安全訪問(wèn)服務(wù)邊緣架構(gòu)技術(shù)分析

金稚華 劉 斌

1.2.內(nèi)蒙古自治區(qū)廣播電視監(jiān)測(cè)與發(fā)展中心 內(nèi)蒙古 呼和浩特市 010050

1 什么是SASE

1.1 SASE的定義

安全接入服務(wù)邊緣 （Secure access service edge）簡(jiǎn)稱SASE。SASE提 供SD-WAN、SWG、CASB、NGFW和ZTNA等多種功能。SASE支持分支機(jī)構(gòu)和遠(yuǎn)程工作者訪問(wèn)。SASE作為一種服務(wù)提供，基于設(shè)備實(shí)體的身份，結(jié)合實(shí)時(shí)上下文和安全合規(guī)策略。身份可以與人、設(shè)備或邊緣計(jì)算位置相關(guān)聯(lián)。

1.2 SASE的架構(gòu)

SASE架構(gòu)圖如圖1所示。

圖1 SASE的架構(gòu)組成圖

1.3 SASE的市場(chǎng)前景

2020年，全球SASE市場(chǎng)預(yù)測(cè)基本假設(shè)對(duì)于網(wǎng)絡(luò)和安全，企業(yè)會(huì)更喜歡云交付模式；在企業(yè)數(shù)據(jù)中心之外執(zhí)行的企業(yè)軟件將增加一倍；以及超過(guò)80%的安全I(xiàn)T供應(yīng)商將過(guò)渡到基于訂閱的定價(jià)模式。在市場(chǎng)組成分為網(wǎng)絡(luò)市場(chǎng)和安全市場(chǎng)兩方面：網(wǎng)絡(luò)市場(chǎng)有SD-WAN、防火墻；安全市場(chǎng)包括SWG、CASB、零信任。那么預(yù)測(cè)結(jié)論為：5年復(fù)合增長(zhǎng)率：網(wǎng)絡(luò)（+52.6%）＞整體（41.8%）＞安全（35.5%）（見(jiàn)圖2）

圖2 全球SASE市場(chǎng)規(guī)模預(yù)測(cè)圖

1.4 網(wǎng)絡(luò)安全網(wǎng)格化簡(jiǎn)介

所謂網(wǎng)絡(luò)安全網(wǎng)格化是指一種現(xiàn)代安全方法，以可組合、可伸縮、靈活和彈性的方式，在最需要控制的地方部署控制。通過(guò)提供基本的安全服務(wù)，如分布式身份結(jié)構(gòu)、安全分析、智能、自動(dòng)化和觸發(fā)器，以及集中的策略管理和編排，使工具能夠互操作。網(wǎng)絡(luò)安全網(wǎng)格化技術(shù)特征主要有：

1.4.1 分布式身份結(jié)構(gòu)

分布式身份框架（即支持來(lái)自多個(gè)地方的身份），包括目錄服務(wù)、集中式和分散式身份系統(tǒng)、身份驗(yàn)證和身份驗(yàn)證功能。

1.4.2 安全分析、智能和觸發(fā)器

使用來(lái)自安全控制的上下文，包括身份和訪問(wèn)管理、端點(diǎn)檢測(cè)和響應(yīng)以及擴(kuò)展檢測(cè)和響應(yīng)。

1.4.3 集中的策略管理和編排

策略決策化的功能，以便與分布式策略實(shí)施網(wǎng)絡(luò)集成；在那些不能從策略決策點(diǎn)請(qǐng)求運(yùn)行時(shí)決策的安全控制中編制策略的能力。

2 SASE的技術(shù)優(yōu)勢(shì)

2.1 支持新的數(shù)字業(yè)務(wù)場(chǎng)景

使企業(yè)能夠讓合作伙伴和承包商安全地訪問(wèn)它們的應(yīng)用程序、服務(wù)、API和數(shù)據(jù)，而無(wú)需暴露遺留VPN和遺留非軍事區(qū)（DMZ）體系結(jié)構(gòu)的大量風(fēng)險(xiǎn)。

2.2 改善性能延遲

提供跨越世界各地存在點(diǎn)的延遲優(yōu)化路由。這對(duì)于協(xié)作、視頻、VolP和web會(huì)議等對(duì)延遲敏感的應(yīng)用程序尤其關(guān)鍵。

