SASE的主要组件是什么?

SASE所依据的四个因素

控制用户会话访问资源或应用程序的安全策略与用户的位置分离, 设备和资源, 而是基于四个因素:

1. 的 身份 请求访问的实体
2. 会话 上下文 (例如, 用户和/或设备的健康状况和行为, 或被访问资源的敏感性)
3. 安全性与合规性 政策 在每个特定情况下授予访问权限
4. 持续分析和 风险评估 每节课

SASE连接织物

SASE提供了SDP客户端和服务边缘之间的安全连接结构, 包括公有云和私有云, 数据中心, 私营企业和政府网络, 互联网, 大办公室, 分支办公室, 家庭办公室, 移动或临时站点, 移动用户, 随时工作(WFA)用户, 移动设备, BYOD, 物联网, 场内和场外的位置.

SASE基于个人的身份断言访问, 设备, 应用程序, 或者服务和它们相互连接的上下文. SASE为WFA用户提供对所有应用程序和数据的访问, 无论用户位于何处或他们之间的传输技术, 或者是交通网络的所有权.

软件定义广域网 (SD-WAN)

安全SD-WAN技术通过在客户端到云的网络架构中实现最佳性能和智能路由，构成了SASE解决方案的基础. 主要功能包括:

• 确保进出匝道的交通
• Multicloud连接
• 嵌入式UTM安全特性
• 利用基于互联网的主干
• 来自任何地方的流量路由
• DIA，直接云接入，智能流量引导
• 路径选择优化一致的用户体验
• 内联加密
• 先进的路由和动态路径选择
• 应用感知和流量分类
• 全球分布式网关
• 延迟的优化
• 自修复网络能力

防火墙:NGFW和FWaaS (firewall as-a- service)

基于云技术的NGFW(下一代防火墙)是一种可扩展的防火墙, 应用程序感知软件解决方案，允许企业消除基于设备的遗留解决方案的挑战, 提供全套UTM功能. NGFW解决方案超越了有状态防火墙，提供高级威胁防护等特性, Web和网络可见性, 威胁情报, 以及访问控制. 对于NGFW的部署，企业至少应该做好如下准备:

• 用户和应用程序访问控制
• 入侵检测与防御
• 高级恶意软件检测
• 威胁和网络情报
• 自动化和编排

安全网络网关(SWG)

SWG保护WFA用户和设备免受来自互联网的威胁，方法是保护上网用户设备不受不需要的软件或恶意软件的感染，并执行公司和监管政策的合规性. SWG包括:

• 执行互联网安全和合规政策
• 过滤恶意互联网流量与UTM功能，如URL过滤, 杀毒, 反恶意软件, IDS / IPS, 零日攻击预防, 钓鱼保护等
• 应用程序识别和控制功能
• 数据丢失/泄漏预防(DLP)功能
• 远程浏览器隔离(印度储备银行)扫描用户会话的风险, 允许用户安全地浏览当今的威胁景观. 有风险的网站在远程浏览器上呈现, 而经过消毒的页面(主要是图像文件)则在用户浏览器上呈现. 印度储备银行允许匿名浏览和无风险地开放访问互联网网站.

swg可以实现为本地硬件, 虚拟设备, 云计算服务, 或者在混合模式下，即内部部署和云计算相结合.

云访问安全代理(CASB)

CASB提供产品和服务，以解决组织使用云服务时的安全缺陷. 它满足了用户越来越多地采用的安全云服务的需求, 在不断增长的直接云对云访问部署中. CASB为跨用户和设备的多个云服务的并发策略和治理提供了一个中心位置，并提供了粒度可见性, 控制, 用户活动和敏感数据.

CASB提供五个关键的安全功能:

• 云应用发现
• 数据安全
• 自适应访问控制
• 恶意软件检测
• 用户和实体行为分析(UEBA)，基于进出云服务流量的不寻常行为模式提供策略实施

casb可以是内部部署的安全策略实施点，也可以是基于云的安全策略实施点, 放置在云服务消费者和云服务提供商之间，以便在访问基于云的数据或应用程序时注入企业安全策略.

零信任网络接入(ZTNA)

ZTNA是一个技术协同工作的框架, 基于什么都不可信的前提:用户不可信, 设备, data, 工作负载, 位置或网络. ZTNA在SASE解决方案中的主要功能是向应用程序验证用户. 高级上下文和基于角色的标识, 结合多因素身份验证(MFA), 对于确保用户和设备的访问安全至关重要, 用于网络上和网络外访问.

ZTNA实现有两种通用模型:

客户端发起的ZTNA

安装在设备上的软件代理将其安全上下文和凭据发送到SDP控制器进行身份验证. 该模式适用于托管设备.

Service-initiated ZTNA

与应用程序一起安装的SDP(或ZTNA)连接器建立并维护到云提供程序的出站连接. 用户需要向提供者进行身份验证才能访问受保护的应用程序. 此模型适用于非托管设备，因为在终端设备上不需要特殊的软件.