2023安全訪問服務(wù)邊緣技術(shù)與應(yīng)用場(chǎng)景

安全訪問服務(wù)邊緣技術(shù)與應(yīng)用場(chǎng)景2022目錄SASE發(fā)展概況 4業(yè)量云發(fā)，傳架難滿需變化 4全問務(wù)緣運(yùn)而，力業(yè)技升級(jí) 6外SASE發(fā)起早，內(nèi)SASE取階性成果 7SASE業(yè)展速數(shù)字轉(zhuǎn)和全規(guī)為驅(qū)力 9SASE關(guān)鍵技術(shù)與架構(gòu) 12SASE建大力，全支差化景務(wù) 13SASE現(xiàn)術(shù)合網(wǎng)絡(luò)安和控術(shù)為關(guān)鍵 21SASE署構(gòu)活樣，需用同力件 31SASE應(yīng)用場(chǎng)景 36景：分機(jī)安全網(wǎng) 36景：業(yè)全規(guī)建設(shè) 39景：業(yè)合公 41景：聯(lián)安防護(hù) 44SASE未來展望 46SASE場(chǎng)入速長(zhǎng)期各競(jìng)逐激烈 46SASE備術(shù)合勢(shì)，AI和5G能術(shù)新 47SASE用域場(chǎng)將向在發(fā)展 48云網(wǎng)產(chǎn)業(yè)推進(jìn)方陣SASE技術(shù)白皮書（云網(wǎng)產(chǎn)業(yè)推進(jìn)方陣SASE技術(shù)白皮書（2022）PAGEPAGE10SASE發(fā)展概況企業(yè)流量向云端發(fā)展，傳統(tǒng)架構(gòu)難以滿足需求變化IT網(wǎng)絡(luò)。微系列Cloud在此背景下，企業(yè)發(fā)展越來越多地呈現(xiàn)門店或分支機(jī)構(gòu)協(xié)同的、分散化經(jīng)營(yíng)模式，雖然顯著提高生產(chǎn)力和效率，但同時(shí)伴隨著安全和2020:網(wǎng)絡(luò)應(yīng)用感知不足用程序。遠(yuǎn)程接入性能較低：為了加快業(yè)務(wù)響應(yīng)速度，滿足移動(dòng)辦公VPN數(shù)據(jù)安全威脅增加ITSASE為企業(yè)IT安全訪問服務(wù)邊緣應(yīng)運(yùn)而生，助力產(chǎn)業(yè)與技術(shù)升級(jí)2019GartnerAccessService的概念，并定義為是一種基于實(shí)體的身份、實(shí)時(shí)上下文、企業(yè)安全/策略，以及在整個(gè)會(huì)話中持續(xù)評(píng)估風(fēng)險(xiǎn)/SASESASESASESASESASE1圖1SASE服務(wù)模型下面圍繞組成SASE的四個(gè)詞語(yǔ)具體闡述SASE的內(nèi)涵。而無需通過MLPS或VPN連接，在SASEWeb入侵防御等安全能力，抵御復(fù)雜的網(wǎng)絡(luò)攻擊和數(shù)據(jù)丟失，防止基于Web的威脅和惡意軟件，同時(shí)具備低延遲和高可用性。訪問（Access）：身份附加到每個(gè)企業(yè)資源的訪問主體：人員，服務(wù)（Service）：將網(wǎng)絡(luò)能力和安全能力以服務(wù)的形式提供給SASE邊緣（Edge）：經(jīng)濟(jì)和技術(shù)的演變帶來了多種多樣的接入方式，SASESASEPOPSASE國(guó)外SASESASE取得階段性成果GartnerSASE理念的解決方案于網(wǎng)絡(luò)解決方案的CatoNetworks的云原生架構(gòu)不斷融合技Fortineweb1%。SASE2019年，Gartner提出SASE概念。