SASE:打造数据安全保障新模式

    在企业纷纷拥抱数字业务的过程中,由于边缘计算、云服务、混合网络的逐渐兴起,使得本就漏洞百出的传统网络安全架构更加岌岌可危,而且远远无法满足企业数字业务的需要。

伴随企业全球化发展,企业的数据中心不再是用户与设备访问需求的中心,SaaS 等大量基于云计算服务的部署,以及新兴的边缘计算平台,颠覆了以往的架构模式,使企业网络架构出现“内外翻转”的现象。与此同时,数字化转型需要随时随地访问应用和服务(很多应用于服务位于云端)传统的网络和网络安全体系架构无法满足数字业务的动态安全访问需求,SASE应运而生。

一、什么是“SASE” ?

SASE概念诞生于2019年,翻译为中文就是“安全访问服务边缘”,其融合了组网和安全服务能力,更加适应数据、应用和服务向云端迁移的趋势。全球最具权威的IT研究与顾问咨询公司,将其定义为:一种面向访问源而非数据中心,提供广域网组网和安全服务能力的技术框架。

根据Gartner的定义,SASE是一种新兴服务,它融合了网络即服务(Network-as-a-Service)和网络安全即服务(Network Security-as-a-Service)两大模型,作为一种新兴的网络安全框架,将软件定义广域网(Software Defined Wide Area Network, 简称SD-WAN)与网络安全功能(如SWG、CASB、FWaaS和ZTNA等)集成到一个统一的云原生的服务平台上。用户网络通过连接到最近的SASE 服务提供点(简称POP点)以访问业务资源,满足了企业的动态安全访问需求。

图片

SASE的核心理念是将广域网(WAN)技术与网络安全服务结合起来,形成一个统一的、云原生的服务平台。这种结合不仅简化了网络管理和安全策略的实施,也为分散的用户和设备提供了灵活、高效的访问途径。随着云计算和数字化协作的持续增长, SASE将在未来的企业IT架构中扮演越来越重要的角色。

二、SASE之于数据安全的意义

   如果您的数据知识存储在本地,存储中心就是数据中心。但是我们已进入了数字化转型的新纪元,现在越来越多企业把业务移到云上,传统意义上的数据中心已经不复存在。网络的边界已被无限扩展、数据无处不在。我们迫切需要一种全新的解决方案,既能为我们提供坚如磐石的安全保障,同时又拥有灵活高效的访问体验。这就是SASE的使命——Secure Access Service Edge。SASE不仅仅是一项技术,它是一场革命,是安全与高效连接的完美融合。它颠覆了传统安全架构的界限,将先进的安全措施和网络技术整合在一起,为我们的数据和应用创造了一个前所未有的防御堡垒。

SASE的价值:

1、极大简化安全投入

基于云提供一体化安全接入服务,如桌管、  EDR、DLP、下一代防火墙等,无需企业购买大量安全设备堆叠,极大简化安全架构,有效降低建设成本。

图片

2、随时随地安全访问

IT管理人员通过SAAS平台集中设置基于零信任访问策略,无论用户需要什么资源、处于何地,都可以统一地实施策略,就近访问控制,拥有相同的访问体验,无缝替代传统VPN。

图片

3、简化安全运维

SASE服务商提供托管式运维服务,将企业IT运维人员从繁杂的部署、监视、维护等事务中解放出来,以便执行更高级别的任务。

图片

SASE必须要具备哪些核心功能?

SASE是一种基于云的安全模型,它将软件定义的广域网与核心网络安全服务相结合,并在云边缘提供这些服务。SASE从概念提出到技术体系成熟完善,体现着网络与安全服务的不断融合。近年随着传统安全厂商、网络基础设施服务商开始提供各自的SASE解决方案,但是不是所有的“SASE”都能称之为SASE,真正的SASE必须具有五个功能模块:

1.SD-WAN:软件定义的广域网(SD-WAN)使组织能够在不借助硬件路由器或多协议标签交换(MPLS)电路的情况下建立私有企业网络。这种基于软件的虚拟体系结构为企业在创建和维护其网络基础设施时提供了更大的灵活性。

