• 首頁
  • 最新消息
  • No.018 解讀 Gartner 定義的 SASE (Secure Access Service Edge),讓安全防護無所不在

電子報

No.018 解讀 Gartner 定義的 SASE (Secure Access Service Edge),讓安全防護無所不在

四, 02/16/2023 - 17:05


COVID-19疫情的大流行加快了混合式辦公的普及,因此現有的網路方法和技術不再提供數位企業所需的安全層級和存取控制。這些企業需要任何位置的使用者立即獲得不中斷的存取權限。隨著遠端使用者和軟體即服務 (SaaS) 應用程式增加,資料從資料中心轉移到雲端服務,而且流向公有雲服務和分公司的流量比流回資料中心的流量更多,因此需要網路安全的新方法。採用安全存取服務邊緣(SASE, Security Access Service Edge)架構,將可幫助企業更有效管理安全戰略,根據國際研究暨顧問機構Gartner的預測,到2024年,至少將有40%的企業制定採用SASE。

什麼是SASE

根據 Gartner 的說法,「SASE 功能是根據實體的身分、企業安全性/合規性政策以及在整個工作階段中對風險/信任進行的持續評估而提供的服務。實體的身分可以與人員、人員群組 (分公司)、裝置、應用程式、服務、IoT 系統或邊緣運算位置相關聯」。SASE 可以更好地控制和查看存取公司網路的用戶、流量和資料 — 這對於現代的全球分散式組織來說至關重要。使用SASE 建構的網路靈活且可擴展,能夠通過任何設備連接分佈於全球的員工和辦公室。

SASE 包含哪些安全功能

SASE 將軟體定義的 SD-WAN 功能與大量網路安全功能相結合,所有這些功能均由單一雲平台提供。通過這種方式,SASE 使員工能夠從任何地方進行身份驗證並安全地連接到內部資源,並使組織能夠更好地控制進出其內部網路的流量和資料。

SASE 包括四個核心安全組件

組件1:網頁安全閘道器 (SWG)

SWG (Secure Web Gateway) 透過從Web 流量中過濾不需要的內容、阻止未經授權的用戶行為以及執行公司資安政策來防止網路威脅和資料洩露。 SWG 可以部署在任何地方,使其成為保護遠端用戶的理想選擇。

組件2:雲端存取資安代理 (CASB)

CASB (Cloud Access Security Broker) 可幫助組織控制 SaaS 應用,比如保護存取許可權、消除 ShadowIT 挑戰。CASB 與本地 DLP 結合使用才可實現全面的資料外洩防護。

組件3:零信任網路存取 (ZTNA)

主要用於識別使用者和設備,並對存取的用戶進行身份驗證。 ZTNA 更多的部份是一種策略,而不是產品,它包含了多種協同工作的技術,排在第一位的就是識別所有使用者身份的多因子身份驗證 (MFA)。 在實體方面,ZTNA 應支援安全網路存取控制 (NAC)、存取策略執行以及與動態網路區隔功能的整合,從而限制連網資源的訪問。 在雲方面,ZTNA 應支援微分段以及流量檢查等功能,以保護使用者之間的東西向通訊,並確保了連網和離線設備始終安全。

組件4:防火牆即服務 (FWaaS)

FWaaS 是指從雲端作為服務提供的防火牆。 FWaaS 保護基於雲端平台、基礎設施和應用程式免受網路攻擊。 與傳統防火牆不同,FWaaS 不是實體設備,而是一組安全功能,包括URL 過濾、入侵防禦和跨所有網路流量的統一策略管理。

依據供應商和企業的需求,這些核心組件可能與其他安全服務捆綁在一起,包括Web 應用程式和API保護 (WAAP)、遠端瀏覽器隔離 (RBI) 或Wi-Fi 熱點保護。

SASE 框架有哪些優點?

與傳統以資料中心為主的網路安全架構相比,SASE 具有以下多項優勢!

基於身份的零信任網路存取

SASE 在很大程度上依賴於零信任安全架構,該架構不會授予用戶存取應用程式和資料的權限,直到他們的身份得到驗證 — 即使他們已經在專用網路的邊界內。在建立存取策略時,SASE 不僅僅考慮實體的身份;它還考慮了用戶位置、一天中的時間、企業安全標準、合規策略以及對風險/信任的持續評估等因素。

阻止對網路基礎設施的攻擊

SASE 的防火牆和CASB 組件有助於防止外部攻擊(如DDoS 攻擊和漏洞利用)進入並破壞內部資源。 SASE 可以保護本地網路和雲端網路。

防止惡意活動

透過過濾URL、DNS 查詢和其他傳出和傳入的網路流量,SASE 有助於防止基於惡意軟體的攻擊、資料洩露和對公司資料的其他威脅。

簡化部署和管理

SASE 將單點安全解決方案合併到一個雲端的服務中,使企業能夠接觸更少的供應商,並花費更少的時間、金錢和內部資源來配置實體基礎設施。

降低網路延遲

SASE 透過在全球邊緣網路中優化網路路由來減少延遲,讓流量盡可能在靠近用戶的地方進行處理。路由優化可以依據網路擁塞和其他因素決定最快的網路路徑。

總體來說,實施 SASE 歸根究柢是為了在任何邊緣與任何地方安全連接和存取關鍵資源。 SASE 近期的市場發展令人振奮,這反映了實施安全驅動型網路方法的必要性。 在雲端連接和數位創新的時代,網路與安全必須相互融合,過時的孤島式架構已經一去不復返了。