安全訪問服務(wù)邊緣（SASE）功能編排管理 第1部分：總體框架

1安全訪問服務(wù)邊緣(SASE)功能編排管理第1部分：總體框架本文件規(guī)定了SASE框架下的功能編排管理的總體框架，包括規(guī)范化SASE功能編排管理的概述、功能要求、工作流程等內(nèi)容。本文件適用于SASE服務(wù)集成商、安全功能提供商、網(wǎng)絡(luò)功能提供商等利益相關(guān)方，為行業(yè)和相關(guān)管理部門規(guī)范SASE產(chǎn)業(yè)與技術(shù)發(fā)展提供支撐和參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。3術(shù)語和定義GB/T25069-2022界定的以及下列術(shù)語和定義適用于本文件。安全功能策略securityfunctionpolicy,SFP描述單個安全功能所實(shí)施的特定安全行為的規(guī)則集。安全功能模塊securityfunctionmodule,SFM實(shí)現(xiàn)安全功能的具體服務(wù)模塊，負(fù)責(zé)執(zhí)行安全策略，可以物理機(jī)，虛擬機(jī)，容器，微服務(wù)等形式部署。安全和網(wǎng)絡(luò)功能處理序列securityandnetworkfunctionprocessingsequence,SNFPS由多個網(wǎng)絡(luò)功能模塊和安全功能模塊組成的有序的網(wǎng)絡(luò)和安全處理過程，具體處理序列通常由網(wǎng)絡(luò)功能模塊和安全功能模塊的唯一標(biāo)識構(gòu)成。處理序列的執(zhí)行即可以通過服務(wù)鏈等網(wǎng)絡(luò)形式，也可以通過在虛擬機(jī)或服務(wù)器上部署多個所需網(wǎng)絡(luò)功能和安全功能，再進(jìn)行有序執(zhí)行的方式，也可以通過微服務(wù)的有序執(zhí)行來完成。將一個或多個功能按照用戶需求組織成一個處理流程，并執(zhí)行該處理流程來實(shí)現(xiàn)用戶需求。單個網(wǎng)絡(luò)功能對應(yīng)的網(wǎng)絡(luò)策略融合網(wǎng)絡(luò)能力與安全能力進(jìn)行統(tǒng)一管理和交付的服務(wù)模式對關(guān)鍵網(wǎng)絡(luò)和安全功能的編排和管理子系統(tǒng)。CPE客戶終端設(shè)備CustonerPremiseEquipmDLP數(shù)據(jù)泄露防護(hù)DataleakageprevenitionDDoS分布式拒絕服務(wù)攻擊DistributedDenialofServiFWaaS防火墻即服務(wù)IoT物聯(lián)網(wǎng)InternetofThingsPoP網(wǎng)絡(luò)功能提供點(diǎn)PointofPresenceSASE安全訪問服務(wù)邊緣SecurityAccessSeoftwareDefinedWidkSWG安全Web網(wǎng)關(guān)4b)SASE編排支撐層：綜合管理安全和網(wǎng)絡(luò)功能，分析和轉(zhuǎn)化用戶策略，選擇適用的網(wǎng)絡(luò)和安全功能模塊構(gòu)建網(wǎng)絡(luò)和安全處理序列。包含三個模塊：·業(yè)務(wù)編排模塊：分析用戶策略，制定安全和網(wǎng)絡(luò)功能處理序列、安全功能策略和網(wǎng)絡(luò)功能策略?！ぐ踩δ芄芾砟K：管理安全功能模塊，向安全功能模塊或其所屬的管理系統(tǒng)進(jìn)行資源協(xié)商，轉(zhuǎn)化和下發(fā)安全功能策略，反饋模塊狀態(tài)和策略執(zhí)行結(jié)果?！ぞW(wǎng)絡(luò)功能管理模塊：管理網(wǎng)絡(luò)功能模塊，向網(wǎng)絡(luò)功能模塊或其所屬的管理系統(tǒng)進(jìn)行資源協(xié)商，實(shí)現(xiàn)安全和網(wǎng)絡(luò)功能處理序列，轉(zhuǎn)化和下發(fā)網(wǎng)絡(luò)功能策略，反饋模塊狀態(tài)和策略執(zhí)行結(jié)果。c)SASE關(guān)鍵能力層：提供網(wǎng)絡(luò)和安全功能。