2022安全訪問服務(wù)邊緣

安全訪問服務(wù)邊緣2022PAGEPAGE10目錄前言 3第一部分概念篇 4背景 4定義 4Gartner定義的SASE 4Forrester定義的ZTE 5我們的觀點(diǎn) 5特征 6身份驅(qū)動(dòng) 6云原生架構(gòu) 6近源部署 6分布互聯(lián) 7優(yōu)勢 7融合管控 7降低成本 7靈活部署 8性能優(yōu)化 8提升安全 9第二部分技術(shù)篇 106 架構(gòu) 10總體架構(gòu) 10SASE接入端 10SASE云端 核心技術(shù) 網(wǎng)絡(luò)接入能力 網(wǎng)絡(luò)安全能力 12第三部分應(yīng)用篇 158 場景 15零信任第一步 15多分支接入 15遠(yuǎn)程接入 16資產(chǎn)隱藏 179 部署 17部署路徑 17影響部署的因素 1810 展望 19前言在2021年度的網(wǎng)絡(luò)安全行業(yè)的熱點(diǎn)名詞中，安全訪問服務(wù)邊緣（SecureAccessServiceEdge，簡稱SASE）絕對(duì)是熱點(diǎn)之一，自2019年Gartner發(fā)布《TheFutureofNetworkSecurityIsintheCloud（網(wǎng)絡(luò)安全的未來在云端SASE紛闡述各自對(duì)SASE的理解，并推出相關(guān)方案或產(chǎn)品進(jìn)行試水。在短短一年多的時(shí)間里，SASE第一部分概念篇背景由于企業(yè)網(wǎng)絡(luò)云化發(fā)展趨勢和新冠疫情等因素的影響，企業(yè)內(nèi)大量數(shù)據(jù)和應(yīng)用都搬遷到了云上，尤其是大型企業(yè)，分支流量急速增大和訪問路徑變化使得分支用戶的體驗(yàn)變得難以忍受。軟件定義廣域網(wǎng)技術(shù)在提升分支訪問總部、云端的體驗(yàn)的同時(shí)，也帶來了一系列的運(yùn)維問題和分支安全需求。技術(shù)的同時(shí)還需要采購互聯(lián)網(wǎng)線路，運(yùn)維責(zé)任不明晰。分支直連公網(wǎng)應(yīng)用，面臨錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)環(huán)境和應(yīng)用關(guān)系，需要對(duì)應(yīng)用進(jìn)行針對(duì)性的識(shí)別、管理和調(diào)度，同時(shí)要采購額外的安全設(shè)備，配備對(duì)應(yīng)的安全功能如：安全b網(wǎng)關(guān)（SG、入侵檢測系統(tǒng)（IPS）等。大量的分支安全需求反而促使安全功能云化趨勢的興起。云計(jì)算和邊緣化趨勢讓越來越多的企業(yè)計(jì)劃更改企業(yè)的網(wǎng)絡(luò)接入和網(wǎng)絡(luò)安全架構(gòu)，各種孤立的安全產(chǎn)品和解決方案難以解決企業(yè)的實(shí)際需求，同時(shí)，由VPN商和云服務(wù)商面臨將提供給用戶的網(wǎng)絡(luò)接入和安全進(jìn)行融合的挑戰(zhàn)。為了應(yīng)對(duì)這一挑戰(zhàn)，Gartner在2019年提出安全訪問服務(wù)邊緣（SecureAccessServiceEdge，SASE）架構(gòu)。定義GartnerSASEGartner在《TheFutureofNetworkSecurityIsintheCloudSASE定義為一種基于實(shí)體的身份、實(shí)時(shí)上下文、企業(yè)安全/合規(guī)策略，以及在整個(gè)會(huì)話中持續(xù)評(píng)估風(fēng)險(xiǎn)/信任的服務(wù)。