选择统一 SASE 提供者：执行隔离因素

数据包级安全技术的共享流程

数据包级别的网络和安全技术（例如状态检测防火墙、IPSEC 和负载平衡）对每个数据包所需的 CPU 周期数提出了较低的计算要求。 此外，每个数据包的处理高度一致，简化了性能预测。

在当今的环境中，安全功能（例如，FWaaS）由服务提供商作为服务提供，服务提供商将这些功能部署在 Cloud/存在点（PoPs）。 为了满足多个租户的需求，底层安全技术实现利用了虚拟路由和转发 (VRF) 租赁模型。 在此模型下，来自多个租户的流量遍历相同的安全设备或容器/进程，有效解决与租户之间 IP 地址重叠相关的挑战。 租户流量通过隧道接口或其他机制进行识别，然后相应地应用为每个租户定制的特定配置，例如特定于租户的安全策略。

为了缓解任何潜在的“吵闹邻居”问题，在入口处针对每个租户应用数据包速率限制。 此策略保证每个租户的安全性能不会受到其他可能有问题的租户的活动的影响。 鉴于每个数据包处理的一致性，速率限制证明可以有效确保所有租户的公平处理待遇。

组织面临的另一个重大问题是，马里利用共享进程或容器中的漏洞可能导致敏感数据泄露。cio我们从其他租户那里收到的包裹。 安全服务提供商经常提出的一个论点是，基于每个数据包的处理非常简单，从而减少了漏洞和相应利用的可能性。 确实，包级安全技术更简单，而且这个论点有一定的道理。

前面提到的两个挑战，即“吵闹邻居”问题和“共享资源漏洞”，可能不会对利用共享进程的数据包级安全技术造成重大问题。 然而，我们相信这些挑战对于企业来说可能会更加明显和实质性。 SASE （安全访问服务边缘）或 SSE（安全服务边缘）安全技术。

区分 SASE/从包级安全技术和挑战看SSE安全

SASE/SSE（安全访问服务边缘/安全服务边缘）安全技术超越了传统的数据包级安全性，提供了一整套功能：

• 全面的安全功能： SASE/SSE 包含广泛的安全功能，包括 IDPS（入侵检测和预防）, DNS 安保行业, SWG（安全网络网关）、ZTNA（零信任网络访问）、 CASB (Cloud 访问安全代理）与 IP/URL/域/文件信誉防火墙、具有深度流量级属性的访问控制，例如 URI、请求标头、响应标头、反恶意软件和 DLP（数据泄漏防护）。 零信任网络 (ZTN) SASE/SSE 是基础，确保仅在用户身份验证和授权的情况下进行访问，在考虑身份和设备上下文的同时对应用程序资源进行精细控制。
• 深度内容检查： 核心 SASE/SSE安全在于深度内容检查。 利用代理管理客户端连接、启动服务器连接、解密流、从流量中提取相关数据、执行安全功能并防止恶意传输cio我们的内容。

现在，让我们深入研究一下两者之间的执行差异 SASE/SSE和数据包级安全技术：

• 从按数据包处理转变为基于会话的处理： 中的上下文 SASE/SSE，安全执行不再在每个数据包级别运行，而是在流量会话流级别运行。 与按数据包技术不同，使用的计算周期数存在变化。 SASE/SSE 跨租户安全处理，原因如下：
  • 应用于流量流的安全功能可能因租户而异。
  • 即使应用类似的安全功能，所交换的数据的性质也可能需要更密集的处理。 例如，考虑涉及反恶意软件和 DLP 的场景，这些场景需要从各种文件类型中提取文本、解压缩传输的文件、解压文件集合等。 某些租户可能会传输压缩文件，从而导致大量处理，影响其他租户的吞吐量和延迟。 特定租户产生的噪音，无论是由于感染还是重大事件期间的高业务流量，都可能影响其他租户的流量性能。
• 复杂的安全处理： SASE/SSE 安全处理本质上是复杂的，通常包含各种库，包括第三方和开源组件。 这些功能包括 OIDC (OpenID Connect) 客户端、Kerberos 客户端、用于身份验证的 SAMLv2 客户端、用于执行的复杂策略引擎、来自威胁情报提供商的 SDK、数据提取、JSON/XML 解码、base64 解码、数据解压缩引擎和文本提取通过 Tika 等开源项目以及反恶意软件和 DLP 等数据级安全性项目。 这种复杂性增加了潜在利用的攻击面。 虽然 SASE/SSE 提供商优先考虑快速解决漏洞，利用和解决之间可能存在时间差距。 当多个租户采用共享进程时，攻击者可能会利用漏洞并不仅从目标租户访问敏感信息，还从共享该执行上下文的所有租户的数据访问敏感信息。
• 自带安全功能： 而 SASE/SSE 服务提供了开箱即用的全面安全功能，它们还为组织提供了使用 Lua 模块或 WebAssembly (WASM) 模块引入自定义安全功能的灵活性。 然而，在这种情况下，共享流程带来了重大挑战，因为如果不仔细管理，它们可能会导致其他租户的数据泄露。 当采用共享流程时，解决这个问题会变得更加复杂，并且可能总是有潜在的方法来规避这些控制。

