SASE访问架构成为云安全的未来

远程访问、云计算访问成为疫情后全球业务的新常态。企业面临混合云配置、网络接入多样化、关键数据安全保护、网络接入管理等诸多问题。

如何远程访问？
“远程访问”网络安全保护是市场最为关注的问题。移动用户访问重要的企业应用，将关键的企业应用数据转移到云计算，或者企业采用混合云架构，这些都连接了网络基础设施。在线功能和网络安全功能融合的需求已经出现。针对这一趋势，Gartner定义了基于云服务SD-WAN技术、以用户身份为中心的SASE（Secure Access Service Edge）模型，被认为是网络安全接入架构最重要的发展趋势。

远程访问、云计算访问成为疫情后全球业务的新常态。企业面临混合云配置、网络接入多样化、关键数据安全保护、网络接入管理等诸多问题。Secure Access Service Edge (SASE) 似乎是目前云安全的最佳解决方案。它融合了当今企业对网络即服务和信息安全即服务的需求，集成了全面的广域网WAN功能（包括SD-WAN、CDN等），集成了网络和云安全功能（如SWG、 CASB、FWaaS 和 ZTNA）基于网络边缘的用户身份（可能是特定个人、分支机构员工、第三方供应商、特定物联网设备）。网络访问权限被分流，

SASE网络边缘安全接入服务架构介绍：
2020年疫情冲击下，VPN（Enterprise Virtual Private Network）成为企业远程访问的首选解决方案。然而，随着远程办公的新常态运营模式，企业正在加速部署众多云服务和应用。随着云数据中心和移动办公的快速发展，VPN打破了熟悉的网络边界保护，面临着巨大的挑战。只有建立“可信”的安全管理模型，用户的认证和授权才可信，信息流转和信息安全风险才能可见、可控、可管。

零信任网络安全框架（Zero Trust）认为，任何网络访问需求都应该预设为不可信的，只有通过认证后才能被管理策略权限访问。但零信任架构并不是指具体的技术，而是多种技术应用融合的概念。因此，SASE（Secure Access Service Edge）市场成为现在企业“零信任”安全的最佳实践。

什么是SASE？
SASE是对终端设备和网络边缘实施身份管理，同时网络流量根据身份管理策略分流到企业内的应用云平台或数据中心，网络安全功能和设备都是内置云解决方案。尤其是在疫情之后的远程工作模式和5G时代的到来，这种趋势将越来越明显，市场需求将持续增长。新常态下，在这种环境下使用传统的网络接入方式，会带来非常复杂的网管配置问题。采用SASE架构，融合了广域网连接能力（如SD-WAN）和网络安全防护能力（如SWG、CASB、FWaaS），从而有效降低网络控制的复杂度。不仅可以提供灵活可扩展的网络，还可以提供基于用户权限策略的软件定义安全接入服务。

这种灵活的网络为数字化转型企业的安全团队提供了前所未有的网络可见性和可管理性。可以根据用户身份和数据包内容的上下文精确指定网络连接。安全团队可以为移动用户提供安全的数据访问、QoS性能、可靠性和安全性，分支团队通过云化应用服务，安全实现数字化转型所需的动态存储。但它也可以提供基于用户权限策略的软件定义的安全访问服务。

SASE网络边缘安全接入服务架构具有以下特点：
关注用户身份：网络边缘安全访问服务（SASE）是一个以身份作为访问决策中心的新中心，而不是企业数据中心的访问权限。因此，网络访问权限是基于用户身份、连接的设备标识和应用程序访问权限等身份，而不是像过去那样基于设备的 IP 地址或地理位置。正是这种已定义策略的逻辑级转换极大地简化了安全策略管理。

以云应用为原生架构：SASE最大的假设是企业将重要数据和服务逐步云化，或者直接采用公有云SaaS服务（如CRM、Mail、办公软件……），所以在外部公司。移动用户或海外分支机构不会因为使用VPN而将所有网络流量重定向回总部，也不会允许免费访问广域网服务而失去网络安全保护。SASE在其架构中充分利用了云计算的主要特点，如灵活性、自我调整、自动化、自我修复能力和自我维护能力。

简化网络安全设备架构和配置：通过集成第三方安全产品提供商的安全接入服务，有效减少供应商总数，减少海外分支机构物理或虚拟安全设备的数量。这将减少用户终端设备上所需的代理数量。同时，供应商设备的集成将有机会使用“单通”架构进行网络内容检查。在这种架构下，网络会话层的所有数据包将被一次解密并使用多个安全策略引擎（FW，IDS）并行检查一次，而不是多个安全检查引擎进行串行检查，这会增加延迟时间。

SASE架构是网络服务和安全服务的融合
SASE架构代表了企业网络和安全系统的结构集成趋势。适合当前疫情下远程访问和企业服务上云的趋势。集安全和网络接入于一体，适用于任何类型的终端接入方式。企业不需要在设备上放置代理，也不需要连接到 VPN 然后将所有流量重新路由到 Internet。SASE架构为每一个接入服务带来了安全性。预计到2024年，至少40%的企业将采用基于SASE的云服务。

搭建一个完整的SASE接入服务平台并非易事，需要广泛多样的技术支持。目前市场上很少有厂商能够提供完整的解决方案。这项技术仍处于起步阶段，但随着云服务的不断增长，SASE接入服务平台将带动边缘计算设备的需求，未来增长仍可期。