2021-04-30
中国网络安全产业联盟(CCIA)主办,杭州安恒信息技术股份有限公司供稿。
安全访问服务边缘(Secure Access Service Edge,SASE)是通过将不同的安全技术和网络技术进行结合,以“身份”为中心,在云化背景下基于边缘计算模式部署的一种网络和安全深度耦合的技术框架。
SASE将网络和安全集成到统一框架,集成了一系列的网络技术和安全技术,以提供网络连接为基础,以增强安全保障为核心,从而满足企业的远程办公需求。
采用SASE,无论企业业务在云上还是本地,企业员工只需通过就近访问SASE边缘节点,即可实现随时随地、低延迟、更安全的业务动态访问。
一、技术发展情况
2019年7月,Gartner发布了2019年度企业网络安全技术成熟度曲线报告,报告中首次提出了一项新的技术框架-SASE。这一全新网络安全技术框架的提出,很快引起了业界热议。
SASE技术框架包括软件定义广域网(SD-WAN)、防火墙即服务(FWaaS)、云访问安全代理(CASB)、安全Web网关(SWG)以及零信任网络访问(ZTNA)等网络技术和安全技术。SASE结合了全面的广域网功能和网络安全功能,以支持数字化企业的动态安全访问。
目前,SASE尚处于成熟度周期的早期阶段,但SASE涵盖的技术,如SD-WAN、SWG和FWaaS等云安全服务,已经处于发展的成熟阶段。SASE在Gartner的技术成熟度曲线上发展迅速,尤其是新冠疫情大大加速了企业对网络和安全云化的需求。
SASE最大的优势在于将众多不同的网络连接和网络安全服务集成到云服务的统一框架中,而传统方案往往需要多个供应商和安全产品来实现相同的功能。利用SASE有助于降低复杂性,提高安全性。
SASE集合各种新兴技术,跨越云、网络和安全不同的领域,构建了端到端的网络和安全统一管理的技术框架。
SASE技术难点主要包括以下四点:
1.SD-WAN服务
SASE的目标之一是为分布在不同地区的应用提供最佳的网络性能。为了实现这一目标,SASE需提供骨干网SD-WAN服务,以此克服互联网跨地区的延迟问题。
2.分布式安全引擎
SASE服务不只是连接设备,同时需要对设备提供安全保护和流量加密等服务。SASE服务使用分布式安全引擎提供安全检测、安全防护和安全响应服务。
3.云原生架构
SASE认为未来网络安全一定会集中在云服务上,因此SASE框架面向客户提供的是集成的SaaS化服务,而非传统安全网络下的硬件实体。
4.身份驱动
所有行为和访问控制需全部依赖于“身份”,服务质量、路由选择、风险安全控制等服务全部由身份驱动,需要采用基于零信任理念的安全架构。
三、产业落地情况
目前,SASE仍处于起步阶段,采用率还不到1%,只有少数供应商可以提供。国外企业如思科、微软、Palo Alto Networks、Zscaler、Fortinet等已采取措施,在2019年和2020年推出初步的SASE解决方案。国内企业如腾讯云、中国电信和安恒信息等都已进入产品研发和探索实践阶段。预计未来云服务提供商、运营商、安全服务提供商和SD-WAN供应商将竞相进入新兴的SASE市场,从而构建云、网、安全相融合的SASE体系。
在产业落地上SASE面临以下挑战:
1.SASE集合各种网络功能和安全功能,涉及到不同领域包括云、网络和安全,因此发展初期供应商提供的SASE功能集未必是完善的,网络提供商偏重于提供网络功能,而安全提供商偏重于提供安全功能。
2.鉴于云原生开发的挑战和难度,传统网络和安全厂商的SASE在发展初期未必以云原生的思维方式设计,因此无法满足SASE弹性、动态和自适应的要求。
3.SASE是对网络和安全架构的重组,因此企业需要对目前的网络架构和安全防护策略进行改变,以适配SASE技术框架的要求。
当前,数字业务转型颠覆了网络和安全服务的设计模式,聚焦方向已从以“数据中心为中心”转移到“以用户/设备为中心”。“安全即服务”正在与“网络即服务”进行融合,通过SASE这一技术框架对当今的数字业务进行赋能。因此,建议从以下方面来促进SASE技术框架的发展:
1.加快制定相关标准。目前SASE在国内外缺少相应的标准,建议推动相关标准出台,加速SASE的标准化进程,并积极推动建立SASE的国际化标准。
2.加强技术推广。目前SASE尚处于发展的初期,国内外尚未有企业提供完善的产品。网络和安全相融合将是一大趋势,建议加强对SASE技术的推广,吸引更多的安全提供商、云提供商和网络提供商加入到这一队伍,提升云、网和安全相融合的安全防护体系水平。
微信公众号