其中，實(shí)體的身份可與人員、人員組（分支辦公室、設(shè)備、應(yīng)用、服務(wù)、物聯(lián)網(wǎng)系統(tǒng)或邊緣計(jì)算場地相關(guān)聯(lián)。Gartner的定義里，SASE整合了各種云原生的安全功能（包含SWG、IPS等）的管理型服務(wù)，從而滿足企業(yè)在數(shù)字化轉(zhuǎn)型過程中的動(dòng)態(tài)安全訪問需求。其本質(zhì)是網(wǎng)絡(luò)和安全的綜合云化。Forrester定義的ZTE2010年推出零信任（ZeroTrust）Forrester20211月提出了零信任邊緣（ZeroTrustEdge，ZTE）SASE納入到零信任框架中。Forrester在《IntroducingTheZeroTrustEdgeModelForSecurityAndNetworkServices（將安全帶到零信任邊緣》報(bào)告中認(rèn)為，ZTE模型與SASE模型是相似ZTESASE進(jìn)行網(wǎng)絡(luò)和安全的同步。因此，ZTE與SASE在實(shí)施路徑上存在差異，SASE強(qiáng)調(diào)網(wǎng)絡(luò)和安全緊耦合，網(wǎng)絡(luò)和安全同步，因此要求單一供應(yīng)商提供全套SASE產(chǎn)品；ZTE強(qiáng)調(diào)網(wǎng)絡(luò)和安全解耦，零信任先行，網(wǎng)絡(luò)重構(gòu)滯后，可以由多個(gè)供應(yīng)商集成，先解決戰(zhàn)術(shù)性“遠(yuǎn)程訪問”問題，最后再解決困難的“網(wǎng)絡(luò)重構(gòu)”問題。我們的觀點(diǎn)SASE與ZTE是由業(yè)界兩大知名咨詢公司提出的安全模型，殊途同歸，目的都是提升“邊緣安全”的地位。而我們認(rèn)為在云化時(shí)代，傳統(tǒng)堆疊安全硬件設(shè)備方式將無法滿足企業(yè)數(shù)字化發(fā)展和業(yè)務(wù)上云后的安全需求，軟件化和服務(wù)化是未來網(wǎng)絡(luò)安全的發(fā)展趨勢，當(dāng)前網(wǎng)絡(luò)安全市場“重產(chǎn)品，輕服務(wù)”的局面也將逐步改變，企業(yè)將更多采用托管的安全服務(wù)取代自建安全設(shè)施。SASE安全執(zhí)行點(diǎn)部署在離用戶更近的邊緣節(jié)點(diǎn)，克服了分散集成和地理位置約束解決方案的成本、復(fù)雜性和剛性，從而實(shí)現(xiàn)安全能力的服務(wù)化和企業(yè)安全服務(wù)的托管。特征身份驅(qū)動(dòng)在SASE中，安全訪問決策以連接源的用戶實(shí)體身份為中心，決定網(wǎng)絡(luò)互聯(lián)的服務(wù)質(zhì)量、訪問權(quán)限級(jí)別、路由選擇、應(yīng)用的安全風(fēng)險(xiǎn)。所有這些都由與每個(gè)網(wǎng)絡(luò)連接相關(guān)聯(lián)的身份所驅(qū)動(dòng)，身份是訪問決策的中心，只需要專注于身份管理和對(duì)應(yīng)的安全風(fēng)險(xiǎn)策略，無需考慮設(shè)備或地理位置，從而降低運(yùn)營開銷。SASE云原生架構(gòu)SASE復(fù)能力和自維護(hù)功能，基于微服務(wù)架構(gòu)，具備按需擴(kuò)展的能力。通過客戶成本分?jǐn)?，最大程度地?jié)省成本并提供最大效率的平臺(tái)，在方便地適應(yīng)新興業(yè)務(wù)需求的同時(shí)實(shí)現(xiàn)服務(wù)的快速擴(kuò)展。