2022安全訪問服務邊緣技術與應用場景

安全訪問服務邊緣技術與應用場景白皮書（2022年）目 錄SASE發(fā)展概況 4業(yè)量云發(fā)，傳架難滿需變化 4全問務緣運而，力業(yè)技升級 6外SASE發(fā)起早，內(nèi)SASE取階性成果 7SASE業(yè)展速數(shù)字轉和全規(guī)為驅力 9SASE關鍵技術與架構 12SASE建大力，全支差化景務 13SASE現(xiàn)術合網(wǎng)絡安和控術為關鍵 21SASE署構活樣，需用同力件 31SASE應用場景 36景：分機安全網(wǎng) 36景：業(yè)全規(guī)建設 39景：業(yè)合公 41景：聯(lián)安防護 44SASE未來展望 46SASE場入速長期各競逐激烈 46SASE備術合勢，AI和5G能術新 47SASE用域場將向在發(fā)展 48云網(wǎng)產(chǎn)業(yè)推進方陣SASE技術白皮書（云網(wǎng)產(chǎn)業(yè)推進方陣SASE技術白皮書（2022）PAGEPAGE10SASE發(fā)展概況企業(yè)流量向云端發(fā)展，傳統(tǒng)架構難以滿足需求變化IT網(wǎng)絡。微系列Cloud在此背景下，企業(yè)發(fā)展越來越多地呈現(xiàn)門店或分支機構協(xié)同的、分散化經(jīng)營模式，雖然顯著提高生產(chǎn)力和效率，但同時伴隨著安全和2020:網(wǎng)絡應用感知不足用程序。遠程接入性能較低：為了加快業(yè)務響應速度，滿足移動辦公VPN數(shù)據(jù)安全威脅增加ITSASE為企業(yè)IT安全訪問服務邊緣應運而生，助力產(chǎn)業(yè)與技術升級2019GartnerAccessService的概念，并定義為是一種基于實體的身份、實時上下文、企業(yè)安全/策略，以及在整個會話中持續(xù)評估風險/SASESASESASESASESASE1圖1SASE服務模型下面圍繞組成SASE的四個詞語具體闡述SASE的內(nèi)涵。而無需通過MLPS或VPN連接，在SASEWeb入侵防御等安全能力，抵御復雜的網(wǎng)絡攻擊和數(shù)據(jù)丟失，防止基于Web的威脅和惡意軟件，同時具備低延遲和高可用性。訪問（Access）：身份附加到每個企業(yè)資源的訪問主體：人員，服務（Service）：將網(wǎng)絡能力和安全能力以服務的形式提供給SASE邊緣（Edge）：經(jīng)濟和技術的演變帶來了多種多樣的接入方式，SASESASEPOPSASE國外SASESASE取得階段性成果GartnerSASE理念的解決方案于網(wǎng)絡解決方案的CatoNetworks的云原生架構不斷融合技Fortineweb1%。SASE2019年，Gartner提出SASE概念。SASE理念一經(jīng)定義，行業(yè)與客戶的熱情不斷激增，以至于SASE供應商無法滿足大量企業(yè)需求。與此同時，供應商的炒作也使得SASE的市場理念越發(fā)復雜。SASESASESASE階段三：SASE標準化工作初有成果，行業(yè)逐漸達成共識SASE階段四：SASE逐步落地，距離大規(guī)模應用仍存在一定距離SASESASESASESASESASESASESASEITIT架構發(fā)20209（SASE從2017年《中華人民共和國網(wǎng)絡安全法》正式頒布實行，到20192.0SASEEDR位置分散而需部署多套安全產(chǎn)品的數(shù)量，降低安全建設成本。此外SASE20199（202082020SASESASESASE關鍵技術與架構SASESASE包含的關鍵技術與架構是至關重要的。本章的組成如圖2SASESASE目前可以支撐SASE符合SASE圖2SASE關鍵技術與架構的邏輯SASE網(wǎng)絡能力設計SASE應具備基礎網(wǎng)絡連接能力，實現(xiàn)用戶終端、分支、數(shù)據(jù)中心間數(shù)據(jù)互通、網(wǎng)絡管理與加速等能力。