本文分享自天翼云开发者社区《浅谈基于SASE的安全云服务》,作者:姚****亮

SASE(secure access service edge安全访问服务边缘):是一种安全框架,结合了软件定义广域网 (SD-WAN) ,零信任等网络安全技术的的分布式安全解决方案。

从技术而言,SASE其实是一种基于实体的身份(实体的身份识别可以包括人、组织、设备、应用、服务、IOT 系统或者边缘计算位置等等),结合实时上下文(这些上下文来源包括:用户使用的设备身份、日期、风险/信任评估、场地、正在访问的应用或数据的灵敏度)、企业安全/合规策略,在整个会话中持续评估风险/信任的服务。

企业之所以这么重视SASE,还因为它的“安全”功能。SASE的核心是身份,它是基于身份的访问决策。再具体点讲,SASE所提到的“身份”包括登录账户、所在的位置、设备、时间等多个因素,即身份是访问决策的中心,而不再是企业数据中心。

而且,SASE最终目标就是使得企业能够更加容易实现安全的云环境。通过将所有的安全设备包括Web 安全网关、云访问安全代理、DNS、零信任网络访问、防火墙等部署在云端,以一个安全的全球SD-WAN(软件定义广域网)服务进行统一管理,统一运维,从而降低网络安全的复杂性。

例如,无论在传统办公、远程办公等办公场景下,还是在业务防护场景下,SASE都可以通过多种方式将要防护的流量引导到距离最终实体位置最近的POP 点(接入点)上做安全策略处理,实现企业安全办公、业务安全,保护企业数据资产安全,且不影响办公效率。

SASE的核心是身份,即身份是访问决策的中心,这个和零信任架构也比较相似。用户,设备,服务的身份是策略中最重要的上下文因素之一,其他因素还包括访问地点,时间等。

SASE体系架构由两个核心组件组成:SASE云充当网络和安全功能的聚合器。SASE边缘连接器将流量从物理,云和设备边缘驱动到SASE云处理。

POP结构:核心云网络,由地理上分布的POPS组成,每个POP运行多个服务器,在所有流量上应用路由,加密,优化,高/级安全服务。

POPS的设计日志为了处理大量的流量,通过扩展服务器可以扩展处理能力。

如果POP服务器失效,则受影响边缘自动重新连接到同一个POP的可用服务器,如果一个POP完全失效,受影响边缘将连接到最近可用的POP。无论企业资源连接到哪个POP,云始终维护一个一致的逻辑企业网络,POP内置抗DDOS,深度包检测,TLS检测,以提高POP节点的安全和稳定。

简而言之,SASE的理念就是借助SD-WAN搭建起来的分布式云服务,将核心安全能力下沉到边缘进行处理,以满足业务快速安全的访问需求。

SASE区别于SD-WAN,并非着重于将分支机构连接到中央网络,而是专注于将各个端点(分支机构,移动终端)连接到服务边缘,服务边缘由运行SASE软件堆栈的分布式POP网络组成,此外SASE着重于固有的安全性。

SASE与SDWAN的差异主要在三类:与云的关系,安全性,如何进行流量检测。

与云的关系:SASE使用私有数据中心,公共云(公有云),或者托管设施作为pop(point of presense),这些pop形成了SASE堆栈运行的服务边缘。此外,这些pop通常位于公共云中,或者靠近公共云网关,以实现对云资源的低延迟安全访问。无论哪个节点都有足够的资源来满足用户的请求。SASE软件可以确定流量到达其端点使用的最/佳路径。

与SDWAN以数据中心为中心的架构不同,SASE采用的分布式架构。因为云服务被越来越多使用时,单一的私有数据中心作为网络焦点会导致效率低下。

安全性:安全是SASE和SDWAN竞争的关键因素。SASE的重点是为网络及其用户提供对分布式资源的安全访问,这些资源可以分布在私有数据中心,云上。SDWAN技术并不是以安全为重点,安全性通常是辅助功能。虽然一些SDWAN也集成了安全解决方案,但是这也只是少数。

