SASE 什么是 SASE?
SASE 包括 SD-WAN、路由和 WAN 优化在内的全面 WAN 功能与云交付安全服务或 SSE(安全服务边缘)相结合,例如 SWG(安全 Web 网关)、CASB(云访问安全代理)和 ZTNA(零信任网络访问)。
现在的用户可能会从任何地方进行连接并访问云中敏感数据。在这样的情况下,SASE 便能够提供一种更安全、更灵活的连接方式,无需将应用的数据流回传到数据中心,而是将流量智能地引导到云中,并直接在云中执行高级安全检查。
SASE 能够应对如今的重大 IT 挑战,包括加速云迁移、更新改造老旧网络基础设施、支持混合办公,同时筑牢物联网设备带来的攻击面扩张防护屏障。它还能保护敏感数据免遭泄露和破坏,同时加强防御,抵御不断增加且日趋复杂的网络威胁。
阅读时长:9 分 14 秒 | 发布日期:2025 年 10 月 17 日
目录
SASE 的工作原理是什么?
SASE 将在分支机构部署的高级 SD-WAN 边缘与全面的云交付安全服务 (SSE) 相结合。
过去,所有来自分支机构地点的应用流量都会通过专用 MPLS 服务传到企业数据中心进行安全检查和验证。当应用完全托管在企业数据中心时,这种架构便可以满足需求。如今,更多应用和服务已迁移到云,传统的网络架构已然落后。因为互联网流量必须首先通过数据中心和公司防火墙才能到达目的地,所以应用性能和用户体验都会受到影响。
随着越来越多的远程工作者直接连接到云应用,仅依靠基于边界的传统安全机制已远远不够。通过使用 SASE 改造其广域网和安全架构,企业可以确保用户能够在多云环境下直接且安全地访问任何应用和服务,而无需考虑访问位置或用于访问的设备。
SASE 有哪些组件?
SASE 的主要组件是高级 SD-WAN 和全面的云交付安全(安全服务边缘或简称 SSE)。
全面启用 SASE 需要以下关键的高级 SD-WAN 功能:
- 与 SSE 解决方案无缝集成,用于形成统一且一致的 SASE 架构。
- 首包应用识别,用于基于安全策略将流量精确引导到 SSE。
- 最佳路径选择,利用 SD-WAN 路径多样性并自动选择最近的 SSE PoP(接入点)。
- 隧道绑定,用于组合多个链路并支持自动故障转移。
- WAN 优化和 FEC(前向纠错),用于克服广域网的延迟效应并减轻互联网和无线链路经常遭受数据包丢失和抖动所受的影响。
- 多云网络,用于提供与公有云和私有云的端到端连接。
- 具有高级安全功能的内置防火墙,这些功能例如 IDS/IPS、DDoS 保护和基于角色的分段,用于为分支机构提供高级威胁防护。
全面启用 SASE 需要以下关键 SSE 功能:
- ZTNA 或零信任网络接入:假设默认情况下不能信任任何用户,并支持最低权限访问。它为远程用户提供了安全访问。
- CASB 或 Cloud Access Security Broker:通过强制执行安全策略来保护云应用中的敏感数据。
- SWG 或安全 Web 网关:使用 URL 过滤和恶意代码检测等多种技术保护组织免受基于 Web 的威胁。
- 防火墙即服务或简称 FWaaS 提供云中防火墙功能,用于分析来自多个源的流量。
- 其他安全服务,如数据丢失防护 (DLP)、RBI(远程浏览器隔离)和沙盒。
SASE 有哪些优势?
SASE 不仅仅是最新的流行术语,SASE 架构可以让企业获得非常重要的业务优势。
- 增强安全性:随着组织转而采用云优先方法,SASE 在所有流量和位置上一致地执行安全策略,并在云端直接执行检查。以此保障远程访问安全,保护企业数据免受网络威胁,同时最大限度地减少攻击面,从而增强威胁检测和响应能力。
- 提高业务效率和客户满意度:借助 SASE,企业可以基于先进的 SD-WAN 功能简化网络基础设施。SASE 通过消除传统路由器网络的局限性和复杂性,引入了数字化转型所需的敏捷性,从而显著提高了应用的性能和可靠性。
- 零信任安全模型:SASE 采用零信任安全模型,要求在授予资源访问权限之前持续验证用户身份。在当今的威胁形势下,传统的安全模型已不足以防御复杂的网络威胁,零信任因此变得尤为重要。
- 简化管理和降低复杂性:SASE 简化了部署以及网络和安全管理。它将多个分散的网络和安全功能(如 SD-WAN、SWG、CASB 和 FWaaS)整合到单一平台中。这种融合减少了管理大量供应商特定硬件设备和点解决方案的需求。
SASE 如何保护云优先企业免受网络威胁?