CPE、軟件vCPE軟件等；TCP/UDPIP地址、Mac能力；SSLSSLwebmail、web-bbs、imapsmtpQoS口、IP基礎QoS高級QoSIPMacTCP/UDP協(xié)議進行選路能力；智能選路能力：流量傳輸過程中發(fā)生鏈路質(zhì)量（丟包）PoPPoPPoPOverlay或Underlayweb應用安全能力設計證；小權限；/工具，、OPENIDOIDC等方式；多重身份認證能力：進行圖形驗證、安全令牌、生物識別等。ITDDoSARPIT0Day描；SaaSFTP操作系統(tǒng)識別能力：識別主流的操作系統(tǒng)，包括、Linux、MacOS、Android、IOS云能力設計（1）分布式能力：（windowsmaciosandroid、linux）進行部署；租戶資源管理：允許租戶查看與調(diào)用相應所屬的設備與資源；統(tǒng)一管控能力設計（）；IT（IP地址范圍、特定身份范圍）。ZTP載；資產(chǎn)識別能力：自動識別獲取網(wǎng)絡中的設備以及他們間關系信息；MacLinus列表。SASESASESASE網(wǎng)絡（CDN）（ZTNA）網(wǎng)絡關鍵技術全稱SoftwareDefinedAreaNetwork,中文名稱SDNSDN與的-N考慮到企業(yè)很多實際場景，而SDN3圖3SD-WAN組網(wǎng)示意圖SASESASESASESD-WANSASESASE服務；SASESD-WANIDCSD-WAN依托SDN軟件定SASE（CDN）技術CDN4SaaS圖4內(nèi)容分發(fā)網(wǎng)絡原理圖CDNSASESaaSCDN升SASESaaSSASE的抗DDoSCDN安全關鍵技術（ZTNA）技術IT零信任的基本原則歸納如下：5圖5零信任訪問邏輯架構圖零信任訪問技術為SASE架構的資源訪問安全問題提供了解決零SASESASE防火墻即服務（FWaaS）是將下一代防火墻云化部署的，提供靈活交付的防火墻服務，主要面向分支機構和移動用戶的保護。FWaaS為SASESASESWG安全網(wǎng)關(SWG)主要功能是阻止惡意內(nèi)容訪問端點以URL、AppSWGSASERBIDLPDataLossProtection/DataLeakProtection（DLPDLPWEB網(wǎng)關網(wǎng)關DLPSASE圖6DLP能力框架圖CASB（CloudAccessSecurityBroker，CASB）CASB可以識別CASB在SASESASE中必不可少的關鍵組件。RBIRBIZTNA統(tǒng)一管控技術SASESASEDevOpsSASEK8SSASE服務微SASESASESR-IOV、DPDK底層平臺網(wǎng)卡性能，滿足SASE通過控制器下發(fā)流表，將客戶的流量牽引到SASE的POP點。針對POP點的安全能力如防火墻、WAF、IPS等進行流量編排圖7SASE流量編排架構圖入口節(jié)點和出口節(jié)點，并在服務鏈管理模塊中進行創(chuàng)建。SASESASE部署架構SASESASEPoP點的SASE架構SASE架構基于PoPSASE架構PoPSASESASEPoPPoP點的SASE架構的升級，目前SD-PoP點的SASE8PoP點的SASE基于PoP點的SASE架構有以下幾個部分組成：PoPSASESASEPoP點SASEPoP進運維操作入口，提供可視化界面以及APIPoPSASE架構SASEPoPPoPPoPPoP圖9基于接入網(wǎng)關的SASE架構SASEPoP進運維操作入口，提供可視化界面以及APIPoPSASE訪問流量架構量模型。Gartner在《TheFutureofNetworkSecurityIsintheCloud》一文中建議企業(yè)重新審視企業(yè)的出流量場景和入流量場景。