SASE相关指南：应用场景与最佳实践

Secure Access Service Edge（SASE）技术是实现基于云的网络安全的最佳方式。它结合了强大的边缘保护、身份管理、网络分段以及云代理功能，从而完美满足现代组织的需求。这篇关于思博的文档将介绍如何充分利用SASE技术，以及如何遵循最佳实践来发挥其优势。

为什么是时候实施SASE了呢？

SASE并非单一的应用程序。实际上，它是一种基于云技术的解决方案，拥有许多实际应用场景，可用于保护和优化现代网络。SASE的部署能够解决企业面临的一些紧迫问题。例如：

通过SD-WAN网络的现代化改造，提升安全性并降低运营成本。

传统的MPLS网络并不适合那些依赖多种云应用以及大量远程员工的企业。传统的基于边界的系统无法为云数据中心提供足够的安全保护，同时其流量路由效率也很低。此外，与传统基于SASE的解决方案相比，传统MPLS网络的成本也更高。

SASE拥有一个动态化的SD-WAN边界结构。在网络边缘自动识别用户，并将他们的流量与其他网络资源区分开来。当它们与企业资产相连时，用户无论身处何处，都能在多云环境中安全且高效地访问各种应用程序和资源。

数据丢失预防工具可以与SASE集成，从而能够在网络边界之外保护敏感数据。云中介服务则允许安全地访问核心资源，因为SaaS应用程序可以被隐藏起来，避免被外部人员查看。而安全网络网关和身份与访问管理工具则只允许经过身份验证的用户访问这些资源。

2. 无缝的远程工作模式

SASE是一种适用于地理上分散的员工的理想网络解决方案。在如今居家办公、远程工作以及混合式工作模式盛行的时代背景下，安全系统必须能够保护各种复杂的终端设备和设备资源。

有了这种安全信封解决方案之后，为远程工作人员提供安全的访问方式就变得简单了。IT团队可以统一应用零信任网络访问（ZTNA）的相关原则，从而让远程工作也受到同样的安全保障。就像在本地办公的员工一样。

SASE并不依赖传统的VPN技术来加密流量并保护网络边界。随着流量的增加，虚拟私人网络往往会遇到性能瓶颈问题。此外，随着用户数量的不断增加，虚拟私人网络也难以有效扩展其功能。而且，它们在网络边界内缺乏有效的横向威胁防护机制。

SASE采用了更为灵活的方法，它依赖于SD WAN网络、全球分布的PoPs以及每个边缘节点的本地检查功能。这种方法能够提供比标准VPN更强大的威胁防护能力，同时还能提升网络的运行效率。

3. 确保边缘计算的安全性

近年来，网络边缘已经发生了改变。现在，网络边缘包含了各种传感器和物联网设备，这些设备给传统的广域网模型带来了巨大的挑战。僵尸网络攻击者利用这些边缘设备来发起全球范围的DDoS攻击。此外，使用传统的安全手段来监控和追踪这些设备也非常困难。

对于那些依赖工业传感器、自动驾驶车辆或诸如健康监测产品之类的相关设备的企业来说，SASE无疑是一个理想的替代方案。

SASE解决方案能够自动扫描并验证所有边缘设备的安全性。当他们连接到网络时，IT团队可以通过中央管理控制台完全了解所有连接设备的状况。同时，管理者也可以轻松地将安全策略应用到每台设备上。

4. 实现网络效率的巅峰状态

SASE的使用方式也类似。一种在多云环境下优化网络效率的方法现代网络通常涉及多个云服务提供商和服务。过多的供应商可能会导致企业网络变得过于复杂且效率低下，同时还会影响到用户体验。

SASE通过多点解决方案，提供了提升性能的途径。分布式PoP交换机与云资源以及其他流量源保持较近的距离。这种布局能够最大限度地减少数据包传输所需的转发次数，从而确保SASE PoPs与关键云应用程序之间的延迟几乎为零。

SASE架构还使得在企业网络中添加新的分支位置变得非常容易。无需将流量回传至中央数据中心。通过SASE技术，流量可以快速且安全地传输到全球分布的各种PoPs。因此，无论需要在何处接入网络，其速度都会优于传统的安保系统。

5. 让云技术的现代化过程变得简单易懂

许多企业已经将传统的本地数据中心替换为云存储解决方案，但却没有对自身的网络架构进行合理的优化。这种混乱的数字迁移行为只会带来不必要的复杂性，而复杂的网络架构又会引发安全风险，因为IT团队无法有效控制各种威胁源。

SASE的使用方式一种有效简化网络安全问题的方法IT团队可以通过一个统一的管理控制台来整合各种云资源，并实施安全控制措施。技术人员可以监控威胁情况，并在必要时做出响应；而网络专业人员则可以评估网络的性能。

同时，诸如SWG和云访问安全代理（CASB）这样的技术，能够让企业既享受到云计算带来的好处，又能有效降低安全风险。例如，客户交易或动态定价信息等全球范围内的数据流动，可以在不影响处理速度的情况下保持机密性。此外，承包商或员工无论身处何地，都可以安全地访问云服务。

6. 简化IT管理流程

SASE的使用方式也大致如此。有助于实现更精简、更高效的网络管理。集中化的管理控制台以及整合了多种安全功能的解决方案，使得不再需要多个独立的解决方案，比如VPN、防火墙或威胁扫描工具。

多种解决方案会延长网络基础设施的更新和维护所需的时间。而SASE则能够将维护时间降至最低。所有相关资源都集中在一起，且采用云原生技术。这样，IT人员就可以专注于完善安全策略和威胁监控工作，而不必再花费时间在那些不必要的任务上。

