浅谈基于SASE的安全云服务

天翼云开发者社区
• 阅读 343

本文分享自天翼云开发者社区《浅谈基于SASE的安全云服务》,作者:姚****亮

SASE(secure access service edge安全访问服务边缘):是一种安全框架,结合了软件定义广域网 (SD-WAN) ,零信任等网络安全技术的的分布式安全解决方案。

从技术而言,SASE其实是一种基于实体的身份(实体的身份识别可以包括人、组织、设备、应用、服务、IOT 系统或者边缘计算位置等等),结合实时上下文(这些上下文来源包括:用户使用的设备身份、日期、风险/信任评估、场地、正在访问的应用或数据的灵敏度)、企业安全/合规策略,在整个会话中持续评估风险/信任的服务。

企业之所以这么重视SASE,还因为它的“安全”功能。SASE的核心是身份,它是基于身份的访问决策。再具体点讲,SASE所提到的“身份”包括登录账户、所在的位置、设备、时间等多个因素,即身份是访问决策的中心,而不再是企业数据中心。

而且,SASE最终目标就是使得企业能够更加容易实现安全的云环境。通过将所有的安全设备包括Web 安全网关、云访问安全代理、DNS、零信任网络访问、防火墙等部署在云端,以一个安全的全球SD-WAN(软件定义广域网)服务进行统一管理,统一运维,从而降低网络安全的复杂性。

例如,无论在传统办公、远程办公等办公场景下,还是在业务防护场景下,SASE都可以通过多种方式将要防护的流量引导到距离最终实体位置最近的POP 点(接入点)上做安全策略处理,实现企业安全办公、业务安全,保护企业数据资产安全,且不影响办公效率。

SASE的核心是身份,即身份是访问决策的中心,这个和零信任架构也比较相似。用户,设备,服务的身份是策略中最重要的上下文因素之一,其他因素还包括访问地点,时间等。

SASE体系架构由两个核心组件组成:SASE云充当网络和安全功能的聚合器。SASE边缘连接器将流量从物理,云和设备边缘驱动到SASE云处理。

POP结构:核心云网络,由地理上分布的POPS组成,每个POP运行多个服务器,在所有流量上应用路由,加密,优化,高/级安全服务。

POPS的设计日志为了处理大量的流量,通过扩展服务器可以扩展处理能力。

如果POP服务器失效,则受影响边缘自动重新连接到同一个POP的可用服务器,如果一个POP完全失效,受影响边缘将连接到最近可用的POP。无论企业资源连接到哪个POP,云始终维护一个一致的逻辑企业网络,POP内置抗DDOS,深度包检测,TLS检测,以提高POP节点的安全和稳定。

简而言之,SASE的理念就是借助SD-WAN搭建起来的分布式云服务,将核心安全能力下沉到边缘进行处理,以满足业务快速安全的访问需求。

SASE区别于SD-WAN,并非着重于将分支机构连接到中央网络,而是专注于将各个端点(分支机构,移动终端)连接到服务边缘,服务边缘由运行SASE软件堆栈的分布式POP网络组成,此外SASE着重于固有的安全性。

SASE与SDWAN的差异主要在三类:与云的关系,安全性,如何进行流量检测。

与云的关系:SASE使用私有数据中心,公共云(公有云),或者托管设施作为pop(point of presense),这些pop形成了SASE堆栈运行的服务边缘。此外,这些pop通常位于公共云中,或者靠近公共云网关,以实现对云资源的低延迟安全访问。无论哪个节点都有足够的资源来满足用户的请求。SASE软件可以确定流量到达其端点使用的最/佳路径。

与SDWAN以数据中心为中心的架构不同,SASE采用的分布式架构。因为云服务被越来越多使用时,单一的私有数据中心作为网络焦点会导致效率低下。

安全性:安全是SASE和SDWAN竞争的关键因素。SASE的重点是为网络及其用户提供对分布式资源的安全访问,这些资源可以分布在私有数据中心,云上。SDWAN技术并不是以安全为重点,安全性通常是辅助功能。虽然一些SDWAN也集成了安全解决方案,但是这也只是少数。

流量检查:SASE中,流量一次可以被多个策略引擎检查,引擎并行工作,而不是在引擎之间传递流量,节约时间。SDWAN则采用服务链进行一个一个检查,效率比较低,而且容易形成单点故障。

总之,SASE专注于提供云原生安全工具,并以云为网络中心。SDWAN专注于将分支连接到中央总部和数据中心,当前也可以连接到云。

SASE将广域网功能和网络安全融合在一起,对于接入的终端设备,需要有agent来进行基于策略的访问控制,对于分支机构,需要本地部署的设备具备智能选路的功能。

SASE服务提供商一般在全球有多个POP节点,企业无需购买硬件(不需要购买安全硬件,但是本地需要部署SASE边缘连接器才能接入SASE服务),即可使用防火墙,终端安全,身份认证,上网行为管理服务,内网安全接入服务(云VPN),威胁检测等服务。这些安全服务都是部署在全球各地的POP节点上。分支机构,总部,移动终端通过POP节点后,再访问互联网,公有云,私有云等环境,保护企业的数据安全。

