零信任体系黑科技之SASE

随着云服务和网络不推动数字业务概念的不断进行，我们逐渐发现，传统网络和网络安全架构远远不能满足数字业务的需求。而在企业纷纷拥抱数字业务的过程中，由于边缘计算、云服务、混合网络的逐渐兴起，使得本就漏洞百出的传统网络安全架构更加岌岌可危。

但就在2019年7月，曾发表过《零信任架构及解决方案》白皮书的Gartner公司，又扔出了一个更加“劲爆”的“炸弹”。Gartner提出了一个比“零信任”更高一个维度的概念，即“SASE”（安全访问服务边缘模型）。

根据Gartner的预计，到2024年，至少40％的企业将有明确的策略采用SASE，高于2018年底的不到1％。而且由于新冠疫情引发的全球远程办公潮，很有可能加速SASE的普及。本期美创科技安全实验室将为大家继续跟进“零信任安全体系”的前沿技术----SASE。

图 Hype Cycle for Enterprise Networking

一、什么是SASE

SASE全称是Secure Access Service Edge即安全访问服务边缘。SASE这一概念最早出现在Gartner的《The Future of Network Security Isin the Cloud》这篇报告中，在其的另一篇报告中《Top 10 strategictechnology trends for 2020》也提到了边缘赋能这项技术趋势。无论如何从上述两篇报告中，都可以看出SASE集成了我们之前文章中曾介绍过的：自动化、CARTA（持续性自适应风险与信任评估）、ZTNA（零信任网络访问）、Advance APT防护等技术。可以说大部分新兴技术大多都涵盖到SASE架构中。

Gartner对SASE的定义也很简单：SASE是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。

SASE与零信任体系和CARTA自适应框架一样，都在强调“身份”这一概念的重要性。SASE的核心就是身份，即身份是访问决策的中心，而不再是企业数据中心。所有框架的核心要点便是：基于身份的访问决策。

图 The SASE Identity-Centric Architecture

而关于身份的问题，在美创科技安全实验室之前的“零信任“系列文章中也做了讨论，所以这里简单提一下即可。我们可以确定对身份因子的可把控维度越大则安全框架发挥出的防护效果更好。而我们基本可以认定：用户、设备、服务是比较基本的身份因子，除此之外还有”上下文“信息也可以被认定为身份因子，这些上下文信息来源包括：用户使用的设备身份、日期、风险/信任评估、场地、正在访问的应用或数据的灵敏度。企业数据中心仍存在，但不再是网络架构的中心，只是用户和设备需要访问的众多互联网服务中的一个。

SASE按需提供所需的服务和策略执行，独立于请求服务的实体场所和所有访问能力。

图 SASE Conceptual Model

二、SASE云服务的主要特点

SASE框架毕竟也是与“零信任体系“一脉相承，所以”零信任体系“所包含的特点SASE自然是都有，除此之外，SASE还有着4个与众不同的特点：身份驱动、云原生、兼容所有边缘、全球分布。

1、身份驱动

所有行为和访问控制全部依赖于“身份“，服务质量、权限级别、路由选择、应用的风险安全控制等等，所有这些与网络连接相关联的服务全部由身份驱动。基于此，公司企业只需专注于身份管理与对应的安全策略，从而无需考虑设备或地理位置等因素，以此达到降低运营开销的目的。

2、云原生

SASE认定未来网络安全一定会集中在云服务上，因此SASE框架利用云原生的几个主要功能：弹性、自适应性、自恢复能力、自维护能力，以此提供一个分摊客户开销以提供最大效率的平台，可很方便地适应新兴业务需求，而且随处可用。

3、兼容所有边缘

SASE 为所有公司资源创建了一个网络——数据中心、分公司、云资源和移动用户。举个例子，软件定义广域网 (SD-WAN) 设备支持物理边缘，而移动客户端和无客户端浏览器访问连接四处游走的用户。

4、全球分布

为确保所有网络和安全功能随处可用，并向全部边缘交付尽可能好的体验，SASE 云必须全球分布。因此，企业需要具有全球 POP 点和对等连接的 SASE 产品，必须扩展自身覆盖面，向企业边缘交付低延迟服务。

三、SASE带给企业的价值

SASE毕竟是一种各种新兴技术的集大成之作，虽然目前SASE过于庞大导致内部并不能很好处理各个接口和数据，但没有任何人会怀疑一旦SASE成熟后将给安全形式带来巨大改变。尤其是SASE将给企业带来巨大的价值，主要体现在以下几个方面：

1、灵活性

基于云基础架构提供多种安全服务，例如威胁预防、Web过滤、沙箱、DNS安全、数据防泄漏和下一代防火墙策略。

2、节省成本

利用单一平台，无需购买和管理多点产品，可以大大降低成本和IT资源。

3、降低复杂性

通过将安全堆栈整合到基于云的网络安全服务模型中来简化IT基础架构，可以最大限度地减少IT团队管理以及需要更新和维护的安全产品数量。

4、提高性能

借助云基础架构，你可以轻松连接到资源所在的任何位置。可以在全球范围内访问应用程序、互联网和公司数据。

5、零信任

基于云的零信任方法消除了用户、设备和应用程序连接时的信任假设。一个SASE解决方案能提供完整的会话保护，无论用户是在公司网络上还是在公司网络外。

6、威胁防护

通过将完整的内容检查集成到SASE解决方案中，用户可以从网络的更高安全性和可见性中受益。

7、数据保护

在SASE框架内实施数据保护策略有助于防止未授权访问和滥用敏感数据。

美创科技是国家高新技术企业、浙江省双软认证企业。自成立以来，始终以聚焦数据安全、释放数据价值为核心，美创凭借多年的积累、卓越的产品技术与良好的用户口碑，参与多项国家及行业标准的编写。本文转自杭州美创科技公司公众号-第59号。