安全訪問服務邊緣架構技術分析

金稚華 劉 斌

1.2.內蒙古自治區廣播電視監測與發展中心 內蒙古 呼和浩特市 010050

1 什么是SASE

1.1 SASE的定義

安全接入服務邊緣 （Secure access service edge）簡稱SASE。SASE提 供SD-WAN、SWG、CASB、NGFW和ZTNA等多種功能。SASE支持分支機構和遠程工作者訪問。SASE作為一種服務提供，基于設備實體的身份，結合實時上下文和安全合規策略。身份可以與人、設備或邊緣計算位置相關聯。

1.2 SASE的架構

SASE架構圖如圖1所示。

圖1 SASE的架構組成圖

1.3 SASE的市場前景

2020年，全球SASE市場預測基本假設對于網絡和安全，企業會更喜歡云交付模式；在企業數據中心之外執行的企業軟件將增加一倍；以及超過80%的安全IT供應商將過渡到基于訂閱的定價模式。在市場組成分為網絡市場和安全市場兩方面：網絡市場有SD-WAN、防火墻；安全市場包括SWG、CASB、零信任。那么預測結論為：5年復合增長率：網絡（+52.6%）＞整體（41.8%）＞安全（35.5%）（見圖2）

圖2 全球SASE市場規模預測圖

1.4 網絡安全網格化簡介

所謂網絡安全網格化是指一種現代安全方法，以可組合、可伸縮、靈活和彈性的方式，在最需要控制的地方部署控制。通過提供基本的安全服務，如分布式身份結構、安全分析、智能、自動化和觸發器，以及集中的策略管理和編排，使工具能夠互操作。網絡安全網格化技術特征主要有：

1.4.1 分布式身份結構

分布式身份框架（即支持來自多個地方的身份），包括目錄服務、集中式和分散式身份系統、身份驗證和身份驗證功能。

1.4.2 安全分析、智能和觸發器

使用來自安全控制的上下文，包括身份和訪問管理、端點檢測和響應以及擴展檢測和響應。

1.4.3 集中的策略管理和編排

策略決策化的功能，以便與分布式策略實施網絡集成；在那些不能從策略決策點請求運行時決策的安全控制中編制策略的能力。

2 SASE的技術優勢

2.1 支持新的數字業務場景

使企業能夠讓合作伙伴和承包商安全地訪問它們的應用程序、服務、API和數據，而無需暴露遺留VPN和遺留非軍事區（DMZ）體系結構的大量風險。

2.2 改善性能延遲

提供跨越世界各地存在點的延遲優化路由。這對于協作、視頻、VolP和web會議等對延遲敏感的應用程序尤其關鍵。

2.3 易于使用透明性

把設備上所需的代理數量（或分支機構CPE數量）減少到單個代理或設備。減少了代理和設備的膨脹，并且應該在不需要用戶交互的情況下自動應用訪問策略。

2.4 改進的安全

對于支持內容檢查（識別敏感數據和惡意軟件）的SASE供應商，可以檢查任何訪問會話，并應用相同的策略集。

2.5 低操作開銷

對于基于云的SASE產品，更新新的威脅和策略不需要企業部署新的硬件或軟件，應該可以更快地采用新功能。

2.6 啟用零信任網絡訪問

對于基于云的SASE產品，更新的威脅和策略不需要企業部署新的硬件或軟件，應該可以更快地采用新功能。

2.7 提高工作效率

網絡安全專業人員可以專注于理解業務、法規和應用程序訪問需求，并將這些需求映射到SASE功能，而不是設置基礎設施的常規任務。

2.8 集中式策略與本地執行

基于云的策略集中管理，具有邏輯上接近實體的分布式實施點，并在需要時包括本地決策。另一個例子是被管理設備上用于本地決策的本地代理。

3 SASE的技術不足

3.1 網絡和防火墻供應商缺乏代理專家

SASE的許多功能將使用代理模型進入數據路徑并保護訪問。傳統的內聯網絡和企業防火墻供應商缺乏大規模構建分布式內聯代理的專業知識，可能會給SASE采用者帶來更高的成本或糟糕的性能風險。

3.2 持久性POPs和對等關系所需的投資

SASE策略決策和實施功能需要放在端點標識所處的任何地方。對于支持移動工作人員和分布式數字生態系統的大型組織來說，這意味著全球訪問。較小的SASE供應商將無法維持必要的投資以保持競爭力，導致性能下降。

3.3 缺乏數據上下文

數據上下文對于設置訪問策略、理解并確定風險的優先級以及相應地調整訪問策略至關重要。沒有這種上下文的供應商在做出豐富的上下文感知的自適應SASE決策方面的能力將受到限制

3.4 領先的SASE需要代理

要與基于前向代理的架構集成并處理一些遺留應用程序協議，將需要一個本地代理（例如，對舊應用程序，SWG、ZTNA、本地Wi-Fi保護和本地設備安全態勢評估）。此外，SASE供應商使用本地代理可以獲得更多的設備上下文。然而，如果必須使用多個代理來支持訪問，則代理增加了企業SASE部署的復雜性問題。

4 SASE的配置與應用實例

4.1 SASE的兩種編制策略

4.1.1 出口模式SASE

從CASB 生長，許多組織使用CASB服務來保護它們的SaaS應用程序。CASB供應商正在擴展功能，以與SASE架構遠景保持一致。對于一些人來說，這包括將CASB與IZTNA和SWG服務結合在一起。

