SASE技术介绍

一、什么是SASE？
SASE（SecureAccessServiceEdge）的概念，并在随后的一系列报告中进行了详细阐述，我们可以将SASE定义是企业网络和业务架构演进至“云化”、“服务化”后的安全理念。
    SASE将网络和安全能力服务化，并融合到一个云原生服务平台，提供一体化的网络和安全功能，实现对企业全流量进行威胁检测与精细化访问控制，以确保用户访问应用的体验与安全合规均可得到可靠保障。SASE可以服务包括但不限于本地、分支机构、云和移动端访问企业应用和互联网的流量。
二、SASE包含如下服务组件：
1.SASE云基础设施
对于客户透明的SASE底座，包含网络与计算能力，提供覆盖全球范围的分布式云服务，能够为客户快速交付网络和安全能力。
2.SASE管理平台
面向客户的管理界面，实现针对网络和安全能力的统一策略编排，安全与应用性能分析，实时状态监控。
3. SASE PoP(Pointofpresence)
为客户提供就近接入的网络接入节点与安全处理节点。
4. SASE接入组件
对于客户透明的SASE底座，包含网络与计算能力，提供覆盖全球范围的分布式云服务，能够为客户快速交付网络和安全能力。
三、SASE主要包含的网络和安全能力：
安全接入能力作为SASE 的核心功能之一，主要包括SD-WAN、零信任网络访问（Zero trust network access，ZTNA）等相关技术，其主要目的是对传统VPN访问模式进行替换。
1.网络即服务

1. SD-WAN           

SD-WAN 是 SASE 平台的关键组件，它将分支和数据中心链接到 SASE 云服务。SASE 通过 SD-WAN 搭建全球分布式的网络，将核心能力附加到边缘，使数据处理和安全能力都在边缘并行，以满足企业当前和未来云上和移动业务的动态需要。SASE 支持私有数据中心、公共云或托管设施作为 POP 点。这些 POP 点形成了SASE体系结构的服务边缘，以实现对云资源的低延迟安全访问，无论哪个节点都有足够的资源来满足用户的请求。