7. 在不破坏安全性的前提下实现业务规模扩展

企业往往难以实现稳定的发展。有时候，由于销售额的突然上升或战略上的调整，企业可能会迅速扩张。而网络基础设施可能无法应对如此大的流量或用户数量的增加。

SASE为不断发展的数字企业提供了最佳的解决方案。这样就能实现完全一致的政策执行了。

例如，企业扩大业务规模时，可能会选择新的承包商作为合作伙伴。在这种情况下，SASE应用程序可以自动化新用户的注册流程。此外，强大的用户身份认证和跟踪工具也能在引入第三方用户时确保安全性，从而避免在出现问题时造成不必要的麻烦。

分布式PoP还为企业提供了便利，尤其是在企业全球扩张时。这样，就可以避免网络拥堵的问题。此外，当拥有集中的管理控制台时，更换云服务提供商的过程也变得非常简单了。

SASE的最佳实践

SASE具有广泛的应用场景，与传统的网络架构相比，它提供了许多优势。不过，就像所有技术一样，要想获得最佳效果，就必须正确地部署SASE。以下是一些有助于更轻松地过渡到SASE的最佳实践。

将“零信任”作为指导原则。

通过将SASE技术与零信任策略相结合，可以实现最佳的安全保障。零信任网络访问技术基于“永远不要信任，始终要验证”的原则。这种技术涉及对每位用户的身份进行识别与验证，并对网络进行微分区处理，从而控制用户的权限，有效应对潜在的威胁。

SASE的使用为实施零信任理念提供了平台。SWG、CASB和SD-WAN使得IT团队能够验证每一位用户的身份。技术人员可以完全了解通过SASE PoPs的每一数据包的相关信息，且这些信息都是实时更新的。

2. 规划合适的本地与云基础设施组合。

SASE模型适用于数据在云应用程序之间的传输过程。不过，大多数公司并不只使用云计算服务。因此，这些公司还需要其他安全解决方案来保障数据安全。涵盖了云环境和本地基础设施两部分内容。

那些依赖本地和远程基础设施的公司，可能需要保留当地的防火墙防御措施或物理安全防护措施，以保护数据中心的数据安全。在这种情况下，规划人员需要决定哪些资产可以安全地存储在云端，而哪些资产则仍需保留在本地。

如果企业打算增加远程工作的可能性，或者将来转向SaaS模式，那么尽早实施SASE解决方案是非常明智的选择。

3. 请慎重选择SASE的供应商。

如果供应商提供的产品质量较差，那么SASE使用的好处就会消失。这些产品往往缺乏完整的功能，或者无法为用户提供足够的技术支持。例如，并非所有的SASE控制台都是相同的。有些控制台无法实时监测威胁或处理流量数据，而另一些控制台则无法应用诸如身份管理之类的ZTNA基础功能。

在购买之前，请先测试相关软件，以确保用户能够享受无缝的体验。同时，尽量避免使用来自多个供应商的SASE技术栈。有些公司可能拥有自己的工具来辅助实现SASE功能，但SASE的本质就是简化云端的安全性管理。理想情况下，应该由单一供应商来提供所有所需的功能。

4. 计划实现平稳、渐进的SASE过渡过程。

实施任何数字化的变革都可能带来一些干扰或影响。SASE也不例外。应避免从传统的广域网模式快速过渡到SD WAN和云访问安全机制。相反，应该逐步更换当前使用的软件和硬件设备。

在将本地硬件上的数据迁移到云存储的过程中，必须谨慎操作，并给予足够的时间来确保迁移过程的安全性。需要不断进行测试，以确保数据的安全，同时避免员工的工作流程受到干扰。此外，还需要向核心利益相关者详细解释每一个迁移步骤，以避免出现纠纷和混乱。

5. 创建详细的清单，以了解所发生的变化。

如果可能的话，应让安全信封的迁移与现有的硬件生命周期保持一致，从而降低冗余成本。为此，需要对所有现有硬件进行全面的清点，以确定如何逐步淘汰旧的网络安全设备，同时不损害系统的安全性。

这份清单实际上就像一张地图，用于指导SASE的过渡过程，同时也为成本效益分析提供了依据。在评估实施SASE所带来的短期成本和长期收益时，这些信息将会非常有价值。

6. 请做好对您的云安全架构进行审计和更新的准备。

就像其他任何网络安全产品一样，SASE服务会不断进行更新与调整。此外，还需要对安全体系中的各个组成部分进行定期更新。当有其他工具可用时，应积极尝试使用这些工具来提升安全性。

一些SaaS解决方案在短期内能够正常运行，但无法应对业务扩展或新增SaaS应用程序的需求。有些供应商会忽视当前面临的威胁，导致其产品存在安全漏洞。因此，务必关注市场动态，并对自己的系统进行全面审计，确保所有方面都符合最高标准。

通过SASE网络安全解决方案，实现云运营的现代化改造。

正如上述SASE应用场景列表所示，安全接入服务边缘技术在保障现代基于云的网络安全方面发挥着重要作用。

无论企业是在海外开设分支机构、从本地企业数据中心转向云服务、尝试边缘计算，还是为远程员工提供服务，SASE的使用都能提供帮助。

SASE的部署应该既简单又实用。不过，从传统的企业网络管理方式转变为SASE模式可能会带来一些挑战。不过，如果你遵循这里所提出的SASE最佳实践，那么就可以获得相应的好处，同时避免常见的错误。