网络安全知识：什么不是 SASE？

102075
文章

2023年1月11日01:06:21评论27 views字数 1979阅读6分35秒阅读模式

当 Gartner 在 2019 年发布“网络安全的未来在云端”时，他们做了两件事。首先，他们准确地识别并描述了未来十年企业网络和安全架构的发展方向。其次，为了描述这种新方法，他们创造了当时最流行的 IT 流行语之一：SASE 是“Secure Access Service Edge”的缩写。

由于围绕 SASE 的所有讨论，许多“ SASE 供应商”都在营销具有 SASE 特征的解决方案。然而，在实现 SASE 对整体和融合网络安全解决方案的承诺时，这些解决方案中的大多数都没有达到目标。在这里，我们将看看什么不是 SASE，以帮助确定 SASE 供应商应该为企业提供什么价值。

SD-WAN 不是 SASE

在某些情况下，SASE 被视为下一代SD-WAN。从为网络基础设施带来敏捷性和融合的角度来看，进行比较的原因是可以理解的。事实上，优化路由流量和抽象出底层物理介质的能力是 SASE 的重要组成部分。
然而，SD-WAN 本身只是 SASE 供应商应该提供的更广泛解决方案的一部分。此外，并非所有 SD-WAN 实施都是一样的。例如，SASE 旨在支持所有网络边缘（WAN、边缘计算、云计算和移动），但对于许多 SD-WAN 设备，移动支持是缺乏或不存在的。

基于云的安全性不是 SASE

与 SD-WAN 一样，有许多安全功能是 SASE 解决方案的重要组成部分。示例包括 IPS（入侵防御系统）、NGFW（下一代防火墙）和 SWG（安全 Web 网关）。

由于身份驱动的安全性和云原生架构是 SASE 的关键特征，因此人们可能很容易接受功能丰富的基于云的防火墙可以作为实现 SASE 的方法的想法。然而，在实践中，这并不是很好。安全性只是 SASE 架构的一半，仅基于云的防火墙和 IPS 无法帮助在全球范围内进行路由和 WAN 优化。

同样，与 SD-WAN 一样，这些技术的优势使它们成为 SASE 的重要组成部分，但即使捆绑在一起，它们本身也不属于 SASE。

多个不同的设备拼接在一起不是 SASE

支持敏捷高效路由的 SD-WAN 功能是 SASE 的重要组成部分。同样，IPS、SWG 和 NGFW 等安全功能也是 SASE 的重要组成部分。然而，简单地部署来自“SASE 供应商”的设备和解决方案，这些设备和解决方案勾选了 SASE 功能集的所有复选框，并不能兑现 SASE 的承诺。
这是因为创建拼凑而成的网络和安全设备以及云解决方案根本无法提供单个融合解决方案可以提供的敏捷性、可见性、简单性和性能。采购、部署、管理和集成多种产品不仅会增加成本，还会增加网络的复杂性。因此，在纸面上看起来不错的拼凑解决方案往往会造成大规模的运营瓶颈和安全疏忽。虽然有些人可能会主张将复杂性转移给服务提供商，但这并不能解决根本问题，而且通常会导致更高的成本以获得次优性能。

边缘设备上的虚拟设备不是 SASE

在边缘设备上运行虚拟设备可减少硬件占用空间，但对运营成本影响不大。设备仍然需要部署、集成、升级、部署和维护。底层的孤岛和复杂性不会消失。真正的 SASE 平台消除了设备外形因素。功能作为多租户、云原生平台交付。SASE 提供商为所有客户的利益管理和维护底层平台。企业和供应商都不会承担管理设备的运营开销。

SASE 究竟是什么？

SASE 是关于网络和安全性的融合，以提高性能、简化操作复杂性并增强全球范围内的安全态势。为了满足这些标准，真正的 SASE 解决方案需要具备以下特征：

支持所有边缘。必须在不牺牲性能或功能的情况下支持移动、云、WAN 和边缘位置。许多虚拟和物理设备都难以满足这一标准。这是因为安全设备通常固有地绑定到特定位置。
身份驱动的安全性。SASE 安全模型是围绕资源的粒度识别构建的。SASE 要求每个应用程序、每个人和每个设备都可以被计算在内，并且可以深入分析数据流。这样做可以实现全网络可见性和上下文感知，以帮助减轻威胁。
云原生架构。为了简化管理复杂性并提供弹性、弹性和自我维护，使 SASE 为企业提供高性能和可扩展性，多租户云原生架构是必须的。
全球分布式网络连接。全球分布式云平台确保无论企业网络边缘位于何处，SASE 的所有功能都可用。这意味着 SASE PoP（存在点）需要超越公共云数据中心，并确保所有 WAN 端点的低延迟连接。