【端點防護策略地圖】
SASE 或 Secure Access Service Edge(安全存取服務邊緣)是一種融合多種解決方案的企業策略 ,可實現對本地、雲端和線上資源的安全遠端存取。 不幸的是,因為目前市場上存在著大量的不實炒作,導致一些企業不清楚 SASE 到底是什麼。 瞭解 SASE 的基本概念和組成部分很重要,對許多組織大有助益。 幸運的是,SASE 的許多基本原理(例如融合網路與安全)都是客戶多年來一直關注的發展趨勢,因此學習起來也很容易。 但是,為了避免增加複雜性,甚至錯過 SASE 的真正價值,我們仍然必須要先正確定義 SASE。
▌安全保護無所不在
當今的企業要求無論使用者位於何處,都可以不間斷地即時存取網路和雲端的資源和資料,包括關鍵性系統和應用程式。 而現實情況是,由於 5G 網路的實現以及雲端遷移、持續的居家辦公和其他數位創新趨勢的興起,消費模式發生了變化,讓傳統網路變成了具有許多邊緣的網路。 與此同時,不斷變化的網路配置和受攻擊表面(Attack Surface)的擴大,意味著許多傳統安全解決方案無法再繼續提供企業和使用者所需的保護和控制存取。 在這種環境中,任何地方(包括 WAN 邊緣、雲邊緣、DC 邊緣、核心網路邊緣、分支邊緣和移動式遠端員工邊緣)的任何設備必須在任何時候獲得安全保護。 這離不開傳統安全與雲端安全的融合,以及資安和基礎網路設備的深度整合。
▌準確定義 SASE 解決方案
SASE 旨在幫助組織保護新型分散式網路。 然而,與任何新興技術類別一樣的是,SASE 解決方案的確切定義以及所涵蓋的技術仍然存在一些不確定性。 此外,一些廠商正嘗試按照最能匹配其目前該廠商的產品的解釋來重新定義該市場,這意味著有些要素會被誇大,而基本要素卻常常被忽略。 可惜的是,一些市場上對於 SASE 的定義遺漏了重要資訊,致使一些組織對於如何選擇、實施和管理最能滿足其獨特環境的解決方案困惑不已。
▌不只是雲
SASE 通常被歸為雲端交付服務,可提供對雲資源的安全存取、遠端使用者之間的安全通訊以及非本地設備「全面線上」的安全性。 但在某些情況下,組織可能需要結合實體解決方案和雲端解決方案才能有效發揮 SASE 的作用。 例如,支援已經包含完整安全能力的現有本地 SD-WAN 解決方案,或者處理機密或敏感資訊時在網路邊緣提供保護,而不是將其傳輸到雲端進行檢查。
透過本地和雲端的整合,SASE 還可以輕鬆擴展到網路深處,而不是簡單地將保護責任交給一個完全不同的邊緣系統。 這確保一個安全的 SASE 解決方案與同樣依賴硬體的關鍵解決方案(例如無法僅通過雲安全方法滿足的網路區隔和規範)緊密整合,進而提供端點到端點的保護。
▌安全 LAN 和 WAN
一些 SASE 定義還忽略了許多組織必須考慮的要素,例如安全 LAN 和安全 WLAN。 融合這些技術的 SASE 解決方案可確保為整個安全架構提供一致的安全性,而不是為 SASE 分別部署的安全元件,後者可能會在安全策略實施方面出現漏洞並限制可視性。 要作為現有安全 LAN 或 WLAN 的擴展,SASE 還需能夠支援硬體解決方案,例如路由和 WAN 優化控制器 (WoC), 以及用於動態路徑選擇的 SD-WAN。 此外,無論是使用新世代防火牆(NGFW)還是防火牆即服務(FwaaS)解決方案又或者是實體和雲 ZTNA 解決方案及 WLAN/LAN/5G 控制器等網路工具來保障安全網路訪問和動態隔離, SASE 都要確保功能的一致性。
▌靈活的消費模式
