技术人员在数据中心环境的笔记本电脑上工作

安全接入服务边缘 (SASE)

SASE 包括一系列不断增加的云托管安全功能,有助于保护边缘网络,使企业能够实施集中的安全策略。

SASE 关键要点

  • SASE 是一种云托管安全框架,随着企业越来越多地分布在全球各地而兴起。

  • SASE 包括越来越多的安全功能,如下一代防火墙、安全网络网关和零信任网络访问,通过 SaaS 产品提供。

  • 英特尔® 解决方案通过广泛的高性能处理器、网络接口控制器(NIC)和可编程网络交换机为 SASE 提供支持。

author-image

作者

为什么选择 SASE

企业对云的需求日益增长,企业云网络也正在发生变革。远程办公 (WFH) 技术正在帮助企业提高弹性、效率和连接性,以抵御市场干扰。这种转变带来了软件定义广域网(SD-WAN)的普及,作为一种虚拟覆盖连接形式,SD-WAN 可帮助简化传统集线器模式下分支机构的接入和服务管理。

然而,SD-WAN 面临的挑战是复杂的安全边界,它跨越许多分布式架构和个人设备,试图通过企业网络使用云服务。由于对安全性更高的需求,SASE 正在兴起,并为 SD-WAN 带来了扩展的安全态势和云计算般的灵活性。企业可以充分实现云连接的优势,并确保 SASE 能够提供集中管理的安全功能,帮助强化端到端的网络。

SASE 的功能

SASE 仍处于新兴阶段,有一些既定的用例,还有更多的案例即将出现。SASE 的核心功能也被称为安全服务边缘(SSE)和广域网边缘 (WAN) 服务。SSE 包括防火墙即服务(FWaaS)、云访问安全代理(CASB)、安全 Web 网关(SWG)、远程浏览器隔离(RBI)和零信任网络访问(ZTNA)。广域网边缘 (WAN) 服务包括 SD-WAN、广域网边缘 (WAN) 优化、服务质量、路由和 CDN 缓存。

防火墙即服务 (FWaaS)

FWaaS 是一种云托管防火墙,可过滤进出企业网络的数据和流量。企业 IT 使用 FWaaS 建立规则,以接受良好流量并禁止数字威胁。

云访问安全代理 (CASB)

CASB 使企业 IT 能够在由许多架构、设备和工作负载组成的分布式环境中应用安全策略。通过单点协调,IT 部门可以管理整个企业网络对特定服务、应用程序和数据的访问。

安全 Web 网关 (SWG)

SWG 提供与企业内部内容安全网关相同的功能。当用户通过企业网络连接到互联网时,SWG 可启用 URL 过滤和 URL 威胁缓解功能,帮助防止恶意软件从受损网站和网络钓鱼链接中入侵。

零信任网络访问 (ZTNA)

ZTNA 的理念是不信任任何人。通过 ZTNA,每个连接都经过加密和验证,每个端点都交换加密密钥。

SASE 的优势

利用 SASE 的企业可从单一堆栈架构中获益,该架构可快速、自主、大规模地向远程用户和分支机构提供云访问。未来,SASE 框架将继续发展,变得更加智能、更加云原生。

网络性能

分支机构和远程员工可快速、直接地访问互联网和云应用程序。IT 部门可保持对策略和数据流的集中控制,而无需通过中央枢纽引导流量。

降低复杂性

SASE 使整个企业和远程员工实施安全策略变得更简单、更容易。IT 部门还可以将众多安全工具和功能整合到一个由他们直接控制的单一云托管层中。

威胁防护

支持 SDN 的功能(包括防火墙和 SWG)可提供强大的网络安全和云计算般的灵活性。分布式环境可以根据需要灵活地支持远程员工和全时工作,而不会因为全面加密而产生巨大的性能开销。

适合混合云和多云

SASE 基础设施可与云架构无缝集成,包括云服务提供商 (CSP) 实例。企业可依靠 SASE 以更高的透明度和控制力,帮助确保 CSP 环境中数据和工作负载的安全。