2.3 易于使用透明性

把設(shè)備上所需的代理數(shù)量（或分支機(jī)構(gòu)CPE數(shù)量）減少到單個(gè)代理或設(shè)備。減少了代理和設(shè)備的膨脹，并且應(yīng)該在不需要用戶交互的情況下自動(dòng)應(yīng)用訪問(wèn)策略。

2.4 改進(jìn)的安全

對(duì)于支持內(nèi)容檢查（識(shí)別敏感數(shù)據(jù)和惡意軟件）的SASE供應(yīng)商，可以檢查任何訪問(wèn)會(huì)話，并應(yīng)用相同的策略集。

2.5 低操作開銷

對(duì)于基于云的SASE產(chǎn)品，更新新的威脅和策略不需要企業(yè)部署新的硬件或軟件，應(yīng)該可以更快地采用新功能。

2.6 啟用零信任網(wǎng)絡(luò)訪問(wèn)

對(duì)于基于云的SASE產(chǎn)品，更新的威脅和策略不需要企業(yè)部署新的硬件或軟件，應(yīng)該可以更快地采用新功能。

2.7 提高工作效率

網(wǎng)絡(luò)安全專業(yè)人員可以專注于理解業(yè)務(wù)、法規(guī)和應(yīng)用程序訪問(wèn)需求，并將這些需求映射到SASE功能，而不是設(shè)置基礎(chǔ)設(shè)施的常規(guī)任務(wù)。

2.8 集中式策略與本地執(zhí)行

基于云的策略集中管理，具有邏輯上接近實(shí)體的分布式實(shí)施點(diǎn)，并在需要時(shí)包括本地決策。另一個(gè)例子是被管理設(shè)備上用于本地決策的本地代理。

3 SASE的技術(shù)不足

3.1 網(wǎng)絡(luò)和防火墻供應(yīng)商缺乏代理專家

SASE的許多功能將使用代理模型進(jìn)入數(shù)據(jù)路徑并保護(hù)訪問(wèn)。傳統(tǒng)的內(nèi)聯(lián)網(wǎng)絡(luò)和企業(yè)防火墻供應(yīng)商缺乏大規(guī)模構(gòu)建分布式內(nèi)聯(lián)代理的專業(yè)知識(shí)，可能會(huì)給SASE采用者帶來(lái)更高的成本或糟糕的性能風(fēng)險(xiǎn)。

3.2 持久性POPs和對(duì)等關(guān)系所需的投資

SASE策略決策和實(shí)施功能需要放在端點(diǎn)標(biāo)識(shí)所處的任何地方。對(duì)于支持移動(dòng)工作人員和分布式數(shù)字生態(tài)系統(tǒng)的大型組織來(lái)說(shuō)，這意味著全球訪問(wèn)。較小的SASE供應(yīng)商將無(wú)法維持必要的投資以保持競(jìng)爭(zhēng)力，導(dǎo)致性能下降。

3.3 缺乏數(shù)據(jù)上下文

數(shù)據(jù)上下文對(duì)于設(shè)置訪問(wèn)策略、理解并確定風(fēng)險(xiǎn)的優(yōu)先級(jí)以及相應(yīng)地調(diào)整訪問(wèn)策略至關(guān)重要。沒(méi)有這種上下文的供應(yīng)商在做出豐富的上下文感知的自適應(yīng)SASE決策方面的能力將受到限制

3.4 領(lǐng)先的SASE需要代理

要與基于前向代理的架構(gòu)集成并處理一些遺留應(yīng)用程序協(xié)議，將需要一個(gè)本地代理（例如，對(duì)舊應(yīng)用程序，SWG、ZTNA、本地Wi-Fi保護(hù)和本地設(shè)備安全態(tài)勢(shì)評(píng)估）。此外，SASE供應(yīng)商使用本地代理可以獲得更多的設(shè)備上下文。然而，如果必須使用多個(gè)代理來(lái)支持訪問(wèn)，則代理增加了企業(yè)SASE部署的復(fù)雜性問(wèn)題。

