安全访问服务边缘 (SASE) 架构在过去几年迅速流行起来,并且近期似乎没有放缓的迹象。
随着安全团队寻求将策略实施推向边缘,防止威胁并提供更好的用户体验,SASE 作为简化实施和维护安全策略的首选方案,继续展现优势。
SASE 简介
SASE 将网络和安全解决方案及功能结合成一个单一的云交付服务模型。统一这些功能可以降低成本,提升应用性能,并为组织提供更好的保护。
Gartner®于2019年首次提出了 SASE 概念,随着疫情的发展,IT团队为支持越来越分散的劳动力和IT网络,加速了对该概念的采纳。
在短短几年内,SASE 从学术概念发展成为网络安全行业领导者支持的最常见架构。 Gartner 预计,到 2025 年,提供通用单一供应商 SASE 产品的供应商数量将比 2023 年中期多 50%。
SASE 通过整合网络和安全功能,实现了直接向云服务的连接,避免了数据通过中央数据中心的反复传输和检查,从而为终端用户加速了性能表现。同样,统一的安全服务为员工提供更简单的用户体验,帮助他们与工作所需的应用程序进行交互。
组织正通过 SASE 引入新的解决方案,并逐渐淘汰如虚拟私人网络 (VPN) 访问在内的过时技术。Zero Trust Network Access (ZTNA) 是 SASE 的一个关键组成部分,它使组织能够避免 VPN 引入的延迟,同时仍对用户和设备进行认证,以访问内部应用程序。
由于全球各地居家工作的人员众多,SASE 解决方案对于保持生产力和确保组织充分享有云安全而言至关重要。SASE 为远程工作赋能,提高可扩展性,并使“自带设备” (BYOD) 策略更加安全。
SASE 架构如何运作
SASE 的安全和网络方面分别称为 Security Service Edge (SSE) 和软件定义广域网络 (SD-WAN)。
这些功能若由单一供应商提供,则构成了 Gartner® 定义的最有效的 SASE 模型,也是目前广泛使用的模式:
安全服务边缘
SSE 保护三个关键访问点 — Web、云和私有应用程序。它擅长阻止攻击者入侵和保护敏感数据不外泄。
通过统一这些安全功能,组织能够在一个平台下整合访问控制、数据安全、威胁防护和监控。SSE 的各个组成部分可以根据需要纳入安全策略中,最终将它们全部整合在一起。
SASE 优化连接并减少延迟,以便 SSE 能够高效运行并提供高质量的用户体验
软件定义广域网络
得益于 SD-WAN,组织能够更有效地路由和管理流量,并且无论用户位于何处,都能轻松地创建和扩展网络策略。
它可以通过结合使用包括 MPLS、LTE 和宽带互联网服务在内的多种连接类型来降低网络成本,让用户得以高速访问应用程序和企业资源。SD-WAN 技术还可以通过更高效地路由流量来优化带宽消耗,从而提高性能。
Secure SD-WAN 解决方案包括一些内置的安全功能,如入侵预防系统 (IPS) 和高级恶意软件检测,这些功能与以安全为中心的 SASE 平台充分结合,确保无缝安全的用户体验
在传统安全模型下,组织使用多种端点产品来保护混合办公员工免受威胁。但这种分散的安全模型导致了覆盖范围的缺口、误报警报和用户性能不佳。这导致威胁难以发现,也使员工试图绕过规则,从而给组织带来更多风险
SASE 改变了这一切。 在安全性方面,它将策略配置和执行合并到一个控制台中,使其更易于管理和维护。通过云提供的安全服务和改进的网络为云应用程序提供更出色的性能和安全性,而无代理的覆盖范围带来更顺畅的用户体验。
SASE 的五大关键组成部分
要成功实施 SASE,您必须采用五个基本组件。这些包括:
Secure Web Gateway (SWG)
SWG 通过使用内容检查过滤器保护用户发起的流量,以防止恶意网站并执行公司的网页浏览策略。它可以使用云代理,也可以直接在端点上运行。 Forcepoint ONE SWG 是 Zero Trust Web Access (ZTWA) 的一部分,它通过两个关键产品和功能增强 SASE 安全:
- Remote Browser Isolation (RBI):RBI 在远程虚拟容器中渲染风险网站,防止恶意代码感染端点
- Zero Trust Content Disarm & Reconstruction (CDR):Zero Trust CDR 能够从文件中提取有效的业务信息,验证其安全性,然后通过构建新文件传达信息,达到防止高级零日攻击和漏洞利用的效果
Cloud Access Security Broker (CASB)
CASB 可确保对云应用的安全访问,并在云应用中实施数据安全策略。Forcepoint ONE CASB 提供基于代理和无代理的覆盖范围,可将保护扩展到任何设备。它还会自动发现(已批准或未批准)云应用程序的使用情况,分析风险并对超过 800000 个 SaaS 和生产应用程序实施适当的控制。
Zero Trust Network Access (ZTNA)
无论您在何处访问私有应用程序,ZTNA 都能控制您的访问权限,从而对托管或非托管设备使用的数据提供更高程度的控制。Forcepoint ONE ZTNA根据用户的特定上下文提供访问权限,采用最小权限原则,通常提供多重身份验证 (MFA) 和单点登录 (SSO) 等功能。
防火墙即服务 (FWaaS) / 云防火墙
SWG、CASB 和 ZTNA 共同构成了 SSE,而防火墙技术则是安全与网络交汇的象征。下一代防火墙 (NGFW) 技术既适用于物理设备,也适用于虚拟设备,但寻求在 SASE 架构中扩展远程工作的管理员可能主要依赖通常被称作防火墙即服务 (FWaaS) 的基于云的解决方案。这些服务可以通过云部署在世界上的任何一个地方,通过集中式管理和自动化提供可见性和控制。
软件定义广域网络 (SD-WAN)
除了无需硬件安装和灵活利用可用的连接外,secure SD-WAN 还具有内置的安全功能,如多层检测、入侵预防和 DNS 沉孔。Forcepoint Secure SD-WAN 还确保关键任务应用程序获得必要的带宽,并可以应用诸如流量引导和应用程序健康监测等功能,以减少延迟和抖动。