随着网络威胁变得越来越复杂,员工团队变得越来越分散,企业开始转向 SASE 安全来保护其用户、数据和应用。通过融合先进的 SD-WAN 和云交付安全服务(如 ZTNA、SWG 和 CASB),SASE 提供了旨在降低复杂性和增强保护的统一架构。由于安全实施直接在云中进行,SASE 可确保一致的策略应用,减少回传延迟,并提供对应用的无缝安全访问,无论它们位于私有数据中心、公有云还是 SaaS 平台。
这些功能助力组织精准检测威胁,阻断其在网络中扎根蔓延。因此,保护用户身份、应用和基础设施变得更加容易。
SASE 架构可以降低云优先型组织的网络安全风险,最终提高安全性,同时降低复杂性并简化管理。
为何应考虑使用 SASE?
- 支持并保护混合办公:员工从任何地方、任何设备进行连接时,ZTNA 可确保对这些用户和设备强制实施一致的策略和访问控制。它支持最低权限访问,并确保默认情况下不信任任何用户。不同于广泛访问公司网络的 VPN,ZTNA 对用户进行限制,要求他们只能访问其已获批的特定应用或微段。
- 使用通用零信任网络接入 (ZTNA) 在所有地方强制执行零信任:通用零信任网络访问 (uZTNA) 通过集成 SASE 与 AI 驱动型 NAC 功能,将零信任原则扩展到本地位置和物联网设备。这种集成实现了对所有联网设备(包括物联网设备)的全面可见性和监控。借助基于身份的分段机制,通用 ZTNA 可精准管控访问权限,确保用户与设备仅能获取契合其角色的网络资源。该系统持续监控网络活动,可以实时调整访问权限,并快速检测可疑或恶意行为。
- 优化全球和分布式用户的性能:SASE 利用全球分布式云架构和边缘计算,使用户能够连接到最近的 PoP(接入点)。这可以降低延迟并优化应用性能,尤其对于远程用户而言。
- 采用云和 SaaS 应用:SASE 可直接、安全地访问云应用(例如 AWS、Microsoft 365、Salesforce),而无需通过集中式数据中心回传流量。它通过边缘计算和 SD-WAN 优化性能,同时提供 CASB 等安全服务来控制云应用的使用并保护数据。
- 保护用户免受网络威胁侵害:为了保护组织免受勒索软件和网络钓鱼等网络威胁,SWG 采用 URL 过滤、恶意代码检测和网络访问控制来监控和检查流量,同时制定限制访问特定类别网站的策略,这些类别包括成人内容、赌博平台以及已知会带来重大风险的网站。
- 安全访问 SaaS 应用:当用户可同时访问经批准与未批准的 SaaS 应用时,CASB(云访问安全代理)能够全面洞察这类操作、识别影子 IT 行为,并严格执行组织 SaaS 策略,从而保护敏感数据免受潜在泄露风险。
- 保护数据并提高合规性:除了 CASB 之外,SASE 还包含 DLP 功能,可以帮助组织监控用户活动并控制敏感数据的流动情况。其统一平台还简化了审计和报告流程,确保符合 GDPR、HIPAA 或 PCI-DSS 等法规。
- 连接并保护分支机构办公室:传统架构通常使用 MPLS 链路将分支机构连接到总部。在这种架构中,云通信必须回传到数据中心进行安全检查,这提高了延迟并因此影响了应用性能。借助作为 SASE 一部分的 SD-WAN,组织可以通过智能方法将流量直接从分支机构引导到云端,并采用一种强大而灵活的方式将分支机构办公室连接到总部。高级安全 SD-WAN 解决方案甚至可以用内置的下一代防火墙取代传统的分支防火墙,该下一代防火墙提供 IDS/IPS 和 DDoS 保护等功能。
什么是采用 AI 技术的统一 SASE?
采用 AI 技术的统一 SASE 平台简化了管理多个安全组件所带来的复杂性。这种集成式架构不仅简化了部署,还提供统一的安全策略、集中化的管理和一致的零信任访问。主要功能包括:
- 云原生架构和可扩展性:采用云原生架构设计,充分利用云计算的可扩展性和敏捷性。这种架构使组织能够根据流量需求动态分配资源,构建更高效、适应性更强的网络。
- 全球网络覆盖:通过地理上分散的接入点 (PoP) 提供全球网络覆盖,确保一致的性能和低延迟,无论用户身在何处。它简化了这些接入点的管理,消除了多供应商 SASE 方法所需的多个接入点。
- 统一策略管理:通过单一界面管理所有安全策略,在简化操作的同时降低复杂性,同时帮助组织有效地部署和实施一致的策略。
- 集中式用户界面、综合仪表板:使 IT 团队能够在集中式用户界面中管理所有网络和安全运营,同时更清晰全面地查看网络流量、安全事件和策略实施情况。它增强了报告功能,为组织提供了证明自己符合监管要求和行业标准的手段。
- 组合 SASE 功能:组织可以轻松组合多种 SASE 功能,以此增强其安全态势并一次性完成流量检查。SSL 检查仅执行一次,提高了性能并降低了复杂性。此外,通过将 SWG 和 CASB 与 DLP 相结合,组织可以更好地监控用户活动,保护敏感数据免遭泄露,同时更加精细地控制网络访问。
- AI 驱动型:凭借其 AI 功能,AI 驱动型统一 SASE 解决方案提高了对已连接用户和设备的可见性,并实现了自适应访问控制。它能够自动执行常见的故障排除活动并诊断常见的网络问题,同时进行预测性分析以预测未来的威胁和性能问题。
单一供应商还是多供应商 SASE?