（1）企業(yè)出流量架構圖10企業(yè)出流量架構企業(yè)在出流量場景下的建設步驟為：第一步是利用ZTNA的身份認證服務，發(fā)現(xiàn)企業(yè)的影子IT（指不被企業(yè)IT管理的一些業(yè)務自己啟用的外部應用，如業(yè)務部門自己啟用的Github、外部HR應用、云網(wǎng)盤等等），審計工作人員的SaaS應用使用行為，防止敏感數(shù)據(jù)泄露；第二步，放行通過信任檢測的企業(yè)出流量；第三步通過FWaaS、SWG等防火墻限制不可靠訪問服務流量的通行；第四步將可放行的域名解析地址反饋給終端；第五步實現(xiàn)正常的應用加密訪問。（2）企業(yè)入流量架構（訪問內(nèi)部應用）該架構主要指人員、企業(yè)設備、應用訪問企業(yè)私有的應用（10所示。 圖11企業(yè)入流量架構企業(yè)在入流量場景下的建設步驟為：第一步通過IAM認證授權，ZTNA控制器允許用戶接入；第二步ZTNA通過零信任網(wǎng)關實時控制用戶的連接；第三步安全訪問數(shù)據(jù)中心應用。SASE應用場景場景一：多分支機構安全組網(wǎng)應用場景需求分析全國甚至全球性企業(yè)，有分布在多地的分支機構，分支機構無法通過內(nèi)網(wǎng)直接訪問到總部，大多企業(yè)分支直接訪問互聯(lián)網(wǎng)或者SaaS服務，分支結構安全保護較弱。MPLSSASE優(yōu)勢SASE架構通過在分支機構出口部署SD-WAN設備將上網(wǎng)流量引流到SASE服務邊緣接入節(jié)點，主要有以下幾個優(yōu)勢：SASE務；SASE架構某生鮮連鎖有限公司是一個農(nóng)副產(chǎn)品市場品牌，目前已在上海、70某生鮮連鎖有限公司主要的需求一是無網(wǎng)絡冗余，每個門店和總VPN實依托于SASE4/5G鏈路進POP能云網(wǎng)，為客戶提供安全服務，項目SASE圖12某生鮮連鎖公司SASE架構圖場景二：企業(yè)安全合規(guī)建設應用場景需求分析SaaS服IT軟三是SASE優(yōu)勢SASE6節(jié)約成本，按需訂閱，無需一次性采購全部安全產(chǎn)品，服務行為統(tǒng)一管控與審計，云端集中化管控各類訪問行為，留存簡化運維管理，單一平臺實現(xiàn)配置、管理、維護所有能力，案例：某大型國企集團公司數(shù)字化轉型實踐某大型國企集團公司的數(shù)字化轉型主要有以下幾個需求：一是要建設統(tǒng)一業(yè)務系統(tǒng)云平臺，以“安全為先”，采用“公有云服務SASE一方面POP13SASE架構場景三：企業(yè)混合辦公應用場景需求分析以及不斷演變的安全威脅和新的潛在漏洞逐日遞增這些因素的影響SASE

圖14SASE混合辦公場景通過輕量級SASE/PC端；SASE加固為了走在教育信息化的前端、發(fā)展更好承載教育業(yè)務，某市教育SASEIT圖15某市教育局城域網(wǎng)SASE加固場景四：物聯(lián)網(wǎng)安全防護應用場景需求分析（AI能力終端的應用鑒權等進行評估，創(chuàng)建“終端可信-身份可信-行為可信”的完整信任鏈?？偨Y上述智能終端上云需求：APISASE優(yōu)勢SASE在物聯(lián)網(wǎng)安全防護場景中主要解決以下幾個問題:基于零信任身份認證及鑒權，識別終端異常行為、流量威AISASE（/FW）/網(wǎng)絡安全策略統(tǒng)一部署，基于智能終端類型、業(yè)務邏輯、SASE安全網(wǎng)絡行為管理AISASE（人小腦”數(shù)據(jù)/業(yè)務安全SASERemoteAccessPOPMCS（Mobile-intranetCloudService）VPNvFWPOPSDNControllerSASEPOP（SASE16圖16某云端機器人運營商SASE安全網(wǎng)絡行為管理SASE未來展望SASEICTSASESASESASESASE2022-2025企業(yè)IT等技術帶來的新的計算、網(wǎng)絡、安全需求，SASE