深信服day6：安全访问服务边缘（SASE）

一、SASE基本概念

1、SASE定义

作为SASE概念的提出方，Gartner认为SASE是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务；实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。SASE是一个基于云原生的网络和安全组件框架。

2、SASE的关键技术

1）软件定义广域网（SD-WAN）

2）防火墙即服务（FWaaS）

3）云访问安全代理（CASB）

4）安全WEB网关（SWG）

5）零信任网络访问（ZTNA）

3、SASE价值

1）降低成本

分布式架构云服务交付聚合的企业网络和安全服务，解决分散集成和地理位置约束的解决方案的成本问题。

2）灵活部署

云基础架构的SASE服务可以灵活部署多种安全服务，提高网络和安全服务部署的敏捷性和简便性。

3）集中管控

IT管理人员可以通过基于云的管理平台集中设置策略，对网络和安全数据进行集中管理。

4）提升性能

部署网络服务PoP点提供时延优化的路由，借助云基础架构，用户能在服务部署的任何位置轻松连接到资源所在的位置访问应用。

5）更加安全

通过基于云的安全服务的集中策略控制，来降低传统方法的复杂性，并提升互操作性，从而提高安全性。

6）零信任访问

SASE提供基于零信任理念的完整会话保护，无论用户是否处于公司网络内部，都对用户实体身份和访问行为进行信任判定。

二、SASE系统架构

1、系统架构

SASE将云化的网络和安全能力在边缘处以服务化形式实现；SASE是一组动态的边缘功能，按需提供网络和安全服务；SASE是基于云的实现，在边缘侧进行功能的加载

2、SASE架构——接入测设备

SASE接入侧设备需要满足办公场景“多样化”的业务需求；

能够支撑移动办公、远程办公、总部/分支机构协同办公的场景；

适用于个人电脑客户端、浏览器插件、手机APP和企业侧接入设备。

3、SASE架构——接入点

SASE使用私有数据中心、公共云或托管设施作为SASE接入点，形成了SASE架构的服务边缘。而各个分公司和分支则通过客户终端设备作为SASE接入点，连接到网络。

SASE支持各类接入形式:SD-WAN组网接入、移动端接入、无端模式浏览器接入等。接入进行广域覆盖，降低服务延迟各节点提供相同服务。

接入节点上的安全能力可以采用多种方式施加到边缘节点，让流量以最小代价进行安全检测，将安全能力以一种相对集中又分布式的方式交付给用户。

4、SASE架构——控制中心

SASE控制中心是对SASE网络的一个统一的综合管理平台，能够对SASE云、安全能力池、SASE接入点、安全能力运行状态等进行统一管理和运维。

SASE控制中心将允许从控制台进行任意位置的安全、网络能力和策略分发，支持人工智能自动化创建策略、支持API自动化以及与现有流程、工具的集成。

根据不同的部署方式，控制中心可以托管在公共云中、私有云中或本地。

5、SASE架构——云能力池

SASE云能力池可直接向连接到云的端点提供联网功能和安全功能，是一个集中部署的安全能力池。

在容器云技术架构下，SASE云能力池可以是一个存储、管理安全能力应用镜像的镜像仓库。通过集中云化部署的方式，实现将安全能力的资源化、服务化和目录化，从而具备按需快速开通和调用能力。

SASE云能力池可以向不同的SASE接入点侧输出可调用的安全能力，安全能力可通过容器下放部署在接入点，资源共建共享，集约化建设运营。

三、SASE核心技术

1、SASE的核心——身份

1）SASE的核心是身份，身份是访问决策的中心，而不再是企业数据中心。

2）SASE按需提供所需的服务和策略执行，独立于请求服务的实体、场所和所访问的服务

3）企业边界不再是一个位置;它是一组动态的边缘功能，在需要时作为云服务提供

4）永不信任，始终验证:从零开始，最小授权

5）身份认证与安全策略:人、设备、应用等动态实时策略管理

6）防范和保护:网络隐身，数据加密

2、零信任网络访问（ZTNA）

1）零信任网络访问（Zero-Trust Network Access, ZTNA）

一种在一个或一组应用程序周围创建基于身份和上下文逻辑访问边界的产品或服务，需要在用户允许访问应用程序之前代理验证其身份，并判断上下文是否遵循相关策略，避免用户进入网络后的横向移动。

2）ZTNA产品的核心理念

a、“永不信任，始终验证”，在用户访问的全生命周期进行用户信任评估，决定用户信任等级和访问权限。

b、强调不应该默认信任企业网络边界内外的任何事物，必须在授予访问权限之前进行身份验证。

c、信任也不应该基于IP地址、账户或者设备属性等单一条件进行授予。零信任要求用户(包括设备、数据、服务等)证明其应该被授予访问权限，并且仅授予其必要的、必需的访问权限。

