SASE 的定義
安全存取服務邊緣 (經常簡寫為 SASE) 是一種安全性架構,可將軟體定義廣域網路 (SD-WAN) 和零信任安全性解決方案融合到雲端交付平台,讓使用者、系統、端點和遠端網路能安全地與應用程式和資源連線。
SASE 有四大特徵:
1. 身分識別導向:
系統會根據使用者身分和裝置來授與存取權。
2. 雲端原生:
基礎結構和安全性解決方案皆是雲端交付。
3. 支援所有邊緣:
每個實體、數位和邏輯邊緣都受到保護。
4. 全域發布:
無論使用者位於何處,都會受到保護。
SASE 結構的首要目標是提供順暢的使用者體驗、最佳化的連線,以及全方位的安全性,而且要支援數位企業的動態安全存取需求。SASE 不是將流量回傳到傳統資料中心或私人網路進行安全性檢查,而是啟用相關裝置與遠端系統,這樣就隨時都能順暢地存取位於各處的應用程式和資源。
SASE 的主要構成要素
SASE 可細分為六個基礎元素。
軟體定義廣域網路 (SD-WAN)
軟體定義廣域網路是一種重疊的結構,透過路由傳送或切換軟體來建立端點之間的虛擬連線,在邏輯上與實體上皆適用。SD-WAN 為使用者流量提供近乎無限的路徑數量,能最佳化使用者體驗,而在加密和原則管理方面也有強大的彈性。
防火牆即服務 (FWaaS)
防火牆即服務將防火牆防護移至雲端,而不是移至傳統網路界限。組織可以藉此讓遠端行動員工與企業網路進行連線,同時仍可持續強制執行安全性原則,將保護範圍拓展到組織的地理足跡之外。
安全網路閘道 (SWG)
安全網路閘道是一項網路安全性服務,可過濾未授權的流量,防止其存取特定網路。SWG 的目標是在威脅滲透到虛擬網路界限之前,先將威脅降至零。為了達成這項目的,SWG 會與惡意程式碼偵測、惡意軟體消除和 URL 篩選等技術結合。
零信任網路存取 (ZTNA)
零信任網路存取是一組合併的雲端式技術,其運作的架構中沒有隱含的信任,且會根據須知和最低權限要求來授與存取權,適用於所有使用者、裝置和應用程式。在這個模型中,所有使用者在獲得公司私人應用程式和資料的存取權之前,一律必須經過驗證、獲得授權,且要持續進行驗證。ZTNA 消除了傳統 VPN 的不佳使用者體驗,也降低了操作複雜度、成本和風險。
雲端存取安全性代理程式 (CASB)
雲端存取安全性代理程式是 SaaS 應用程式,做為內部部署網路和雲端式應用程式之間的安全性檢查點,且會強制執行資料安全性原則。CASB 可透過一組防禦、監控和緩解技術來保護企業資料。這個服務也可以識別惡意行為,並警告系統管理員有違規情事發生。
集中式和整合式管理
現代化的 SASE 平台可讓 IT 系統管理員透過集中式和整合式管理,跨網路與安全性管理 SD-WAN、SWG、CASB、FWaaS 和 ZTNA。這能讓 IT 小組成員騰出時間,將精力投注在更需要關注的區域,並為組織的混合式員工改善使用者體驗。
SASE 的優點
相較於傳統內部部署網路選項,SASE 平台提供了重大的優勢。以下是組織可能會想要切換到 SASE 架構的主要原因:
降低 IT 成本和複雜程度
舊版網路安全性模型必須仰賴解決方案的修補工作才能保護網路界限。SASE 減少了保護應用程式和服務所需的解決方案數量,降低 IT 成本並簡化系統管理。
更強大的應變力和可擴縮性
由於 SASE 是以雲端交付,其網路和安全性架構都完全是可以調整的。當您的企業成長,系統也可以隨之擴展,因此加速企業數位轉型可以真正地化為現實。
專為維持混合式工作而設計
傳統軸輻式網路系統難以處理遠端員工所需的頻寬,無法讓他們維持生產力,但無論員工的工作方式或工作地點為何,SASE 都能為所有使用者維持企業級的安全性。
提升使用者體驗
SASE 能以智慧方式即時管理安全性交換,為使用者最佳化安全性。這能降低延遲,方便使用者嘗試連線到雲端應用程式和服務,也能縮小組織的受攻擊面。
改善安全性
SASE 架構融合了 SWG、DLP、ZTNA 和其他威脅情報技術,為遠端工作者提供安全的公司資源存取權,並且降低網路中的延遲移動風險。在 SASE 中,所有的連線都會經過檢查和保護,而威脅防護原則也已預先明確定義,毫無疑慮。