近源部署5G延遲及類似于訪問本地存儲(chǔ)和計(jì)算更好的用戶體驗(yàn)，通過SASE為整個(gè)組織的資源——數(shù)據(jù)中心、分支機(jī)構(gòu)、云資源以及移動(dòng)和遠(yuǎn)程用戶創(chuàng)建一個(gè)網(wǎng)絡(luò)，將軟件定義廣域網(wǎng)和安全能力集成到云計(jì)算服務(wù)中，從而保證簡化部署、提高效率和安全性，并為每個(gè)應(yīng)用程序提供適當(dāng)?shù)膸?，也就是說，無論最終用戶需要什么資源，以及自身和資源位于何處，都具有相同的訪問體驗(yàn)和安全防護(hù)能力。分布互聯(lián)為確保所有網(wǎng)絡(luò)和安全功能隨處可用，并向全部邊緣提供盡可能好的用戶體驗(yàn)，SASE將安全能力下沉至云邊緣節(jié)點(diǎn)，組織的分支機(jī)構(gòu)/營業(yè)網(wǎng)點(diǎn)需要就SASESASE自身覆蓋面，向組織邊緣交付低延遲服務(wù)。最終，SASE架構(gòu)的目標(biāo)是要能夠更容易地實(shí)現(xiàn)安全的云環(huán)境。SASE提供設(shè)備、防火墻、IPS設(shè)備和各種其他網(wǎng)絡(luò)及安全解決方案拼湊到一起的做法，以一個(gè)統(tǒng)一的覆蓋全網(wǎng)的服務(wù)和安全服務(wù)代替了難以管理的技術(shù)大雜燴。優(yōu)勢融合管控在單個(gè)框架中進(jìn)行網(wǎng)絡(luò)接入管理和網(wǎng)絡(luò)安全管理是SASE的一大優(yōu)勢，這實(shí)現(xiàn)了接入和安全的融合管控。IT管理人員可以通過基于云的管理平臺(tái)集中設(shè)置策略，并在靠近終端用戶POP以對(duì)網(wǎng)絡(luò)和安全數(shù)據(jù)集中管理，進(jìn)行整體行為分析發(fā)現(xiàn)在孤立系統(tǒng)中不明顯的威脅和異常。這些分析可以作為基于云的服務(wù)提供，并且能包含更新的威脅數(shù)據(jù)和其他外部情報(bào)。相應(yīng)地，SASE降低成本SASE成和地理位置約束的解決方案的成本問題。SASE采用沒有特定硬件依賴關(guān)系的云原生架構(gòu)，可多租戶模式部署，并能快速實(shí)例化，實(shí)現(xiàn)服務(wù)的快速擴(kuò)展，SASE交流，減少了分支機(jī)構(gòu)和其他遠(yuǎn)程位置所需的硬件數(shù)量和終端用戶設(shè)備上的代理數(shù)量，降低成本。企業(yè)更新功能時(shí)不需要受到硬件容量和更新硬件的限制，節(jié)省迭代成本。靈活部署由于SASE使用靈活的廣域網(wǎng)接入技術(shù)，采用SASELabelSwitching，MPLS）同時(shí)可以利用一切可用的數(shù)據(jù)服務(wù)搭建，例如MPLS、專用互聯(lián)網(wǎng)接入dictedIntrntccs，、寬頻或無線網(wǎng)絡(luò)。利用云基礎(chǔ)架構(gòu)的SASE服務(wù)可以靈活部署多種安全服務(wù)，例如威脅預(yù)防、過濾、沙箱、DNS安全、數(shù)據(jù)防泄漏和下一代防火墻策略。無需接觸企業(yè)網(wǎng)絡(luò)就可以進(jìn)行網(wǎng)絡(luò)和安全部署，這使企業(yè)可以迅速采用新功能，提高網(wǎng)絡(luò)和安全服務(wù)部署的敏捷性和簡便性。性能優(yōu)化SASE供應(yīng)商通過部署POP點(diǎn)提供延時(shí)優(yōu)化的路由，這對(duì)于延時(shí)敏感的業(yè)務(wù)非常關(guān)鍵。同時(shí)，借助云基礎(chǔ)架構(gòu)，用戶能在服務(wù)部署的任何位置可以輕松連接到資源所在的位置，訪問應(yīng)用程序、互聯(lián)網(wǎng)和公司數(shù)據(jù)。