什么是安全访问服务边缘（SASE）？

如果你想知道SASE到底是什么，那它就是“Secure Access Service Edge”的缩写。网络安全框架将各种网络与安全技术整合到一个基于云的平台上。这样，就可以方便地管理整个IT基础设施，从而涵盖网络安全的各个方面。

随着越来越多的企业从基于物理服务器的IT基础设施转向数据中心模式，SASE也变得越来越重要了。有效满足现代网络安全方面的需求全球分布的机构可以充分利用该解决方案的灵活性，从而为每个用户创建一个安全的“防护罩”，无论这些用户身处何地。

它能够将远程用户、办公室以及数据中心与所需的应用程序和资源连接起来，从而确保这些用户和设施能够随时访问所需的资源。无论这些用户或设施位于何处，都能实现稳定的连接与保障。 SASE简化了传统的网络架构，使得安全性实现更加无缝，同时管理也更加集中化，尤其是在以云计算为核心的环境中。

什么是SASE？

SASE或者安全访问边缘服务它将网络安全功能与广域网络功能相结合，从而满足组织对于动态且安全的访问需求。无论远程用户、办公室或数据中心的地理位置如何，它都能将它们连接到所需的应用程序和资源上，同时确保这些连接的安全性。

SASE简化了传统的网络架构，使得安全性更加无缝，同时管理也更加集中化。这一点在以云计算为中心的环境中尤为明显。

主要要点/关键信息

• 统一的网络安全解决方案SASE是一种基于云平台的网络与安全解决方案的结合体，它能够提供全面的网络安全框架。
• 以云为中心的灵活性它能够适应向基于云的技术资源发展的趋势，从而提供可扩展且成本效益高的安全解决方案。
• 全球保护SASE能够确保用户在任何地方都能获得安全的访问权限，因此非常适合分布式组织使用。
• 简化的IT管理它将各种安全技术整合到一个平台上，从而简化网络管理和安全管理的流程。
• 零信任安全通过采用零信任策略，SASE要求对每一次访问尝试进行严格的验证，从而提升整体安全性。
• 成本与性能方面的优势SASE通过整合各种服务并降低基础设施的复杂性，从而有望实现成本节约和性能提升。
• 为未来做好准备作为一家具有前瞻性思维的企业，SASE能够应对现代网络安全面临的挑战，同时支持远程工作和数字化转型的发展。

SASE架构

长期以来，IT安全工作一直集中在企业内部：所有的员工都集中在同一栋建筑内。因此，网络管理员的主要任务就是确保企业内部的资产处于安全状态。然而，随着疫情导致员工需要远程工作，安全防护措施也必须随之改变，以适应新的网络和安全需求。

SASE架构是网络安全云服务领域的一个新里程碑，它能够解决以往方法无法解决的问题。一种统一的方法，能够以相同的重视程度来处理所有风险渠道。提供了关于该网络健康状况的全面概述。

SASE的各个组成部分包括云原生安全组件、零信任原则的应用，以及网络服务的底层架构。让我们分别来看看这些与SASE相关的网络和安全功能吧。

基于云的基础设施

SASE的部署与将IT基础设施迁移到云端密切相关。这种以云为先的策略有助于确保服务的可用性，同时平衡服务器负载。云基础设施具有易于扩展的优势，能够降低企业成本，并且只支付实际使用的资源费用。

2. 零信任策略

SASE基础设施的核心组成部分，就是将零信任策略应用于网络安全领域。根据这一策略，不应仅基于网络位置来授予连接的信任。威胁并非只来自外部网络，所有连接都可能带来潜在的风险。因此，需要更严格的访问控制机制，以确保每个用户都是其所声称的那个人。

3. 网络组件

虽然SASE并不认同“内部网络不应被视为更安全的”这一观点，但这并不意味着那种封闭式连接架构的设想已经过时了。不过，WAN功能应该被整合到该框架中，以确保对所有网络层面实施更严格的控制。

SASE组件

SASE依赖于多种相互关联的技术，从而打造出能够覆盖所有需求的通用网络安全解决方案。虽然单独使用各个组件也是完全可行的，但SASE的主要优势在于它能够利用一个统一的控制中心来管理和协调各种功能。数据和安全策略在各个环节中都是统一的，而且各个组件之间也能协同工作。

