什麼是SASE

科技小青爱吃草2022-07-03 15:38:11浏览0评论0

信域與SASE都支持多種企業環境和終端環境,支持移動用戶、PC用戶在任意地方隨時接入並訪問授權業務,支持企業將部署在多雲環境、數據中心的各類業務資源接入到企業私有的安全網絡中。 信域與SASE都認為……

什麼是SASE

Gartner在2019年9月發表瞭題為《The Future of Network Security Is in the Cloud》✨的報告,報告詳細描述瞭安全訪問服務邊緣的概念(Secure Access Service Edge,SASE)●。

在Gartner的定義裡,安全訪問服務邊緣(SASE)●是一種新興的服務,它將廣域網與網絡安全(如:SWG、CASB、FWaaS、ZTNA)●結合起來,從而滿足數字化企業的動態安全訪問需求。

SASE 是一種基於實體的身份、實時上下文、企業安全/合規策略,以及在整個會話中持續評估風險/信任的服務。實體的身份可與人員、人員組(分支辦公室)●、設備、應用、服務、物聯網系統或邊緣計算場地相關聯。

💠SASE的特點

🔶️身份驅動的私有網絡

以身份為中心,通過用戶和資源身份決定網絡互聯體驗和訪問權限級別。采用身份驅動的網絡和安全策略,企業則無需考慮設備或地理位置。

🔶️雲原生架構

SASE架構利用雲的幾個主要功能,包括:彈性、自適應性、自恢復能力和自維護,分攤客戶開銷以提供最大效率,適應新興業務需求,而且隨處可用。

🔶️支持所有邊緣

為企業資源創建一個獨立的安全網絡,涵蓋移動用戶、PC用戶、雲資源、數據中心資源、總部資源、分支資源等。

全球分佈 擴展企業網絡覆蓋面,確保所有網絡和安全功能隨處可用,並向全部邊緣交付盡可能好的體驗。

💠信域與SASE的相同點

🔶️融合網絡和安全能力

信域與SASE都認為企業的網絡能力與安全能力需要進行融合,安全能力離不開底層網絡的支撐,網絡能力也需要安全的持續保障。

尤其是在分佈式網絡中,終端和業務資源分佈在碎片化的網絡裡,讓基於上下文的安全分析越來越困難。

通過對網絡的改造和優化,可以將碎片化的終端和資源重新整合在一起,讓企業可以在分佈式環境中依然可以以身份為中心進行復雜的行為分析和研判,大幅提升瞭企業綜合安全能力。

🔶️全球分佈,適應各種環境

當今絕大多數企業已經逐漸發展成分佈式企業,企業員工可能位於全球任何位置,企業業務資源可能部署在多個雲、多個數據中心。

信域與SASE都支持多種企業環境和終端環境,支持移動用戶、PC用戶在任意地方隨時接入並訪問授權業務,支持企業將部署在多雲環境、數據中心的各類業務資源接入到企業私有的安全網絡中。

🔶️以身份驅動的私有網絡

信域與SASE都認為基於IP地址的邊界防禦模型在分佈式網絡中已經失效,唯有身份是始終不變並貫穿整個安全治理過程的關鍵要素,企業需要以身份為核心重建安全邊界。

企業應該擁有統一的身份體系,並將統一身份應用到網絡的接入、訪問控制策略的制定以及安全分析研判當中。

💠信域與SASE的不同點

🔶️業務訪問流量端到端全程加密

當前業內大多數SASE服務供應商采用的方案是將企業的業務訪問流量牽引到供應商提供的安全公有雲上,在供應商提供的安全雲裡進行網絡優化和各種安全檢測、防禦。

這種方式需要將企業的內部業務訪問流量以明文方式在雲上進行安全檢測,影響到瞭企業的業務隱私,SASE雲本身將成為企業的一個隱含信任漏洞,同時這種將內部業務訪問的流量牽引到雲上的方式,還會給企業帶來瞭額外的帶寬成本。

信域則采用瞭更私有化的方式來實現。

信域為企業提供的是點對點的加密訪問網絡,在用戶終端到部署在客戶自有環境中的信域網關之間,所有業務訪問流量都是點對點全程加密的,而且兩端都在客戶自主可控環境中,流量轉發中途不進行任何解密,確保瞭業務流量的保密性,讓企業業務數據始終自治可控。

另外,在信域裡業務訪問流量在終端與信域網關之間點對點傳輸,無需經過特定網絡轉發,企業也因此無需承擔額外的帶寬成本。

換個角度說,如果不考慮把安全能力集中在雲上執行,而是將與企業業務隱私相關的功能都保留在客戶的自治可控環境中,信域也可以理解為是一種客戶完全私有的SASE架構。

🔶️網絡數據包身份化

雖然SASE和信域都強調以身份驅動,但信域在實現方式上更為徹底。

大多數SASE和SDP方案都是通過將IP地址與身份進行關聯,用身份進行策略編排,實際使用IP地址進行網絡管控的方式來實現。

而信域則是將企業的統一身份直接植入到傳輸層數據包中,同時使用統一身份對虛擬層數據包進行混淆加密。通過這種方式信域讓網絡裡所有轉發的數據包都帶上瞭身份信息,實現瞭完全實名制的企業網絡。

信域使用分佈式訪問控制引擎,在每一個終端和信域網關上,基於身份對數據包進行網絡轉發和網絡訪問控制。

同時信域網關實時采集身份化的網絡流量日志,實現進行基於身份的跨域上下文分析,讓企業的上層業務分析能力和威脅檢測能力也能擺脫對IP地址的依賴,能始終聚焦於人和終端。

🔶️分佈式訪問控制模型

SASE將所有安全管控集中在雲服務上,結構上屬於以雲為中心的訪問控制模型。

信域不信任客戶端與網關之間的任何網絡,包括互聯網、企業內網、分支網絡、雲服務等。信域客戶端與信域網關之間構建的是點對點加密網絡,網絡數據包在兩端之間始終加密傳輸,不做任何解密檢測。

信域采用分佈式訪問控制引擎,網絡層和應用層的細粒度訪問控制規則同步到每一個信域客戶端和信域網關上分佈式執行。也正因為如此,每一個信域網絡都可以承受數千萬量級的細粒度訪問控制策略同時執行,而無需考慮策略執行點的性能瓶頸問題。

New Post(0)
登录