安全访问服务边沿(SASE)是滚动的网络架构软件定义广域网(SD-WAN)和安全到云服务中,承诺简化了WAN部署,提高了效率和安全性,并提供了每个应用程序的适当带宽。
因为它是云服务,所以Sase(发音为“Sassy”)可以很容易地缩放并根据用法缩放和计费。结果,在快速变化的时间内,它可以是一个有吸引力的选择。
虽然这个空间中的一些供应商提供硬件设备,用于将员工和公司数据中心连接到他们的SASE网络,大多数供应商通过软件客户端或虚拟设备处理连接。2020欧洲杯预赛
Gartner创建了这个术语Sase,并首先在2019年的白皮书中描述了它,它奠定了它的目标以及Sase实现应该是什么样的。咨询公司注意到SASE仍在开发,其所有功能尚不容易获得。
让我们仔细看看。
什么是sase?
简单地,sase将SD-WAN功能与安全性相结合,并将其作为服务提供。根据四个因素,对用户会话执行的安全策略是根据以下四种因素量身定制的:
- 实体连接的身份
- 上下文(设备的健康和行为,访问资源的敏感性)
- 安全性和合规性政策
- 在每个会议期间持续评估风险。
该wSase的一侧依赖于实体提供的功能,包括SD-WAN提供商,运营商,内容交付网络,网络和服务提供商,带宽聚合器和网络设备供应商。
安全方依赖于云访问安全经纪人,云安全Web网关,零信任网络访问,防火墙 - AS-Service,Web-API保护AS-Service,DNS和远程浏览器隔离。
Gartner说,理想地,所有这些功能都是作为SASE服务作为SASE服务,该实体将其全部拉到一体,Gartner说。
边缘在哪里?
Sase的“Edge”部分通常通过POPS或供应商提供2020欧洲杯预赛数据中心靠近端点 - 数据中心,人员和设备 - 无论何处。2020欧洲杯预赛在某些情况下,Sase供应商拥有POPS,而在其他情况下,它使用第三方或期望客户提供自己的连接。
Sass福利
因为它是单一服务,Sase削减了复杂性和成本。企业处理较少的供应商,分支机构和其他远程位置所需的硬件数量下降,最终用户设备上的数字代理也减少。
IT高管可以通过基于云的管理平台集中设置策略,并在靠近最终用户的分布式POP中强制执行策略。
无论他们需要哪些资源以及它们所在的位置,最终用户都具有相同的访问体验。Sase还通过对用户根据初始登录的任何资源应用适当的策略来简化身份验证过程。
安全性增加,因为无论用户所在的位置如何,策略都同样强制执行。由于出现新的威胁,服务提供商解决了如何保护它们,而且企业没有新的硬件要求。
sase支持零信任网络基于用户,设备和应用程序的访问,而不是位置和IP地址。
更多类型的最终用户 - 员工,合作伙伴,承包商,客户 - 可以在没有传统安全风险的情况下获得访问权限 - 如vpns.和DMZS - 可能会受到损害,并成为对企业潜在广泛攻击的海滩头。
SASE提供程序可以提供不同的服务质量,因此每个应用程序都会获得它所需的带宽和网络响应性。
使用Sase,Enterprise IT人员与部署,监控和维护相关的琐事较少,并且可以分配更高的级别任务。
Sase挑战
Gartner列出了采用Sase的几个障碍。
一些服务可以最初出现,因为它们是由提供者实施的,其中包括网络或安全的背景,缺少另一半的专业知识。
初始SASE产品不得使用云原生心态设计,因为供应商的遗产经验是销售本地硬件的销售,因此他们可以选择一次基础设施的建筑物一次致力于一个客户。
同样,传统硬件供应商可能缺乏Sase所需的线路代理的经验,因此它们可能陷入成本和性能问题。
一些传统的供应商也可能在评估背景中缺乏经验,这可能会限制他们制定情境感知决策的能力。
由于Sase的复杂性,提供者具有良好的集成功能,而不是那些被缝合在一起的情况。
对于某些SASE提供商来说,POP的全球累积可能是昂贵的。这可能导致所有位置的性能不均匀,因为某些网站可能位于最近的流行音乐,引入延迟。
Sase端点代理必须与其他代理集成,以简化部署。
Sase过渡可以对人员进行压力。草皮战争可以像网络和安全团队的疾病一样爆发。改变供应商采用SASE可能需要培训公司IT人员来处理新技术。
为什么Sase是必要的?