使用SASE的企業(yè)安全專業(yè)人員可以專注于理解業(yè)務(wù)、法規(guī)和應(yīng)用的訪問需求，并將這些需求映射到SASE功能，而不是陷入到基礎(chǔ)設(shè)施的常規(guī)配置任務(wù)中。SASESASEIT等相關(guān)雜務(wù)，以便執(zhí)行更高級(jí)別的任務(wù)。提升安全SASE和獨(dú)立用戶的代理結(jié)構(gòu)中，而傳統(tǒng)方法往往需要多個(gè)供應(yīng)商和服務(wù)來實(shí)現(xiàn)相同的控制，復(fù)雜性缺乏互操作性。SASE策略控制來降低傳統(tǒng)方法的復(fù)雜性和缺乏互操作性，從而提高安全性。當(dāng)出現(xiàn)新的威脅時(shí)，供應(yīng)商會(huì)提供如何防御這些威脅的解決方案，不需要企業(yè)采購新的硬件。SASE服務(wù)將使企業(yè)的合作伙伴和承包商可以安全地訪問其應(yīng)用、服務(wù)、API和數(shù)據(jù)，而無需擔(dān)心暴露傳統(tǒng)架構(gòu)中的VPN和DMZ帶來的大量風(fēng)險(xiǎn)。第二部分技術(shù)篇架構(gòu)總體架構(gòu)SASEITSASE而實(shí)現(xiàn)網(wǎng)絡(luò)就近接入和降低延時(shí)，并支持安全防護(hù)能力的實(shí)時(shí)敏捷和彈性伸縮的要求。SASESASESASE云端處理。SASE來有效地應(yīng)用優(yōu)化和安全檢查，并為所有流量提供前后關(guān)聯(lián)，SASE云端包含SASE節(jié)點(diǎn)、SASESASE控制中心。SASESASE辦公、遠(yuǎn)程辦公、總部/分支機(jī)構(gòu)協(xié)同辦公的場景。對(duì)于公司機(jī)構(gòu)（包含總部及分支機(jī)構(gòu)）SASEInternetSASE從而獲得更加智能、更加可靠、更加安全的云體驗(yàn)。對(duì)于員工出差、移動(dòng)辦公、遠(yuǎn)程辦公等通過個(gè)人電腦方式的接入場景SASESASE和邊緣接入。SASE戶端軟件的方式，實(shí)現(xiàn)用戶認(rèn)證和邊緣接入。SASESASE云端包含SASE節(jié)點(diǎn)、SASE云和SASE控制中心。SASE節(jié)點(diǎn)：把網(wǎng)絡(luò)和安全整合到一個(gè)平臺(tái)中，將訪問技術(shù)棧壓進(jìn)方管理的連接網(wǎng)絡(luò)，進(jìn)行統(tǒng)一管理。SASE使用私有數(shù)據(jù)中心、公共云或SASESASESASE接入點(diǎn)，連接到網(wǎng)絡(luò)。SASE云：集中部署的安全能力池，在容器云技術(shù)架構(gòu)下，SASE云可開通和調(diào)用能力。SASESASE接入點(diǎn)側(cè)輸出可調(diào)用可通過容器等方式下放部署在接入點(diǎn)。SASE控制中心：SASE控制中心是對(duì)SASE網(wǎng)絡(luò)的一個(gè)統(tǒng)一的綜合管SASE云、安全能力池、SASE接入點(diǎn)、安全能力運(yùn)行狀態(tài)等進(jìn)行統(tǒng)一管理和運(yùn)維。SASE控制中心能夠適用不同場景、不同業(yè)SASEAPI接口與各安全組件對(duì)接，實(shí)現(xiàn)安全能力的統(tǒng)一配置、編排和使用。SASE將允API不同的部署方式，控制中心可以托管在公共云中、私有云中或本地。核心技術(shù)網(wǎng)絡(luò)接入能力SASE、零信任網(wǎng)（ZT、內(nèi)容分發(fā)網(wǎng)絡(luò)（C）SN和零信任當(dāng)前應(yīng)用最為廣泛。1、SD-WAN是SASE平臺(tái)的關(guān)鍵組件，它將分支位置和數(shù)據(jù)中心鏈接到SASE云服務(wù)。