SASE相关知识点

• 第一部分：SASE介绍

SASE（安全访问服务边缘，Secure Access Service Edge）是一种新兴的网络安全模型，它将广域网（WAN）功能与网络安全功能集成到一个统一的云原生服务中。以下是SASE的详细定义和架构：

SASE的定义
SASE是由Gartner在2019年提出的新企业网络技术类别，它将网络和安全解决方案的功能融合为一个统一的全球云原生服务。SASE是一种企业网络和安全性的架构转换，使信息技术（IT）能够为数字业务提供全面、敏捷和适应性强的服务。

SASE的主要特征

• 标识驱动：基于用户和设备的标识授予访问权限。

• 云原生：基础结构解决方案和安全解决方案都是云交付的。

• 支持所有边缘：保护所有物理、数字和逻辑边缘。

• 全球分布：无论用户在哪里工作，都会受到保护。

SASE的架构
SASE的逻辑架构主要包括管控层、安全服务边缘（SSE）层、网络层以及终端层，每层承担的功能不同。管控层提供统一的网络和安全管理能力，包括管理、控制和分析三个维度。

SASE的重要性
SASE解决了传统架构的复杂性和延迟性问题，同时解决了企业上云的数据安全问题。它通过身份验证直接为终端用户和设备提供授权访问的资源，并由附近的安全机制保护。

SASE的优势

• 提高安全性：SASE集成了如FWaaS、SWG、CASB等多种安全服务，为客户提供全面的安全保护。此外，SASE支持零信任网络，确保只有经过验证的用户、设备和应用程序（而不是位置和IP地址）才能访问网络资源，提高了整体安全性。

• 简化网络管理：SASE提供集中式的网络和安全管理，简化了IT管理流程，减少了管理成本。SASE还可以根据用户身份、设备状态、位置等因素自动调整安全策略，减少了手动配置的需要。

• 提升性能和可靠性：SASE利用SD-WAN技术优化数据传输路径，提高了网络性能和可靠性。SASE服务通过全球分布的边缘节点提供，确保用户可以从任何地点快速、安全地访问服务。

• 支持远程和移动工作：SASE确保远程和移动用户可以安全地访问企业资源，支持远程工作和协作。SASE不依赖特定设备，支持各种终端设备的安全接入。

• 降低成本：SASE基于云的服务模型减少了企业在硬件和基础设施上的投资。SASE通常采用按需付费的模式，企业只需为实际使用的服务付费，降低了运营成本。

• 提供更高的灵活性和可扩展性：SASE服务可以快速部署，适应企业快速变化的需求。SASE的云基础架构提供了高度的可扩展性，企业可以根据需要轻松扩展服务。

SASE通过将SD-WAN和SSE（安全服务边缘）结合起来，为企业提供了一个统一、灵活且高效的安全架构，它不仅简化了网络安全的管理，还降低了成本，提高了性能和安全性。

• 第二部分：SASE集成

SASE通过集成多种网络安全服务来提高安全性，以下是SASE中常见的一些服务及其工作原理的详细介绍：

• 软件定义广域网（SD-WAN）：

      • 功能：SD-WAN是一种覆盖体系结构，它使用路由或交换软件在终结点（物理和逻辑）之间创建虚拟连接。SD-WAN优化了广域网流量，提高了应用程序性能，降低了成本，并提高了网络的灵活性和可扩展性。

      • 工作原理：SD-WAN通过集中管理实现对分支机构的网络流量的动态调整，可以根据应用性能需求和成本效益选择最佳路径，同时支持多种连接类型（如MPLS、互联网、LTE等）。

• 安全Web网关（SWG）：

     • 功能：SWG是一项Web安全服务，它阻止未经授权的流量访问特定网络，并提供恶意软件防护、数据丢失防护和URL过滤。

     • 工作原理：SWG部署在用户的网络路径上，检查和过滤进出的Web流量，确保只有安全和合规的流量被允许访问。

• 云访问安全代理（CASB）：

      • 功能：CASB作为一种SaaS应用程序，充当本地网络和基于云的应用之间的安全检查点，提供数据丢失防护、身份验证、授权和加密。

       • 工作原理：CASB通过代理或API集成到云服务中，监控和控制对云资源的访问，确保数据安全和合规性。

• 零信任网络访问（ZTNA）：

      • 功能：ZTNA是一种网络安全概念，它基于“从不信任，始终验证”的原则，确保所有用户和设备在访问资源之前都经过验证和授权。

      • 工作原理：ZTNA通过微分段和访问控制列表（ACLs）限制访问，只有经过验证和授权的用户和设备才能访问特定的应用程序和资源。

• 防火墙即服务（FWaaS）：

      • 功能：FWaaS是一种云交付的防火墙服务，提供传统的防火墙功能，如包过滤、状态监测和入侵防御。

      • 工作原理：FWaaS通过云平台部署和管理防火墙规则，可以按需扩展，提供灵活的防火墙保护，同时减少物理设备的管理负担。

• 安全DNS服务：

     • 功能：安全DNS服务提供DNS流量监控和过滤，防止DNS劫持和钓鱼攻击。

     • 工作原理：通过监控和过滤DNS查询和响应，安全DNS服务可以阻止恶意域名解析，保护用户免受恶意软件和钓鱼网站的侵害。

• 端点检测和响应（EDR）：

     • 功能：EDR是一种安全解决方案，用于监控和分析端点（如电脑、手机等）上的活动，以检测和响应潜在的安全威胁。

     • 工作原理：EDR通过在端点上部署代理来收集安全事件数据，然后使用分析工具来识别和响应可疑行为。

• 数据丢失防护（DLP）：

      • 功能：DLP专注于识别、监控和保护敏感数据，防止数据泄露。

      • 工作原理：DLP通过内容发现、监控和保护策略来识别和跟踪敏感数据的流动，确保数据不会在未经授权的情况下离开企业网络。

这些服务在SASE框架中被集成并统一管理，提供了一个全面的网络安全解决方案，旨在保护企业资源免受各种威胁，同时简化网络和安全管理。通过云交付模式，SASE能够提供灵活性和可扩展性，适应不断变化的业务需求和安全挑战。