Trace Id is missing
跳转至主内容
Microsoft 安全

什么是安全访问服务边缘 (SASE)?

了解安全访问服务边缘 (SASE) 框架如何联合广域网和零信任安全性来保护基于云的企业。

SASE 的定义

安全访问服务边缘(通常简称 SASE)是一种安全框架,它将软件定义广域网 (SD-WAN) 和零信任安全解决方案整合到一个融合云交付平台,该平台可将用户、系统、终结点和远程网络安全地连接到应用和资源。

SASE 有 4 个主要特征:

1. 标识驱动:

基于用户和设备的标识授予访问权限。

2. 云原生:

基础结构解决方案和安全解决方案都是云交付的。

3. 支持所有边缘:

保护所有物理、数字和逻辑边缘。

4. 全球分布:

无论用户在哪里工作,都会受到保护。

SASE 体系结构的主要目标是以支持数字企业动态安全访问需求的方式提供无缝的用户体验、更优的连接和全面的安全性。SASE 使设备和远程系统能够随时无缝访问应用和资源(无论它们在哪里),而不是将流量返回到传统数据中心或专用网络来进行安全检查。

SASE 的重要组成部分

SASE 可分为 6 个基本元素。

软件定义广域网 (SD-WAN)

软件定义广域网是一种覆盖体系结构,它使用路由或交换软件在终结点 (物理和逻辑)之间创建虚拟连接。SD-WAN 为用户流量提供近乎无限制的路径,这可优化用户体验,并在加密和策略管理方面提供强大的灵活性。

防火墙即服务 (FWaaS)

防火墙即服务将防火墙保护移到云端,而不是移到传统的网络边界。这使组织能够将远程移动工作区安全地连接到公司网络,同时仍然强制实施超出组织所在地理区域的一致安全策略。

安全 Web 网关 (SWG)

安全 Web 网关是一项 Web 安全服务,阻止未经授权的流量访问特定网络。SWG 的目标是在威胁渗透虚拟边界之前锁定这些威胁。SWG 通过结合使用恶意代码检测、恶意软件消除和 URL 筛选等技术来实现这一点。

零信任网络访问 (ZTNA)

零信任网络访问是一系列整合的基于云的技术,在运行它的框架中,信任从来都不是隐式的,而且在所有用户、设备和应用程序中基于知其所需、最低特权原则授予访问权限。在此模型中,所有用户必须先通过身份验证、获得授权并持续经过验证,然后才能获得访问公司专用应用程序和数据的权限。ZTNA 使在传统 VPN 下遇到的糟糕用户体验、复杂操作、成本和风险不复存在。

云访问安全代理 (CASB)

云访问安全代理是一种 SaaS 应用程序,它充当本地网络和基于云的应用程序之间的安全检查点,并强制实施数据安全策略。CASB 通过结合使用预防、监视和缓解技术来保护公司数据。它还可识别恶意行为,并就违反合规性的情况警告管理员。

集中统一管理

借助新式 SASE 平台,IT 管理员可通过集中统一管理,跨网络和安全性管理 SD-WAN、SWG、CASB、FWaaS 和 ZTNA。这使 IT 团队成员能够空出时间,集中精力处理其他更迫切的领域,并提高组织混合劳动力的用户体验。

SASE 的优势

SASE 平台与传统本地网络选项相比具有显著优势。下面是组织可能想要切换到 SASE 框架的一些主要原因:

降低 IT 成本和复杂性

传统的网络安全模型依靠混搭的解决方案来保护网络边界。SASE 减少了保护应用程序和服务所需的解决方案数量,从而节省 IT 成本并简化管理。

更高的灵活性和可伸缩性

SASE 是云提供的,因此网络和安全框架完全可缩放。随着企业发展,系统也会发展,这使得加速数字化转型成为可能。

构建用于维持混合工作

传统的中心辐射型网络难以处理保持远程员工高效工作所需的带宽,而无论用户在哪里工作、如何工作,SASE 都为所有用户维持了企业级安全性。

改进用户体验

SASE 通过实时智能地管理安全交换,优化用户的安全性。这减少了用户尝试连接到云应用程序和服务时的延迟,还减少了组织的攻击面。

提高了安全性

在 SASE 框架中,SWG、DLP、ZTNA 和其他威胁情报技术融合在一起,使远程员工能够安全访问公司资源,同时减少在网络中横向移动的风险。在 SASE 中,所有连接都经过检查且受到保护,并且预先明确定义了保护策略 - 这是毫无疑问的。

详细了解主动零信任安全性

SASE 和 SSE 之间的区别

安全服务边缘 (SSE) 是 SASE 的一个独立子集,专门专注于云安全服务。SSE 通过受保护的 Web 网关的方式提供对 Internet 的安全访问、通过 CASB 保护 SaaS 和应用,并通过 ZTNA 保护对专用应用的远程访问。SASE 也具有这些组件,但内容更多,包括 SD-WAN、WAN 优化和服务质量 (QoS) 元素。