SASE理念一經(jīng)定義，行業(yè)與客戶的熱情不斷激增，以至于SASE供應(yīng)商無法滿足大量企業(yè)需求。與此同時(shí)，供應(yīng)商的炒作也使得SASE的市場(chǎng)理念越發(fā)復(fù)雜。SASESASESASE階段三：SASE標(biāo)準(zhǔn)化工作初有成果，行業(yè)逐漸達(dá)成共識(shí)SASE階段四：SASE逐步落地，距離大規(guī)模應(yīng)用仍存在一定距離SASESASESASESASESASESASESASEITIT架構(gòu)發(fā)20209（SASE從2017年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式頒布實(shí)行，到20192.0SASEEDR位置分散而需部署多套安全產(chǎn)品的數(shù)量，降低安全建設(shè)成本。此外SASE20199（202082020SASESASESASE關(guān)鍵技術(shù)與架構(gòu)云網(wǎng)產(chǎn)業(yè)推進(jìn)方陣SASE云網(wǎng)產(chǎn)業(yè)推進(jìn)方陣SASE技術(shù)白皮書（2022）PAGEPAGE13SASESASE包含的關(guān)鍵技術(shù)與架構(gòu)是至關(guān)重要的。本章的組成如圖2SASESASE目前可以支撐SASE符合SASE圖2SASE關(guān)鍵技術(shù)與架構(gòu)的邏輯SASE網(wǎng)絡(luò)能力設(shè)計(jì)SASE應(yīng)具備基礎(chǔ)網(wǎng)絡(luò)連接能力，實(shí)現(xiàn)用戶終端、分支、數(shù)據(jù)中心間數(shù)據(jù)互通、網(wǎng)絡(luò)管理與加速等能力。CPE、軟件vCPE軟件等；云網(wǎng)產(chǎn)業(yè)推進(jìn)方陣SASE技術(shù)白皮書（云網(wǎng)產(chǎn)業(yè)推進(jìn)方陣SASE技術(shù)白皮書（2022）PAGEPAGE14TCP/UDPIP地址、Mac能力；SSLSSLwebmail、web-bbs、imapsmtpQoS口、IP基礎(chǔ)QoS高級(jí)QoSIPMacTCP/UDP協(xié)議進(jìn)行選路能力；智能選路能力：流量傳輸過程中發(fā)生鏈路質(zhì)量（丟包）PoPPoPPoPOverlay或Underlayweb應(yīng)用安全能力設(shè)計(jì)證；小權(quán)限；/工具，、OPENIDOIDC等方式；多重身份認(rèn)證能力：進(jìn)行圖形驗(yàn)證、安全令牌、生物識(shí)別等。ITDDoSARPIT0Day描；SaaSFTP操作系統(tǒng)識(shí)別能力：識(shí)別主流的操作系統(tǒng)，包括、Linux、MacOS、Android、IOS云能力設(shè)計(jì)（1）分布式能力：（windowsmaciosandroid、linux）進(jìn)行部署；云網(wǎng)產(chǎn)業(yè)推進(jìn)方陣SASE云網(wǎng)產(chǎn)業(yè)推進(jìn)方陣SASE技術(shù)白皮書（2022）PAGEPAGE19租戶資源管理：允許租戶查看與調(diào)用相應(yīng)所屬的設(shè)備與資源；統(tǒng)一管控能力設(shè)計(jì)（）；云網(wǎng)產(chǎn)業(yè)推進(jìn)方陣SASE技術(shù)白皮書（云網(wǎng)產(chǎn)業(yè)推進(jìn)方陣SASE技術(shù)白皮書（2022）PAGEPAGE20IT（IP地址范圍、特定身份范圍）。