SASE的理念就是借助搭建起來的虛擬化架構(gòu)去集中化，將核心能力附加到邊緣，使數(shù)據(jù)處理和安全能力都在邊緣并行，以滿足當(dāng)前和未來云上和移動(dòng)業(yè)務(wù)的動(dòng)態(tài)需要。SASEPOPPOP點(diǎn)形SASEPOP靠近公共云網(wǎng)關(guān)，以實(shí)現(xiàn)對(duì)云資源的低延遲安全訪問，無論哪個(gè)節(jié)點(diǎn)都有足夠的資源來滿足用戶的請(qǐng)求。同時(shí)，SASE以數(shù)據(jù)中心為中心的架構(gòu)不同，SASE架構(gòu)。2、零信任網(wǎng)絡(luò)訪問ZTNA零信任就是默認(rèn)系統(tǒng)環(huán)境不可信，并以“永不信任、持續(xù)驗(yàn)證”的理念，兼顧安全和體驗(yàn)的方式，實(shí)現(xiàn)資源的可信任訪問。零信任的信任關(guān)系源自于對(duì)所有參與對(duì)象和行為的動(dòng)態(tài)驗(yàn)證。核心原則包含最小權(quán)限原則、持續(xù)動(dòng)態(tài)訪問控制和授權(quán)。零信任架構(gòu)核心分為控制平面和數(shù)據(jù)平面?？刂破矫娴牟呗砸尕?fù)責(zé)信任評(píng)估，控制引擎為策略控制點(diǎn)，數(shù)據(jù)平面的安全代理作為策略執(zhí)行點(diǎn)。除了核心組件，也包含內(nèi)部和外部信任源，用于收集并分析參與對(duì)象和其行為的安全信息，為信任評(píng)估提供依據(jù)。網(wǎng)絡(luò)安全能力網(wǎng)絡(luò)安全能力是SASE的另外一個(gè)核心功能，也是安全能力服務(wù)化的具體SWG、云訪問安全代理CASB等。1、防火墻即服務(wù)FWaaS“防火墻即服務(wù)（FSSE安全防護(hù)服務(wù)的概念。它使企業(yè)更輕松地管理網(wǎng)絡(luò)安全，設(shè)置統(tǒng)一策略，及時(shí)發(fā)現(xiàn)異常并快速進(jìn)行響應(yīng)。不是物理設(shè)備，也不是托管在組織的本地環(huán)（如軟件即服務(wù)或平臺(tái)即服務(wù)，F(xiàn)S云環(huán)境中運(yùn)行，并可以通過互聯(lián)網(wǎng)進(jìn)行訪問。2、安全Web網(wǎng)關(guān)SWG基于云的安全Web網(wǎng)關(guān)（SWG）的主要作用就是確保員工和設(shè)備在任何時(shí)間任何地點(diǎn)都能安全地連接到互聯(lián)網(wǎng)以及保護(hù)企業(yè)擁有和管理的應(yīng)用程序，企業(yè)可以通過集中管理、在全球范圍內(nèi)部署策略，保護(hù)企業(yè)和員工免受惡意軟件、勒索軟件、釣魚攻擊、數(shù)據(jù)泄漏等風(fēng)險(xiǎn)。由于采用云服務(wù)的形式，安全Web網(wǎng)關(guān)無需部署硬件或虛擬設(shè)備，無需回傳流量即可為Web流量提供保護(hù)，允許直接連接到互聯(lián)網(wǎng)，從而降低了MPLS、VPN等網(wǎng)絡(luò)成本?；谠频陌踩玡b網(wǎng)關(guān)通過集成企業(yè)應(yīng)用隱藏、多因素認(rèn)證（A、統(tǒng)一應(yīng)用門戶和單點(diǎn)登錄、惡意軟件檢測、文件沙箱和動(dòng)態(tài)威脅情報(bào)、SSL解密、應(yīng)用和內(nèi)容過濾以及數(shù)據(jù)泄漏防護(hù)等功能，可以記錄和檢查所有的流量，從而獲得最佳的控制和保護(hù)。