借助 SASE 实现随时随地安全访问
SASE 并不是近年来取得进展的唯一安全框架。同样值得注意的是Zero Trust 框架,该框架要求在获得对网络内 IT 资源的访问之前,所有用户和设备都要进行持续的验证和身份验证。这种方法与传统的网络安全做法相反,传统做法是将位于安全网络边界内的任何人或任何设备都视为可信的。
但这并不是在 SASE 或 Zero Trust 架构之间做选择的问题。事实上,任何值得考虑的 SASE 平台都会结合 Zero Trust 原则。 这两个概念的融合,为未来的数据安全实践提供了基础。
这种集成的数据安全方法是 Forcepoint 开创的Data-First SASE 概念的基础。
Data-First SASE 不仅限于保障访问安全。通过持续保护企业数据的使用,简化安全措施以最大化生产力并降低运营成本。Data-First SASE 的主要优势包括:
- 无处不在的数据安全 —— 仅需几次点击,即可将数据安全策略无缝扩展至 Web、云、电子邮件、网络和端点
- 分布式实施 —— 在云、边缘和端点执行策略,以提高性能
- 可靠的可伸缩性 —— 随着A WS 超大规模平台的弹性而增长
借助 Data-First SASE 更好的数据安全
Data-First SASE 的基础是Forcepoint ONE 。这个一体化的云原生安全平台是性能与安全的结合,将所有功能都集成在一个控制台中。
Forcepoint ONE 提供模块化结构,允许组织根据需要添加服务,并最大限度地减少配置和培训的时间。 安全团队可以利用这一平台逐步构建 Data-First SASE 架构,在SSE 和 SD-WAN 的基础上增加 Zero Trust 数据安全的额外元素。
Forcepoint ONE 通过 Forcepoint ONE 与 Forcepoint DLP 之间的集成,实现了无处不在的数据安全。 它让用户仅靠几次点击, 能够简单快捷地跨云端、网页、电子邮件、网络和端点复制策略配置。它利用 SASE 带来的统一性,让用户无论身处何处都能有更安全的数据访问权限。
Data-First SASE 的主要功能和用例
在2023年的 Gartner® 单一供应商 SASE 关键功能中,Gartner 确定了三个关键用例:基本 SASE、网络驱动 SASE 和 SASE 高级安全。
Gartner 观察到,“across all offerings, most vendors provide strong branch networking and branch security capabilities. However, the level of advanced security features across all offerings is only mediocre for most enterprises.”*
在本报告中,Forcepoint 被 Advanced Security Use Case 评为最优秀供应商
哪些组织需要 SASE 提供的高级安全功能?Gartner 明确表示:“This is typically a highly regulated enterprise or one that deals with sensitive information, such as financial services, insurance and healthcare. It is an organization that requires advanced security capabilities, not simply “good-enough” security.”
Data-First SASE 的益处和优势
迁移和实施最佳实践
让公司转而采用全新的安全模型可能是一项艰巨的任务,但您可以找到一些有助于实施这些新系统的技巧和最佳实践。 以下是 Forcepoint 汇编的两份指南,旨在使这一过程更加顺畅。
当产品都来自同一供应商,且采用了旨在配合使用的设计时,Data-First SASE 安全模型的实施就会简单得多。Forcepoint ONE:一个独特的、Data-First SASE 平台阐释了单一供应商 SASE 的好处,Forcepoint与其他 SASE 供应商的不同之处,以及 Forcepoint ONE 如何使 Data-first SASE 易于采用。
合规和 Data-First SASE
Data-First SASE 擅长帮助公司遵守全球范围内的数据法规。 Forcepoint DLP 提供超过1700个预定义的分类器和策略模板,这些模板符合超过80个国家的数据隐私要求。通过 Forcepoint ONE,这些策略可以扩展到组织的不同部门,为审计提供广泛的覆盖和可见性。
组织有责任了解相关法规,并采取措施证明其遵守这些法规。可能涉及您业务的一些关键法规包括:
数据隐私合规 —— 简化
通过将安全功能整合到单一供应商的 SASE 平台中,组织可以更轻松地在多个渠道应用策略。 这使得灵活应对变化或新适用的监管要求变得更加容易。
全方位数据安全是 Forcepoint 提供的一项功能,能够跨 SWG、CASB、ZTNA、端点和电子邮件中设置策略,加速变更并节省人力资源。
借助 Data-First SASE 加速转型
全球各地的组织均以数字化转换为重点,寻求提高业务生产力、降低运营成本的新机会。日益分散的组织正在重构其网络和安全体系,将最具价值的数据和应用程序迁移到云端,让用户能够以更快速、更经济的方式访问公司资源。
许多组织通过 SASE 实现了云端所需的可靠、安全的连接。SASE 提供了许多可惠及整个组织的优势,包括:
- 通过加速采用提高工作效率的 SaaS/ 云应用程序来提升生产力
- 通过在直接连接到云的 SD-WAN 部署中增加安全措施来阻止入侵者,从而降低风险
- 避免对昂贵的 MPLS 连接的需求,实现降低成本的目的
- 通过整合数千个网站的连接和安全来简化运营
资源和参考文献
阅读报告
阅读报告
阅读产品手册