ZTP載；資產(chǎn)識(shí)別能力：自動(dòng)識(shí)別獲取網(wǎng)絡(luò)中的設(shè)備以及他們間關(guān)系信息；MacLinus列表。SASESASESASE（ZTNA）網(wǎng)絡(luò)關(guān)鍵技術(shù)全稱SoftwareDefinedAreaNetwork,中文名稱SDNSDN與的-N考慮到企業(yè)很多實(shí)際場(chǎng)景，而SDN3圖3SD-WAN組網(wǎng)示意圖SASESASESASESD-WANSASESASE服務(wù)；SASESD-WANIDCSD-WAN依托SDN軟件定SASE（CDN）技術(shù)CDN4SaaS圖4內(nèi)容分發(fā)網(wǎng)絡(luò)原理圖CDNSASESaaSCDN升SASESaaSSASE的抗DDoSCDN安全關(guān)鍵技術(shù)（ZTNA）技術(shù)IT零信任的基本原則歸納如下：5圖5零信任訪問邏輯架構(gòu)圖零信任訪問技術(shù)為SASE架構(gòu)的資源訪問安全問題提供了解決零SASESASE防火墻即服務(wù)（FWaaS）是將下一代防火墻云化部署的，提供靈活交付的防火墻服務(wù)，主要面向分支機(jī)構(gòu)和移動(dòng)用戶的保護(hù)。FWaaS為SASESASESWG安全網(wǎng)關(guān)(SWG)主要功能是阻止惡意內(nèi)容訪問端點(diǎn)以URL、AppSWGSASERBIDLPDataLossProtection/DataLeakProtection（DLPDLPWEB網(wǎng)關(guān)網(wǎng)關(guān)DLPSASE圖6DLP能力框架圖CASB（CloudAccessSecurityBroker，CASB）CASB可以識(shí)別CASB在SASESASE中必不可少的關(guān)鍵組件。RBIRBIZTNA統(tǒng)一管控技術(shù)SASESASEDevOpsSASEK8SSASE服務(wù)微SASESASESR-IOV、DPDK底層平臺(tái)網(wǎng)卡性能，滿足SASE通過控制器下發(fā)流表，將客戶的流量牽引到SASE的POP點(diǎn)。針對(duì)POP點(diǎn)的安全能力如防火墻、WAF、IPS等進(jìn)行流量編排圖7SASE流量編排架構(gòu)圖入口節(jié)點(diǎn)和出口節(jié)點(diǎn)，并在服務(wù)鏈管理模塊中進(jìn)行創(chuàng)建。SASESASE部署架構(gòu)SASESASEPoP點(diǎn)的SASE架構(gòu)SASE架構(gòu)基于PoPSASE架構(gòu)PoPSASESASEPoPPoP點(diǎn)的SASE架構(gòu)的升級(jí)，目前SD-PoP點(diǎn)的SASE8PoP點(diǎn)的SASE基于PoP點(diǎn)的SASE架構(gòu)有以下幾個(gè)部分組成：PoPSASESASEPoP點(diǎn)SASEPoP進(jìn)運(yùn)維操作入口，提供可視化界面以及APIPoPSASE架構(gòu)SASEPoPPoPPoPPoP圖9基于接入網(wǎng)關(guān)的SASE架構(gòu)SASEPoP進(jìn)運(yùn)維操作入口，提供可視化界面以及APIPoPSASE訪問流量架構(gòu)量模型。Gartner在《TheFutureofNetworkSecurityIsintheCloud》一文中建議企業(yè)重新審視企業(yè)的出流量場(chǎng)景和入流量場(chǎng)景。（1）企業(yè)出流量架構(gòu)WPS這類的Internet10所示。$βffi$?