综上所述， SASE/SSE 安全性提供了超越数据包级安全性的全面安全框架，但它引入了与可变计算使用、复杂处理和共享资源相关的复杂性和挑战。 在此类环境中保持强大的安全性对于防范性能挑战以及数据泄露和隐私侵犯至关重要。

寻找 SASE/提供执行隔离的SSE解决方案

组织无疑重视背后的理由 SASE/SSE 提供商为多个租户采用共享流程。 这种方法有效地利用租户之间的计算资源，有助于可持续性和成本效益。 反过来，服务提供商可以将这些成本节省转嫁给他们的客户。

然而，某些行业领域不愿意接受与多租户架构和共享流程相关的安全风险。 一些组织可能预计未来需要采取更加规避风险的方法。 在这种情况下，组织应寻求 SASE/SSE 服务提供灵活性，为共享进程和专用进程/容器提供选项。

具有用于流量处理的专用进程/容器的专用执行上下文可以有效解决上一节中概述的挑战：

• 性能隔离：实现确定性性能变得可行，而无需担心破坏性的“吵闹租户”。 通过专用执行上下文，将专用计算资源分配给各个租户相对简单。 人们还可以配置来自嘈杂邻居的资源上限，耗尽计算节点中的所有资源。
• 安全隔离：专用的执行上下文可确保任何恶意软件cio美国意图或试图利用内部威胁 SASE对于选择专用执行上下文的租户来说，一个租户的/SSE服务不会导致数据泄露。
• 无忧“自带安全功能”：专用的执行上下文无疑可以确保 Lua 脚本/WASM 模块在专用进程中独占执行。 因此，任何处理或数据泄露的挑战都仅限于租户带来其自定义安全功能，如果服务提供商仅针对专用流程启用此功能，则可以在这方面为其他租户提供安心。

预测未来需求：机密计算的重要性

展望未来，一些组织越来越意识到机密计算日益增长的重要性。 这种意识在 TLS 检查和管理大量敏感数据（包括秘密和密码）的背景下尤其重要。 SASE/上交所服务。 一个反复出现的问题是，有权访问服务器基础设施的人员（包括服务提供商员工）可能会未经授权访问进程和容器的内存。 此外，即使攻击者设法利用服务器操作系统，也可能会破坏这些容器和进程的内存。 在多个存在点都提供服务的情况下，这种担忧变得更加明显（POPs）跨越不同国家，具有不同程度的法律定义和实施。

现代处理器，例如配备英特尔信任域扩展 (TDx) 的处理器，提供了用于可信执行的高级功能。 这些技术在确保即使基础设施管理员或具有更高权限的攻击者也无法破译内存内容方面发挥着至关重要的作用，因为它仍然由 TDx 硬件安全加密。

SASE与其他提供商相比，提供专用执行上下文的 /SSE 提供商更有能力提供这种基本的机密性功能。 因此，强烈建议组织考虑提供共享流程和专用执行上下文灵活性的提供商。 这种灵活性将有助于他们的风险缓解策略面向未来，并确保在不断变化的环境中实现最高水平的数据安全。

• CTO 见解博客

  Aryaka CTO 见解博客系列提供网络、安全和技术方面的思想领导力 SASE 主题。 为了 Aryaka 产品规格参考 Aryaka 数据表。