SASE的五大核心安全能力有哪些？

今天我们来好好聊聊SASE的核心安全能力。2019年Gartner在《网络安全的未来在云端》报告中首次提出SASE这一概念，将其定义为一种基于实体的身份、实时上下文、企业安全或合规策略，以及在整个会话中持续评估风险或信任的服务。

SASE融合了网络即服务（Network-as-a-Service）和网络安全即服务（Network Security-as-a-Service）两大模型，作为一种新兴的网络安全框架，SASE将软件定义广域网（Software Defined Wide Area Network, SD-WAN）与网络安全功能集成到一个统一的云平台上，用户网络连接到最近的SASE PoP 点以访问内部数据，满足了企业的动态安全访问需求。

Gartner《网络安全的未来在云端》报告

从上面的示意图，我们可以明确知道，SASE不是一个单一技术，而是一整套解决方案，涵盖网络接入能力和网络安全能力，其中包括软件定义广域网（SD-WAN）、零信任网络访问（Zero Trust Network Access, ZTNA）、防火墙即服务（Firewall-as-a-Service, FWaaS）、安全Web网关（Secure Web Gateway, SWG）、云访问安全代理（Cloud Access Security Broker, CASB）。下面我们将逐一介绍这些核心能力的含义和作用。

网络接入能力

软件定义广域网（SD-WAN）

① 定义/原理：

SD-WAN是指软件定义广域网，是将SDN（软件定义网络）技术应用到广域网场景中的一种服务。SASE融合了SD-WAN与云交付安全功能，在SD-WAN网络的基础上，增加了更高的安全能力。

② 特性/能力:

SD-WAN为SASE解决方案提供网络接入的基础，可以将数据中心、企业总部、企业分支机构、云服务等多种终端接入到SASE网关，在服务边缘进行一致的安全性检验。

SD-WAN将数据处理和安全能力下沉到网络边缘，能够快速地编排、调度，及时发现网络威胁并响应，实现动态安全保障。

SD-WAN可根据线路状态和应用类型来分配传输路径和优先级，智能选路，整体优化网络质量。

③ 优势/客户收益：

SD-WAN提供更优秀的网络性能、云应用性能和可靠性，同时减少了网络连接成本。此外，还能对网络流量进行可视化管理。

网络安全能力

• 零信任网络访问（ZTNA）

① 定义/原理：

零信任网络访问（ZTNA）是一种安全模型，基于零信任策略，对网络访问进行动态身份验证和授权，只允许授权的用户或设备访问企业应用，实现最小权限访问原则。

② 特性/能力：

按照最小基于用户身份、设备状态和上下文的访问授权和控制，可以有效防止未经授权的访问和数据泄露。

实现应用层面的访问控制，保障应用的安全和可靠性。

实现网络隔离和数据加密，保障网络资源和数据的安全性。

③ 优势/客户收益：

ZTNA可视为SSL VPN、IPSec VPN的替代品，适合任何地方的用户。

在设备级别管理远程用户，有效保护远程或在家工作的用户。

降低网络攻击和来自受损用户设备的勒索软件的风险，防止未经授权的访问。

• 防火墙即服务（FWaaS）

① 定义/原理：

防火墙即服务（FWaaS）是一种基于云的安全解决方案，提供防火墙和其他网络安全功能。它将安全策略和威胁检测功能部署在云端，而非使用传统的网络边界防火墙。

② 特性/能力：

云中的集中式虚拟防火墙，将安全检查转移到云架构中，实现物理设备和安全功能的分离。

保护用户的应用程序服务器和网络免受外部威胁。

对网络流量进行实时过滤和检测，监控网络活动，防范网络威胁和攻击。

③ 优势/客户收益：

增强了可管理性、灵活性和可扩展性。

降低了网络安全风险和管理成本。

缩短部署准备时间，提高网络性能和用户体验。

• 安全Web网关（SWG）

① 定义/原理：

安全Web网关（SWG）是一种Web安全解决方案，可以保护企业内部网络访问互联时免受恶意软件、网络钓鱼和其他网络安全威胁的攻击。SWG位于企业网络和互联网之间，监测和控制网络流量。

② 特性/能力：

利用URL过滤，对Web应用的流量进行实时过滤和检测，防范Web应用的安全威胁和攻击。

监控网络行为，实现对Web应用的访问控制和数据加密。

具备数据泄露防护（Data Loss Prevention, DLP）功能。

③ 优势/客户收益：

通过屏蔽与工作无关的网站来提高生产力。

保护最终用户免受恶意软件、病毒、网络钓鱼电子邮件/网站等互联网威胁。

可透过用户活动日志来确保适当的用户行为。

• 云访问安全代理（CASB）

① 定义/原理：

云访问安全代理（CASB）是一种部署在云服务使用者和云服务提供者之间的安全策略执行点，用于保护企业数据在云端存储和使用时的安全性，检测和防止未经授权的访问、数据泄露和其他网络安全威胁。

② 特性/能力：

CASB是云和用户之间的安全网关，可以解决用户使用云服务时的安全漏洞。

对云应用的访问进行实时监测，防范未经授权的访问和数据泄露。

实现对云应用的数据保护和威胁检测，保障企业云应用的安全和可靠性。

提供可见的集中展示视图，追溯用户从任何设备或位置访问云服务中的数据。

③ 优势/客户收益：

提升用户（用户ID）和应用程序（应用程序ID）的级别控制。

保护敏感数据不被泄露。

协调公司安全合规性。

总的来说，SASE是网络接入能力和网络安全能力的融合，并统一在云端管理和交付，从而满足企业的动态安全访问需求。软件定义广域网（SD-WAN）、零信任网络访问（ZTNA）、防火墙即服务（FWaaS）、安全Web网关（SWG）、云访问安全代理（CASB）这五大核心能力可以帮助企业保护网络资源和数据安全，降低安全风险和管理成本，提高企业网络安全防护能力。

SASE的五大核心能力基于国际统一技术标准提出，而香港电讯为企业提供更适合中国市场的本地化Managed SASE服务，严格符合中国本地的法律法规要求。香港电讯Managed SASE服务是整合了香港电讯SD-WAN骨干网络与Palo Alto Network最佳的Prisma Access云端交付安全平台，并采用零信任网络访问（ZTNA）策略，针对易受攻击的在家办公及遥距用户，提供基于身份的高度保护，避免一些能绕过传统安全边界的进阶网路攻击。

HKT Managed SASE服务优势有哪些？

▶NaaS(网络即服务)和SaaS(安全即服务)融合，简化网络及安全部署难度，且集中可视化管理，从而降低风险及运营成本

▶全球丰富的SASE节点覆盖，配合企业数字业务快速发展步伐

▶云交付安全方案，具备高灵活性和可扩展性，安全有效地增强云端访问速度

▶拥有多年全球业务经验，能在不同的环境保持统一国际级的服务水平