SASE的主要组件是什么?

SASE所基于的四个因素

控制用户会话以访问资源或应用程序的安全策略与用户的位置解耦, 设备和资源, 而是基于四个因素:

1. 的 身份 请求访问的实体的
2. 会话 上下文 (例如, 用户和/或设备的健康状况和行为, 或者所访问资源的敏感性)
3. 安全性和遵从性 政策 在每个特定情况下授予访问权限
4. 持续的分析和 风险评估 对于每个会话

SASE连接Fabric

SASE在SDP客户端和业务边缘之间提供了一个安全的连接结构, 包括公共云和私有云, 数据中心, 私营企业和政府网络, 互联网, 大办公室, 分支办公室, 家庭办公室, 流动或临时网站, 移动用户, 随时随地工作(WFA)用户, 移动设备, BYOD, 物联网, 内部和外部位置.

SASE基于个人的身份来预测访问, 设备, 应用程序, 或者服务和它们相互连接的上下文. SASE为WFA用户提供对所有应用程序和数据的访问, 无论用户位于何处或它们之间的传输技术如何, 或者交通网络的所有权.

软件定义广域网 (SD-WAN)

安全的SD-WAN技术通过在客户端到云的网络架构中实现最佳性能和智能路由，构成了SASE解决方案的基础. 主要功能包括:

• 确保进出匝道的交通安全
• Multicloud连接
• 嵌入式UTM安全特性
• 利用基于互联网的骨干网
• 来自任何地方的流量路由
• DIA，直接云访问，智能流量转向
• 路径选择，优化一致的用户体验
• 内联加密
• 先进的路由和动态路径选择
• 应用感知和流量分类
• 全球分布式网关
• 延迟的优化
• 自我修复网络功能

防火墙:NGFW和防火墙即服务(FWaaS)

基于云的下一代防火墙(NGFW)具有可扩展性, 应用程序感知软件解决方案允许企业消除遗留的基于设备的解决方案的挑战, 提供全套UTM功能. NGFW解决方案通过提供高级威胁防护等特性，超越了状态防火墙, Web和网络可见性, 威胁情报, 访问控制. 组织在部署NGFW时至少应该期望实现以下目标:

• 用户和应用程序访问控制
• 入侵检测和防御
• 高级恶意软件检测
• 威胁与网络情报
• 自动化和编排

安全Web网关(SWG)

SWG通过保护上网用户设备免受不需要的软件或恶意软件的感染，并通过强制执行公司和监管政策，保护WFA用户和设备免受来自互联网的威胁. SWG包括:

• 执行互联网安全和合规政策
• 使用UTM功能(如URL过滤)过滤恶意互联网流量, 杀毒, 反恶意软件, IDS / IPS, 零日攻击防范, 网络钓鱼保护和更多
• 应用程序识别和控制功能
• 数据丢失/泄漏预防(DLP)功能
• 远程浏览器隔离(印度储备银行)用于扫描用户会话以查找风险, 允许用户安全地浏览当今威胁的威胁景观. 有风险的网站在远程浏览器上呈现, 在用户浏览器上呈现经过处理的页面(主要是图像文件). 印度储备银行允许匿名浏览和无风险开放访问互联网网站.

swg可以作为本地硬件实现, 虚拟设备, 云计算服务, 或者在本地和云的混合模式下.

云访问安全代理(CASB)

CASB提供产品和服务来解决组织使用云服务时的安全缺陷. 它满足了用户越来越多地采用的云服务的安全需求, 在不断增长的直接云对云访问部署中. CASB为跨用户和设备的多个云服务并发策略和治理提供了一个中心位置，并提供了细粒度可见性, 和控制, 用户活动和敏感数据.

CASB提供五种关键的安全功能:

• 发现云应用程序
• 数据安全
• 自适应访问控制
• 恶意软件检测
• 用户和实体行为分析(UEBA)，它根据进出云服务的流量的异常行为模式提供策略实施

casb可以是内部部署的，也可以是基于云的安全策略实施点, 放置在云服务消费者和云服务提供商之间，以便在访问基于云的数据或应用程序时注入企业安全策略.

零信任网络接入(ZTNA)

ZTNA是一个技术协同工作的框架, 基于不相信任何东西的前提:不相信用户, 设备, data, 工作负载, 位置或网络. ZTNA在SASE解决方案中的主要功能是对应用程序的用户进行身份验证. 高级上下文和基于角色的身份, 结合多因素身份验证(MFA), 是确保用户和设备访问安全所必需的吗, 用于网络上和网络外的访问.

ZTNA实现有两种通用模型:

客户端发起的ZTNA

安装在设备上的软件代理将其安全上下文和凭据发送到SDP控制器进行身份验证. 该模型适用于被管理设备.

Service-initiated ZTNA

与应用程序一起安装的SDP(或ZTNA)连接器建立并维护到云提供商的出站连接. 用户需要向提供者进行身份验证才能访问受保护的应用程序. 该模型适用于非被管理的设备，无需在终端设备上安装特殊的软件.