2023安全访问服务边缘技术与应用场景

安全访问服务边缘技术与应用场景2022目录SASE发展概况 4业量云发，传架难满需变化 4全问务缘运而，力业技升级 6外SASE发起早，内SASE取阶性成果 7SASE业展速数字转和全规为驱力 9SASE关键技术与架构 12SASE建大力，全支差化景务 13SASE现术合网络安和控术为关键 21SASE署构活样，需用同力件 31SASE应用场景 36景：分机安全网 36景：业全规建设 39景：业合公 41景：联安防护 44SASE未来展望 46SASE场入速长期各竞逐激烈 46SASE备术合势，AI和5G能术新 47SASE用域场将向在发展 48云网产业推进方阵SASE技术白皮书（云网产业推进方阵SASE技术白皮书（2022）PAGEPAGE10SASE发展概况企业流量向云端发展，传统架构难以满足需求变化IT网络。微系列Cloud在此背景下，企业发展越来越多地呈现门店或分支机构协同的、分散化经营模式，虽然显着提高生产力和效率，但同时伴随着安全和2020:网络应用感知不足用程序。远程接入性能较低：为了加快业务响应速度，满足移动办公VPN数据安全威胁增加ITSASE为企业IT安全访问服务边缘应运而生，助力产业与技术升级2019GartnerAccessService的概念，并定义为是一种基于实体的身份、实时上下文、企业安全/策略，以及在整个会话中持续评估风险/SASESASESASESASESASE1图1SASE服务模型下面围绕组成SASE的四个词语具体阐述SASE的内涵。而无需通过MLPS或VPN连接，在SASEWeb入侵防御等安全能力，抵御复杂的网络攻击和数据丢失，防止基于Web的威胁和恶意软件，同时具备低延迟和高可用性。访问（Access）：身份附加到每个企业资源的访问主体：人员，服务（Service）：将网络能力和安全能力以服务的形式提供给SASE边缘（Edge）：经济和技术的演变带来了多种多样的接入方式，SASESASEPOPSASE国外SASESASE取得阶段性成果GartnerSASE理念的解决方案于网络解决方案的CatoNetworks的云原生架构不断融合技Fortineweb1%。SASE2019年，Gartner提出SASE概念。SASE理念一经定义，行业与客户的热情不断激增，以至于SASE供应商无法满足大量企业需求。与此同时，供应商的炒作也使得SASE的市场理念越发复杂。SASESASESASE阶段三：SASE标准化工作初有成果，行业逐渐达成共识SASE阶段四：SASE逐步落地，距离大规模应用仍存在一定距离SASESASESASESASESASESASESASEITIT架构发20209（SASE从2017年《中华人民共和国网络安全法》正式颁布实行，到20192.0SASEEDR位置分散而需部署多套安全产品的数量，降低安全建设成本。此外SASE20199（202082020SASESASESASE关键技术与架构云网产业推进方阵SASE云网产业推进方阵SASE技术白皮书（2022）PAGEPAGE13SASESASE包含的关键技术与架构是至关重要的。本章的组成如图2SASESASE目前可以支撑SASE符合SASE图2SASE关键技术与架构的逻辑SASE网络能力设计SASE应具备基础网络连接能力，实现用户终端、分支、数据中心间数据互通、网络管理与加速等能力。CPE、软件vCPE软件等；云网产业推进方阵SASE技术白皮书（云网产业推进方阵SASE技术白皮书（2022）PAGEPAGE14TCP/UDPIP地址、Mac能力；SSLSSLwebmail、web-bbs、imapsmtpQoS口、IP基础QoS高级QoSIPMacTCP/UDP协议进行选路能力；智能选路能力：流量传输过程中发生链路质量（丢包）PoPPoPPoPOverlay或Underlayweb应用安全能力设计证；小权限；/工具，、OPENIDOIDC等方式；多重身份认证能力：进行图形验证、安全令牌、生物识别等。ITDDoSARPIT0Day描；SaaSFTP操作系统识别能力：识别主流的操作系统，包括、Linux、MacOS、Android、IOS云能力设计（1）分布式能力：（windowsmaciosandroid、linux）进行部署；云网产业推进方阵SASE云网产业推进方阵SASE技术白皮书（2022）PAGEPAGE19租户资源管理：允许租户查看与调用相应所属的设备与资源；统一管控能力设计（）；云网产业推进方阵SASE技术白皮书（云网产业推进方阵SASE技术白皮书（2022）PAGEPAGE20IT（IP地址范围、特定身份范围）。ZTP载；资产识别能力：自动识别获取网络中的设备以及他们间关系信息；MacLinus列表。SASESASESASE（ZTNA）网络关键技术全称SoftwareDefinedAreaNetwork,中文名称SDNSDN与的-N考虑到企业很多实际场景，而SDN3图3SD-WAN组网示意图SASESASESASESD-WANSASESASE服务；SASESD-WANIDCSD-WAN依托SDN软件定SASE（CDN）技术CDN4SaaS图4内容分发网络原理图CDNSASESaaSCDN升SASESaaSSASE的抗DDoSCDN安全关键技术（ZTNA）技术IT零信任的基本原则归纳如下：5图5零信任访问逻辑架构图零信任访问技术为SASE架构的资源访问安全问题提供了解决零SASESASE防火墙即服务（FWaaS）是将下一代防火墙云化部署的，提供灵活交付的防火墙服务，主要面向分支机构和移动用户的保护。FWaaS为SASESASESWG安全网关(SWG)主要功能是阻止恶意内容访问端点以URL、AppSWGSASERBIDLPDataLossProtection/DataLeakProtection（DLPDLPWEB网关网关DLPSASE图6DLP能力框架图CASB（CloudAccessSecurityBroker，CASB）CASB可以识别CASB在SASESASE中必不可少的关键组件。RBIRBIZTNA统一管控技术SASESASEDevOpsSASEK8SSASE服务微SASESASESR-IOV、DPDK底层平台网卡性能，满足SASE通过控制器下发流表，将客户的流量牵引到SASE的POP点。针对POP点的安全能力如防火墙、WAF、IPS等进行流量编排图7SASE流量编排架构图入口节点和出口节点，并在服务链管理模块中进行创建。SASESASE部署架构SASESASEPoP点的SASE架构SASE架构基于PoPSASE架构PoPSASESASEPoPPoP点的SASE架构的升级，目前SD-PoP点的SASE8PoP点的SASE基于PoP点的SASE架构有以下几个部分组成：PoPSASESASEPoP点SASEPoP进运维操作入口，提供可视化界面以及APIPoPSASE架构SASEPoPPoPPoPPoP图9基于接入网关的SASE架构SASEPoP进运维操作入口，提供可视化界面以及APIPoPSASE访问流量架构量模型。Gartner在《TheFutureofNetworkSecurityIsintheCloud》一文中建议企业重新审视企业的出流量场景和入流量场景。（1）企业出流量架构WPS这类的Internet10所示。$βffi$¿

