零信任體系黑科技之SASE

隨著雲服務和網絡不推動數字業務概念的不斷進行，我們逐漸發現，傳統網絡和網絡安全架構遠遠不能滿足數字業務的需求。而在企業紛紛擁抱數字業務的過程中，由於邊緣計算、雲服務、混合網絡的逐漸興起，使得本就漏洞百出的傳統網絡安全架構更加岌岌可危。

但就在2019年7月，曾發表過《零信任架構及解決方案》白皮書的Gartner公司，又扔出了一個更加「勁爆」的「炸彈」。Gartner提出了一個比「零信任」更高一個維度的概念，即「SASE」（安全訪問服務邊緣模型）。

根據Gartner的預計，到2024年，至少40％的企業將有明確的策略採用SASE，高於2018年底的不到1％。而且由於新冠疫情引發的全球遠程辦公潮，很有可能加速SASE的普及。

圖1 Hype Cycle for Enterprise Networking

一、什麼是SASE

SASE全稱是Secure Access Service Edge即安全訪問服務邊緣。SASE這一概念最早出現在Gartner的《The Future of Network Security Isin the Cloud》這篇報告中，在其的另一篇報告中《Top 10 strategictechnology trends for 2020》也提到了邊緣賦能這項技術趨勢。無論如何從上述兩篇報告中，都可以看出SASE集成了我們之前文章中曾介紹過的：自動化、CARTA（持續性自適應風險與信任評估）、ZTNA（零信任網絡訪問）、Advance APT防護等技術。可以說大部分新興技術大多都涵蓋到SASE架構中。 

Gartner對SASE的定義也很簡單：SASE是一種基於實體的身份、實時上下文、企業安全/合規策略，以及在整個會話中持續評估風險/信任的服務。實體的身份可與人員、人員組（分支辦公室）、設備、應用、服務、物聯網系統或邊緣計算場地相關聯。 

SASE與零信任體系和CARTA自適應框架一樣，都在強調「身份」這一概念的重要性。SASE的核心就是身份，即身份是訪問決策的中心，而不再是企業數據中心。所有框架的核心要點便是：基於身份的訪問決策。

圖2 The SASE Identity-Centric Architecture

而關於身份的問題，在安全實驗室公眾號（第59號）之前的「零信任「系列文章中也做了討論，所以這裡簡單提一下即可。我們可以確定對身份因子的可把控維度越大則安全框架發揮出的防護效果更好。而我們基本可以認定：用戶、設備、服務是比較基本的身份因子，除此之外還有」上下文「信息也可以被認定為身份因子，這些上下文信息來源包括：用戶使用的設備身份、日期、風險/信任評估、場地、正在訪問的應用或數據的靈敏度。企業數據中心仍存在，但不再是網絡架構的中心，只是用戶和設備需要訪問的眾多網際網路服務中的一個。 

SASE按需提供所需的服務和策略執行，獨立於請求服務的實體場所和所有訪問能力。

圖3 SASE Conceptual Model

二、SASE雲服務的主要特點

SASE框架畢竟也是與「零信任體系「一脈相承，所以」零信任體系「所包含的特點SASE自然是都有，除此之外，SASE還有著4個與眾不同的特點：身份驅動、雲原生、兼容所有邊緣、全球分布。

1、身份驅動

所有行為和訪問控制全部依賴於「身份「，服務質量、權限級別、路由選擇、應用的風險安全控制等等，所有這些與網絡連接相關聯的服務全部由身份驅動。基於此，公司企業只需專注於身份管理與對應的安全策略，從而無需考慮設備或地理位置等因素，以此達到降低運營開銷的目的。

2、雲原生

SASE認定未來網絡安全一定會集中在雲服務上，因此SASE框架利用雲原生的幾個主要功能：彈性、自適應性、自恢復能力、自維護能力，以此提供一個分攤客戶開銷以提供最大效率的平臺，可很方便地適應新興業務需求，而且隨處可用。

3、兼容所有邊緣

SASE 為所有公司資源創建了一個網絡——數據中心、分公司、雲資源和移動用戶。舉個例子，軟體定義廣域網 (SD-WAN) 設備支持物理邊緣，而移動客戶端和無客戶端瀏覽器訪問連接四處遊走的用戶。

4、全球分布

為確保所有網絡和安全功能隨處可用，並向全部邊緣交付儘可能好的體驗，SASE 雲必須全球分布。因此，企業需要具有全球 POP 點和對等連接的 SASE 產品，必須擴展自身覆蓋面，向企業邊緣交付低延遲服務。

三、SASE帶給企業的價值

SASE畢竟是一種各種新興技術的集大成之作，雖然目前SASE過於龐大導致內部並不能很好處理各個接口和數據，但沒有任何人會懷疑一旦SASE成熟後將給安全形式帶來巨大改變。尤其是SASE將給企業帶來巨大的價值，主要體現在以下幾個方面：

1、靈活性

基於雲基礎架構提供多種安全服務，例如威脅預防、Web過濾、沙箱、DNS安全、數據防洩漏和下一代防火牆策略。

2、節省成本

利用單一平臺，無需購買和管理多點產品，可以大大降低成本和IT資源。

3、降低複雜性

通過將安全堆棧整合到基於雲的網絡安全服務模型中來簡化IT基礎架構，可以最大限度地減少IT團隊管理以及需要更新和維護的安全產品數量。

4、提高性能

藉助雲基礎架構，你可以輕鬆連接到資源所在的任何位置。可以在全球範圍內訪問應用程式、網際網路和公司數據。

5、零信任

基於雲的零信任方法消除了用戶、設備和應用程式連接時的信任假設。一個SASE解決方案能提供完整的會話保護，無論用戶是在公司網絡上還是在公司網絡外。

6、威脅防護

通過將完整的內容檢查集成到SASE解決方案中，用戶可以從網絡的更高安全性和可見性中受益。

7、數據保護

     在SASE框架內實施數據保護策略有助於防止未授權訪問和濫用敏感數據。