無論使用哪種工具或將其部署在何處,都需要記住一個核心問題。 每種 SASE 解決方案不僅必須滿足當今的網路存取需求,而且還必須能夠迅速適應不斷變化的網路環境和業務需求。 這也對應著 SASE 的一個關鍵標準:靈活的消費模式,即允許組織根據其獨特的應用進行選擇,以達到 SASE 的真正價值。
▌基本安全元素定義
一款真正的 SASE 解決方案必須包括一系列核心的基本元素。 為發揮 SASE 的全部潛力,組織必須充分了解這些元件並將其部署到 WAN 邊緣、LAN 邊緣和雲端邊緣。
- 功能齊全的 SD-WAN 解決方案。 SASE 建立在 SD-WAN 解決方案之上,後者涉及動態路徑選擇、自我修復 WAN 功能以及一致的關鍵性系統功能和使用者體驗等。
- 新世代防火牆 NGFW(實體)或防火牆及服務 FWaaS(雲)防火牆。 SASE 還需要提供涵蓋實體和雲端使用場景的完整安全能力。 例如,遠端辦公人員既需要雲端安全性來訪問線上資源,又需要實體安全和內部網路分隔功能來防止網路使用者訪問受限企業網路資源。 但是,實體硬體和雲原生安全功能必須都可大規模提供相同的高性能,才能實現最高靈活性和安全性。
- 零信任網路存取。 它主要用於識別使用者和設備,並對存取的用戶進行身份驗證。 ZTNA 更多的部份是一種策略,而不是產品,它包含了多種協同工作的技術,排在第一位的就是識別所有使用者身份的多因子身份驗證 (MFA)。 在實體方面,ZTNA 應支援安全網路存取控制 (NAC)、存取策略執行以及與動態網路區隔功能的整合,從而限制連網資源的訪問。 在雲方面,ZTNA 應支援微分段以及流量檢查等功能,以保護使用者之間的東西向通訊,並確保了連網和離線設備始終安全。
- 網頁安全閘道器。 它可以實施網際網路安全和符合規範策略,並過濾惡意網路流量,以保護使用者和設備免遭受線上安全威脅。 它還可以實施可接受的 Web 訪問使用策略,從而確保符合法規要求,防止資料外洩。
- 雲端存取資安代理 CASB。 一項雲端服務,可幫助組織控制 SaaS 應用,比如保護存取許可權、消除 ShadowIT 挑戰。 CASB 與本地 DLP 結合使用才可實現全面的資料外洩防護。
▌SASE – 網路與安全的融合
總體來說,實施 SASE 歸根究柢是為了在任何邊緣與任何地方安全連接和存取關鍵資源。 遺憾的是,可以提供此服務的供應商非常之少,因為他們的產品群組中都是收購而來的單點產品,或者他們的安全功能無法達到強大 SASE 解決方案所需的廣度。 即使他們提供了此服務,其解決方案也無法有效地互相操作。 這是一個嚴重的問題,因為要使 SASE 有效發揮作用,它的所有元件(包括連接性、網路和安全性要素)都必須要在單一整合系統下具有互操作性,也就是在單一整合式管理和編排解決方案中需要具有相互操作性。 它們還需要與更大的企業安全框架無縫整合,並動態適應網路環境的變化。 如果不具有上述特點,那麼它就不是真正的 SASE 解決方案。
SASE 近期的市場發展令人振奮,這反映了實施安全驅動型網路方法的必要性。 在雲端連接和數位創新的時代,網路與安全必須相互融合,過時的孤島式架構已經一去不復返了。
★ Fortinet 推出【端點防護策略地圖】,快跟著我們一起解鎖,
Fortinet 為您量身訂做一件防護衣
全球新冠疫情屢次捲土重來,隨時隨地辦公新模式優勢凸顯。後疫情時代,企業應佈局未來,積極部署專業高效防護裝備,安全行踐混合辦公模式,Fortinet 幫助您在數位化浪潮中轉“危”為“機”。