• 即服务防火墙（FWaaS）作为网络安全的核心组成部分，它通过提供诸如下一代防火墙、入侵防御系统等额外功能，从而简化了IT基础设施的运作。
• 安全网络网关（Secure Web Gateway）可以将SWG视为一个安全的访问通道，它位于用户的终端设备与互联网之间。为了确保设备的安全性，SWG充当了一个过滤器，能够阻止那些可能具有恶意的流量，从而防止这些流量对用户的设备造成危害。因此，SWG实际上是一种有效的防御手段，可以防范内部威胁，同时还能检测到钓鱼链接。
• 云访问安全代理（CASB）——这是负责执行安全策略的节点，它负责确保第三方应用程序能够正常访问和操作相关资源。本质上，它扮演的是一种中介角色，负责检查用户的权限，并决定是否允许其访问相关资源。虽然对于最终用户来说，这可能会显得有些麻烦，但实际上，这种机制确实是一种非常有效的管理工具，有助于确保各项安全策略得到有效的执行，从而保障网络的安全性。
• 零信任网络访问（ZTNA）作为零信任理念的切实实施方式，ZTNA确保每一个访问请求都经过授权审核。ZTNA解决方案能够深入评估各种因素，比如连接方式、IP地址、高级上下文分析以及多因素认证等。
• 软件定义广域网这是一种虚拟广域网设置方式，它能够利用各种传输通道来连接各种设备。这种方式能够优化网络流量，平衡各节点的负载，同时充分利用多个存在点所带来的优势。流量会被重新导向到SaaS服务提供商那里，从而避免了不必要的回程传输，节省了公司的资源。

SASE的工作原理是什么？

SASE将多种技术整合为一套统一的解决方案。为了保护所有的网络区域，这些组件通过协同作用来创造更大的价值。每个组件共同作用，最终形成一套完整的网络安全解决方案。所有这些组件同时处于活动状态，从而能够在框架内实现即时数据共享。

这些内置系统会在连接的每个阶段对用户进行监控。虽然大多数操作对最终用户来说都是不可见的，但严格的身份验证流程、网络过滤器以及防火墙功能始终处于激活状态。该系统还能够自动检测异常情况，并在必要时向网络管理员发出警报，以进行人工干预。

由于整个系统都是借助云计算技术来实现的，因此用户可以从任何地点进行无限次的远程访问。用户的连接会被传递到最近的接入点，然后被路由到指定的位置。当然，这需要经过授权才能实现。这是一种更为先进的解决方案，能够有效解决VPN带来的安全问题以及延迟问题。

组织如何从SASE模型中获益呢？

安全服务访问边缘技术的实施，可以在许多网络和安全方面为组织的数字化转型做出贡献。

更好的灵活性基于云的基础设施更适合进行快速扩展，同时所需的初始投资也相对较低。这种优势对于最终用户来说意味着，从不同的地点进行连接时，延迟会更低。

节省成本单独实施每个SASE组件可能会非常昂贵。此外，由于不同的提供商采用不同的方式来提供服务，整个生态系统也会变得混乱不堪，从而无法获得预期的好处。

基础设施的优化与简化SASE可以帮助简化您的基础设施管理，从而减少需要监控的IT资产数量。集中的用户界面使得能够更高效地监控网络上的所有活动。

更好的性能SASE能够让用户直接连接到第三方资源，而无需通过回传过程。用户不必再处理那些拥挤的VPN网关问题，因此可以专注于工作，而不是处理各种故障问题。

具有前瞻性思维的安全解决方案—SASE包含诸如“零信任”这样的概念，这些概念非常适合应对现代网络威胁。虽然这是一种严格的流程，但能够有效降低许多风险。

更容易遵守规定/更容易执行那些需要遵守政府法规的组织，必须投资于客户数据保护工具。在这种情况下，SASE非常有价值，因为它能够指明正确的方向，并彻底改变网络结构，以符合数据保护法律的要求。

常见问题解答

我该如何选择一款合适的信封供应商呢？

您选择的SASE提供商应该与您的风险模型相符合。SASE的实施是一项战略性的决定，它将影响到所有业务领域。因此，必须进行全面的风险评估，以识别关键领域的问题，尤其是对于那些远程用户来说。一旦评估完成之后，选择SASE提供商时，应基于那些被发现的弱点来做出决策。最理想的SASE提供商，应该是能够解决您企业特定问题的那一家。

SASE只是针对大型企业使用的吗？

SASE是一个适用于所有IT管理的通用概念，因此它并不只限于大型企业使用。此外，小型企业也可以更快地采用SASE技术，因为它们通常拥有规模较小、更灵活的基础设施。

什么不是信封呢？

如果某个提供商无法提供网络连接和安全保障功能，那么他们的服务就不符合SASE的标准。为了让服务符合SASE标准，必须实现一定程度的互联互通性。而这正是这种解决方案所带来的主要优势。

SASE与SD-WAN相比，有哪些不同之处呢？

SD-WAN能够优化网络流量，从而提高性能。SASE则结合了这种优化与安全功能，从而实现安全且高效的数据传输。简而言之，SD-WAN可以确保数据能够快速传输，而SASE则进一步确保数据的传输既快速又安全。