浅谈基于SASE的安全云服务

本文分享自天翼云开发者社区《浅谈基于SASE的安全云服务》，作者:姚****亮

SASE（secure access service edge安全访问服务边缘）：是一种安全框架，结合了软件定义广域网 (SD-WAN) ，零信任等网络安全技术的的分布式安全解决方案。

从技术而言，SASE其实是一种基于实体的身份（实体的身份识别可以包括人、组织、设备、应用、服务、IOT 系统或者边缘计算位置等等），结合实时上下文（这些上下文来源包括：用户使用的设备身份、日期、风险/信任评估、场地、正在访问的应用或数据的灵敏度）、企业安全/合规策略，在整个会话中持续评估风险/信任的服务。

企业之所以这么重视SASE，还因为它的“安全”功能。SASE的核心是身份，它是基于身份的访问决策。再具体点讲，SASE所提到的“身份”包括登录账户、所在的位置、设备、时间等多个因素，即身份是访问决策的中心，而不再是企业数据中心。

而且，SASE最终目标就是使得企业能够更加容易实现安全的云环境。通过将所有的安全设备包括Web 安全网关、云访问安全代理、DNS、零信任网络访问、防火墙等部署在云端，以一个安全的全球SD-WAN（软件定义广域网）服务进行统一管理，统一运维，从而降低网络安全的复杂性。

例如，无论在传统办公、远程办公等办公场景下，还是在业务防护场景下，SASE都可以通过多种方式将要防护的流量引导到距离最终实体位置最近的POP 点（接入点）上做安全策略处理，实现企业安全办公、业务安全，保护企业数据资产安全，且不影响办公效率。

SASE的核心是身份，即身份是访问决策的中心，这个和零信任架构也比较相似。用户，设备，服务的身份是策略中最重要的上下文因素之一，其他因素还包括访问地点，时间等。

SASE体系架构由两个核心组件组成：SASE云充当网络和安全功能的聚合器。SASE边缘连接器将流量从物理，云和设备边缘驱动到SASE云处理。

POP结构：核心云网络，由地理上分布的POPS组成，每个POP运行多个服务器，在所有流量上应用路由，加密，优化，高/级安全服务。

POPS的设计日志为了处理大量的流量，通过扩展服务器可以扩展处理能力。

如果POP服务器失效，则受影响边缘自动重新连接到同一个POP的可用服务器，如果一个POP完全失效，受影响边缘将连接到最近可用的POP。无论企业资源连接到哪个POP，云始终维护一个一致的逻辑企业网络，POP内置抗DDOS，深度包检测，TLS检测，以提高POP节点的安全和稳定。

简而言之，SASE的理念就是借助SD-WAN搭建起来的分布式云服务，将核心安全能力下沉到边缘进行处理，以满足业务快速安全的访问需求。

SASE区别于SD-WAN，并非着重于将分支机构连接到中央网络，而是专注于将各个端点（分支机构，移动终端）连接到服务边缘，服务边缘由运行SASE软件堆栈的分布式POP网络组成，此外SASE着重于固有的安全性。

SASE与SDWAN的差异主要在三类：与云的关系，安全性，如何进行流量检测。

与云的关系：SASE使用私有数据中心，公共云（公有云），或者托管设施作为pop（point of presense），这些pop形成了SASE堆栈运行的服务边缘。此外，这些pop通常位于公共云中，或者靠近公共云网关，以实现对云资源的低延迟安全访问。无论哪个节点都有足够的资源来满足用户的请求。SASE软件可以确定流量到达其端点使用的最/佳路径。

与SDWAN以数据中心为中心的架构不同，SASE采用的分布式架构。因为云服务被越来越多使用时，单一的私有数据中心作为网络焦点会导致效率低下。

安全性:安全是SASE和SDWAN竞争的关键因素。SASE的重点是为网络及其用户提供对分布式资源的安全访问，这些资源可以分布在私有数据中心，云上。SDWAN技术并不是以安全为重点，安全性通常是辅助功能。虽然一些SDWAN也集成了安全解决方案，但是这也只是少数。

流量检查：SASE中，流量一次可以被多个策略引擎检查，引擎并行工作，而不是在引擎之间传递流量，节约时间。SDWAN则采用服务链进行一个一个检查，效率比较低，而且容易形成单点故障。

总之，SASE专注于提供云原生安全工具，并以云为网络中心。SDWAN专注于将分支连接到中央总部和数据中心，当前也可以连接到云。

SASE将广域网功能和网络安全融合在一起，对于接入的终端设备，需要有agent来进行基于策略的访问控制，对于分支机构，需要本地部署的设备具备智能选路的功能。

SASE服务提供商一般在全球有多个POP节点，企业无需购买硬件（不需要购买安全硬件，但是本地需要部署SASE边缘连接器才能接入SASE服务），即可使用防火墙，终端安全，身份认证，上网行为管理服务，内网安全接入服务（云VPN），威胁检测等服务。这些安全服务都是部署在全球各地的POP节点上。分支机构，总部，移动终端通过POP节点后，再访问互联网，公有云，私有云等环境，保护企业的数据安全。

SASE是端到端安全，SASE平台上的所有通信都是加密的。包括解密，防火墙，URL过滤，反恶意软件等功能都被集成在SASE中，并且对所有连接的边缘都可用。

但是SASE的建设成本很高，不是一般组织能够承建的，有报告指出，为了实现低延迟随时随地访问云服务，承建企业需要具有全球POP点和对等连接的SASE产品。