包含兩類模塊：·安全功能模塊：執(zhí)行安全功能策略?？梢晕锢怼⒃苹蛱摂M等方式部署在PoP點(diǎn)、CPE、網(wǎng)關(guān)、用戶終端、云端等位置。安全功能模塊根據(jù)處理對象分為流量型安全功能模塊和非流量型安全功能模塊。流量型安全功能模塊：功能模塊的處理對象為用戶流量。非流量型安全功能模塊：功能模塊的處理對象為資產(chǎn)等非流量對象。6安全訪問服務(wù)邊緣(SASE)功能編排管理模塊功能6.2.1業(yè)務(wù)編排模塊業(yè)務(wù)編排模塊分析用戶策略選擇適用網(wǎng)絡(luò)功能模塊和安全功能模塊，制定網(wǎng)絡(luò)和安全處理序列、安全功能策略和網(wǎng)絡(luò)功能策略，下發(fā)給安全功能管理模塊和網(wǎng)絡(luò)功能管理模塊。a)制定處理序列：分析用戶策略，查詢網(wǎng)絡(luò)功能管理模塊和安全功能管理模塊所提供的網(wǎng)絡(luò)功能模塊信息和安全功能模塊信息，根據(jù)網(wǎng)絡(luò)和安全功能模塊信息中的功能描述，運(yùn)行狀態(tài)等項，網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)延遲、網(wǎng)絡(luò)流量負(fù)載均衡等網(wǎng)絡(luò)信息，以及網(wǎng)絡(luò)和安全功能特點(diǎn)(例如近用戶側(cè)和近資源側(cè)以及對計算能力需求),以及功能先后順序要求來選擇和排列的網(wǎng)絡(luò)和安全功能模塊，構(gòu)建有序的安全和網(wǎng)絡(luò)功能處理序列b)制定安全策略：根據(jù)用戶策略，制定功能處理序列中安全功能的安全策略。c)制定網(wǎng)絡(luò)策略：根據(jù)用戶策略，制定功能處理序列中網(wǎng)絡(luò)功能的網(wǎng)絡(luò)策略。6.2.2安全功能管理模塊安全功能管理模塊，主要負(fù)責(zé)管理安全功能模塊，提供安全功能模塊信息，轉(zhuǎn)化和下發(fā)安全功能策略，上報安全功能模塊運(yùn)行信息a)注冊模塊：接收和匯總安全功能模塊的注冊信息。b)監(jiān)控狀態(tài)：監(jiān)控安全功能模塊運(yùn)行狀態(tài)。c)下發(fā)策略：將安全功能策略轉(zhuǎn)化為所選安全功能模塊可識別的具體安全功能模塊策略，下發(fā)策略。面行策略(資料性)安全訪問服務(wù)邊緣(SASE)的功能編排管理系統(tǒng)框架涉及利益方功能要求SASE框架需要融合多種技術(shù)，并將網(wǎng)絡(luò)和安全功能打通，主要涉及利益相關(guān)方：用戶，安全功能b)安全功能提供商：具體提供安全功能的廠商，負(fù)責(zé)滿足具體的安全需求，在SASE建設(shè)過程中提供安全功能。c)網(wǎng)絡(luò)功能提供商：提供網(wǎng)絡(luò)功能的廠商，負(fù)責(zé)滿足具體的網(wǎng)絡(luò)需求。d)SASE服務(wù)集成商：集成網(wǎng)絡(luò)和安全功能形成SASE編排管理系用戶應(yīng)通過SASE管理呈現(xiàn)層制定網(wǎng)絡(luò)和安全策略，應(yīng)理解網(wǎng)絡(luò)和安全策略的執(zhí)行結(jié)果。根據(jù)結(jié)果A.3安全功能提供商安全功能提供商提供安全功能模塊，需實(shí)現(xiàn)注冊、功能調(diào)用接口，結(jié)果反饋接口，運(yùn)行狀態(tài)反饋?zhàn)越涌冢鹤詴r需提交基本的功能調(diào)用方式，功能模塊類型，支持的安全策略種類等信息。資源協(xié)商接口：接受資源協(xié)商請求，進(jìn)行運(yùn)算資源分配和安全功能模塊的拉起等操作，最終反饋能否接受資源協(xié)商請求。功能調(diào)用接口：接受并執(zhí)行對應(yīng)的安全功能模塊策略。運(yùn)行狀態(tài)反饋接口：定期反饋安全功能模塊目前的運(yùn)行狀態(tài)，如資源占用狀態(tài)。A.4網(wǎng)絡(luò)功能提供商網(wǎng)絡(luò)功能提供商提供網(wǎng)絡(luò)功能模塊，需實(shí)現(xiàn)注冊、功能調(diào)用接口，結(jié)果反饋接口，狀態(tài)反饋接口，并兼容常用網(wǎng)絡(luò)策略格式。