如何开始使用 SASE

要成功实现 SASE,需要深度规划和准备,还需要持续监视和优化。下面是关于如何规划和实施分阶段 SASE 部署的一些建议。

1. 定义 SASE 目标和要求

确定组织中可通过 SASE 解决的问题,以及预期的业务成果。了解 SASE 为何必不可少后,阐明哪些技术可弥合你组织的当前基础结构中的差距。

2. 选择 SD-WAN 主干网

选择一个 SD-WAN 来提供网络功能,然后对 SSE 提供程序进行分层来创建全面的 SASE 解决方案。集成很关键。

3. 采用零信任解决方案

应按标识管理访问控制。选择一套以零信任为核心的云原生技术来完成 SASE 部署,尽可能地保护你的数据。

4. 测试和排除故障

使用 SASE 部署之前,请在过渡环境中测试 SASE 功能,并试验你的多云安全堆栈如何与 SD-WAN 和其他工具集成。

5. 优化 SASE 设置

随着组织的发展和首要任务的演变,寻找新的机会进行持续的自适应 SASE 实现。每个组织通往成熟 SASE 体系结构的途径都是独一无二的。分阶段实现有助于确保你能够在每一步都自信地向前推进。

面向企业的 SASE 解决方案

每个想要提供全面威胁和数据防护、加速数字化转型和为远程或混合员工提供帮助的组织都应该尽快考虑采用 SASE 框架。

为了获得最佳结果,请评估你的当前环境并确定需要弥合的紧迫差距。然后,确定使你能够通过集成已经采用零信任原则的现有工具来利用当前在技术方面的投入的解决方案。

开始使用

详细了解 Microsoft 安全

零信任解决方案

采纳零信任带来的主动保护。

Microsoft Defender for Cloud

保护多云基础结构。

Microsoft Entra 专用访问

让用户能够从任何位置安全地连接到专用应用。

Microsoft Defender XDR

使用威胁防护技术保护最终用户。

Microsoft Entra Internet 访问

安全访问 Internet、SaaS 和 Microsoft 365 应用。

Microsoft Defender for Cloud Apps

使用云访问安全代理保护云应用。

云安全

为你的多云应用和资源获得集成保护。

Microsoft Sentinel

在整个组织获得可见性。

常见问题解答

  • 安全访问服务边缘(简称 SASE)是一种基于云的安全体系结构,它将软件定义广域网 (SD-WAN) 与具有 SWG、CASB、ZTNA 和 FWaaS 的整合云交付安全堆栈融合在一起。

  • SASE 体系结构是一种领先的体系结构模型,由全球可缩放网络提供支持,它可提高混合员工的工作效率,并降低当今分布式企业环境的复杂性。

  • SASE 与传统网络安全方法的不同之处是,它会检测用户、终结点和远程网络并将其连接到应用和资源。传统的企业网络安全选项会通过安全 Web 网关和防火墙将流量返回到专用网络和企业数据中心,而 SASE 在访问点提供全球一致的传输。

    该模型使在传统安全模型中遇到的糟糕用户体验、复杂操作、成本和风险不复存在,它还减少了企业攻击面并增强了 IT 灵敏度。

  • SASE 解决方案由 6 个基本元素组成,它们提供广泛的功能:

    1. 软件定义广域网 (SD-WAN):一种覆盖体系结构,可在终结点之间创建虚拟连接。

    2. 安全 Web 网关 (SWG):一项 Web 安全服务,阻止未经授权的流量访问特定网络。

    3. 云访问安全代理 (CASB):一种 SaaS 应用程序,充当本地网络和基于云的应用之间的安全检查点。

    4. 防火墙即服务 (FWaaS):一种将防火墙保护移到云端,而不是移到传统的网络边界的解决方案。

    5. 零信任网络访问 (ZTNA):一种要求所有用户都必须经过明确身份验证、授权和持续验证才能访问公司应用和数据的 IT 解决方案。

    6. 集中统一管理:从一个控制台管理策略。

  • 适当实现后,无论组织的用户、设备或应用程序在哪里,组织都可通过 SASE 确保安全访问。此外,SASE 还提供以下优势:

    1. 从威胁防护到下一代防火墙,都确保灵活全面的安全性。

    2. 更卓越的性能和更棒的用户体验(例如,更低的延迟和按需安全保障)。

    3. 得益于将关键网络和安全功能整合到更少的解决方案中,成本更低、操作更简单。

    4. 灵活可缩放的网络边缘,可加速数字化转型和 IoT 采用,使现代混合员工能够提高工作效率,并减少了整个组织中的操作难度。

关注我们