2.SWG:安全网关(SWG)通过从网络流量中过滤不需要的内容、阻止未经授权的用户行为以及强制执行公司安全策略来防止网络威胁和数据泄露。它通常包括URL过滤、反恶意软件检测和阻止以及应用程序控制等功能。

3.CASB:云访问安全代理(CASB)为云托管服务(如SaaS、IaaS和PaaS应用程序)执行多个安全功能。标准CASB通过访问控制和数据丢失防护来保护机密数据,揭示隐藏信息,并确保遵守数据隐私法规。

4.ZTNA:零信任网络访问(ZTNA)要求对每个受保护应用程序的每个用户进行实时验证,以保护内部资源并防止潜在的数据泄露。使用“零信任”方法,在对实体的身份进行身份验证之前,不会自动信任任何实体,即使它们已经位于专用网络的外围。

5.FWaaS:基于云的防火墙(FWaaS)通过一系列安全功能保护云基础设施和应用程序免受网络攻击,包括URL过滤、入侵预防和统一策略管理。

SASE的一体化优势有助于全方位保障数据安全

随着SAEA 的不断发展,不同组织的SASE实施可能会有差异。然而,与内部部署和混合网络安全配置相比,大多数SASE解决方案都有以下几个关键优势:

1.保护在任何地方工作的人员免受高级威胁:SASE可以阻止恶意软件下载;对传输过程中的流量进行加密,提高网络安全性,一旦遭受攻击可以将损失降到最低;消除网络、云、私有应用程序的安全漏洞;根据不同设备和人员的风险,控制可以访问的资源。

2.从客户端到云端,全程守护用户的数据安全:SASE平台基于统一的安全策略,使用企业级数据防泄漏技术,保护网络、云端、应用的数据安全传输和使用。

3.提高访问效率:在SASE云服务模型下,可以根据用户的位置为每个用户提供最佳的访问路径,提高传输效率。如果拿交通工具来比喻,传统的网络如果是火车,那么SD-WAN 就是飞机,从上海到北京,坐火车需要6个小时,而乘飞机只需要2个小时。

4.降低用户的成本:在SASE云服务模型下,用户购买安全设备的投入和运维的费用将大幅降低。比如,某公司有10个分公司,50个门店。传统模式下,每个门店需要购买一套安全设备,包含防火墙,IPS,安全网关等等。在SASE云服务模式下,只需要在每个POP点部署一套设备。

SASE不仅仅是一项技术,它是一场革命,是安全与高效连接的完美融合。它颠覆了传统安全架构的界限,将先进的安全措施和网络技术整合在一起,为我们的数据和应用创造了一个前所未有的防御堡垒。在SASE的保护下,无论用户身处何方,无论数据流向哪里,都能享受到最高级别的安全防护和最高效通畅的交互使用。

三、安全访问服务边缘解决方案

SASE用于从分布式云服务交付聚合的企业网络和安全服务,克服了分散集成和地理位置约束解决方案的成本、复杂性和刚性,当其与全球私有骨干网相结合时,还可以解决WAN和云连接方面的挑战。