SASE 的部署

在 SASE 模型中,安全功能和 SD-WAN 流量的工作负载都托管在远程位置,通常是在主机代管或电信存在点 (POP) 设施中。主机代管指的是第三方数据中心的私有服务器,而 POP 指的是电信公司所属数据中心的私有服务器。SASE 也可以托管在公共云中。

SASE 功能本质上是软件定义的,依赖于与数据中心和云服务器技术相同的架构,并搭配软件供应商解决方案,以实现 FWaaS、CASB 和 SWG 等功能。

SD-WAN 与 SASE

SASE 通过在 SD-WAN 基础设施上端到端运行统一的安全框架来采用 SD-WAN。决策者不会选择其中一个,而是会部署一个完全集成的解决方案,将 SD-WAN 作为连接的基础,并通过 SASE 实现灵活的安全功能。

为什么选择英特尔® SASE

英特尔广泛的专业技术包括云技术,以及对数据中心服务器架构、企业工作站和嵌入式计算的深刻理解。这种全面性使企业能够以英特尔® 技术为基础,构建一个具有凝聚力的从边缘到云的基础设施。英特尔还与庞大的云服务提供商和软件供应商生态系统合作,优化英特尔® 硬件的性能,帮助确保企业客户从其 SASE 投资中获得最大价值。

英特尔® SASE 解决方案包括以下内容:
 

  • 英特尔® 至强® 可扩展处理器通过硬件支持的加密和人工智能加速,提供卓越的数据中心性能。
  • 英特尔® 至强® D 处理器为空间或功耗受限的环境提供片上系统 (SoC) 性能,是小型 SASE POP 位置或边缘 SD-WAN 部署的理想选择。
  • 英特尔® 处理器特定 SKU 中的硬件加速功能利用英特尔® AES-NI、英特尔® QuickAssist 技术(英特尔® QAT)、英特尔® 深度学习增强 (VNNI) 和英特尔® 软件防护扩展 (英特尔® SGX) 等特性提升了数据处理、人工智能和加密的性能。
  • 针对 Ubuntu 和 CentOS 等操作系统的英特尔® 发行版软件框架和精选解决方案与英特尔® 硬件搭配使用时,可提供优化的性能和较低的总体拥有成本。这些发行版包括 OpenSSL、DPDK、TensorFlow 和 PyTorch。
  • 英特尔® 以太网产品可提供高达 100GbE 的高带宽、低延迟连接。
  • 用于以太网交换机的英特尔® 智能架构处理器实现了可编程的信号和流量路由。
  • 英特尔® Smart Edge Open平台是用于构建边缘平台的软件工具包。它加快了边缘解决方案的开发速度,使网络功能与人工智能、媒体处理和安全工作负载同时承载,并提供针对常见用例优化的参考解决方案,由经过认证的 Kubernetes 云原生堆栈提供支持。

SASE 的未来

截至 2021 年,64% 的企业已经或计划以某种形式部署基于 SASE 的服务。1 企业目前所处的变化状态也为创新带来了巨大潜力。例如,SASE 即将整合恶意软件检测、事件日志关联和人工智能等端点安全功能。SASE 可以利用这些功能智能预测威胁,并自主调节网络流量。随着企业需求的发展,SASE 的功能和实施难度也将不断提高。

常见问题

SASE 或安全接入服务边缘,是一组不断增长的云托管功能,用于增强 SD-WAN 并帮助以更强大的方式确保企业网络的安全。虽然没有固定的定义,但 SASE 通常集成了防火墙即服务 (FWaaS)、云访问安全代理 (CASB)、安全网络网关(SWG) 和零信任网络访问 (ZTNA) 等关键功能。

SASE 的优势包括能够在企业网络中持续管理强大的安全框架,并最终实现企业分支机构和分布式员工对云应用程序和服务的快速、直接访问。