4 SASE的配置與應(yīng)用實(shí)例

4.1 SASE的兩種編制策略

4.1.1 出口模式SASE

從CASB 生長(zhǎng)，許多組織使用CASB服務(wù)來(lái)保護(hù)它們的SaaS應(yīng)用程序。CASB供應(yīng)商正在擴(kuò)展功能，以與SASE架構(gòu)遠(yuǎn)景保持一致。對(duì)于一些人來(lái)說(shuō)，這包括將CASB與IZTNA和SWG服務(wù)結(jié)合在一起。

移動(dòng)和遠(yuǎn)程用戶焦點(diǎn)，讓許多移動(dòng)或遠(yuǎn)程用戶在企業(yè)外圍工作的趨勢(shì)已經(jīng)成為新的現(xiàn)實(shí)。從網(wǎng)絡(luò)和企業(yè)應(yīng)用程序訪問(wèn)的角度關(guān)注他們的需求，可以指導(dǎo)架構(gòu)師使用SASE。

從SWG的使用延伸，與CASB類似，SWG是組織中的一個(gè)常見(jiàn)特性。那些使用SWG的人應(yīng)該評(píng)估他們供應(yīng)商的SASE方法，以確定供應(yīng)商的附加功能是否足夠。如前所述，它可能將SWG與ZTNA和CASB結(jié)合在一起。

4.1.2 入口模式SASE

體系結(jié)構(gòu)模式的實(shí)現(xiàn)更多地關(guān)注網(wǎng)絡(luò)安全和應(yīng)用程序流量。因此，它涉及到安全組件的編排，如FWaaS、WAF、WAAP、DDoS以及ZTNA保護(hù)。典型的活動(dòng)包括：

尋找工具來(lái)幫助編排CDN、FWaas、WAF、DDoS保護(hù)和WAAP的通用策略。在涉及公共服務(wù)提供者的情況下，這變得更有可能。

圍繞新的SD-WAN部署建立安全性?？纯碨D-WAN提供商的安全功能組合或他們的安全合作伙伴服務(wù)。

使用云提供商服務(wù)邊緣功能擴(kuò)展多云和混合服務(wù)。

用ZTNA服務(wù)替換或擴(kuò)展客戶端VPN，以實(shí)現(xiàn)對(duì)應(yīng)用程序的遠(yuǎn)程訪問(wèn)。擴(kuò)展ZTNA的使用，使其執(zhí)行的不僅僅是“TLS VPN”;使用它的軟件定義的周邊功能。利用任何技術(shù)來(lái)減少攻擊面，例如使用單包授權(quán)。

4.2 SASE的典型配置和方法

4.2.1 安全供應(yīng)商提供所有的入口或出口組件

已建立的安全供應(yīng)商正在獲取合適的功能，并致力于集成工具。例如，安全供應(yīng)商正在收購(gòu)SD-WAN供應(yīng)商，以便它們能夠提供SD-WAN存在點(diǎn)（pop），并同時(shí)提供網(wǎng)絡(luò)和安全SASE組件。安全供應(yīng)商正在開發(fā)和獲取CASB、SWG、ZTNA、RBI和其他相關(guān)工具的功能，如UEBA和威脅監(jiān)控。

4.2.2 網(wǎng)絡(luò)供應(yīng)商提供所有組件或與選定的安全供應(yīng)商合作

網(wǎng)絡(luò)供應(yīng)商提供網(wǎng)絡(luò)即服務(wù)（NaaS），包括SD-WAN、運(yùn)營(yíng)商、CDN、網(wǎng)絡(luò)優(yōu)化和延遲控制。他們要么轉(zhuǎn)售或給其他供應(yīng)商的工具貼上白標(biāo)簽，要么已經(jīng)開始開發(fā)自己的一套安全服務(wù)。

4.2.3 云供應(yīng)商提供組件（可選擇與安全供應(yīng)商合作）

云提供商提供AWS Transit Gateway、GCP VPC網(wǎng)絡(luò)對(duì)等、edge等網(wǎng)絡(luò)服務(wù)，支持SASE架構(gòu)的網(wǎng)絡(luò)側(cè)。云供應(yīng)商也開始提供一致的安全工具，如ZTNA（如GCP提供Beyond-Corp的遠(yuǎn)程訪問(wèn)）和CASB（如微軟提供MCAS）。

4.3 應(yīng)用實(shí)例1：分支對(duì)SaaS程序和因特網(wǎng)的訪問(wèn)