移動和遠程用戶焦點，讓許多移動或遠程用戶在企業外圍工作的趨勢已經成為新的現實。從網絡和企業應用程序訪問的角度關注他們的需求，可以指導架構師使用SASE。

從SWG的使用延伸，與CASB類似，SWG是組織中的一個常見特性。那些使用SWG的人應該評估他們供應商的SASE方法，以確定供應商的附加功能是否足夠。如前所述，它可能將SWG與ZTNA和CASB結合在一起。

4.1.2 入口模式SASE

體系結構模式的實現更多地關注網絡安全和應用程序流量。因此，它涉及到安全組件的編排，如FWaaS、WAF、WAAP、DDoS以及ZTNA保護。典型的活動包括：

尋找工具來幫助編排CDN、FWaas、WAF、DDoS保護和WAAP的通用策略。在涉及公共服務提供者的情況下，這變得更有可能。

圍繞新的SD-WAN部署建立安全性。看看SD-WAN提供商的安全功能組合或他們的安全合作伙伴服務。

使用云提供商服務邊緣功能擴展多云和混合服務。

用ZTNA服務替換或擴展客戶端VPN，以實現對應用程序的遠程訪問。擴展ZTNA的使用，使其執行的不僅僅是“TLS VPN”;使用它的軟件定義的周邊功能。利用任何技術來減少攻擊面，例如使用單包授權。

4.2 SASE的典型配置和方法

4.2.1 安全供應商提供所有的入口或出口組件

已建立的安全供應商正在獲取合適的功能，并致力于集成工具。例如，安全供應商正在收購SD-WAN供應商，以便它們能夠提供SD-WAN存在點（pop），并同時提供網絡和安全SASE組件。安全供應商正在開發和獲取CASB、SWG、ZTNA、RBI和其他相關工具的功能，如UEBA和威脅監控。

4.2.2 網絡供應商提供所有組件或與選定的安全供應商合作

網絡供應商提供網絡即服務（NaaS），包括SD-WAN、運營商、CDN、網絡優化和延遲控制。他們要么轉售或給其他供應商的工具貼上白標簽，要么已經開始開發自己的一套安全服務。

4.2.3 云供應商提供組件（可選擇與安全供應商合作）

云提供商提供AWS Transit Gateway、GCP VPC網絡對等、edge等網絡服務，支持SASE架構的網絡側。云供應商也開始提供一致的安全工具，如ZTNA（如GCP提供Beyond-Corp的遠程訪問）和CASB（如微軟提供MCAS）。

4.3 應用實例1：分支對SaaS程序和因特網的訪問

分支中的用戶必須使用組織IAM對自己進行身份驗證。身份和分支位置為連接到網絡服務提供上下文。IAM與CASB和SWG等SASE組件集成在一起，因此可以使用用戶憑證來定義訪問策略。

用戶的設備連接到分支機構的網絡，并請求訪問網站。SASE業務流程策略將用戶的連接請求定向到SWG。SWG將提供URL過濾、威脅和惡意軟件保護以及連接到互聯網服務時的數據丟失預防等服務。

用戶的設備連接到分支網絡，并請求訪問允許列出的SaaS服務。SASE業務流程策略將用戶的請求定向到CASB。CASB可以幫助防止連接到未經批準的SaaS，監視異常用戶行為，提供DLP，并可以基于上下文實施自適應訪問控制。

圖3 分支對SaaS程序和因特網的訪問圖例

根據SWG或CASB安全配置，以及分配給用戶的授權，允許訪問外部服務。已消毒的DNS可以幫助過濾和阻止到不安全站點、拒絕列出的IP范圍和其他潛在威脅連接的不安全和風險連接。安全連接根據網絡SASE策略編排進行路由，以提供有效和高效的路由到互聯網和云服務。

4.4 應用實例2：遠程訪問內部應用程序

在本例中，所使用的ZTNA是一種終端發起的部署類型。用戶通過ZTNA控制器與集成的組織IAM進行身份驗證。這些類型的ZTNA工具可能使用部署在用戶設備上的代理向ZTNA提供上下文信息。一些ZTNA工具通過向注冊用戶提供單包授權，可以將攻擊面減少到最低。

ZTNA控制器已經獲得了關于每個用戶的必要信息，以允許拒絕訪問組織內部應用程序的請求。這些信息包括連接上下文（設備信息、地理位置等）和用戶標識。ZTNA向用戶返回允許的應用程序列表（通常以門戶頁面的形式）。ZTNA控制器通過ZTNA網關功能提供與允許的應用程序的連接。

圖4 遠程訪問內部應用程序圖例

根據ZTNA工具，一些工具保持不變（通常提供增值服務，如用戶和實體行為分析［UEBA］和會話記錄），一些工具從通信路徑中移除自己，以允許路由效率。由SASE網絡編配策略定義的經過身份驗證和授權的會話路徑可能包括通過應用層保護（例如WAF服務）和網絡安全（如FWaas）的路由。

5 結 語

目前，SASE仍然是一個藍海市場，相關產品SD-WAN（Software Defined Wide Area Network，即軟件定義廣域網，是將SDN技術應用到廣域網場景中所形成的一種服務，這種服務用于連接廣闊地理范圍的企業網絡、數據中心、互聯網應用及云服務。）、ZTNA（零信任網絡訪問，標志性的安全技術）、SWG （Secure Web Gateway，安全網頁閘道）已經相對趨于成熟。