SASE与零信任策略，或者SASE与零信任策略的结合，哪种方式更合适呢？

云计算、软件即服务（SaaS）以及远程工作的兴起正在改变网络架构。企业必须确保各种设备之间的安全性，同时保护那些存储在传统网络边界之外的云存储数据。

安全访问服务边缘（SASE）和零信任网络访问（ZTNA）应运而生，旨在解决这些问题。简单来说，SASE是一种……更全面的、以云为基础的框架/体系这种解决方案结合了网络管理和安全服务，其中还包括了ZTNA技术。而“零信任”则是一种……也是一种核心组成部分的战略框架这是一种SASE机制，它限制了对资源的访问权限。在每一步操作中都需要进行验证，而不是假设网络中的一切都是安全的。

SASE和零信任理念通常被视为相互竞争的概念。但实际上，它们其实是相辅相成的概念。它们应该共同构成现代云安全系统的组成部分。现在，让我们来探讨一下这两个概念——零信任和SASE，以及它们是如何协同工作的。

什么是SASE？

安全访问服务边缘是一种网络安全解决方案，旨在保护远程设备、办公室、物联网传感器以及基于云的数据。在COVID疫情期间，由于远程工作的普及，网络终端的数量迅速增加，因此这种安全访问服务边缘方案变得非常受欢迎。简化了传统的网络架构这种技术使得安全性更加无缝且管理更加集中。SaaS和物联网技术的不断发展，使得SASE成为现代网络安全领域的热门选择，同时也为安全的远程访问提供了可能。

关键的SASE元素包括SSE（安全服务边缘）和广域网边缘。

• 网络边缘它指的是计算机网络中的一部分，负责连接通过广域网（WAN）连接的各个地点或办公室。它能够确保数据在A点和B点之间顺畅、安全地传输，就像高速公路为城市之间的交通提供了便利一样。
• SSE旨在为用户提供安全且可靠的访问方式，无论用户的地理位置或所使用的设备如何。

反过来，SSE则将各种安全功能整合到统一的云系统之下。

• 零信任网络访问（ZTNA）:强调需要实施细粒度的、基于上下文的访问控制机制。这意味着，无论用户或设备的位置如何，在访问任何资源之前，都必须经过身份验证和授权。通过遵循这一原则，ZTNA可以确保网络仅对合适的用户和设备开放。
• 防火墙即服务（FWaaS）：云优化型防火墙能够监控网络流量，从而阻止未经授权的访问、有害攻击以及其他潜在威胁。这种机制能够实现网络的细粒度分割，从而提升网络安全性能。
• 安全网络网关：SWGSWG解决方案能够过滤掉用户发起的互联网流量中的无用软件或恶意程序，同时确保企业遵守相关政策和法规。此外，SWG解决方案还提供了加密和IP伪装功能，从而防止用户的敏感身份信息被泄露。
• 云访问安全代理（CASB）：CASB解决方案能够保护敏感数据，让您可以清晰地了解数据在各种云应用中的使用情况。同时，它还能告知您是谁正在访问这些数据，以及这些数据是如何被使用的。

同样值得记住的是，SASE不仅仅是一种安全解决方案而已。—这是一种全面的网络保护方法。其核心是由各种元素构成的，每个元素都有其独特的功能，都是为了保护您组织的数字资产而设计的。这些组件中的之一是ZTNA。这是一个非常重要的层，它专注于多层身份验证机制。零信任原则能够增强网络安全性，确保只有经过授权的用户才能访问系统，从而有效降低风险。

SASE在网络中的主要目标

安全访问服务边缘旨在实现以下目标：在安全的网络环境中 简化网络架构同时，还能提升效率。它结合了基于硬件的网络系统（SD-WAN）与基于云的解决方案（SSE）。

在SSE解决方案中，流量不再需要通过中央数据中心进行传输，而是直接流向与云应用程序相连的安全工具。这种基于云优化的流量分配方式能够有效消除网络瓶颈，从而让远程访问更加顺畅。

安全策略适用于整个网络，而不仅仅是边界处。当用户访问所有云资源时，需要进行身份验证。防火墙能够实现精确的网络分割，从而限制数据的横向传输。安全的Web网关解决方案则可以确保互联网浏览过程中的安全性。这样，就能在保护云架构的同时，不影响用户的体验。

什么是零信任？

ZTNA解决方案是一种基于多层身份验证的安全框架。它的出现，是为了应对基于云的服务工具以及远程或混合办公模式的兴起而提出的。零信任模型的核心原则就是“永远不要信任，必须始终进行验证”。严格的身份验证流程从多个角度来看，这种方法能够确保网络安全的提升。

基于零信任原则构建的网络，在系统对用户进行身份验证之前，不会赋予用户信任权。只有当访问系统授予了授权后，用户才能访问所需的资源。在此之前，用户在网络基础设施中的自由移动能力是受限的。

自2018年NIST SP 800-207《零信任架构》发布以来，ZTNA已成为一种流行的安全解决方案。该文档详细规定了ZTNA配置所需的治理和合规要求，对全球许多网络安全领域的变革产生了重要影响。

