2021年SASE混合部屬新策略

2021年SASE混合部屬新策略

SASE是什麼?

    安全存取服務前端 (SASE) 是一種新興的企業網路策略，它結合網路和安全功能並提供 WAN 的存取能力，可滿足今日企業遠距辦公、安全存取等需求。從概念上來說，SASE 整合了傳統廣域網路( SD-WAN) 和網路安全服務，包括次世代防火牆 (NGFW) 、安全網頁閘道 (SWG)、零信任網路存取 (ZTNA) 和雲端存取安全代理 (CASB) 彙集成為一個單一的服務模組。

SASE目前型態

   目前的網路安全體系結構是以企業數據中心為訪問需求的焦點而設計的。數位業務推動了新的IT體系結構，例如雲端計算和邊緣計算以及隨處工作計畫。而COVID-19疫情加速了處於企業外部的用戶、設備、應用程式、服務和數據多於企業內部的用戶、設備、應用程式、服務和數據等情況。傳統邊界必須轉變為一組在企業需要的時間和地點創建的基礎雲端的功能，及動態創建策略的安全訪問服務邊緣(SASE)。

   當企業開始追求零信任策略後，會發現零信任原則的實現是很有挑戰性的，但是提供零信任安全狀態是新型的SASE不可或缺的一部分。隨著交互周圍環境的變化，他們可以調整為交互授予的顯示信任的數量。

   傳統邊界安全的安全硬體的混合使用，不同供應商對雲端存取安全性代理(CASB)、安全網頁閘道(SWG)、零信任網路存取(ZTNA)和軟體定義的廣域網路(SD-WAN)功能使用，以及用於網路安全性和網路的獨立組織結構，已經創建了一個複雜且難以觀禮的供應商、代理、控制台和流量急轉彎的集合。

SASE未來型態

  為了解決目前的網路安全體系結構，必須做到以下幾點：

1.無論地點在哪裡都可以執行一致的政策，並支持當地決策：這需要許多的網路提供點(POP)去部屬基本軟體，與硬體無關的體系結構，並且策略執行必須接近使用點。

2.透過簡單統一的控制平台管理：SASE管理控制平台控制與強制結點分離，允許集中管理。管理介面將允許從單個控制台觀禮安全和網路策略，並應用於任何用戶、應用程式或數據的位置。

3.敏感數據可見性和控制以及威脅檢測：敏感數據可見性和控制是SASE的主要能力。透過結合使用各種科技實現，包括本地代理、線上流量檢查和基於API的雲服務檢查，並提供了可視性和針對惡意內容和網路攻擊的保護。

4.所有類型訪問的統一政策執行：SASE還提供對互聯網、軟體即服務(SaaS)和企業私有本地端或基礎設施即服務(IaaS)等應用程式。將SWG、CASB、ZTNA、SD-WAN集中到一個基礎雲的單一供應商產品中。敏感數據和惡意軟體檢查等安全性原則始終適用於所有訪問方法，對於公開的應用程式和API，提供可選的web應用程序防火牆(WAF)和API保護。

5.統一覆蓋所有類型的設備、包括分支機構、園區和邊緣位置的用戶和設備：SASE產品保護用戶、用戶集合(分支機構)和邊緣設備以及託管和非託管設備的訪問。對於託管設備，將使用代理。但是也需要支援非託管設備。這提供了流量優先順序、連接故障切換和本地安全功能。

6.以線路速度每次對加密流量和內容檢查：加密的網路會話和內容以線上快速進行檢查。並支援最新版本的安全通訊端層(SSL)/傳輸層安全性(TLS)。會話及其內容將被解密一次，並使用”單通道”架構掃描惡意軟體和敏感數據。

7.與合約執行的服務級別協定(SLA)高可用性、低延遲服務：建立使用可彈性、基本多用戶為服務的體系架構，才能夠提供高性能和彈性的服務給動態適應客戶需求。SASE提供商使用多個地區分散的POP以承諾使用合約SLA實現高可用性和低延遲性。

8.提供零信任網路安全形式：SASE產品將傳統網絡模型中的隱性信任替換為基於所有連接（遠程連接、園區連接、分支機搆連接或總部連接）的身份和上下文的明確、持續評估的適應性風險和信任級別。

9.透明化和簡化的用戶體驗：提供完全相同的用戶和訪問體驗，而不考慮位置。SASE產品將使用統一的端點代理，對用戶隱藏訪問複雜性（例如，轉發代理、在需要時創建隧道、設備安全態勢等）。所有常見的作業系統和設備類型都將支援-Windows、Mac、Linux、iOS和Android。將集成延遲和效能方面的點對點用戶體驗監控。

10.統一負責接入工程：在SASE模組中，一個統一的IT團隊負責訪問設計、選擇、工程設計和操作，跨越網路安全和網絡，並支持各地所有實體的安全訪問。廣域網工程和網路安全工程逐漸演變為“接入工程”的新興複合角色。