Secure Access Service Edge (SASE) 是什么?

Secure Access Service Edge 即 SASE(读作“sassy”),是一种用于网络的企业级安全架构模型,旨在支持当今员工快速访问应用程序的需求。SASE 架构将网络和云交付安全方案融合为具有统一管理功能的高性能单通道架构。

探索其他 SaaS 主题:

What's New and What's Next with Citrix Workspace

什么是 SASE

SASE 的用途是什么?

推动向网络和安全 SASE 转变的三大主要市场趋势:

  1. 应用程序转变为 SaaS:在传统的内部部署网络架构中,出于安全原因而将 SaaS 流量回传到数据中心会加剧延迟并增加网络成本。随着云环境的日益普及,SASE 允许组织将网络安全服务从数据中心移动到更靠近远程用户的地方。
  2. 员工们采取更灵活的远程办公模式:员工希望无论身处何处,都能获得同样的体验和安全保障。遗憾的是,传统 VPN 不提供精细的安全控制功能,这反而会使体验变得更糟。
  3. 威胁正在快速演变:安全团队需要不断升级和更新其基础架构,以不断应对新威胁。这是一项复杂且耗时的工作,许多组织仍然经常面临零日威胁。

当今的企业需要为所有员工提供快速、一致和安全的数字化工作空间体验,无论身处何处或使用何种设备。同时,IT 团队需要更加灵活,以便专注于提供新型数字化服务,而不是花费大量时间管理复杂的网络和安全堆栈。通过确保网络和安全的发展和融合,SASE 框架可实现:

  • 敏捷、统一、单一虚拟管理平台管理,其中包括配置功能,并带来细粒度策略控制和可见性。
  • WAN 功能能够克服本地互联网突围的不可预测性,可随时随地稳定、快速、安全地访问应用程序。
  • 全球安全云为身处各地的用户持续执行安全合规策略。

SASE 包含些什么?

SASE 模型将全面的 SD-WAN 和网络安全功能汇聚为单通道架构,可通过统一管理平面管理网络和网络安全。Gartner 创造了“SASE”一词,并列出了 SASE 架构的“核心”和“推荐”功能。1

核心 SASE 功能包括:

SD-WAN

SD-WAN 可在任何类型的网络传输上实现弹性、低延迟连接,同时与传统的路由器解决方案相比,复杂性更低。尤其是云原生和实时应用程序会受益于 SD-WAN。SD-WAN 通过基于路径质量评估的路径选择、WAN 优化以及与 SaaS 应用程序进行配对等功能来实现这一点。此外,一些 SD-WAN 还具有网络安全措施,如集成入侵检测/预防系统 (DS/IPS) 以及简化分公司和 SaaS 应用程序之间的 VPN 通道设置。

Secure Web Gateway

Secure Web Gateway (SWG) 是一种企业网络安全解决方案,通常作为云服务在线实施于用户和 Web 之间。用户流量通过内置的网络安全功能(如 URL 过滤、应用程序控制和反恶意软件防御)被转发到 SWG 进行检查,并在必要时采取进一步行动。

云访问安全代理

借助云访问安全代理 (CASB),企业可以管理所有已批准和未批准 SaaS 应用程序的接入控制权限。CASB 安全解决方案建立在四大支柱之上,包括:

  • 经优化的可视性,包括对影子 IT 应用程序进行管控
  • 数据安全功能,可保护敏感数据免受未经授权的访问
  • 行为分析等功能可实现威胁防护
  • 经简化的合规证明流程

零信任网络访问

零信任网络访问 (ZTNA) 对访问未经授权应用程序的授权用户实施最小权限原则。它还具有身份和上下文感知功能,根据来自 Microsoft Azure Active Directory 等云服务的身份信息以及时间、位置等参数来评估尝试访问行为。甚至可以为应用程序(而不是底层网络)授予访问权限,以防止威胁的横向移动。总体而言,与传统的 VPN 解决方案相比,ZTNA 可提供更好的用户体验、更严格的安全控制功能并降低复杂性。