网络和安全虽然密切相关,但却是两个截然不同且非常复杂的专业领域。安全技术需要迅速发展以确保抵御不断变化的网络安全风险,而广域网的宗旨则是提供快速、可靠且灵活的连接。只有将高级广域网边缘功能与全面 SSE(在云中提供的安全服务)相结合,才能真正实现 SASE 架构的强大功能。
选择单一还是多供应商解决方案因现有的安全性和 WAN 要求而异。在单一供应商 SASE 平台中,SSE 和 SD-WAN 紧密集成,这为组织提供了许多好处,包括更快的部署、集中管理、一致的安全策略以及无缝适应不断变化的威胁形势的能力。对于更青睐搭配使用 SASE 与指定安全服务或者与现有安全生态系统集成的组织,建议采用多供应商方法。在这种多供应商环境中,选择能够自动完成与第三方 SSE 解决方案的编排的 SD-WAN 至关重要,因为这样才能缩短部署时间并降低管理复杂性。
HPE 和 SASE
HPE 通过边缘到云的零信任框架加速了 SASE 的实现。与孤立的零信任产品不同,我们的统一平台将 SD-WAN、SSE 和 NAC 整合在一起,为每个用户和设备(无论是在本地还是远程)强制执行一致的策略。
SSE 产品组合提供 ZTNA、SWG、CASB 和 DLP,所有这些都通过单个界面进行管理;而我们的云原生 NAC 通过 AI 驱动型可观察性、身份验证和动态网络分段,将零信任扩展到所有设备(即使是未托管或物联网设备),从而在各种环境中实现安全访问和一致的执行。
我们的 AI 驱动型安全 SD-WAN 解决方案结合了隧道绑定、最佳路径选择、WAN 优化和多云网络等先进网络功能,以及内置安全功能,包括下一代防火墙、IDS/IPS、自适应 DDoS 防御、URL 过滤和基于角色的分段。它们可以与 SSE 原生集成,建立完整的统一 SASE 架构,也可以与第三方 SSE 合作伙伴集成,提供开放、灵活的方法。
常见问题
为什么 SASE 对于云优先战略至关重要?
采用云优先方法的组织不只是需要传统的网络和安全工具来满足不断变化的需求。SASE 通过为远程用户、分支机构和物联网设备提供安全、可靠和高性能的连接,在支持这一转型的过程中发挥着关键作用。通过集成零信任原则,SASE 可确保对应用的最小权限访问,并降低网络内未经授权的访问或横向移动的风险。SD-WAN 效率与云原生安全性的结合使 SASE 成为现代、可扩展且安全的企业网络的基础。
SASE 解决了哪些问题?
短短几年内,IT 行业格局发生了翻天覆地的变化。不久前,许多商业应用都存储在公司数据中心,员工都通过公司网络访问这些应用。在明确的边界内加强了安保措施。如今,随着云计算、物联网、移动办公和远程办公的普及,这种界限已经消失。安全和网络如今必须融合到统一的云交付架构中。
SASE 与 SSE 有何区别?
SASE 是一个综合框架,它将网络(例如 SD-WAN)和安全服务(例如 SWG、CASB、ZTNA)集中到一个云原生解决方案中,旨在安全地连接分布式用户、设备和位置。相比之下,SSE(安全服务边缘)是 SASE 的一个子集,它只专注于安全服务,而不包括网络方面,例如 SD-WAN。SSE 主要确保云服务、私有应用和互联网的访问安全,而网络管理和优化则由其他解决方案负责。从本质上讲,SASE 同时涵盖网络和安全,而 SSE 仅限于安全功能。
SASE 基于云吗?
是的,SASE 从设计之初就基于云端。它将网络和安全服务集成到统一的云原生平台。这种以云为中心的方法使 SASE 能够为拥有分布式员工队伍、多个分支机构和云环境的企业提供可扩展性、灵活性和集中化管理。
SASE 是否会阻止回传到数据中心?
是的,SASE 的一大优势在于减少了将流量回传到数据中心的需求,而这正是传统网络架构中常见的难题。减少回程链路可以减少网络中传输的冗余流量,从而释放带宽、降低延迟并提高整体网络效率。
SASE 如何提高远程工作安全性?
SASE 通过将网络和安全功能整合到云交付服务中,提高了远程办公的安全性。它利用 ZTNA 保护远程用户,验证只有经过身份验证的用户和设备才能访问应用。SWG 阻止恶意网站,而 CASB 执行 SaaS 策略。数据丢失防护 (DLP) 可保护敏感信息。通过将这些功能与 SD-WAN 集成,SASE 可从任何位置安全、无缝地访问应用,从而降低混合办公和远程工作者面临的风险。