当代现状与痛点

数据分散:数据分散在云上等多地,核心数据资产保护成难题,多地、多场景访问应用和数据,网络安全和便利性成两难。

风险难控:访问入口多而散,攻击暴露面大,难做统一的安全运维,应用认证各自为政,权限混乱,内部风险难控制。

访问速度慢:MPLS网络访问速度慢,尤其在跨国场景下,关键应用访问质量没有保障,宽带昂贵,难以持续升级宽带。

分支部署难:现有能力进行分支部署比较困难,目前现有的IT运维能力跟不上。

应用场景

01大型机构

----跨国界安全可信互联

----转控分离

----多暴露面收敛

----外网攻击面管理

----积极主动防御

----全剧态势感知

02中型机构

----分支局点安全建设上移

----安全服务按需订阅

----可信赖的安全防护

----实时监控与应急响应

03小型机构

----互联网安全访问服务

----安全顺畅的移动办公

----在家SOHO

----基础安全合规

核心收益

节省预算降低TCO

相比传统的安全建设模式,按需获取、一站交付的云安全服务大幅降低了安全的整体拥有成本。

弹性扩容资产保值

安全专线服务平台基于SaaS软件及服务交付,按需部署、按需拓容,避免资产浪费,更保值。

网安一体简化运维

云上模块免运维,专属原厂技服实时响应,全自动软件及特征库升级的服务平台,对于IT部的运维压力、使用性都有很大的便捷。

结语

近几年Gartner所提的新兴技术大多都涵盖到SASE架构中。Gartner预计,到2024年,将有40%的企业采用SASE基础架构。SASE的出现,颠覆了以往的网络和网络安全体系架构,未来的安全是厂商合作为主,相互补足,最后形成一个集成大多数厂商安全能力的整体安全防护平台,从而为数据安全提供更加坚实、全面的保障。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/551600.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

socket编程——tcp

在我这篇博客:网络——socket编程中介绍了关于socket编程的一些必要的知识,以及介绍了使用套接字在udp协议下如何通信,这篇博客中,我将会介绍如何使用套接字以及tcp协议进行网络通信。 1. 前置准备 在进行编写代码之前&#xff…

Docker部署Prometheus+AlertManager实现邮件告警

文章目录 一、环境准备1、硬件准备(虚拟机)2、关闭防火墙,selinux3、所有主机安装docker 二、配置Prometheus1、docker启动Prometheus 三、添加监控节点1、docker启动node-exporter 四、Prometheus配置node-exporter1、修改prometheus.yml配置…

Docker构建Golang项目常见问题

Docker构建Golang项目常见问题 1 dockerfile报错:failed to read expected number of bytes: unexpected EOF2 go mod tidy: go.mod file indicates go 1.21, but maximum supported version is 1.17 1 dockerfile报错:failed to read expected number o…

鸿蒙语言TypeScript学习第18天:【泛型】

1、TypeScript 泛型 泛型(Generics)是一种编程语言特性,允许在定义函数、类、接口等时使用占位符来表示类型,而不是具体的类型。 泛型是一种在编写可重用、灵活且类型安全的代码时非常有用的功能。 使用泛型的主要目的是为了处…

【Linux】详解如何利用共享内存实现进程间通信

一、共享内存(Shared Memory)的认识 共享内存(Shared Memory)是多进程间共享的一部分物理内存。它允许多个进程访问同一块内存空间,从而在不同进程之间共享和传递数据。这种方式常常用于加速进程间的通信,因…

JS打包工具 Vite

Vite是 JS 新一代的打包的工具,它所解决的问题,是前端打包慢的问题,随着前端应用复杂度越来越大,项目文件越来越多,通常项目中都是使用 Webpack 进行打包,Webpack是个静态的打包工具,每次改动都…

9.Jetson AGX Orin protobuf验证

Jetson AGX Orin protobuf验证 前提已经安装好grpc 1:进入目录grpc/examples/cpp/helloworld下编译 make如果出现错误,protoc: Command not found。 进入/usr/local/bin与/usr/local/lib 均没发现protoc与libprotobuf。原来/grpc/third_party/protob…

C语言【指针】

1. 基本语法 1.1 指针变量的定义和使用(重点) 指针是一种数据类型,指针变量指向谁 就把谁的地址赋值给指针变量 1.2 通过指针间接修改变量的值 指针变量指向谁 就把谁的地址赋值给指针变量 可以通过 *指针变量 间接修改变量的值 1.3 const修饰的指针变量 语法…

C语言 【函数】

1.函数概述 函数是一种可重用的代码块&#xff0c;用于执行特定任务或完成特定功能 函数作用&#xff1a;对具备相同逻辑的代码进行封装&#xff0c;提高代码的编写效率&#xff0c;实现对代码的重用 2. 函数的使用 2.1 无参无返回值 #include <stdio.h>// 函数名…

