虚拟边界之前锁定这些威胁。SWG 通过结合使用恶意代码检测、恶意软件消除和 URL 筛选等技术来实现这一点。
云访问安全代理 (CASB)
云访问安全代理 (CASB) 是一种服务型软件 (SaaS) 应用程序,它充当本地网络和基于云的应用程序之间的安全检查点,并实施数据安全策略。CASB 通过结合使用预防、监视和缓解技术来保护公司数据。它还可识别恶意行为,并就违反合规性的情况警告管理员。
防火墙即服务 (FWaaS)
防火墙即服务 (FWaaS) 将防火墙保护移到云端,而不是移到传统的网络边界。这使组织能够将远程移动工作区安全地连接到公司网络,同时仍然强制实施超出组织所在地理区域的一致安全策略。
零信任网络访问 (ZTNA)
零信任网络访问 (ZTNA) 是一系列整合的基于云的技术,在运行它的框架中,信任从来都不是隐式的,而且在所有用户、设备和应用程序中基于知其所需、最低特权原则授予访问权限。在此模型中,所有用户必须先通过身份验证、获得授权并持续经过验证,然后才能获得访问公司专用应用程序和数据的权限。ZTNA 使在传统 VPN 下遇到的糟糕用户体验、复杂操作、成本和风险不复存在。
集中统一管理
借助 SASE 平台,IT 管理员可通过集中统一管理,跨网络和安全性管理 SD-WAN、SWG、CASB、FWaaS 和 ZTNA。这使 IT 团队成员能够空出时间,集中精力处理其他更迫切的领域,并提高组织混合劳动力的用户体验。
SASE 的优势
SASE 通过提供统一的云交付网络安全和访问模型,帮助组织摆脱孤立的工具和传统基础结构。它旨在简化管理、增强安全性、降低风险,并改善分布式环境中的性能。
SASE 通过适应不断变化的需求并降低复杂性,支持拥抱云技术的成长型企业和管理混合员工队伍的大型企业。通过将安全性和网络合并到一个平台,SASE 消除了新式访问的障碍,使 IT 团队能够更好地控制用户体验、策略实施和整体安全态势。
SASE 的主要优势包括:
通过将安全和网络统一到单一策略下,SASE 帮助组织保持敏捷,同时满足高标准的性能、合规性和复原能力。
SASE 通过适应不断变化的需求并降低复杂性,支持拥抱云技术的成长型企业和管理混合员工队伍的大型企业。通过将安全性和网络合并到一个平台,SASE 消除了新式访问的障碍,使 IT 团队能够更好地控制用户体验、策略实施和整体安全态势。
SASE 的主要优势包括:
- 降低复杂性并简化管理:通过整合网络和安全功能,IT 运营得到简化,从而让跨位置和设备的管理更轻松。
- 适合任意组织规模的可扩展性:该平台通过灵活的部署模型和基于使用量的扩展,同时支持中小型企业和大型企业。
- 成本效益:通过以可适应业务需求的云原生服务替换之前的硬件,降低基础结构和维护成本。
- 更强的灵活性:无论用户在现场、远程还是移动办公,都能实现安全、可靠的应用程序和数据访问。
- 更好的用户体验:安全性实时优化,在连接云应用时减少延迟,并将组织的攻击面降到最低。
- 更强的安全态势:在各个位置和设备上实施一致的策略,实时检测威胁,并根据用户身份和上下文授予安全访问权限。
通过将安全和网络统一到单一策略下,SASE 帮助组织保持敏捷,同时满足高标准的性能、合规性和复原能力。
弥补早期模型中的不足
许多传统网络和安全系统是在应用程序驻留在数据中心以及团队主要在现场办公的时期设计的。随着组织采用云服务并支持远程办公团队,这些传统模式已无法满足现代需求。
SASE 将网络和安全整合到一个统一的云交付框架中,消除了传统网络访问和安全方法带来的碎片化、延迟和风险。
SASE 如何解决传统模型的局限性
SASE 将网络和安全整合到一个统一的云交付框架中,消除了传统网络访问和安全方法带来的碎片化、延迟和风险。
SASE 如何解决传统模型的局限性
- 碎片化:传统设置依赖多个工具,使用各自的策略和管理方式。SASE 将这些整合到一个平台中,简化管理并提升可见性。
- 云兼容性:传统模型将流量路由到中央数据中心,会造成延迟并减慢云应用访问。SASE 直接将用户和分支连接到云服务,提升速度和性能。
