安全访问服务边缘（SASE） 为数字化时代而生

前言

根据2022 年 IBM 数据泄露成本报告显示，超过 80% 的组织曾发生过不止一次的数据泄露事件。到2022 年数据泄露平均损失成本达 435 万美元，创历史新高，比过去两年增长了 12.7%。 

过去，企业仅专注于保护边界和端点。调查显示，转向零信任的企业减少了 20.5% 的数据泄露成本损失。零信任安全，也称为零信任网络或零信任架构，其有一个基本原则：从不信任，始终验证。美国国家标准与技术研究院 (NIST)将零信任安全定义为“一组不断发展的网络安全范式，将防御从静态的、基于网络的边界转移到关注用户、资产和资源的领域”。 

研究估计，零信任市场将从 2022 年的 274 亿美元增长到 2027 年的 607 亿美元，2022 年至 2027 年的复合年增长率 (CAGR) 为 17.3%。

为什么我们需要零信任？今天的安全有什么问题？

传统的企业安全模型基于一个错误的前提：将黑客拒之门外。企业投入了大量的时间和精力用下一代防火墙来加强边界，确保 VPN 访问使用多因素身份验证，并不断搜寻内部网络的威胁。然而，我们还是每天都能看到有组织遭到黑客攻击或成为勒索软件受害者的新闻报道。 

为什么会这样？简单地说，进入网络的方式太多了。黑客不仅仅依赖配置错误的设备或零日漏洞进入，他们还很容易通过网络钓鱼，甚至是贿赂员工或承包商让后门保持打开状态。 

传统的网络安全方法是将网络分成越来越小的网络或网段，可以在网段之间插入安全控制。这使实施细化策略或更改策略变得非常困难。另一种方法是为每个应用程序创建VLAN，然而在实践发现中，除了敏感资产之外，其他的很难顾及…… 

此外，现代企业应用程序的运行环境日益复杂，应用程序和数据逐渐从传统的企业边界转移到公共云。防火墙、VPN 和 VLAN已有几十年的历史，它们是为简单的时代而构建，难以支撑当今企业的复杂和动态需求。 

我们以工厂环境中云和资源之间的连接为例。允许云服务器连接到工厂车间机器的策略，由路径上多达 6-12 个不同的路由器、交换机和防火墙控制，而每个路由器、交换机和防火墙可能由不同的团队管理。

零信任通过将分布式策略重新定义为“谁可以访问什么内容”，极大地简化了该问题。对于上面的示例，零信任架构可以显着简化跨界连接，只需检查一个地方来配置策略和验证访问。

零信任的定义

根据NIST《零信任架构标准》中的定义：零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定网络环境已经被攻陷的前提下，当执行信息系统和服务中的每次访问请求时，降低其决策准确度的不确定性。零信任架构（ZTA）是一种企业网络安全的规划，它基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成。

零信任代表了新一代的网络安全防护理念，并非指某种单一的安全技术或产品，其目标是为了降低资源访问过程中的安全风险，防止在未经授权情况下的资源访问，其关键是打破信任和网络位置的默认绑定关系。

在零信任理念下，网络位置不再决定访问权限，在访问被允许之前，所有访问主体都需要经过身份认证和授权。身份认证不再仅仅针对用户，还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认证，并且在访问过程中可以根据需要多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型，而是通过持续的安全监测和信任评估，进行动态、细粒度的授权。安全监测和信任评估结论是基于尽可能多的数据源计算出来的。

零信任架构的原则是什么？

持续监控和验证：零信任网络假设攻击者不仅存在于组织外部，还存在于内部，这就是为什么没有用户或设备会被自动信任的原因。零信任网络安全框架会持续监视和验证用户身份和权限，以及设备的身份和安全性。

最小权限访问：零信任的第二个原则是最小权限访问，它给予用户有限的访问权限，这减少了网络敏感部分暴露给未知用户的风险。

设备访问控制：在限制用户访问的情况下，零信任要求严格的设备访问控制，以检测试图访问其网络的设备数量，并确保设备获得授权，以最大程度地降低安全漏洞的风险。

微分段：微分段将安全边界分割为微小的区域，以保持对网络不同段的单独访问。零信任规定，有权访问其中一个段的用户或程序，在没有个人授权的情况下将无法访问其他段。

多因素身份验证(MFA)：MFA需要多个证据来验证用户，仅输入密码是不够的，用户还必须输入发送到其注册设备的代码获得授权。

SASE的定义

Gartner对SASE（安全访问服务边缘）的定义是：一种结合了广域网功能和全面的网络安全功能（例如Secure Web Gateway安全Web网关, Cloud Access Security Broker云访问安全代理,Firewall SaaS防火墙即服务和Zero Trust Network Access零信任网络访问）的新兴服务产品，能满足数字化企业的动态安全访问需求。下面这张图能够清晰看到SASE由两大部分组成。