資源協(xié)商接口：接受資源協(xié)商請求，進(jìn)行運(yùn)算資源分配和網(wǎng)絡(luò)功能模塊的拉起等操作，最終反饋能否接受資源協(xié)商請求。注冊接口：注冊時需提交基本的功能調(diào)用方式，功能模塊類型，支持的安全策略種類等信息。功能調(diào)用接口：接受并執(zhí)行對應(yīng)的網(wǎng)絡(luò)功能模塊策略。結(jié)果反饋接口：以統(tǒng)一的格式反饋策略執(zhí)行結(jié)果。運(yùn)行狀態(tài)反饋接口：定期反饋網(wǎng)絡(luò)功能模塊目前的運(yùn)行狀態(tài)，如資源占用狀態(tài)安全訪問服務(wù)邊緣(SASE)的功能編排管理系統(tǒng)框架的使用場景SASE框架技術(shù)可應(yīng)用于多種場景，常見使用場景有廣域連接，移動/遠(yuǎn)程辦公接入，客戶/第三方接入、IoT(物聯(lián)網(wǎng)，InternetofThings)/邊緣接入。通過使用SASE框架進(jìn)行統(tǒng)一安全檢查，保護(hù)分散部署的分支和業(yè)務(wù)，收斂暴露面，以較低的成本提高新型企業(yè)組網(wǎng)的安全性。B.2廣域網(wǎng)連接傳統(tǒng)企業(yè)網(wǎng)絡(luò)以企業(yè)總部為中心，采用專線實(shí)現(xiàn)總部與分支之間的專線連接。分支之間的通信、分支訪問互聯(lián)網(wǎng)，一般要先經(jīng)過企業(yè)總部，在企業(yè)總部部署統(tǒng)一的安全防護(hù)措施。隨著企業(yè)數(shù)字化轉(zhuǎn)型和云服務(wù)架構(gòu)的不斷推進(jìn)，越來越多的企業(yè)業(yè)務(wù)遷移到云端，分支與云端之間的互聯(lián)互通更加廣泛分支直接訪問互聯(lián)網(wǎng)場景更加普遍。此外國內(nèi)對于廣域網(wǎng)連接還有收斂網(wǎng)絡(luò)出入口，等保合規(guī)以及護(hù)網(wǎng)等國內(nèi)獨(dú)有的安全需求。基于SASE框架功能編排技術(shù)可在云端、PoP點(diǎn)、CPE等不同位置部署FWaaS、CASB等各種網(wǎng)絡(luò)和安全功能，針對分支、總部、互聯(lián)網(wǎng)相互之間的流量按需提供收斂暴露面、加密、防DDOS(分布式拒絕服務(wù)攻擊，DistributedDenialofService)、流量過濾、訪問控制等網(wǎng)絡(luò)和安全功能，并進(jìn)行統(tǒng)一的配置和編排，適應(yīng)用戶的更高的網(wǎng)絡(luò)和安全需求B.3移動/遠(yuǎn)程辦公接入近年來受疫情影響以及企業(yè)為了縮減辦公成本，需要為員工提供網(wǎng)絡(luò)遠(yuǎn)程訪問權(quán)限。方便員工隨時隨地辦公，使用可控終端(即公司配發(fā)的筆記本電腦、手機(jī)等移動終端，可確定硬件類型并按需安裝安全和網(wǎng)絡(luò)代理),無縫訪問位于云端、數(shù)據(jù)中心的企業(yè)應(yīng)用，并且能夠同時訪問互聯(lián)網(wǎng)?；赟ASE框架功能編排技術(shù)可在用戶終端、PoP點(diǎn)、云端等位置部署SWG和FWaaS等網(wǎng)絡(luò)和安全功能。過濾移動/遠(yuǎn)程辦公用戶的內(nèi)網(wǎng)和互聯(lián)網(wǎng)等各類訪問請求，通過ZTNA進(jìn)行細(xì)粒度的訪問控制，提高移動/遠(yuǎn)程辦公接入的安全性。B.4客戶/第三方接入隨著企業(yè)業(yè)務(wù)云化部署，客戶、第三方(承包商、合作伙伴等)訪問的企業(yè)服務(wù)可能部署在企業(yè)總部，也可能部署在云端。企業(yè)安全防護(hù)系統(tǒng)需要在云端和企業(yè)總部為持有非可控終端(即無法安裝安全或網(wǎng)絡(luò)代理，硬件類型不可控的終端)的客戶、第三方提供一致的安全防護(hù)策略?；赟ASE框架功能編排技術(shù)可在PoP點(diǎn)、云端等位置部署SWG和FWaaS等網(wǎng)絡(luò)和安全功能，過濾客戶/