9p@SASEAg@μ$p@

SD-YANOY@yly

SASECDN?JSD-YANp@9DNSFYSSYGZTNA

IP$@c

[$g$圖10企業(yè)出流量架構(gòu)企業(yè)在出流量場(chǎng)景下的建設(shè)步驟為：第一步是利用ZTNA的身份認(rèn)證服務(wù)，發(fā)現(xiàn)企業(yè)的影子IT（指不被企業(yè)IT管理的一些業(yè)務(wù)自己?jiǎn)⒂玫耐獠繎?yīng)用，如業(yè)務(wù)部門自己?jiǎn)⒂玫腉ithub、外部HR應(yīng)用、云網(wǎng)盤等等），審計(jì)工作人員的SaaS應(yīng)用使用行為，防止敏感數(shù)據(jù)泄露；第二步，放行通過信任檢測(cè)的企業(yè)出流量；第三步通過FWaaS、SWG等防火墻限制不可靠訪問服務(wù)流量的通行；第四步將可放行的域名解析地址反饋給終端；第五步實(shí)現(xiàn)正常的應(yīng)用加密訪問。（2）企業(yè)入流量架構(gòu)（訪問內(nèi)部應(yīng)用）SASEJ9CDNJ??SASEJ9CDNJ??¤11AM,TN$fl}SD-YAN33.$$p@9SD-YANOY@yly?¤2.ZTNA2$flYAF/YAAPCloydFyg$UEBAZTNAIAM$βfip@ffiZTNAAg@μ$$?p@圖11企業(yè)入流量架構(gòu)企業(yè)在入流量場(chǎng)景下的建設(shè)步驟為：第一步通過IAM認(rèn)證授權(quán)，ZTNA控制器允許用戶接入；第二步ZTNA通過零信任網(wǎng)關(guān)實(shí)時(shí)控制用戶的連接；第三步安全訪問數(shù)據(jù)中心應(yīng)用。SASE應(yīng)用場(chǎng)景場(chǎng)景一：多分支機(jī)構(gòu)安全組網(wǎng)應(yīng)用場(chǎng)景需求分析全國(guó)甚至全球性企業(yè)，有分布在多地的分支機(jī)構(gòu)，分支機(jī)構(gòu)無法通過內(nèi)網(wǎng)直接訪問到總部，大多企業(yè)分支直接訪問互聯(lián)網(wǎng)或者SaaS服務(wù)，分支結(jié)構(gòu)安全保護(hù)較弱。MPLSSASE優(yōu)勢(shì)SASE架構(gòu)通過在分支機(jī)構(gòu)出口部署SD-WAN設(shè)備將上網(wǎng)流量引流到SASE服務(wù)邊緣接入節(jié)點(diǎn)，主要有以下幾個(gè)優(yōu)勢(shì)：SASE務(wù)；SASE架構(gòu)某生鮮連鎖有限公司是一個(gè)農(nóng)副產(chǎn)品市場(chǎng)品牌，目前已在上海、70某生鮮連鎖有限公司主要的需求一是無網(wǎng)絡(luò)冗余，每個(gè)門店和總VPN實(shí)依托于SASE4/5G鏈路進(jìn)POP能云網(wǎng)，為客戶提供安全服務(wù)，項(xiàng)目SASE圖12某生鮮連鎖公司SASE架構(gòu)圖場(chǎng)景二：企業(yè)安全合規(guī)建設(shè)應(yīng)用場(chǎng)景需求分析SaaS服IT軟三是SASE優(yōu)勢(shì)SASE6案例：某大型國(guó)企集團(tuán)公司數(shù)字化轉(zhuǎn)型實(shí)踐某大型國(guó)企集團(tuán)公司的數(shù)字化轉(zhuǎn)型主要有以下幾個(gè)需求：一是要建設(shè)統(tǒng)一業(yè)務(wù)系統(tǒng)云平臺(tái)，以“安全為先”，采用“公有云服務(wù)SASE一方面POP13SASE架構(gòu)場(chǎng)景三：企業(yè)混合辦公應(yīng)用場(chǎng)景需求分析以及不斷演變的安全威脅和新的潛在漏洞逐日遞增這些因素的影響SASE

圖14SASE混合辦公場(chǎng)景通過輕量級(jí)SASE/PC端；SASE加固為了走在教育信息化的前端、發(fā)展更好承載教育業(yè)務(wù)，某市教育SASEIT圖15某市教育局城域網(wǎng)SASE加固場(chǎng)景四：物聯(lián)網(wǎng)安全防護(hù)應(yīng)用場(chǎng)景需求分析（AI能力終端的應(yīng)用鑒權(quán)等進(jìn)行評(píng)估，創(chuàng)建“終端可信-身份可信-行為可信”的完整信任鏈?？偨Y(jié)上述智能終端上云需求：APISASE優(yōu)勢(shì)SASE在物聯(lián)網(wǎng)安全防護(hù)場(chǎng)景中主要解決以下幾個(gè)問題:AISASE（/FW）/SASE安全網(wǎng)絡(luò)行為管理AISASE（人小腦”數(shù)據(jù)/業(yè)務(wù)安全SASERemoteAccessPOPMCS（Mobile-intranetCloudService）VPNvFWPOPSDNControllerSASEPOP（SASE16圖16某云端機(jī)器人運(yùn)營(yíng)商SASE安全網(wǎng)絡(luò)行為管理SASE未來展望SASEICTSASESASESASESASE2022-2025企業(yè)IT等技術(shù)帶來的新的計(jì)算、網(wǎng)絡(luò)、安