- 安全态势:基于外围的防御不适合当今的分布式环境或高级威胁。SASE 采用零信任方法,根据身份、上下文和持续风险评估来保护访问 - 无论用户或数据位于何处。
如何实现 SASE
采用 SASE 是一项战略性转变,有助于实现网络和安全体系结构的现代化。分阶段方法可以简化转换,并确保框架符合业务目标、团队需求和合规性要求。
实现 SASE 的步骤
将 SASE 部署与更大的数字化转型目标关联起来也很有帮助。无论你是在整合供应商、支持混合工作还是拓展新市场,SASE 都能提升安全性并为你带来更高的运营灵活性。
此外,SASE 通过集中展示流量、用户行为和策略实施情况,让审计和报告更简单。这让合规更容易证明,还可减少审计时间和成本。
实现 SASE 的步骤
- 评估当前环境。梳理现有网络、安全工具、用户访问模式和云应用程序。
- 定义业务和安全目标。确定关键结果,例如降低成本、改善远程访问,或支持零信任策略。
- 确定用例和站点的优先级。先从影响较大的领域开始,例如远程办公团队或使用传统系统的分支机构。
- 选择支持全面集成的供应商或平台。寻找包含 SWG、ZTNA、FWaaS 和云访问安全的统一解决方案。
- 测试和排除故障。使用 SASE 部署之前,请在过渡环境中测试 SASE 功能,并试验你的多云安全堆栈如何与 SD-WAN 和其他工具集成。
- 规划分阶段推出。分阶段迁移用户、位置和应用程序,以避免中断并简化采用。
- 监视和优化。使用内置分析和策略控制,随着时间推移优化性能并强化安全态势。
- 着重于标识驱动的访问。将策略与用户角色和设备状态关联,而不是依赖 IP 地址或物理位置。
- 在全球范围内保持策略一致。在用户、应用和区域之间应用相同的规则,以避免出现偏差。
- 确保 SASE 能与你当前的标识提供程序配合使用。与单一登录 (SSO) 和多重身份验证的无缝集成有助于使流程更顺畅。
- 尽可能实现自动化。使用 AI 辅助工具,简化策略设置、更快发现威胁,并更高效地响应。
- 尽早让所有相关人员参与。从一开始就让安全、网络和合规团队参与进来,以防止形成孤岛并简化推出。
将 SASE 部署与更大的数字化转型目标关联起来也很有帮助。无论你是在整合供应商、支持混合工作还是拓展新市场,SASE 都能提升安全性并为你带来更高的运营灵活性。
此外,SASE 通过集中展示流量、用户行为和策略实施情况,让审计和报告更简单。这让合规更容易证明,还可减少审计时间和成本。
组织如何使用 SASE
SASE 通过解决独特的安全和连接挑战,在各个行业都能带来实际益处。这些示例展示了组织在真实场景中如何使用 SASE 来简化访问、增强安全性并支持分布式团队。
- 零售:一家全球零售连锁店用 SASE 替换了原有 VPN,为门店员工提供对基于云的库存和销售点系统的安全、高性能访问 - 无需将流量回传到数据中心。
- 医疗保健:一家地区性的健康护理提供商采用 SASE 来支持远程医疗服务和远程员工,并在终结点和云应用之间执行符合 HIPAA 的数据访问策略。
- 制造:一家分布式制造公司使用 SASE 安全地将远程工厂和承包商连接到运营系统,同时保持严格的访问控制和可见性。
- 教育:一所大学的系统实现 SASE 来支持混合式学习和校园运营,为学生、教师和员工提供对基于云的工具的安全、可扩展访问 - 覆盖各个校区和远程地点。
- 金融服务:一家国家信用合作社部署了 SASE,以在员工从分支机构和远程环境访问系统时保护敏感金融数据,确保在所有访问点实现安全连接和一致的策略实施。
新兴 SASE 趋势
随着组织现代化其网络和安全策略,SASE 也在随着新技术和新用例不断演进。自动化、分析和边缘智能的进步正在扩展 SASE 的功能,使其更具适应性、更高效、响应能力更强。
以下是影响 SASE 未来的一些关键趋势:
你还会看到 SASE 与云原生可观测性平台之间的更紧密集成。将网络遥测和安全简介整合到一个位置,能让 IT 和安全团队更清楚、更全面地了解性能、使用情况和风险。
以下是影响 SASE 未来的一些关键趋势:
