本文分享自天翼云開發者社區《淺談基于SASE的安全云服務》，作者:姚****亮

SASE（secure access service edge安全訪問服務邊緣）：是一種安全框架，結合了軟體定義廣域網 (SD-WAN) ，零信任等網路安全技術的的分布式安全解決方案，

從技術而言，SASE其實是一種基于物體的身份（物體的身份識別可以包括人、組織、設備、應用、服務、IOT 系統或者邊緣計算位置等等），結合實時背景關系（這些背景關系來源包括：用戶使用的設備身份、日期、風險/信任評估、場地、正在訪問的應用或資料的靈敏度）、企業安全/合規策略，在整個會話中持續評估風險/信任的服務，

企業之所以這么重視SASE，還因為它的“安全”功能，SASE的核心是身份，它是基于身份的訪問決策，再具體點講，SASE所提到的“身份”包括登錄賬戶、所在的位置、設備、時間等多個因素，即身份是訪問決策的中心，而不再是企業資料中心，

而且，SASE最終目標就是使得企業能夠更加容易實作安全的云環境，通過將所有的安全設備包括Web 安全網關、云訪問安全代理、DNS、零信任網路訪問、防火墻等部署在云端，以一個安全的全球SD-WAN（軟體定義廣域網）服務進行統一管理，統一運維，從而降低網路安全的復雜性，

例如，無論在傳統辦公、遠程辦公等辦公場景下，還是在業務防護場景下，SASE都可以通過多種方式將要防護的流量引導到距離最終物體位置最近的POP 點（接入點）上做安全策略處理，實作企業安全辦公、業務安全，保護企業資料資產安全，且不影響辦公效率，

SASE的核心是身份，即身份是訪問決策的中心，這個和零信任架構也比較相似，用戶，設備，服務的身份是策略中最重要的背景關系因素之一，其他因素還包括訪問地點，時間等，

SASE體系架構由兩個核心組件組成：SASE云充當網路和安全功能的聚合器，SASE邊緣連接器將流量從物理，云和設備邊緣驅動到SASE云處理，

POP結構：核心云網路，由地理上分布的POPS組成，每個POP運行多個服務器，在所有流量上應用路由，加密，優化，高/級安全服務，

POPS的設計日志為了處理大量的流量，通過擴展服務器可以擴展處理能力，

如果POP服務器失效，則受影響邊緣自動重新連接到同一個POP的可用服務器，如果一個POP完全失效，受影響邊緣將連接到最近可用的POP，無論企頁澩連接到哪個POP，云始終維護一個一致的邏輯企業網路，POP內置抗DDOS，深度包檢測，TLS檢測，以提高POP節點的安全和穩定，

簡而言之，SASE的理念就是借助SD-WAN搭建起來的分布式云服務，將核心安全能力下沉到邊緣進行處理，以滿足業務快速安全的訪問需求，

SASE區別于SD-WAN，并非著重于將分支機構連接到中央網路，而是專注于將各個端點（分支機構，移動終端）連接到服務邊緣，服務邊緣由運行SASE軟體堆疊的分布式POP網路組成，此外SASE著重于固有的安全性，

SASE與SDWAN的差異主要在三類：與云的關系，安全性，如何進行流量檢測，

與云的關系：SASE使用私有資料中心，公共云（公有云），或者托管設施作為pop（point of presense），這些pop形成了SASE堆疊運行的服務邊緣，此外，這些pop通常位于公共云中，或者靠近公共云網關，以實作對云資源的低延遲安全訪問，無論哪個節點都有足夠的資源來滿足用戶的請求，SASE軟體可以確定流量到達其端點使用的最/佳路徑，

與SDWAN以資料中心為中心的架構不同，SASE采用的分布式架構，因為云服務被越來越多使用時，單一的私有資料中心作為網路焦點會導致效率低下，

安全性:安全是SASE和SDWAN競爭的關鍵因素，SASE的重點是為網路及其用戶提供對分布式資源的安全訪問，這些資源可以分布在私有資料中心，云上，SDWAN技術并不是以安全為重點，安全性通常是輔助功能，雖然一些SDWAN也集成了安全解決方案，但是這也只是少數，

流量檢查：SASE中，流量一次可以被多個策略引擎檢查，引擎并行作業，而不是在引擎之間傳遞流量，節約時間，SDWAN則采用服務鏈進行一個一個檢查，效率比較低，而且容易形成單點故障，

總之，SASE專注于提供云原生安全工具，并以云為網路中心，SDWAN專注于將分支連接到中央總部和資料中心，當前也可以連接到云，

SASE將廣域網功能和網路安全融合在一起，對于接入的終端設備，需要有agent來進行基于策略的訪問控制，對于分支機構，需要本地部署的設備具備智能選路的功能，

SASE服務提供商一般在全球有多個POP節點，企業無需購買硬體（不需要購買安全硬體，但是本地需要部署SASE邊緣連接器才能接入SASE服務），即可使用防火墻，終端安全，身份認證，上網行為管理服務，內網安全接入服務（云VPN），威脅檢測等服務，這些安全服務都是部署在全球各地的POP節點上，分支機構，總部，移動終端通過POP節點后，再訪問互聯網，公有云，私有云等環境，保護企業的資料安全，

SASE是端到端安全，SASE平臺上的所有通信都是加密的，包括解密，防火墻，URL過濾，反惡意軟體等功能都被集成在SASE中，并且對所有連接的邊緣都可用，

但是SASE的建設成本很高，不是一般組織能夠承建的，有報告指出，為了實作低延遲隨時隨地訪問云服務，承建企業需要具有全球POP點和對等連接的SASE產品，

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/556696.html

標籤：其他

上一篇：實體講解看nsenter帶你“上帝視角”看網路

下一篇：返回列表