零信任在网络中的关键作用

为什么我们需要ZTNA解决方案来保障网络安全呢？那些传统的“护城河与城堡”式的网络安全模型已经不再适用了。网络边界已经延伸到分布在各个地理位置的多个基于云的服务提供商所提供的应用程序中。这些网络边界还延伸到了远程员工所使用的所有设备上。

零信任模型认为，无论是在网络边界内还是外部，都存在威胁。因此，在用户访问复杂的网络架构时，系统需要对用户的身份进行验证。

在零信任架构中，资源的访问是通过严格的身份验证来进行的。因此，安全团队可以保护云存储服务中的敏感数据，同时能够在网络中出现未经授权的代理程序之前将其发现。此外，这种架构还能适应不断变化的网络环境。

由于远程工作已经变得不可避免，企业面临着更大的风险：未经授权的人员可能会利用员工手中的设备来访问公司的敏感信息。定期的身份验证可以帮助降低这种风险，因为用户需要定期重新进行身份验证，从而加强安全性，保护敏感信息，并确保整个网络环境的安全性。

SASE与零信任有何不同？

SASE是一套安全技术组合，它包括了各种用于保障系统安全的技术。将安全功能部署在用户和应用程序附近。基于云的安全工具可以在任何有用户、设备和应用程序存在的地方发挥作用。这与传统的防护方式不同，传统的方法主要侧重于对边界的防护。

实施安全的接入服务边缘技术需要重新配置现有的安全架构，同时还需要引入一些工具来制定以前不存在的安全策略。这应该被视为一项长期性的安全目标，而并非某种现成的解决方案。

零信任是一种网络安全策略，其核心在于控制用户的访问权限。对于实现有效的SASE解决方案来说，零信任网络安全机制是不可或缺的要素。它属于更广义的安全解决方案的一部分，通常与SASE工具一起发挥作用，共同构成完整的安全体系。

SASE和零信任：都是解决同一问题的两把钥匙。

将SASE和零信任视为相互竞争的概念是没有意义的。相反，应该……这两种安全概念被融合在一起了。在寻求网络安全解决方案时。

可以将 SASE 和零信任理念视为有助于实现安全愿景的理念。它们属于一种基于动态边界、用户认证、数据分段以及保护基于云的资产等原则的思维模式的一部分。

SASE旨在最大限度地减少网络的复杂性，并重新设计网络结构以适应云技术的变革。而ZTNA则专注于多层身份验证机制。它针对更复杂的威胁环境而设计，能够提供比传统安全措施更有效的解决方案。

没有必要担心零信任与SASE之间的冲突。它们其实是同一个整体中的两个组成部分，网络安全团队需要同时利用这两种技术来保障网络安全。

SASE和零信任技术如何相互支持？

零信任安全是SASE架构的基础。它主要关注用户识别、认证以及监控等方面。在具备零信任网络访问机制的情况下，安全管理人员还可以添加其他与SASE相关的功能。不过，如果没有制定创建信任区域的计划的话，那么推进SASE的发展就毫无意义了。

零信任模型是在转型过程中实现安全可视化的基础。强大的零信任认证系统有助于引入云代理，同时让分支机构能够在线运行，而不会带来安全风险。规划人员可以轻松地过渡到SASE模式，因为他们可以确保用户得到妥善管理，并且只能访问与角色相关的资源。

方面/角度

SASE

零信任

相似之处

优先实施 ZTNA 所带来的好处

实施ZTNA可以为您的SSE战略实施过程带来许多关键优势：

最小化攻击面：遵循“永远不要信任，必须始终进行验证”的原则，ZTNA解决方案通过禁止用户或设备默认访问网络的方式，提供了额外的安全保障。

提升远程工作的安全性：通过提供更强的安全性、更友好的用户体验以及更高的工作效率，使远程访问变得更加可靠。

统一且一致的政策执行：与云访问安全代理(CASB)、安全Web网关(SWG)以及数据丢失防护(DLP)等组件集成。这样可以实现统一的可见性、控制能力以及简化的管理流程。同时，还能在云端和本地环境中实施一致的策略。

法规遵从性以及审计准备情况：实施细粒度的访问控制，实现详细的监控功能，同时提供强大的报告机制，可以确保只有经过授权的用户才能访问特定资源，无论这些资源位于何处。这与GDPR、HIPAA以及其他相关法规的要求相一致。

支持现代、混合式的网络架构：这与向云原生基础设施的转变相一致，同时还能简化对SaaS、IaaS以及混合应用程序的访问方式。因此，它非常适合那些注重敏捷性和可扩展性的战略。

利用SASE和ZTNA来构建安全的未来

SaaS、物联网以及远程设备带来了新的安全挑战。因此，为您的网络选择合适的网络安全工具非常重要。零信任和SASE这两种方法都提供了解决方案，能够适应动态的网络环境，同时确保用户能够安全地访问云中的应用程序。

SASE是一种全面的网络保护方案，它简化了传统的网络安全措施，同时实现了管理的集中化，从而让安全防护更加无缝。而ZTNA则是Secure Access Service Edge的核心组成部分之一，它通过严格的身份验证机制来加强网络安全性。总的来说，这两种解决方案都很优秀，但将它们结合起来使用时，效果会更为显著。