SASE是端到端安全,SASE平台上的所有通信都是加密的。包括解密,防火墙,URL过滤,反恶意软件等功能都被集成在SASE中,并且对所有连接的边缘都可用。 但是SASE的建设成本很高,不是一般组织能够承建的,有报告指出,为了实现低延迟随时随地访问云服务,承建企业需要具有全球POP点和对等连接的SASE产品。

点赞
收藏
评论区
推荐文章
Johnny21 Johnny21
3年前
零信任安全:针对网络威胁的多层保护
深度防御:安全层部署零信任此信息图显示了零信任模型如何在每个安全层上结合使用“信任门”和“深度防御”来保护您最宝贵的资产(数据)的机密性,完整性和可用性。零信任安全性是下一代安全模型,可防止日益严重的网络威胁。在当今这个高速时代,全天候24x7运作,在全球COVID19大流行中,全球移动性同样突然而突然停止,IT安全模型必须
天翼云SD-WAN斩获首批“SD-WAN 2.0 SASE”权威认证
近日,在中国通信标准化协会算网融合产业及标准推进委员会(TC621)的指导下,中国信息通信研究院算网融合团队公布了第一批次SDWANReady2.0测试评估结果。此次测评基于《软件定义广域网络(SDWAN)2.0测试方法:SASE解决方案》、《软件定义广域网络(SDWAN)2.0测试方法:SASE服务》等标准,对天翼云自研SDWAN进行了严格的测试。
会当“零”绝顶!天翼云零信任产品利刃出鞘
2022年9月15日,由中国信通院主办的会当“零”绝顶·零信任沙龙顺利举行。天翼云科技有限公司安全攻防专家王鑫渊受邀参会,分享了天翼云在零信任安全体系方面的建设思路、产品优势,以及在攻防侧的实践应用。数字时代下,随着云计算、物联网等新技术的兴起,企业办公环境愈发多样,接入场景更加多元,为了方便员工随时随地访问,企业办公应用开始向互联网开放,传统的边界安全
天翼云发布边缘安全加速平台AccessOne,四大产品能力助力企业安全高速发展
为了在不可信网络中构建信任的安全系统,AccessOne推出零信任服务,基于零信任安全理念和架构,依托天翼云边缘节点,以身份认证与动态评估为基础,打造全新的企业安全远程访问能力,提供更安全、便捷、统一的接入服务。通过零信任控制面服务,天翼云助力客户有效进行统一管控、策略下发,实现身份可信、设备可信和行为可信;通过零信任数据面服务,天翼云可为客户提供包括智能选路、解除安全威胁的全方位保障。
告别“脆皮”校园网,天翼云AccessOne零信任VPN来了!
天翼云AccessOne边缘安全加速平台·零信任VPN(后称“零信任VPN”),针对远程办公、远程学习、在线教学等校园应用的常态化,零信任VPN推出全新零信任校园访问接入方案,让师生随时随地安全访问校内资源的同时提升IT管理便捷度,目前已在全国多所高校、K12学校落地。
京东云开发者 京东云开发者
3个月前
第一,才够安全!
近日,在2024年国家网络安全宣传周主论坛现场,人工智能技术赋能网络安全应用测试结果重磅发布。京东云安全团队荣获“网络安全告警日志降噪”场景第一名!此次获奖不仅肯定了京东云安全AISOC产品在革新传统安全领域解决方案上的杰出能力,更标志着京东云在安全技术领
WitAwards 2024荣耀登榜!AOne载誉而归!
近日,FCIS2024网络安全创新大会在上海举办。本次大会以“迈向安全服务化时代”为主题,邀请来自全球的网安精英、技术专家、CISO/CSO、白帽子、创业者等展开深度对话,分享与交流网安行业下一个十年的思考、观点。会上公布了WitAwards2024中国网络安全行业年度评选结果,天翼云AOne边缘安全加速平台上榜“年度创新安全产品TOP10”。
荣誉墙,上新!
近日,第七届SDWAN&SASE大会暨云网络大会在北京召开,来自产、学、研、用等各领域专家学者及企业代表,围绕SDWAN、SASE及云网络在算力网络、智算中心、人工智能等新兴技术领域的发展与应用展开多视角对话和思想碰撞。会上举行了2024行业年度奖项评选颁奖盛典,天翼云AOne边缘安全加速平台凭借强大的品牌影响力、领先的产品与技术,荣膺“标杆引领·品牌先锋奖”、“匠心独运·产品创新奖”。
天翼云开发者社区
天翼云开发者社区
Lv1
天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、CDN、云电脑、大数据及AI等全线产品和场景化解决方案。
文章
722
粉丝
15
获赞
40