SASE 和 SSE 的不同之處
安全性服務邊緣 (SSE) 是獨立的 SASE 子集,專門用於處理雲端安全性服務。SSE 透過受保護的網路閘道提供安全的網際網路存取權、以 CASB 保護 SaaS 和雲端應用程式,並藉由 ZTNA 保護私人應用程式的遠端存取權。SASE 也有這些元件,不過還包含 SD-WAN、WAN 最佳化和服務品質 (QoS) 元素。
如何開始使用 SASE
若要成功實作 SASE,就需要有深度規劃和準備,並且持續進行監控和最佳化。以下是如何規劃和實作階段性 SASE 部署的一些建議。
1. 定義 SASE 目標和需求
識別貴組織中可以透過 SASE 解決的問題和預期的業務成果。了解 SASE 的必要性後,請釐清有哪些技術可以填補貴組織目前的基礎結構缺口。
2. 選取您的 SD-WAN 骨幹
選擇一項 SD-WAN 來提供網路功能,然後加上一層 SSE 提供者來建立全方位的 SASE 解決方案。關鍵在於整合。
3. 合併零信任解決方案
存取控制應根據身分識別進行管控。選取一套以零信任為核心的雲端原生技術來完成您的 SASE 部署,盡可能保護您的資料安全。
4. 測試和疑難排解
實際執行 SASE 部署之前,請先在預備環境中測試 SASE 功能,並實驗您的多雲端安全性堆疊會如何與 SD-WAN 和其他工具整合。
5. 最佳化您的 SASE 設定
隨著組織的成長和優先事項的演變,請尋找新的機會繼續實作並調整 SASE。每個組織完善 SASE 結構的路途都是獨一無二的。階段性的實作可確保您自信地在路上邁出每一步。
適用於企業的 SASE 解決方案
每個想要提供全方位威脅和資料防護、加速數位轉型和促進遠端或混合式工作型態的組織都應立即考慮採用 SASE 架構。
若要獲得最佳結果,請評估您當前的環境並識別您迫切需要處理的缺口。然後,請找出有哪些解決方案可讓您整合到已遵守零信任原則的現有工具,以便妥善運用您當前的技術投資。
深入了解 Microsoft 安全性
常見問題集
-
安全存取服務邊緣 (縮寫為 SASE) 是一種雲端式安全性架構,可將軟體定義廣域網路 (SD-WAN) 融合到具有 SWG、CASB、ZTNA 和 FWaaS 的整合式雲端交付安全性堆疊。
-
SASE 結構是頂尖的結構模型,由全域可調式網路提供支援,可提升混合式員工生產力,並為現今散布各地的企業環境降低複雜度。
-
SASE 與傳統網路安全性方法不同,它會檢查使用者、端點和遠端網路,並讓這些項目與應用程式和資源連線。傳統企業網路安全性選項只能透過安全網路閘道和防火牆將網路流量回傳到私人網路和企業資料中心,而 SASE 可以在存取時提供全域且一致的網路節點。
這個模型消除了傳統安全性模型的不佳使用者體驗,也降低了操作複雜度、成本和風險,能夠縮小企業受攻擊面,還可以提升 IT 應變力。
-
SASE 由六大基本元素組成,提供了各種不同的功能:
1. 軟體定義廣域網路 (SD-WAN):這個重疊結構可建立端點之間的虛擬連線。
2. 安全網路閘道 (SWG):這是一項網路安全性服務,可防止未授權的流量存取特定網路。
3. 雲端存取安全性代理程式 (CASB):這個 SaaS 應用程式可做為內部部署網路和雲端式應用程式之間的安全性檢查點。
4. 防火牆即服務 (FWaaS):這項解決方案將防火牆防護移至雲端,而不是移至傳統網路界限。
5. 零信任網路存取 (ZTNA):這項 IT 解決方案要求所有使用者都明確地通過驗證、獲得授權並持續進行驗證,才能存取公司應用程式和資料。
6. 集中式和整合式管理:從單一主控台管理原則。
-
正確進行部署之後,無論組織的使用者、裝置或應用程式位於何處,SASE 都能確保組織擁有安全的存取權。除此之外,SASE 也提供:
1. 彈性的全方位安全性,從威脅防護到新一代的防火牆皆包含在內。
2. 最佳化的效能和改良的使用者體驗 (例如:降低延遲並採用隨需安全性)。
3. 將關鍵網路和安全性功能合併成較少的解決方案,藉此降低成本和複雜度。
4. 敏捷且可調整的網路邊緣可加速數位轉型和 IoT 採用,且能提升混合式員工的生產力,並降低整個組織的複雜度。
關注我們