安全接达服务边缘(SASE)是一种新兴的企业战略,整合了多种解决方案,支持对本地、基于云的和在线资源的安全远程访问。不幸的是,大量的炒作使得一些组织想知道SASE到底是什么。理解SASE的基本概念和组件是很重要的,因为它的好处对于许多组织来说是非常重要的。幸运的是,弄清这个问题很容易,因为SASE的许多基本原理——比如将网络和安全结合在一起——是多年来吸引客户的趋势。但是,为了避免增加复杂性,或者更糟的是,完全忽略SASE的真正价值,预先正确地定义SASE仍然很关键。
SASE致力于在任何地方提供安全
今天的组织需要对网络和基于云的资源和数据,包括关键业务应用程序,无论身在何处的用户位于即时,不间断地访问。现实情况是,消费模式由于5G的实施,云迁移,从家里的持续工作,类似的结果,从数字创新的力度变化。这已经改变了传统的网络边缘多的网络。
与此同时,这些动态变化的网络配置,以及攻击面的迅速扩大,意味着许多传统的安全解决方案,不再提供保护和访问控制的级别组织和用户需要。在这种环境下,安全必须从任何地方的任何地方提供,在任何时间,任何设备 - 广域网边缘,云边,DC边缘,核心网络的边缘,科Edge和移动远程工作人员的边缘。这就需要传统和基于云的安全性的安全和基本的网络元素的融合,以及深度整合。
准确定义SASE
SASE旨在帮助组织保护这些新的分布式网络。然而,与任何新兴技术类别一样,对于SASE解决方案的确切含义以及所包含的技术,仍然存在一些不确定性。此外,厂商们正试图以最能反映他们当前产品的方式重新定义这个市场——这意味着一些元素被过分强调,而其他的,通常是必要的元素被忽视了。不幸的是,SASE的一些市场定义已经包含了一些重要的遗漏,这使得一些组织困惑于如何最好地选择、实现和管理适合其独特环境的正确解决方案。
不仅仅是云
SASE通常被归为云交付服务,提供对基于云的资源的安全访问、远程用户之间的安全通信,以及为非本地设备提供始终在线的安全性。然而,在某些情况下,组织可能需要结合物理和基于云的解决方案来有效地工作。这可能包括支持已经包含完整安全栈的物理SD-WAN解决方案,或者希望在处理机密或敏感信息(而不是将其传输到云进行检查)时在边缘提供保护。
通过结合物理和基于云的元素,SASE的角色也可以很容易地扩展到网络的深处,而不是简单地把安全交给边缘的一个完全不同的系统。这确保了安全的SASE连接与同样依赖硬件的关键解决方案无缝集成,例如网络分割和遵从性需求,而严格的基于云的安全方法无法解决这些问题,从而提供端到端保护。
安全局域网和广域网
一些SASE的定义也省去像安全LAN和WLAN安全的事情,对很多企业重要的考虑因素。在SASE解决方案,包括这些各种技术有助于确保安全在整个安全体系结构的持续应用,而不是部署他们的SASE部署独立的安全组件 - 这可能造成在安全策略的执行和限制的知名度差距。而对于SASE以功能作为现有安全LAN或WLAN网络的延伸,它也将需要支持物理解决方案,例如路由和广域网优化控制器(WOC),沿着SD-WAN的动态路径选择。它还需要的功能是否一致使用NGFW或FWaaS解决方案,以及物理和基于云的ZTNA解决方案——以及网络工具,如WLAN/LAN/5G控制器——以确保安全的网络访问和动态分段。
灵活的消费
但不管是哪个工具使用或部署位置,有一个核心的问题,需要加以铭记。每个SASE的解决方案不仅要满足今天的接入需求,同时也有能力迅速适应,因为他们出现迅速发展的网络变化和业务需求。这说明了SASE,这是灵活的消费模式,让企业根据其独特的使用案例的选择,以达到一个关键标准真正的愿景SASE的。
定义的基本安全元素
任何真正的SASE解决方案都必须包含一组核心的基本安全元素。要实现SASE部署的全部潜力,组织必须了解并跨WAN-edge、LAN-edge和云-edge实现这些安全组件。
- 一个完全功能性的,SD-WAN溶液。SASE从一个SD-WAN解决方案开始,该解决方案包括动态路径选择、自修复WAN功能以及用于业务应用程序的一致应用程序和用户体验。
- 一个NGFW(物理)或FWaaS(基于云的)防火墙。SASE还需要包括安全跨越物理和基于云的场景的全栈。例如,远程工作人员需要访问位于网络资源,基于云的安全和物理安全和内部分割的组合来防止网络用户访问受限制的企业网络资源。然而,物理硬件和云计算的本地安全需要在范围内提供同样的高性能,从而实现最大的灵活性和安全性。
- Zero-trust网络访问。它主要用于标识用户和设备,并向应用程序验证它们。因为ZTNA更多的是一种策略而不是一种产品,它包含了几种协同工作的技术,首先是用于识别所有用户的多因素身份验证(MFA)。在物理方面,ZTNA应该包括安全网络访问控制(NAC)、访问策略的实施以及与动态网络分割的集成,以限制对网络资源的访问。在云计算方面,ZTNA需要支持微分割和交通检查,以确保用户之间的东西方通信安全,以及对网络内外设备的始终在线安全。
- 安全的网络通讯闸。它是通过加强互联网安全性和法规遵从策略和过滤掉恶意互联网流量用于保护用户和设备的网络安全威胁。它也可以用于Web访问执行可接受的使用政策,确保符合法规,防止数据泄漏。
- 一个CASB。基于云的服务使企业能够利用他们的SaaS应用控制,包括确保应用访问,并消除阴影IT挑战。这需要与内部部署DLP相结合,以确保全面的数据丢失防护。
SASE - 网络和安全的收敛
在高层次上,实现SASE真的可以归结为从任何边缘的任何地方实现安全连接和访问关键资源。遗憾的是,很少有厂商能够提供这一点,因为他们的投资组合充满了不同的,收购的产品,或者他们根本就没有足够的广度,提供所有的安全要素,一个强大的SASE解决方案需要。甚至当他们这样做,他们的解决方案根本不具备互操作性不够好,是有效的。
这是一个问题,因为SASE为了更好地工作,它的所有组件需要作为一个单一的集成系统进行互操作——连接、网络和安全元素都是一样的。这意味着每个组件都需要被设计成作为集成策略的一部分,通过单一、集中的管理和编排解决方案绑定在一起。它们还需要与更大的公司安全框架无缝集成,并随着网络环境的发展而动态适应。如果不是,它就不是一个真正的SASE解决方案。
近期围绕SASE的市场势头令人兴奋,因为它强调了a股的必要性Security-driven网络的方法。在云互联和数字创新的时代,网络与安全必须融合。我们不会回到过时的竖井式架构。
了解更多关于SASE是安全与网络的未来。从SD-WAN、ZTNA、CASB和NGFW, Fortinet平台为拥抱SASE提供了完整的准备。