3、云訪問安全代理CASB云訪問安全代理（CSAB）是基于云原生應(yīng)運(yùn)而生的產(chǎn)品和服務(wù)，它是云安全戰(zhàn)略的基本元素，幫助安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者發(fā)現(xiàn)云服務(wù)并評(píng)估云風(fēng)險(xiǎn)，識(shí)別和保護(hù)敏感信息，檢測和緩解威脅，并建立有效的云治理和法規(guī)遵從性。CASB特別設(shè)計(jì)用于保護(hù)和控制對(duì)存儲(chǔ)在其他人系統(tǒng)中的數(shù)據(jù)的訪問，它提供了不同的、特定于云的功能，這些功能通常不是傳統(tǒng)安全產(chǎn)品的功能。Gartner為多云管理提供了一個(gè)中心，用于跨多個(gè)云服務(wù)并發(fā)地執(zhí)行策略和治理，以及對(duì)來自企業(yè)外圍內(nèi)外的用戶活動(dòng)和敏感數(shù)據(jù)（包括云到云訪問）的精確可見性和控制。CASB相當(dāng)于一個(gè)超級(jí)網(wǎng)關(guān)，融合了多種類型的安全策略執(zhí)行點(diǎn)。在這個(gè)超級(jí)網(wǎng)關(guān)上，能夠進(jìn)行認(rèn)證、單點(diǎn)登錄、授權(quán)、憑據(jù)映射、設(shè)備建模、數(shù)據(jù)安全（內(nèi)容檢測、加密、混淆）、日志管理、告警，甚至惡意代碼檢測和防護(hù)。第三部分應(yīng)用篇場景SASE和網(wǎng)絡(luò)安全能力進(jìn)行耦合，方便企業(yè)更快捷地應(yīng)對(duì)內(nèi)外部環(huán)境變化。以下為部SASE架構(gòu)的應(yīng)用場景。零信任第一步IT基礎(chǔ)架構(gòu)、應(yīng)用程序和數(shù)據(jù)。將基于“零信任”策略的安全性應(yīng)用于用戶交互時(shí)，企業(yè)可以減少其網(wǎng)絡(luò)攻擊面。接入側(cè)終端經(jīng)過身份驗(yàn)證，僅能有限地訪問他們被授權(quán)使用的應(yīng)用程序IT資源、會(huì)話數(shù)據(jù)、身份驗(yàn)證和許多其他因素在訪問邊緣做出安全決策。由于缺少基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)，企業(yè)從現(xiàn)多分支接入對(duì)于有多個(gè)分支機(jī)構(gòu)的大中型企業(yè)，由于地理位置分散，分支機(jī)構(gòu)無法通過內(nèi)網(wǎng)直接訪問到總部，安全保護(hù)較弱。傳統(tǒng)的總部-分支安全模式不適用于當(dāng)下的企業(yè)內(nèi)外部環(huán)境，分支機(jī)構(gòu)獨(dú)立采購安全設(shè)備并使用MPLS專線進(jìn)行通信的模式成本高、使用體驗(yàn)差；分支機(jī)構(gòu)和總部統(tǒng)一進(jìn)行網(wǎng)絡(luò)和安全建設(shè)，對(duì)設(shè)備性能要求高，成本高，分支網(wǎng)絡(luò)、安全策略變化需要經(jīng)由總部進(jìn)行處理，運(yùn)維復(fù)雜。SASE架構(gòu)通過在分支機(jī)構(gòu)出口部署SASE服務(wù)邊緣接入節(jié)點(diǎn)，按需開通安全模塊，統(tǒng)一實(shí)現(xiàn)分支上網(wǎng)安全、組網(wǎng)和集中管理功能，無需購買傳統(tǒng)安全設(shè)備。使用統(tǒng)一安全管理平臺(tái)，可實(shí)現(xiàn)多分支集中管理，多分支流量可視，分支安全事件分析統(tǒng)一展示，提供實(shí)時(shí)告警推送。對(duì)企業(yè)終端上網(wǎng)行為進(jìn)行管理，對(duì)上網(wǎng)流量進(jìn)行監(jiān)控與分析，保障企業(yè)信息安全。