9p@SASEAg@µ$p@

SD-YANOY@yly

SASECDNßJSD-YANp@9DNSFYSSYGZTNA

IP$@c

[$g$图10企业出流量架构企业在出流量场景下的建设步骤为：第一步是利用ZTNA的身份认证服务，发现企业的影子IT（指不被企业IT管理的一些业务自己启用的外部应用，如业务部门自己启用的Github、外部HR应用、云网盘等等），审计工作人员的SaaS应用使用行为，防止敏感数据泄露；第二步，放行通过信任检测的企业出流量；第三步通过FWaaS、SWG等防火墙限制不可靠访问服务流量的通行；第四步将可放行的域名解析地址反馈给终端；第五步实现正常的应用加密访问。（2）企业入流量架构（访问内部应用）SASEJ9CDNJ?½SASEJ9CDNJ?½¤11AM,TN$fl}SD-YAN33.$$p@9SD-YANOY@yly½¤2.ZTNA2$flYAF/YAAPCloydFyg$UEBAZTNAIAM$βfip@ffiZTNAAg@µ$$¿p@图11企业入流量架构企业在入流量场景下的建设步骤为：第一步通过IAM认证授权，ZTNA控制器允许用户接入；第二步ZTNA通过零信任网关实时控制用户的连接；第三步安全访问数据中心应用。SASE应用场景场景一：多分支机构安全组网应用场景需求分析全国甚至全球性企业，有分布在多地的分支机构，分支机构无法通过内网直接访问到总部，大多企业分支直接访问互联网或者SaaS服务，分支结构安全保护较弱。MPLSSASE优势SASE架构通过在分支机构出口部署SD-WAN设备将上网流量引流到SASE服务边缘接入节点，主要有以下几个优势：SASE务；SASE架构某生鲜连锁有限公司是一个农副产品市场品牌，目前已在上海、70某生鲜连锁有限公司主要的需求一是无网络冗余，每个门店和总VPN实依托于SASE4/5G链路进POP能云网，为客户提供安全服务，项目SASE图12某生鲜连锁公司SASE架构图场景二：企业安全合规建设应用场景需求分析SaaS服IT软三是SASE优势SASE6案例：某大型国企集团公司数字化转型实践某大型国企集团公司的数字化转型主要有以下几个需求：一是要建设统一业务系统云平台，以“安全为先”，采用“公有云服务SASE一方面POP13SASE架构场景三：企业混合办公应用场景需求分析以及不断演变的安全威胁和新的潜在漏洞逐日递增这些因素的影响SASE

图14SASE混合办公场景通过轻量级SASE/PC端；SASE加固为了走在教育信息化的前端、发展更好承载教育业务，某市教育SASEIT图15某市教育局城域网SASE加固场景四：物联网安全防护应用场景需求分析（AI能力终端的应用鉴权等进行评估，创建“终端可信-身份可信-行为可信”的完整信任链。总结上述智能终端上云需求：APISASE优势SASE在物联网安全防护场景中主要解决以下几个问题:AISASE（/FW）/SASE安全网络行为管理AISASE（人小脑”数据/业务安全SASERemoteAccessPOPMCS（Mobile-intranetCloudService）VPNvFWPOPSDNControllerSASEPOP（SASE16图16某云端机器人运营商SASE安全网络行为管理SASE未来展望SASEICTSASESASESASESASE2022-2025企业IT等技术带来的新的计算、网络、安