Gartner表示,更多传统的企业数据中心功能现在托管在企业数据中心之外,而不是IIAAS提供商云,在SaaS应用程序和云存储中。2020欧洲杯预赛IoT和Edge Computing的需求只会增加对基于云的资源的这种依赖性,但WAN安全架构仍然对本地企业数据中心定制。2020欧洲杯预赛
远程用户通常通过VPN和要求连接防火墙在每个位置或单个设备上。传统模型使它们验证授予访问权限的集中安全性,但也可能通过该中心位置路由流量。这种遗留体系结构受到复杂性和延迟的阻碍。
使用SASE,最终用户和设备可以对其授权的所有资源进行身份验证并获得安全访问权限,以靠近其附近的安全性。经过身份验证,他们可以直接访问资源,寻址延迟问题。
根据Gartner分析师NAT Smith的说法,Sase更像是哲学和方向,而不是一个特征的清单。但总的来说,他说,Sase由五个主要技术组成:SD-WAN,防火墙作为服务(FWAAS),云访问安全代理(CASB),安全Web网关和零信任网络访问。
集成SD-WAN
传统上,WAN由独立基础设施组成,通常需要重量的硬件投资。
SASE版本是基于云的,由软件定义和管理,并且具有分布式POP,理想情况下,位于企业数据中心,分支机构,设备和员工附近。2020欧洲杯预赛许多POP对于确保尽可能多的企业流量直接访问SASE网络,避免公共互联网的延迟和安全问题。
通过服务,客户可以监控网络的运行状况,并为其特定流量需求设置策略。
由于来自互联网的流量首先通过提供商的网络,因此Sase可以在进入企业网络之前检测危险的流量和干预。例如,DDOS攻击可以在SASE网络中减轻,从而从恶意流量的洪水中保存客户。
防火墙作为服务
越来越多的在今天的分布式环境中,用户和计算资源都位于网络边缘。作为服务提供的灵活,基于云的防火墙可以保护这些边缘。由于边缘计算生长和IOT设备变得更加智能,此功能将变得越来越重要。
作为SASE平台的一部分提供FWAAS使企业更容易管理网络的安全性,设置统一的政策,斑点异常,并迅速进行更改。
云访问安全经纪人
随着越来越多的企业系统移动到SaaS应用程序,身份验证和访问变得越来越重要。
Casbs被企业使用,以确保即使服务本身在其控制范围之外,也可以始终应用其安全政策。
对于SASE,相同的门户员工使用用于访问其公司系统也是他们可以访问的所有云应用程序的门户,包括CASB。流量不必在系统之外路由到单独的Casb服务。
安全网页
在当今的企业中,网络流量很少限于预定义的周边。现代工作负载通常需要访问外部资源,但可能会拒绝员工访问某些站点的合规原因。此外,公司希望阻止访问网络钓鱼站点和Botnets命令和控制服务器。即使是员工试图抵抗敏感的企业数据,也可以恶意使用即使是无害的网站。
安全的Web网关(SGW)保护公司免受这些威胁。提供此功能的Sase供应商应该能够在云标度下检查加密流量。捆绑SWG与其他网络安全服务提高了可管理性,并允许更统一的安全策略集。
零信任网络访问
零信任网络访问允许企业精细的可见性和控制用户和系统访问公司应用程序和服务。
Zero-Trust是一种相对较新的网络安全方法,并迁移到SASE平台可能允许公司获得那些零信任功能。
零信任的核心元素是安全性基于身份,而不是表示IP地址。这使得它更适合移动劳动力,而是需要额外的身份验证,例如多因素认证和行为分析。
其他技术可能是Sase的一部分
除了五个核心功能之外,Gartner还建议其他一些技术,即Sase供应商应该提供。
它们包括Web应用程序和API保护,远程浏览器隔离和网络沙箱。还推荐:网络隐私保护和流量分散,这使得威胁演员难以通过跟踪流量流的IP地址或窃听来查找企业资产。
其他可选功能包括Wi-Fi热点保护,支持旧版VPN,以及用于离线边缘计算设备或系统的保护。
集中访问网络和安全数据可以允许公司运行整体行为分析和现场威胁和异常,否则在淤泥系统中不会显而易见。当这些分析作为基于云的服务交付时,它将更容易包含更新的威胁数据和其他外部智能。
在Sase umbrella下将所有这些技术携带所有这些技术的最终目标是提供企业灵活和一致的安全性,更好的性能,更不复杂 - 所有权总体拥有成本较低。
企业应该能够获得他们需要的规模,而无需雇用相应大量的网络和安全管理员。
SASE服务提供商
Gartner说,因为Sase是一个汞合金的服务,如何实现这种混合物会有所不同。结果,他们说他们不能提出一个全面的提供商列表,但它确实编制了已经做的供应商列表,或者他们期望提供Sass:
- Akamai.
- CATO网络
- 思科
- CloudFlare.
- 力量
- Fortinet.
- 迈克菲
- netskope.
- 帕洛阿尔托网络
- 校对点
- 赛门铁克
- 值
- VMware.
- Zscaler.
“主要的IAAS提供商(AWS,Azure和GCP)在SASE市场上尚不具竞争力,”Gartner在其Sase Instuctory的出版物中表示。“我们预计至少有一个将搬迁到未来五年内的大部分市场要求,因为他们都扩大了他们的边缘网络存在和安全功能。”
如何采用sase
企业可能首先迁移到混合方法,传统的网络和安全系统处理数据中心和分支机构之间的预先存在的联系。2020欧洲杯预赛Sase将用于处理新的连接,设备,用户和位置。
Sase不是网络和安全问题的治疗,也不是防止未来的中断,但它将允许公司更快地回应中断或危机,因此最大限度地减少对企业的影响。此外,Sase将允许公司更好地利用新技术,如Edge Computing,5G和移动AI。