- AI 和机器学习:AI 辅助工具正在改进威胁检测、流量分析和策略建议。通过随着时间推移学习模式,它们可帮助安全团队更快、更准确地响应。
- 预测分析:SASE 平台开始能够在性能或安全问题影响用户之前识别这些问题,让团队可以主动采取措施,保持系统平稳运行并降低风险。
- 大规模自动化:自动执行策略实施、事件响应和网络设置可减少手动工作,并保持防护一致性,即使在复杂的分布式环境中也是如此。
- IoT 集成:随着企业连接更多 IoT 和运营设备,SASE 正在通过具备身份感知的访问和针对这些终结点定制的风险分析来适应这一趋势。
你还会看到 SASE 与云原生可观测性平台之间的更紧密集成。将网络遥测和安全简介整合到一个位置,能让 IT 和安全团队更清楚、更全面地了解性能、使用情况和风险。
面向企业的 SASE 解决方案
随着 SASE 采用增加,及时了解相关信息对于制定与组织目标一致的策略至关重要。定义 SASE 策略时,合适的工具和简介可以帮助你做出明智的决策。先评估现有基础结构,发现不足和机会。寻找能够与你现有工具顺畅集成并强化零信任实践的解决方案,以最大化当前投资的回报。
对于专注于在 SASE 框架中集成标识优先安全性的组织,Microsoft Entra 提供了一个强大的基础。作为 Microsoft 安全产品组合的一部分,Entra 通过为任何用户、应用或资源提供安全访问来支持零信任原则 - 在整个环境中提供实时风险分析和统一的策略实施。
对于专注于在 SASE 框架中集成标识优先安全性的组织,Microsoft Entra 提供了一个强大的基础。作为 Microsoft 安全产品组合的一部分,Entra 通过为任何用户、应用或资源提供安全访问来支持零信任原则 - 在整个环境中提供实时风险分析和统一的策略实施。
常见问题解答
常见问题解答
- SASE 代表安全访问服务边缘。它是一种云交付体系结构,将网络连接性和安全性合并到一项服务中。无论用户或设备位于何处,SASE 都能帮助组织提供对应用程序和数据的安全访问。
- SASE 解决方案通常包含一组协同工作的集成技术,用于提供安全、高性能的访问。这些核心组成部分包括:
- 软件定义广域网 (SD-WAN):在分布式位置之间提供安全、优化的连接。
- 安全 Web 网关 (SWG):通过执行可接受的使用策略,保护用户免受恶意 Web 流量的影响。
- 云访问安全代理 (CASB):通过监视使用情况并实施数据策略,保护 SaaS 应用程序的安全。
- 防火墙即服务 (FWaaS):提供集中式、可扩展的防火墙防护,无需本地硬件。
- 零信任网络访问 (ZTNA):基于标识、上下文和设备状态授予访问权限,取代传统 VPN。
这些组成部分结合在一起,可从任何位置或设备为应用程序和数据提供安全、高效的访问。 - SASE 框架是一种现代网络体系结构方法,将安全性和连接性融合到一项基于云的服务中。它旨在应对当今分布式工作环境中的挑战。在这些环境中,用户、设备和应用程序通常运行在传统网络边界之外。
通过应用标识驱动的策略并在边缘提供安全性,该框架支持对云服务和内部资源进行可扩展的安全访问 - 无需依赖旧式硬件或集中式数据中心。 - SASE 体系结构将网络和安全功能集成到一个统一的云原生平台中。它支持边缘到边缘连接、实时策略实施以及跨所有位置和设备的安全访问。组织可以结合使用云原生服务、全球接入点和基于标识的控制来部署 SASE,从而确保一致的防护和性能。
- 安全访问服务边缘 (SASE) 和安全服务边缘 (SSE) 是相关的概念,但适用范围不同。
- SASE 包含 网络和安全功能,例如 SD-WAN、流量优化和网络访问控制。
- SSE 是 SASE 的子集,仅侧重于安全组件,包括 SWG、CASB 和 ZTNA。
如果你的组织已经具备网络基础结构,但需要现代化的安全层,SSE 可能是合适的选择。如果需要在云和混合环境中全面集成安全性和网络功能,SASE 可提供更广泛的框架。
关注 Microsoft 安全