【AAAI2024】点云的自适应邻域提取

论文标题&#xff1a;Point Deformable Network with Enhanced Normal Embedding for Point Cloud Analysis 论文地址&#xff1a;https://ojs.aaai.org/index.php/AAAI/article/view/28497 两个创新点&#xff1a;可变邻域法向量提取 一、由固定邻居变为可变的邻域 二、最小二…

让一个元素在网页上跟随网页窗口大小变化始终保持上下左右居中

废话少说&#xff0c;直接上代码&#xff0c;懂的都懂&#xff1a; <!DOCTYPE html> <html style"font-size: 100px;"> <head><meta http-equiv"Content-Type" content"text/html;charsetUTF-8"><style type"te…

搭建第一个Web服务器(在eclipse或idea上部署Tomcat服务器)

&#x1f4bb;博主现有专栏&#xff1a; C51单片机&#xff08;STC89C516&#xff09;&#xff0c;c语言&#xff0c;c&#xff0c;离散数学&#xff0c;算法设计与分析&#xff0c;数据结构&#xff0c;Python&#xff0c;Java基础&#xff0c;MySQL&#xff0c;linux&#xf…

开关电源测试流程有哪些?如何让测试更简单?

NSAT-8000电源综合测试系统适用于AC-DC、DC-DC电源模块的研发和产线测试&#xff0c;为电源模块测试提供自动化测试方案。用该系统测试开关电源&#xff0c;只需以下操作即可完成&#xff1a; 1. 登录测试系统 2. 在方案运行界面找到已搭建好的开关电源测试方案&#xff0c;点击…

Learn SRP 02

3.Editor Rendering 3.1Drawing Legacy Shaders 因为我们的管线只支持无光照的着色过程&#xff0c;使用其他不同的着色过程的对象是不能被渲染的&#xff0c;他们被标记为不可见。尽管这是正确的&#xff0c;但是它还是隐藏了场景中一些使用错误着色器的对象。所以让我们来渲…

java -spring 图灵 03 各种核心组件

01.BeanDefinition 表示Bean定义&#xff0c;BeanDefinition中存在很多属性用来描述一个Bean的特点。比如&#xff1a; class&#xff0c;表示Bean类型 scope&#xff0c;表示Bean作用域&#xff0c;单例或原型等 lazyInit&#xff1a;表示Bean是否是懒加载 initMethodName&am…

postman 调试 传base64字符串 原来选xml

上个图 工具类 package org.springblade.common.utils;import com.alibaba.fastjson.JSONObject; import org.springblade.modules.tc.mas.Submit;import java.io.BufferedReader; import java.io.InputStream; import java.io.InputStreamReader; import java.io.OutputStrea…

用示例说明序列化和反序列化

用示例说明序列化和反序列化 序列化和反序列化是将数据结构或对象转换为可存储或传输的格式&#xff0c;以便在需要时重新构建原始数据结构或对象的过程。常见的序列化格式包括 JSON、XML 和 Pickle。 序列化&#xff08;Serialization&#xff09;&#xff1a; 在计算机科学…

嵌入式中C++指针使用方法总结

各位开发者大家好,在分享指针之前,先来看一下int *p[3]和int (*p)[3] 的区别。 int *p[3] p是一个数组,此数组有3个元素,每个元素都是int*类型,也就是指向整型数据的指针类型。 int a=10,b=20,c=30; int*p[3]={&a,&b,&c}; 而int(*p)[3]中的p是一个指向数组的…

吐槽一下腾讯云TKE原生节点的降本增效

背景 作为一个10年腾讯云用户我本来是不想吐槽的&#xff0c;往常有问题都是第一时间在用户反馈群里面吐槽一下&#xff0c;这次我是忍不了吐槽了起因就是下面这种图&#xff1a; 恩 tke节点的新建&#xff0c;现在默认首个是原生节点&#xff0c;对没有看错&#xff0c;可以…

操作系统安全

操作系统属于软件安全的范畴。 什么是操作系统&#xff1f; 操作系统是硬件和软件应用程序之间接口的程序模块&#xff0c;是计算机资源的管理者。操作系统是保证安全的重要基础。 一、操作系统安全基础 操作系统保护的对象 操作系统的安全功能 用户认证存储器保护文件与I/O设…