同時(shí)對(duì)終端側(cè)進(jìn)行安全威脅檢測與響應(yīng)，提供基于零信任的內(nèi)網(wǎng)應(yīng)用資源接入，通過身份認(rèn)證、權(quán)限控制等模塊，確保企業(yè)員工、合作伙伴在全球任何地方都能通過接入點(diǎn)更安全、更隱私地訪問業(yè)務(wù)。實(shí)現(xiàn)輕資產(chǎn)、簡運(yùn)維、統(tǒng)一管理的目標(biāo)，節(jié)省采購設(shè)備成本，減輕運(yùn)維壓力，統(tǒng)一管理多分支安全。遠(yuǎn)程接入傳統(tǒng)的企業(yè)外部接入都是經(jīng)由總部數(shù)據(jù)中心將員工連接到互聯(lián)網(wǎng)，并在企業(yè)內(nèi)網(wǎng)放置應(yīng)用。但是，隨著應(yīng)用程序遷移到云的趨勢不斷上升，以及新冠疫VPN中心的解決方案不再滿足當(dāng)前企業(yè)的遠(yuǎn)程接入需求。員工居家辦公、合作伙伴遠(yuǎn)程接入內(nèi)網(wǎng)，終端環(huán)境不可控，存在安全風(fēng)險(xiǎn)；VPN無法觸及云上業(yè)務(wù)；終端多種環(huán)境接入入口不統(tǒng)一等?；赟ASE架構(gòu)的遠(yuǎn)程接入，不需要對(duì)終端進(jìn)行復(fù)雜安全部署，只需部署輕量級(jí)引流插件，將流量引流到SASE云平臺(tái)的邊緣接入節(jié)點(diǎn)，即可體驗(yàn)遠(yuǎn)程訪問內(nèi)部應(yīng)用。SASE云平臺(tái)對(duì)所有員工都支持下發(fā)認(rèn)證策略，只有通過認(rèn)證的員工才能訪問內(nèi)部應(yīng)用。無論企業(yè)的內(nèi)部應(yīng)用部署在私有云、共有云還是本地的數(shù)據(jù)中心，都由SASE云平臺(tái)統(tǒng)一管理；企業(yè)整體的內(nèi)部應(yīng)用訪問權(quán)限完全托管到SASE平臺(tái)管理，保證內(nèi)部應(yīng)用按需訪問，降低入侵、數(shù)據(jù)泄露的可能性。同時(shí)可實(shí)現(xiàn)內(nèi)部應(yīng)用訪問活動(dòng)可視化，如發(fā)現(xiàn)越權(quán)訪問，立即調(diào)整訪問權(quán)限，保證內(nèi)部應(yīng)用的安全。實(shí)現(xiàn)保護(hù)企業(yè)內(nèi)部應(yīng)用的目標(biāo)，減輕遠(yuǎn)程訪問復(fù)雜度，基于實(shí)體身份進(jìn)行權(quán)限管理，并通過云平臺(tái)集中管理內(nèi)部應(yīng)用。資產(chǎn)隱藏SaaSSaaSSaaS源、OA等核心系統(tǒng)，有效提升企業(yè)工作效率。SaaSSaaS服務(wù)已經(jīng)擺脫地域和網(wǎng)絡(luò)環(huán)境的限制，傳統(tǒng)的硬件安全產(chǎn)品部署方式已經(jīng)不再SaaS網(wǎng)絡(luò)缺少安全邊界，用戶可以通過辦公電腦，個(gè)人筆記本，任何終端訪問業(yè)務(wù)系統(tǒng)，一旦賬號(hào)密碼被泄露，黑客或者競爭對(duì)手可以直接訪問平臺(tái)獲取數(shù)據(jù)，內(nèi)部員工更是隨意拿到相關(guān)數(shù)據(jù)。SASE工只有通過SASE的接入節(jié)點(diǎn)才能訪問到內(nèi)部應(yīng)用，保證內(nèi)部應(yīng)用在簡單高效訪問的同時(shí)又不會(huì)暴露在外，實(shí)現(xiàn)更安全、更隱私、更穩(wěn)定的訪問體驗(yàn)。