3、SASE与零信任

1）SASE包含零信任网络访问ZTNA

零信任网络访问ZTNA是SASE的五大核心技术之一。

2）SASE是实现零信任的必经步骤

a、从零信任本身定义出发，将零信任“永不信任，始终验证”的理念看做安全目标时，我们认为，将多种网络安全技术和网络接入技术进行融合的SASE架构，是以边界防御为主的传统网络安全体系转向动态的、基于身份的新型网络安全体系的最佳桥梁。

b、安全访问服务边缘的SASE，可以看做是零信任安全接入的一种部署模式。借由SASE，网络和安全体系能够更加靠近零信任。

3）总结

无论是从技术角度还是从角度层面理解，SASE与零信任都以身份为核心，强调网络接入的安全性，保证用户访问全生命周期的安全和性能需求。

4、核心技术——SD-WAN

1）SD-WAN定义了一种以业务与应用为导向、融合多种信息技术(主要包括SDN、NFV、网络编排等)的新型广域网架构，可支持以平台或托管方式提供基础网络连接、广域网加速、安全防御、智能运维等多种网络服务，解决企业架构IT化升级与转型挑战。

2）SD-WAN架构主要由5个功能层组成：用户管理层；SD-WAN编排器； SD-WAN控制器；边缘设备；WAN传输网。

3）典型三种技术应用场景：分支互联；数据中心互联；多云互联

5、SD-WAN——基于WAN混合的智能调度

1）混合WAN接入

利用不同链路的优势同时接入多条不同类型的广域网链路。支持互联网、4G、专线。

2）智能调度

通过使用路径选择，SD-WAN控制器可以根据业务策略和服务质量来选择不同类型的链路和建立方式而无需人工干预。

a、实现企业用户本地站点高性能Internet的直连;

b、重要实时业务流量通过SD-WAN网络，保障网络质量;

c、非重要的或者非实时业务流量通过互联网加密传输，比如FTP、邮箱等。

3）优势

在扩大广域网带宽的同时，也提升了广域网的链路的性能、可靠性。多业务的服务区分，在满足业务的需求的同时，也大大的提高了广域网的综合使用效率。

6、SD-WAN技术特征

1）自动化部署，零接触快速开通

通过综合运用SDN和NFV技术，在企业完成组网规划后可自动化完成部署，可零接触、远程地开通广域网相关的网络服务和增值服务。

2）SRv6优化网络性能，增强灵活性

SD-WAN网络架构将SDN技术可编程的SRv6Underlay网络以及云虚拟化能力进行了全面整合，可以快速提供融合云、网的企业产品。

3）安全无缝集成，高可靠持续在线

SASE通过扩展SD-WAN，可实现包括全球范围内的安全性、云计算和移动性在内的整个WAN的转换过程。

4）服务质量保障，不间断稳定服务

SD-WAN允许企业根据所需的业务因素(如关键任务流量或应用程序)制定自己的内部服务水平协议。

5）开放技术逐渐打通互联互通生态

开放应用的成熟化使SD-WAN的应用打破“供应商绑定”，显著降低投入成本，进一步刺激了SD-WAN领域各方面的研发。

6）广域网智能编排和智能路由

多拓扑站点互联互访，overlay和underlay网络解耦和安全隔离;支持网络业务编排和自动化发放，提升网络的敏捷性;保障组网安全性能，通过智能感知对不同应用实现不同管理。

7）多种接入统一管理，用户随时访问

SD-WAN更好地实现了网络融合，在对多种网络链路的选择中更为灵活方便。

四、边缘计算

1、背景

数字化转型的趋势下，云网融合技术在飞速发展，新业务和应用逐渐向边缘节点迁移，企业对分布式边缘计算能力的需求增加

2、定义

边缘计算(Edge Computing):是在靠近物或数据源头的网络边缘侧，融合网络、计算、存储、应用核心能力的分布式开放平台，就近提供边缘智能服务，满足行业数字化在敏捷联接、实时业务、数据优化、应用智能、安全与隐私保护等方面的关键需求。

3、基本思想

将云计算平台中心部分或计算任务从外部数据中心或云端迁移至数据源头的边缘处进行

4、SASE与边缘计算

SASE拥有的分布式、边缘化特性满足了边缘计算的需求，SASE架构强调的薄分支，厚云端与边缘计算倡导的计算步骤由本地服务器转向边缘节点的核心思想一脉相承，两者相辅相成，均强调云原生架构。边缘计算为SASE提供底层服务，满足SASE在兼容各个边缘点的同时又能达到低时延的要求，SASE则为边缘点提供安全服务，既能将边缘节点的流量近源引流至 POP点检测，又能将安全能力下沉至边缘云，提供个性化安全服务。