SASE体系结构快速介绍
SASE将网络和安全功能融合到单一服务的本地云架构中,将安全重点从以流量为中心转移到以身份为中心. SASE包含了一组技术,这些技术将安全性嵌入到网络的全局结构中,因此无论用户在哪里,它都是可用的, 被访问的应用程序或资源在哪里, 或者是什么样的运输技术组合将用户和资源连接起来.
SASE支持无所不在的、直接的基于用户身份的客户端到云安全,并与最佳的客户端到云WAN路由完全集成. 这实现了一个灵活和可扩展的网络架构,提供嵌入式安全以及沿软件定义边界(SDP)的最佳性能.
SASE标识体系结构
SASE -网络和安全架构的收敛和反演
高层SASE架构
在SASE架构的Gartner表示中,SASE的核心由以下几个部分组成:
- 用户、设备、应用、资源、和
- 标识、风险、角色、配置文件、特权和策略来管理它们之间的访问
包围这个核心的是外部的SASE层,它包含了所有安全连接核心实体所需的安全和网络技术:软件定义的外围(SDP). SDP跟踪核心实体之间的临时连接, 而不是遵循与固定位置对齐的传统网络架构的硬边界, 地理位置, 物理网络区域, IP地址或建筑物.
SASE的5个组件定义和保护SDP:这些组件在需要时参与连接(如NGFW), SWG或CASB), 或者是SASE结构中不可或缺的基本功能(如SD-WAN和ZTNA).
- 安全SD-WAN
- 安全Web网关(SWG)
- 云接入安全代理(CASB)
- 零信任网络接入(ZTNA)
- 防火墙:NGFW和FWaaS (firewall as-a- service)
SD-WAN架构
SD-WAN架构使组织能够利用直接的互联网连接来实现客户到云的工作流.
传统的广域网架构
传统的广域网架构
传统的WAN架构将internet纯粹用作点对点连接(如果它真的使用internet的话)——由VPN技术保护的点对点连接,它将用户与总部或数据中心位置连接在一起. 从应用安全性和策略的地方开始,流量被路由到云目的地. 这种设计存在延迟和可伸缩性缺陷.
SD-WAN架构
SD-WAN架构
SD-WAN架构——基于软件定义网络(SDN)原则——将互联网平均为网状骨干网传输, 数据中心或云目的地可以被任何地点工作(Work-from-Anywhere, WFA)用户平等和直接地访问. 这种设计最小化了延迟并优化了可伸缩性, 但是需要SASE在“on-prem”和“off-prem”已经失去意义的任意对任意连接环境中实现安全强制.
SDP架构
SDP概念借鉴了2007年国防信息系统局(DISA)的模型,该模型限制了与那些需要知道的人的联系, 而不是信任网络中固定边界内的一切. In 2013, 云安全联盟(CSA)的SDP工作组推广了SDP,创造了高安全性, 受信任的, 广泛用于企业的端到端网络, 也将:
- 美国国家标准与技术协会(NIST)的标准
- 零信任原则,方便主机之间的安全访问,无论位置
SDN体系结构的一个基本属性是控制的分离, 数据平面和管理平面. 这种分离允许在网络中同时控制SD-WAN和SDP控制平面, 哪一个反过来又允许在同一软件控制组件中同时实现SD-WAN和SD-安全.
软件定义的外围架构
SWG架构
SWG保护企业和用户免受恶意web流量的访问和感染, 以及被含有恶意软件或病毒的劫持网站污染.
基于用户, 设备, 和位置上下文, SWG评估应用程序策略,并仅当策略基于身份上下文允许请求时才授予访问权.
防火墙
做决定 packet-by-packet基础
没有终止,
流只扫描
swg -代理
在做出决定之前收到客户的完整请求
会话终止,
策略执行
CASB架构
CASB为用户和设备提供了跨多个云服务的并发策略和治理的中心位置,以及细粒度的可见性, 和控制, 用户活动和敏感数据. casb有两个部署选项,API模式和代理模式.
API模式
代理模式
ZTNA架构
ZTNA是SDP架构的基础. ZTNA的本质是不相信任何东西,并基于身份和上下文对每次访问尝试进行身份验证. ZTNA在SASE体系结构中的主要功能是使用高级上下文和认证用户到应用程序 基于角色的 身份与多因素身份验证(MFA)相结合.
免费的电子书
SASE
对假人
学习SASE的业务和技术背景,包括最佳实践, 真实的客户部署, 以及支持SASE的组织所带来的好处.
了解更多
发现更多的研究, 分析, 及有关SASE(安全接达服务优势)的资料, 网络, 安全, SD-WAN, 以及来自行业思想领袖的云, 分析师, 和专家.