常态化Hvv的目的是为了让我们的关基单位能够将在日常的防护中保持像Hvv状态下一样安全。

今天介绍一下SASE(安全访问服务边缘)，也是目前市面上最推崇的大的安全解决方案[文末送技战法哦]。

SASE 的工作原理是什么？

SASE 将在分支机构部署的高级 SD-WAN 边缘与全面的云交付安全服务相结合。

过去，所有来自分支机构地点的应用流量都会通过专用 MPLS 服务传到企业数据中心进行安全检查和验证。当应用完全托管在企业数据中心时，这种架构便可以满足需求。如今，应用和服务已经迁移到云，传统的网络架构已然落后。因为互联网流量必须首先通过数据中心和公司防火墙才能到达目的地，所以应用性能和用户体验都会受到影响。

随着越来越多的远程工作者直接连接到云应用，仅依靠基于边界的传统安全机制已远远不够。通过使用 SASE 改造其广域网和安全架构，企业可以确保，用户能够在多云环境下直接且安全地访问任何应用和服务，而无需考虑访问位置或用于访问的设备。

SASE 的重要组成部分

SASE是主要组成部分为以下6大部分：

SASE和零信任有什么区别？

提出的人不一样：零信任是由Forrester提出的，SASE是由Gartner提出的。

因为ZTNA（零信任网络访问）是一种网络安全架构，其本质是一种以数据为中心的全新边界，通过强身份验证保护数据的技术。

而零信任作为一种安全理念，是基于“永不信任、持续验证”的原则，进行身份验证和数据访问授权，并没有明确规定任何类型的安全服务、技术，或者任何一种体系结构。

相较之下，SASE指的是部署在边缘的云安全交付服务，可为任何地方的数据提供广泛的保护。SASE明确了企业应该如何部署和使用一些网络和安全服务。

上述SASE核心组件为实现零信任原则“永不信任、持续验证”提供了技术支撑，而ZTNA（零信任网络访问）是整个SASE体系结构中的主要技术之一。

SASE如何践行？

由于SASE是网络安全能力的整合，SASE平台需要兼备网络、安全、配置、运维、资产、API管理能力，因此打通各功能组件的底层连接实现交互，并且为用户提供统一界面对资源进行管理编排，成为SASE落地的主要难点之一，也将会是接下来几年各厂商努力的方向。

对此，Forrester在2021年的《将安全带到零信任边缘》报告中，针对ZTE/SASE提出了一条颇具可行性的推进路线：ZTE要先解决战术性“远程访问”问题，最后再解决战略性“网络重构”问题。

原因在于，要重构企业网络结构，是个极大挑战，最好把这个硬骨头放到最后再解决。

具体而言，Forrester的“先战术、再战略”的推进思路如下：

第1步：先用ZTNA技术，解决远程访问问题；

第2步：再逐步追加其它的安全控制（如SWG、CASB、DLP）；

第3步：最后使用SD-WAN技术，解决网络重构问题。

在Gartner的推进路线中，流程分解为可管理的步骤，并制定了短期和中长期的目标，以帮助组织完成流程。

其中，短期目标包括：

• 部署ZTNA（零信任网络访问）：随着远程工作的快速增长，为远程用户替换传统的虚拟专用网络 (V**) 是一个主要优先事项。SASE的ZTNA功能使其成为传统远程访问解决方案的更安全替代方案，允许组织实施零信任策略以更好地保护其数据和用户。
• 制定淘汰计划：Gartner建议执行完整的设备和合同清单，并制定逐步淘汰本地周边和分支机构安全设备的时间表。然后，这些解决方案可以替换为托管在云中的SASE功能。
• 整合供应商：SASE提供了广泛的安全功能的完整集成，消除了对来自多个供应商的独立解决方案的需要。切换到SASE可以简化和简化从解决方案获取到长期监控和维护的安全的各个方面。
• 执行分支机构转型：部署在每个物理位置的安全设备创建了一个复杂而庞大的安全架构。努力将这些解决方案迁移到云端集中并简化了组织的安全性。

除了这些短期目标之外，Gartner还概述了组织应该追求的一些长期目标。这些主要集中在利用SASE的安全集成和ZTNA功能来集中和简化整个企业的安全操作。

不难发现，无论是Forrester还是Gartner，都将SASE的落地分为了多个步骤，并建议从ZTNA（零信任网络访问）技术替代入手，之后再持续不断地淘汰和完善安全和网络功能，这表明实现SASE或零信任，从来不是一蹴而就的事。

原文始发于微信公众号（吉祥快学网络安全吧）：用这个方案基本能解决常态化Hvv