防火墙即服务

防火墙即服务 (FWaaS) 在企业网络中实施进出安全控制,以确保只有受信任的流量才能通过。更具体地说,FWaaS 解决方案可以集成异常(无签名)威胁检测、网络沙盒、地理位置、反恶意软件和 IDS/IPS 解决方案。FWaaS 通常与安全分析解决方案集成,为数据中心、云实例和分支机构提供全面的保护。

数据丢失保护

数据丢失保护(也称为威胁防护)集成到了 SASE 平台的单通道架构中。数据丢失保护引擎能为使用中、移动中和静止的数据提供可见性。它可以隔离有风险的数据或活动、执行加密,并发送网络安全警报,以降低数据泄露的总体风险。

以线路速度对内容进行大规模加密/解密

SASE 的单通道架构允许只打开和检查一次加密流量,以降低传统安全堆栈与服务链检测引擎的延迟。

推荐的 SASE 功能包括:

网络应用和 API 保护

随着网络应用的使用量增加,遏制恶意流量和请求非常重要。网络应用和 API 保护 (WAAP) 可以集成安全解决方案,如高级速率限制、运行时应用程序自我保护和 DDoS 缓解。

远程浏览器隔离

使用远程浏览器隔离功能保护企业网络免受基于浏览器的攻击。网站中的数据(包括可能泄露的数据)不会传输到最终用户设备中,从而降低数据泄露或感染的可能性。

网络沙箱

网络沙箱将可疑内容发送到隔离环境中,在隔离环境中运行而不会影响其他应用程序。然后,SASE 平台内的 FWaaS 解决方案可以进一步检查它,并在发现恶意文件和资产时阻止它们。

支持托管和非托管设备

SASE 平台为保护企业和员工提供的设备提供了更好的方案框架,多种安全解决方案可防止数据丢失、未经授权的访问和恶意软件等威胁。

SASE 功能在统一的“精简分支、复杂云”服务模式下交付:SD-WAN 功能在“精简”分支的设备中提供,而安全功能作为“复杂”云服务提供。

1Critical Capabilities for WAN Edge Infrastructure(WAN 边缘基础架构关键能力),Gartner,2020 年 9 月​

电子书

Secure Access Service Edge (SASE) 架构的 7 个必备工具

阅读电子书,了解 Citrix 的统一 SASE 方法如何将网络和安全方案融合在一起

SASE 安全方案的关键优势是什么?

SASE 架构旨在为移动和远程工作者对云应用程序进行快速、可靠和安全的访问,同时提高 IT 灵活性。如果企业关注所提供功能(如跨网络和安全的统一管理、单通道架构设计以及强大的 SD-WAN 功能)中的细微差别,企业可以从 SASE 部署中获得以下优势:

卓越的用户体验。直接的互联网访问消除了来自回程连接的延迟。但是,SASE 解决方案中的 SD-WAN 和 WAN 优化功能必须确保即使在互联网性能发生波动的情况下也能确保性能的一致性。单通道架构可确保检查和策略引擎本身不会增加不必要的延迟。

安全性更高。对未经授权的应用程序启用身份感知、零信任访问。这减少了攻击面并阻止了恶意软件在企业网络内的横向移动。对于 Web 和未经授权的应用程序来说,无论员工位置如何,全面的云交付安全功能都能确保一致的安全态势。

IT 敏捷性更出色。SASE 架构可帮助整合网络和安全单点解决方案。单一供应商解决方案可提供更为深入的集成和统一管理,简化部署、配置、报告和支持服务。由于 SASE 架构需要将安全功能迁移到云,因此降低了整体硬件占用空间,进而提高了架构弹性和规模。

功能强大的 SASE 框架有哪些基本要素?

虽然许多服务提供商宣传 SASE 架构的各个组件,但提供所有必要的功能至关重要,因为统一的整体大于部分的总和。只有拥有完整的“SASE 堆栈”,企业才能从任何位置和设备快速、一致、安全地访问所有应用程序,同时提高 IT 灵活性。最强大的 SASE 架构包括以下区别于竞争对手的细微差别:

深度集成

SASE 平台将云安全方案与全面的 WAN 功能相结合,两者相辅相成。虽然云安全方案实现了本地互联网突围(用于消除回程架构的延迟),但它并不能克服互联网连接的整体不可预测性。SD-WAN 和 WAN 优化可确保网络性能的变化不会影响员工的体验。