分支中的用戶必須使用組織IAM對(duì)自己進(jìn)行身份驗(yàn)證。身份和分支位置為連接到網(wǎng)絡(luò)服務(wù)提供上下文。IAM與CASB和SWG等SASE組件集成在一起，因此可以使用用戶憑證來(lái)定義訪問(wèn)策略。

用戶的設(shè)備連接到分支機(jī)構(gòu)的網(wǎng)絡(luò)，并請(qǐng)求訪問(wèn)網(wǎng)站。SASE業(yè)務(wù)流程策略將用戶的連接請(qǐng)求定向到SWG。SWG將提供URL過(guò)濾、威脅和惡意軟件保護(hù)以及連接到互聯(lián)網(wǎng)服務(wù)時(shí)的數(shù)據(jù)丟失預(yù)防等服務(wù)。

用戶的設(shè)備連接到分支網(wǎng)絡(luò)，并請(qǐng)求訪問(wèn)允許列出的SaaS服務(wù)。SASE業(yè)務(wù)流程策略將用戶的請(qǐng)求定向到CASB。CASB可以幫助防止連接到未經(jīng)批準(zhǔn)的SaaS，監(jiān)視異常用戶行為，提供DLP，并可以基于上下文實(shí)施自適應(yīng)訪問(wèn)控制。

圖3 分支對(duì)SaaS程序和因特網(wǎng)的訪問(wèn)圖例

根據(jù)SWG或CASB安全配置，以及分配給用戶的授權(quán)，允許訪問(wèn)外部服務(wù)。已消毒的DNS可以幫助過(guò)濾和阻止到不安全站點(diǎn)、拒絕列出的IP范圍和其他潛在威脅連接的不安全和風(fēng)險(xiǎn)連接。安全連接根據(jù)網(wǎng)絡(luò)SASE策略編排進(jìn)行路由，以提供有效和高效的路由到互聯(lián)網(wǎng)和云服務(wù)。

4.4 應(yīng)用實(shí)例2：遠(yuǎn)程訪問(wèn)內(nèi)部應(yīng)用程序

在本例中，所使用的ZTNA是一種終端發(fā)起的部署類型。用戶通過(guò)ZTNA控制器與集成的組織IAM進(jìn)行身份驗(yàn)證。這些類型的ZTNA工具可能使用部署在用戶設(shè)備上的代理向ZTNA提供上下文信息。一些ZTNA工具通過(guò)向注冊(cè)用戶提供單包授權(quán)，可以將攻擊面減少到最低。

ZTNA控制器已經(jīng)獲得了關(guān)于每個(gè)用戶的必要信息，以允許拒絕訪問(wèn)組織內(nèi)部應(yīng)用程序的請(qǐng)求。這些信息包括連接上下文（設(shè)備信息、地理位置等）和用戶標(biāo)識(shí)。ZTNA向用戶返回允許的應(yīng)用程序列表（通常以門戶頁(yè)面的形式）。ZTNA控制器通過(guò)ZTNA網(wǎng)關(guān)功能提供與允許的應(yīng)用程序的連接。

圖4 遠(yuǎn)程訪問(wèn)內(nèi)部應(yīng)用程序圖例

根據(jù)ZTNA工具，一些工具保持不變（通常提供增值服務(wù)，如用戶和實(shí)體行為分析［UEBA］和會(huì)話記錄），一些工具從通信路徑中移除自己，以允許路由效率。由SASE網(wǎng)絡(luò)編配策略定義的經(jīng)過(guò)身份驗(yàn)證和授權(quán)的會(huì)話路徑可能包括通過(guò)應(yīng)用層保護(hù)（例如WAF服務(wù)）和網(wǎng)絡(luò)安全（如FWaas）的路由。

5 結(jié) 語(yǔ)

目前，SASE仍然是一個(gè)藍(lán)海市場(chǎng)，相關(guān)產(chǎn)品SD-WAN（Software Defined Wide Area Network，即軟件定義廣域網(wǎng)，是將SDN技術(shù)應(yīng)用到廣域網(wǎng)場(chǎng)景中所形成的一種服務(wù)，這種服務(wù)用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用及云服務(wù)。）、ZTNA（零信任網(wǎng)絡(luò)訪問(wèn)，標(biāo)志性的安全技術(shù)）、SWG （Secure Web Gateway，安全網(wǎng)頁(yè)閘道）已經(jīng)相對(duì)趨于成熟。