無論企業(yè)的內(nèi)部應(yīng)用部署在私有云、共有云還是本地的數(shù)據(jù)中心，都會(huì)收納到SASE云平臺(tái)統(tǒng)一管理，可以做到輕資產(chǎn)、高效訪問等優(yōu)點(diǎn)。部署部署路徑SASE入能力可以根據(jù)業(yè)務(wù)發(fā)展需求變化而變化，網(wǎng)絡(luò)能力的部署可以根據(jù)接入邊緣的變化及安全需求的變化進(jìn)行彈性擴(kuò)展。IT和管理能力的中大型企業(yè)可以選擇私有化部署的SASE服務(wù)，根據(jù)企業(yè)需求選擇SASE服務(wù)的廣度和深度，將企業(yè)已經(jīng)部署和商用的網(wǎng)絡(luò)接入能力和網(wǎng)絡(luò)安SASEIT基礎(chǔ)和運(yùn)維較為薄弱的中小微企業(yè)可以選擇公有化部署的SASE服務(wù)，通過租賃服務(wù)的方式應(yīng)用，避免過大的投資。影響部署的因素1、觀念的轉(zhuǎn)變傳統(tǒng)的安全建設(shè)和運(yùn)維思路是建立安全邊界，通過防火墻等硬件設(shè)備劃分安全域，通過IPS/IDS不可能無限制的增加安全設(shè)備，傳統(tǒng)通過堆疊安全設(shè)備的方式無法滿足日趨復(fù)雜的安全形式，SASE通過云化方式提供響應(yīng)的接入和安全服務(wù)，在一個(gè)框架下實(shí)現(xiàn)網(wǎng)絡(luò)接入和網(wǎng)絡(luò)安全的管理，企業(yè)可按需開通相應(yīng)服務(wù)。2、低估SASE的復(fù)雜度雖然SASE的核心功能是網(wǎng)絡(luò)接入和網(wǎng)絡(luò)安全的融合，但不是簡單的技術(shù)棧的疊加，要真正發(fā)揮SASE的價(jià)值，需要從更高的角度統(tǒng)籌SASE的建設(shè)和部署。針對(duì)私有化部署SASE的企業(yè)，要確保網(wǎng)絡(luò)運(yùn)維團(tuán)隊(duì)和安全管理團(tuán)隊(duì)是一個(gè)團(tuán)隊(duì)。針對(duì)已經(jīng)具備網(wǎng)絡(luò)接入能力或者網(wǎng)絡(luò)安全能力，需要做好遷移建設(shè)規(guī)劃，特別是具有多個(gè)不同供應(yīng)商的情況下，需要關(guān)注供應(yīng)商的能力是否可以滿足遷移需求。關(guān)注數(shù)據(jù)流量的走向和變化，數(shù)據(jù)流量的可見性是安全能力的重要基礎(chǔ)之一，缺乏數(shù)據(jù)上下文，可能導(dǎo)致無法判斷內(nèi)容的敏感性或者是惡意，需要合理規(guī)劃網(wǎng)絡(luò)接入的流量引流至安全能力資源池。展望1、SASE的標(biāo)準(zhǔn)化進(jìn)程Gartner2019SASESASE的標(biāo)準(zhǔn)研究。國際上，城域以太網(wǎng)論壇（MEF）一直關(guān)注軟件定義網(wǎng)絡(luò)和安全基礎(chǔ)服務(wù)的標(biāo)準(zhǔn)創(chuàng)建，MEF2020年發(fā)布《MEFSASE服務(wù)框架》白皮書，概述了基于SASE標(biāo)準(zhǔn)服務(wù)框架，通過在融合的網(wǎng)絡(luò)和安全框架以及相關(guān)的SASE服務(wù)上達(dá)成共識(shí)，使供應(yīng)商專注于提供通用的核心功能，并在此之外構(gòu)建自己的創(chuàng)新能力。此外，MEFSASE服務(wù)和屬性（MEF項(xiàng)目。在國內(nèi)，中國通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）已經(jīng)全面開展《SASE技術(shù)要求》《SASE技術(shù)指南