流量检查:SASE中,流量一次可以被多个策略引擎检查,引擎并行工作,而不是在引擎之间传递流量,节约时间。SDWAN则采用服务链进行一个一个检查,效率比较低,而且容易形成单点故障。

总之,SASE专注于提供云原生安全工具,并以云为网络中心。SDWAN专注于将分支连接到中央总部和数据中心,当前也可以连接到云。

SASE将广域网功能和网络安全融合在一起,对于接入的终端设备,需要有agent来进行基于策略的访问控制,对于分支机构,需要本地部署的设备具备智能选路的功能。

SASE服务提供商一般在全球有多个POP节点,企业无需购买硬件(不需要购买安全硬件,但是本地需要部署SASE边缘连接器才能接入SASE服务),即可使用防火墙,终端安全,身份认证,上网行为管理服务,内网安全接入服务(云VPN),威胁检测等服务。这些安全服务都是部署在全球各地的POP节点上。分支机构,总部,移动终端通过POP节点后,再访问互联网,公有云,私有云等环境,保护企业的数据安全。

SASE是端到端安全,SASE平台上的所有通信都是加密的。包括解密,防火墙,URL过滤,反恶意软件等功能都被集成在SASE中,并且对所有连接的边缘都可用。

但是SASE的建设成本很高,不是一般组织能够承建的,有报告指出,为了实现低延迟随时随地访问云服务,承建企业需要具有全球POP点和对等连接的SASE产品。

浅谈基于SASE的安全云服务的更多相关文章

  1. SAAS云平台搭建札记: (一) 浅论SAAS多租户自助云服务平台的产品、服务和订单

    最近在做一个多租户的云SAAS软件自助服务平台,途中遇到很多问题,我会将一些心得.体会逐渐分享出来,和大家一起探讨.这是本系列的第一篇文章. 大家知道,要做一个全自助服务的SAAS云平台是比较复杂的, ...

  2. 基于小米即时消息云服务(MIMC)的Web IM

    michat 一个基于小米即时消息云服务(MIMC)的Web IM. 源码地址github和gitee同步. 截图展示 如何使用 请先双击目录"需要安装的jars"的install ...

  3. 浅谈基于Linux的Redis环境搭建

    本篇文章主要讲解基于Linux环境的Redis服务搭建,Redis服务配置.客户端访问和防火强配置等技术,适合具有一定Linux基础和Redis基础的读者阅读. 一  Redis服务搭建 1.在根路径 ...

  4. 基于CentOS搭建私有云服务

    系统版本:CentOS 7.2 64 位操作系统 部署 XAMPP 服务 下载 XAMPP(XAMPP 是个集成了多个组件的开发环境,包括 Apache + MariaDB + PHP + Perl. ...

  5. 也谈---基于 HTTP 长连接的“服务(转载)

    这里指讨论基于HTTP的推技术, 诸如flash,applet之类的东西不作分析, 他们就不能说是"纯粹"的浏览器应用了. 首先是一点背景知识, 大家都知道长连接避免了tcp连接的 ...

  6. 浅谈基于WOPI协议实现跨浏览器的Office在线编辑解决方案

    如今,基于Web版的Office 在线预览与编辑功能已成为一种趋势,而关于该技术的实现却成为了国内大部份公司的技术挑战,挑战主要存在于两方面: 其一:目前国内乃至微软本身,还没有相对较为完善的解决方案 ...

  7. 浅谈基于Prism的软件系统的架构设计

    很早就想写这么一篇文章来对近几年使用Prism框架来设计软件来做一次深入的分析了,但直到最近才开始整理,说到软件系统的设计这里面有太多的学问,只有经过大量的探索才能够设计出好的软件产品,就本人的理解, ...