简单地说，SASE就是网络和安全的融合服务。

SASE的核心组件

SASE架构是一种基于云原生的网络架构，将网络和安全功能集成为统一的服务。

它通常包括以下关键组件：

软件定义广域网（SD-WAN）

SD-WAN技术使组织能够在各个位置之间建立安全且优化的网络连接，包括分支机构、数据中心和云环境。它提供智能路由功能、动态流量管理和网络可见性。

云原生安全服务

SASE集成了广泛的安全服务，例如作为服务的防火墙（FWaaS）、安全网关（SWG）、数据丢失防护（DLP）、威胁检测和预防以及安全的远程访问。这些安全服务从云端提供，并与SASE架构进行集成。

零信任网络访问（ZTNA）

SASE采用零信任安全模型，即基于用户、设备和应用程序的身份授予资源访问权限，而不仅仅依赖于网络位置或IP地址。ZTNA确保只有经过身份验证和授权的用户可以访问特定资源，无论他们的位置在哪里。

云原生网络功能

SASE利用云原生的网络功能提供高级功能，如广域网优化、安全加速内容交付网络（SCDN）、缓存和SaaS加速。这些功能有助于改善网络性能、减少延迟并提升用户体验。

全球就近接入点（PoPs）

SASE依赖于全球范围内就近分布的接入点。这些接入点作为流量的入口点，实现安全连接和快速访问资源。它们在执行安全策略、实时威胁检测和缓解中起着关键作用。

集中化策略管理

SASE通过基于云的平台提供集中化的策略管理。IT管理员可以从单一管理界面定义和执行访问策略、安全配置和网络设置。这种集中化的方法简化了策略管理，确保整个网络的一致性。

SASE 如何与零信任相结合？两者又有什么异同？

与其他安全架构相似，SASE的目标也是为了保护用户、应用以及数据等。

根据Gartner的定义，SASE（安全访问服务边缘）是一种新兴的服务，它将广域网与网络安全（如：SWG、CASB、FWaaS、ZTNA）结合起来，从而满足数字化企业的动态安全访问需求。SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。

SASE可以提供多种网络与安全能力，包括软件定义广域网（SD-WAN）, Web安全网关（SWG）, 云访问安全代理（CASB）, 零信任网络访问（ZTNA）以及防火墙即服务（FWaaS）等核心能力。

零信任是一种安全理念，它并未聚焦在某些特定安全技术或者产品，其核心思想强调消除访问控制中的“隐式信任”。 SASE明确描述了几种网络和安全技术，其建立在零信任原则的基础上，零信任是SASE的关键基石。SASE的核心组件为实现零信任原则“从不信任、始终验证”提供了技术支撑。

所有的零信任解决方案都一样吗？

随着企业对零信任的兴趣增加，许多网络安全供应商将现有的解决方案重新命名为零信任，但这只是一部分，还有其他的解决方案，如软件定义边界 (SDP)，它充当了边界的“大门”。 

此外，由于零信任架构还没有行业标准，实施方式多种多样，因此建议采用零信任策略的客户可以考虑的德迅云安全提供的安全访问服务边缘解决方案。

方案架构:

应用场景:

大型机构(跨国界安全可信互联、转控分离、多暴露面收敛、外网攻击面管理、积极主动防御、全剧态势感知)

中型机构（分支局点安全建设上移、安全服务按需订阅、可信赖的安全防护、实时监控与应急响应）

小型机构（互联网安全访问服务、安全顺畅的移动办公、在家SOHO 、基础安全合规）

收益：

• 节省预算降低TCO：相比传统的安全建设模式，按需获取、一站交付的云安全服务大幅降低了安全的整体拥有成本。
• 弹性扩容资产保值：安全专线服务平台基于SaaS软件及服务交付，按需部署、按需拓容，避免资产浪费，更保值。
• 网安一体简化运维：云上模块免运维，专属原厂技服实时响应，全自动软件及特征库升级的服务平台，对于IT部的运维压力、使用性都有很大的便捷。

结语

数字化转型浪潮下，围绕传统数据中心的网络安全架构不再适应企业发展，数字化企业需要更一体化、简洁智能、适应云时代的IT建设解决方案。 

SASE改变了传统应用访问和安全防护模式，可极大提升用户访问混合环境下各类服务的便利性和安全性，它为企业的数字化转型而生，其重云端轻地端，边缘化去中心的服务架构能更好适应数字化转型企业的IT建设需求，多合一的网络安全能力可以解决云时代下大量企业面临的实际问题，中国特色化SASE发展前景让人期待。