单一虚拟管理平台管理

通过 SASE,团队可以统一查看基础架构部署(包括网络安全)、网络策略配置和综合报告。这一切使整个企业架构的控制更加全面和敏捷。

单通道架构

功能的服务链通常会强迫流量通过多个检查和策略引擎,这增加了延迟,并降低了从 SASE 架构中获得的任何性能改进。相比之下,精心设计的 SASE 架构将遵循单通道方式,在单通道方式下,所有策略引擎只会同时对流量打开并检查一次。

隐私

隐私和监管要求(如 GDPR)通常需要数据隔离、选择性解密、要求提供数据流向的可视性,并控制数据流向的方式和位置。通过云交付的安全方案履行这些义务可能颇具挑战性,这使得评估合规措施对于任何潜在的 SASE 解决方案来说都很重要。

统一供应商管理

SASE 的主要目标之一是提高 IT 灵活性。通过整合供应商,您可以最大限度地减少为计划、部署、管理和支持跨网络和安全解决方案的全面统一架构所需的对话次数。这种整合不仅可以加速运营,还可以帮助促进 IT 部门之间的跨职能对话,从而做出更出色、更具战略性的决策。此外,从纯技术角度来看,通过组织之间的技术联盟,单一供应商架构可提供所有功能的深度集成。

SASE 的常用案例有哪些?

组织需要改进企业网络和安全基础架构,以应对不断变化的使用模式(例如访问哪些应用程序以及从何处访问哪些应用程序),以满足员工期望以及业务需求。这种演变将支持更广泛的战略计划,例如通过灵活、弹性和高效的基础架构部署来为员工实现“随时随地办公”的模式并提高业务连续性。

广义上,下游 IT 用例可分为三类:

实现网络和安全架构转型

传统的中心辐射型设备的架构会导致延迟增加、增加了 WAN 成本,并且管理起来较为复杂。将其替换为 SASE 架构将实现安全的本地互联网突围,以便从任何位置快速、一致且安全地访问所有应用程序。对 SASE 架构中的云交付的网络安全方案和 SD-WAN 进行统一,可实现更出色的应用性能、敏捷管理和可视性,不会造成盲点。

保护 SD-WAN 部署

虽然 SD-WAN 解决方案对于提高应用程序性能来说至关重要,但利用 SD-WAN 和基于数据中心的安全堆栈会增加本可避免的延迟,并减少 SD-WAN 的整体优势。在分支位置实现基于设备的安全功能还需要随着加密流量的增加而频繁地进行升级,从而增加成本和操作复杂性。云交付的安全方案是一个可行的替代方案,但必须作为统一的单通道 SASE 架构与 SD-WAN 解决方案一起交付。该设置可确保最大化 SD-WAN 的预期优势,即更快的应用程序性能、操作敏捷性并减少运营成本。

提供安全高效的数字化工作空间

数字化工作空间解决方案为员工访问所有工作应用程序和桌面(无论使用何种设备)提供精简且高效的体验。在 SASE 架构的支持下,可通过智能流量优先级和 WAN 优化进一步提高应用性能,并在所有流量中通过身份感知、零信任访问和强大的恶意软件保护功能增强安全性。

适用于 SASE 的 Citrix 解决方案

Citrix SASE 解决方案将 Gartner 的所有核心和推荐功能汇集到一个统一的架构中,确保用户能够轻松安全地访问应用程序,随时随地办公。这些统一的 SASE 产品提供五个主要优势:

  • 最全面的云交付安全堆栈,可大规模保护所有用户(无论位置如何)免受各种威胁。
  • 身份感知、零信任访问,可快速、轻松地访问未经授权的企业应用程序,同时最大限度减少企业攻击面。
  • 具有强大的 SD-WAN 和应用程序优化功能,提供不间断的应用程序体验
  • 深度取证和 AI 驱动的安全分析功能,可定位特定安全事件、非典型活动和政策违反行为,以进行发生率分析和监管合规。
  • 统一管理,全面集成网络、安全方案,操作简单敏捷。

了解如何使用 Citrix SASE 快速、安全地访问应用程序

4001 200 936