1. 服务质量保障QoS
2. 自动路由服务
3. 全球应用加速
4. 内容交付或缓存
5. 广域网优化
6. 分布式连接

2.安全即服务
网络安全能力是 SASE 的另外一个核心功能，也是安全能力服务化的具体体现，主要包括防火墙即服务 FWaaS、安全Web 网关 SWG、云访问安全代理 CASB、扩展威胁检测与响应XDR、数据安全XDLP等。
防火墙服务（FWaaS）
 “防火墙即服务（Firewall as a Service，FWaaS）”是 SASE 平台的安全防护组件。它使企业更轻松地管理网络安全，设置统一策略，及时发现异常并快速进行响应。FWaaS 不是物理设备，也不是托管在组织的本地环境。与其他“即服务”类别类似（如软件即服务或平台即 服务），FWaaS 也是在云环境中运行，并可以通过互联网进行访问。
零信任安全访问服务（ZTNA）
 零信任就是默认系统环境不可信，并以“永不信任、持续验证”的理念，兼顾安全和体验的方式，实现资源的可信任访问。零信任的信任关系源自于对所有参与对象和行为的动态验证。核心原则包含最小权限原则、持续动态访问控制和授权。支持对访问模式、接入设备、接入地点、访问时间、网络区域以及安全基线进行动态校验，并对本次访问行为进行判断，放行或者拦截，从而保障策略稳定高效的运行。
安全防护（XDR）
XDR是一种新的威胁检测和响应方法，使组织能够防止网络攻击，并简化和加强安全流程。XDR的核心要素是打破传统的安全孤岛，提供横跨所有数据源的检测与响应，它提供所有数据的可见性，包括端点、网络和云数据，同时应用分析和自动化处置来应对当今日益复杂的威胁，更好地专注业务增长并加速数字化转型计划。
SASE应区别于传统碎片化硬件模式，提供融合一体化XDR 模式，安全 Web 网关 、融合终端威胁检测响应（EDR）、病毒查杀、漏洞修复、DNS安全、威胁情报等安全能力，实现一站式威胁处置。
安全Web网关（SWG）
安全Web网关（SWG）具备网络威胁检测和响应能力，主要作用就是确保员工和设备在任何时间任何地点都能安全地连接到互联网以及保护企业拥有和管理的应用程序，企业可以通过集中管理、在全球范围内部署策略，保护企业和员工免受恶意软件、勒索软件、钓鱼攻击、数据泄漏等风险。由于采用云服务的形式，安全 Web 网关无需部署硬件或虚拟设备，无需回传流量即可为 Web 流量提供保护，允许直接连接到互联网，从而降低了MPLS、VPN 等网络成本。基于云的安全Web网关通过集成企业应用隐藏、多因素认证、统一应用门户和单点登录、恶意软件检测、文件沙箱和动态威胁情报、SSL 解密、应用和内容过滤以及数据泄漏防护等功能，可以记录和检查所有的 Web 流量，从而获得最佳的控制和保护能力。
终端威胁检测与响应（EDR）
EDR是SASE终端防护的重要安全组件，通过记录终端与网络事件（例如用户，文件，进程，注册表，内存和网络事件），并将这些信息本地存储在端点或集中数据库。结合已知的攻击指示器(Indicators of Compromise，IOCs)、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁，并对这些安全威胁做出快速响应。还有助于快速调查攻击范围，并提供响应能力。
加密恶意流量检测（SSL）
云安全引擎、云沙箱
入侵防御系统（IPS）
数据安全（XDLP）
数据安全能力应为SASE最核心交付能力，数字化时代，数据逐渐成为企业核心资产，如何保障数据安全才是企业面临的真正难点和痛点。
数据防泄漏（XDLP）
数据防泄漏（XDLP）是融合了终端防泄漏、网络防泄漏、用户行为分析三位一体的XDLP，并与RBI、CASB等安全能力联动形成一体化的整体解决方案，实现对网络传输、端点上的应用程序发送的数据进行内容检查和上下文分析，确保敏感数据不会被未经授权的用户丢失、误用或访问，同时满足合规性和审计要求，帮助安全管理人员及时响应事件和取证。
云访问安全代理（CASB）
 云访问安全代理（Cloud Access Security Broker，CSAB）是基于云原生应运而生的产品和服务，它是SASE 安全防护的基本组件，帮助安全和风险管理领导者发现云风险，识别和保护企业敏感信息，实现多个云服务，以及对来自企业内外的用户活动和敏感数据（包括云到云访问）的精确可见性和控制。
远程浏览器隔离（RBI）
通过将浏览器移至云端的远程服务或企业网络内的独立本地服务器来保护端点，实现数据不落地，浏览网页期间产生的数据被限制在虚拟容器内，无法拷贝、下载或分享到本地。 为业务系统自动加载水印，保证了企业敏感数据的泄露风险。同时网站访问受黑白名单策略限制，确保用户上网行为可审计、可追溯。
终端数据防泄漏（EDLP）
网络数据防泄漏（NDLP）
四、SASE的五个主要特点
1.云原生
SASE能够以云原生、“即服务”的方式快速交付给客户使用，提供即开即用的极致服务体验。
2.身份驱动
与传统单点方案基于设备特征或IP来识别资源或访问源不同，SASE采用基于零信任的方法，以身份为中心，实现身份+设备+环境等条件进行灵活组合控制，终端用户是否有权限访问目标应用。
3.安全融合
ASE通过云的架构将安全能力和安全数据天然融合，打破十几年来基于“硬件盒子”碎片化、高成本和低效的行业现状，为企业提供一站式的整体解决方案服务，实现互联网安全防护、内网安全访问、终端统一安全管理和数据安全防护。
4.全球一张网
SASE作为企业广域网的新“核心”，能够实现企业全球网络的互联互通，为终端用户提供随时随地安全访问企业网络的极致体验。
5．分布式连接
为确保终端用户的网络体验，SASE供应商必须提供近源的PoP接入点，交付高性能、低延迟的服务给企业访问者，包含企业本地网络、企业云资源和远程办公用户。
五、SASE的当下与未来
1.疫情正在加速改变
疫情加速了企业上云的速度，混合云、多分支的场景使得企业边界变的越来越模糊，难以定义。同时后疫情时代下，远程办公的成为常态，让员工随时随地安全办公，提高办公效率的同时如何保障接入企业内网的安全性，和企业数据安全的管控，这已成为当下数字化企业CIO必须要考虑的议题，而 SASE 一体化的办公安全解决方案正在逐渐受到关注。
2.企业安全成本将极大降低
传统企业网络的设计方式已经无法满足数字化的加速转型，传统模式将SD-WAN设备、防火墙、IPS设备以及其他一揽子安全和网络解决方案组合在一起以解决网络问题，其本身已经成为最大的问题之一。
SASE服务化的交付模式，企业将不再需要雇佣专业的网络、安全专家，这将极大的降低企业成本，企业工作重心从设备采购配置向安全服务订阅管理转移，原来烟囱式的网络安全架构将慢慢被新型网络安全方案所替代，SASE将被越来越多的企业所接受，成为企业追捧的新型网络安全解决方案。
3.70%的企业将选择SASE
Gartner预测，到2025年，实施基于代理的ZTNA的组织中70%将选择SSE提供商，而不是选择独立产品，远高于2021年的20%。到2025年，购买SSE相关安全服务的组织中有80%将购买整合的SSE解决方案，而不是独立的云访问安全代理、安全Web网关和ZTNA产品，远高于2021年的15%。
六、我们SAAS产品的优势:
全面管控IT资产
控制台统一管理企业组织和办公终端，并能够基于终端的设备状态、软件、地理位置、时间等因素对终端进行动态可信分析，提供对风险人员、风险终端告警通知或拒绝入网等的管理能力
随时随地安全办公
基于零信任“永不信任，持续认证”的安全理念，通过我们的全球安全网络，为企业打造随时随地，一键接入、简单高效、安全稳定的办公体验。适用于远程办公、外包管理、供应商安全互联、企业间数据安全交换、企业分支安全互联、连锁商超等场景。
防护终端全域威胁
安全能力一体化，融合终端威胁检测响应、病毒查杀、漏洞修复、DNS安全、威胁情报、上网管控等安全能力，一站式解决终端遇到的安全威胁，极大地降低IT团队管理成本和维护多款安全产品导致的繁重工作量。
防泄露与治理数据
将用户异常行为分析、敏感数据智能识别、外发全通道管控能力三位一体，一体化解决企业面临的数据泄漏风险，为企业建立全域数据安全和运营的治理体系。
加速访问跨国业务
10分钟为您开启合法优质的全球加速网络。适用场景：跨国网站、跨境电商、全球运营类 App、全球化直播、视频，全球金融等。