3min. read

SASE 的(真正)含义是什么?

SASE(安全访问服务边缘))由 Gartner® 的 Neil MacDonald 和 Joe Skorupa 于 2019 年 底提出, 它描述的策略将网络安全和 WAN 边缘网络进行了结合,以应对企业现在面临的挑战。 具体来说,企业需要在动态程度日益增强的“服务边缘”处管理不断发展的技术堆栈,服务边缘 现在包括分支机构、移动用户、SaaS 应用,以及本地和云之间的数据中心转移。

如果保留单独的网络安全技术(例如:SD-WAN、WAN 优化、新一代防火墙、ZTNA、 SWG、CASB 等)作为单独的服务,则通常会引发可扩展性问题。如果还必须对这些技术进行 自我管理、升级和维护,那么此扩展问题将变得更为复杂。

SASE 试图实现统一、安全的访问——当用户在家中、分支机构、公司总部以及移动过程等场景 间流畅转换时,确保连接无碍并保障用户安全,同时通过统一的平台访问数据中心、云、SaaS 或 Web 中的资源。

SASE 一词出自哪里?

SASE 一词由 Gartner 提出。鉴于业务关键型应用、云计算和分支机构扩展的 SaaS 交付性质不断变化,分析师 需要提出“更有效的方法”来维护安全性和敏捷性。显然,他们需要融合这些服务,而这些服务的运作方式与 云、SaaS 和其他应用的实施方式相同。制定 SASE 策略就是 Gartner 对这一需求的回应。

为什么它在网络安全中很重要?

SASE 的概念与零信任原则非常相似,旨在使受保护的实际资产更具安全性。

如今,为了与不断变化的 SaaS 和云交付应用与服务保持同步,很多高管不得不接受过多的风险。回传的旧标准 (将流量强制传输到数据中心等中心的安全设备)会导致不可接受的性能问题和用户体验。

SASE 要求通过单一平台提供服务。这不仅可以简化技术堆栈、管理和策略,还可以确保所有访问的一致性。这根 本无法通过使用多个不同产品的方法来实现,即使这些产品来自同一供应商也是如此。

随着公司开始采用 SASE 策略,特别是在当前,我们看到很多企业都在向远程/混合劳动力方向转变,在此过程 中,这些企业在了解员工的日常体验方面逐渐拉开差距。有关连接缓慢或连接效果不佳的投诉呈指数增长,因此 用户更加需要详细了解每一个操作步骤。这通常被称为数字体验管理或用户体验管理。

SASE 这个流行语的核心是什么?

供应商很快便发现了 SASE 的大范围应用,同时也意识到,他们没有相应的产品组合能够完全涵盖 SASE 想要融 合的所有内容。为了掩盖这个问题,许多供应商始终在尝试建立一种说法,即 SASE 的范围远小于 Gartner 所提 出的愿景。

一些供应商声称,IAM 和 SWG 等特定的安全性包含 SASE“所要融合的全部内容”。其他供应商称 SD-WAN 是 SASE 的最关键部分,而安全性只是锦上添花,因此,他们会寻求第三方来为其提供安全保障。

这些说法都没有抓住重点,因为 SASE 是将所有基本功能整合到一个平台中,并尽可能地将该平台“作为一种服 务”提供。任何试图排除多方的某些部分或依赖于多方来覆盖所有组件的方法都不是 SASE;它就是一种普通的策 略方法,只不过被围绕 SASE 建立的炒作掩盖了这一事实。

我们的建议:高管在采用 SASE 时应考虑的问题

SASE 是网络和安全服务的融合。这两个垂直领域对于任何公司成功采用 SASE 策略都同样重要。因此,应该将目 光主要聚焦于,在不影响有效性或可视性的情况下,将更多服务融合到单一服务中,而不仅仅是由一个供应商通过 多个部分进行管理。

其次便是注重交付与管理。这一点同样重要。所有 SASE 服务的交付和管理应尽可能接近 SaaS 模型。因此,尽管 仍需要使用一些物理资产将流量引向边缘,例如 WAN 边缘连接器(首选 SD-WAN),但所有这些高级策略、管 理和计算都应通过云交付。

随着办公方式逐渐趋向于远程办公/混合办公,而用户体验不得有所下降,这就产生了第三个重点。体验管理至关 重要,应该像网络和安全技术一样,将其再次融合到 SASE 服务产品。

为了成功使用 SASE,请向您的团队提出以下问题:

  • 我们是否对访问权限进行了足够广泛的研究?这意味着用户办公的各个场所——家中、分支机构或在途 中,以及他们试图访问的所有资源——跨数据中心、云、SaaS 和 Web。哪些解决方案可以提供这种访问 权限?
  • 我们能否确保安全态势的一致性,以防止所有流量流(包括私有应用)中发生敏感数据丢失和恶意软件攻 击的情况,而不受用户工作地点或所访问应用的限制?
  • 如果我们能够在简化技术堆栈的同时保持一致的安全性,那么哪些因素会阻止我们整合现在所使用的工具?
  • 我们将如何保持整个应用交付路径(从端点到应用)的可视性,以确保提供良好的用户体验?
  • 我们如何将网络边缘概念或策略与任一站点的特定参数分离,从而实现一致的卓越体验和简单的可扩展性?