  8. 浅谈基于FormsAuthentication的认证

    一般情况下,在我们做访问权限管理的时候,会把用户的正确登录后的基本信息保存在Session中,以后用户每次请求页面或接口数据的时候,拿到 Session中存储的用户基本信息,查看比较他有没有登录和能否 ...

  9. 软件安全测试新武器 ——浅谈基于Dynamic Taint Propagation的测试技术

    软件安全测试是保证软件能够安全使用的最主要的手段,如何进行高效的安全测试成为业界关注的话题.多年的安全测试经验告诉我们,做好软件安全测试的必要条件是:一是充分了解软件安全漏洞,二是拥有高效的软件安全测 ...

  10. 浅谈SpringCloud (一) 什么是微服务和不使用SpringCloud怎么访问服务提供者

    微服务和SpringCloud介绍 1.什么是微服务? 看过一遍介绍的很清楚的博客:https://blog.csdn.net/wuxiaobingandbob/article/details/786 ...

随机推荐

  1. Python中dict支持多个key的方法

    在Python中,字典(dict)是一种非常强大的数据结构,它允许我们通过键(key)来存储和检索值(value).有时候,我们可能想要根据多个键来检索或操作字典中的数据.虽然Python的字典不直接 ...

  2. vue-elementui中el-table跨页选择和v-if导致列错乱/选择框无法显示

    在vue-elementui中使用el-table,当type="selection"的时候,分页数据进行不同页跳转选择 需要这种功能的时候我们需要在el-table的标签上为每个 ...

  3. LinkedHashMap源码分析(基于JDK1.6)

    LinkedHashMap类似于HashMap,但是迭代遍历它时,取得"键值对"的顺序是插入次序,或者是最近最少使用(LRU)的次序.只比HashMap慢一点:而在迭代访问时反而更 ...

  4. FreeRTOS-Error: ..\FreeRTOS\portable\RVDS\ARM_CM4F\port.c, 271

    任务运行时间API函数的应用 当使用任务运行时间API函数打印任务运行时间等相关信息是,串口打印出现这个问题 网上是这么说的 但是运行每个任务都可以执行进去,循序时间API函数也可以执行进去,就是无法 ...

  5. 分布式对象存储之FDFS

    1.它是一个开源的分布式文件系统,它对文件进行管理. 功能有:文件存储.文件同步.文件访问(文件的上传下载)等.特别适合以文件为主的在线服务. 2.fastDFS服务端有两个角色:跟踪器(tracke ...

  6. 《Django 5 By Example》阅读笔记:p521-p542

    <Django 5 By Example>学习第 18 天,p521-p542 总结,总计 22 页. 一.技术总结 1.django-parler django-parler 用于 mo ...

  7. docker直接运行vue3源代码npm run dev

    ​有套代码,需要在服务器直接run dev,docker build玩起来. 步骤: 将自己的代码上传到服务器,本例:/home/flow/ruoyi-ui cd到项目根目录 ruoyi-ui,新建D ...

  8. 还在为入门鸿蒙效率慢而困惑?不妨试试开发学习神器 - AI辅助编程

    鸿蒙应用开发从入门到入行 鸿蒙开发神器 - AI辅助编程 CodeGenie介绍 目前有好几款AI插件可以装到DevEco上,出名的例如Copilot.通义灵码等.但是经过猫林老师截至到目前的测试.都 ...

  9. 小程序 + node koa2 session存储验证码碰到最大的坑,(喜极而泣 /狗头)

    问题:session存验证码.本地拿postman测试了半天,都没有问题.   但到了小程序,服务端再获取(ctx.session.verifyCode)就一直提示不存在.undefined 小程序会 ...

  10. 金Gien乐道 | 10月热点回顾

    ​ 收获之秋,中电金信Q4开篇捷报不断 ​ Q4开篇,中电金信迎来多个捷报.公司与青岛财通集团联合打造的核心业务系统(一体化业务平台)一期项目顺利投产上线并平稳运行:中标华南某全国性股份制商业银行新一 ...