和...之间的不同 SASE, 统一 SASE 和通用 SASE

什么是 SASE?
SASE （安全访问服务边缘）由 Gartner 定义。 网络安全功能并不新鲜，而且 SD-WAN 对于这个行业来说并不新鲜。 SASE 将它们作为 cloud 服务。 简单的说， SASE 结合 SD-WAN，网络安全功能并将它们作为 cloud 服务。

SD-WAN 提供商为 Ent 提供确定性且可靠的连接erp通过地理分布式 PoP 基础设施在不同地点设立多个办事处的情况日益增多。 SD-WAN 服务还提供 VPN基于安全的远程访问 将 WFH（在家工作）和漫游用户连接到 Enterp上升网络。 许多 SD-WAN 服务还包括基本的安全组件，例如防火墙和 NAT。

结合威胁防护功能 – 下一代防火墙、反恶意软件、 URL 过滤和数据丢失防护功能可保护各种 Enterp增加资产 SD-WAN 提供多种好处 至耳鼻喉科erp上升。 优点包括网络基础设施不太复杂，随着耳鼻喉科的变化更快地启动/关闭erp上升地点, cloud 服务， SaaS 服务、分布式劳动力以及随着耳鼻喉科负载的增加而更快地扩展erp上升应用程序。 耳鼻喉科erpRise 管理员还看到了用于策略管理和可观察性的单一管理平台。 网络和安全的分布式执行点为用户和应用程序提供一致和确定的体验，无论他们身在何处。

什么 SASE 构成？
下图提供了综合视图 SASE. SASE 服务位于客户端实体和 Ent 之间erp增加应用程序/数据资产。 客户端可以是人类客户端、设备和程序。 客户可以在任何地方。 耳鼻喉科erp数字化转型带来的应用和数据不仅限于耳鼻喉科erp增加本地部署地点和 Colos。 耳鼻喉科erp崛起正在多个地区和多个地方部署应用程序 cloud出于弹性、冗余、低延迟和监管原因。 耳鼻喉科erp上升也越来越多地使用 SaaS 服务也部署在多个地点。 由于任何地方的客户和任何地方的服务， SASE 服务也作为分布式服务提供，但当然具有公共管理平面。

的主要组成部分 SASE 是：

SD-WAN:  SD-WAN 通过多种方式在办公室和数据中心之间提供安全、优化、确定性、可靠的连接 PoPs 与中央管理。 SD-WAN 服务变得更加智能。 它们不再具有相关的基本功能 MPLS 替代品，还提供用户和应用程序感知的路由/QoS, SaaS 通过智能路由加速， WAN 优化和缓存以低延迟访问冗余数据，甚至基本安全服务，如 NAT、防火墙和 VPN.

下一代防火墙（NGFW)：它是任何类型访问的基础安全技术。 它通常提供NAT、状态检测和IDS/IPS（入侵检测和防御系统）服务。 为了满足零信任要求， NGFW in SASE 架构 预计将支持身份识别访问功能。

零信任网络访问 (ZTNA)：ZTNA 功能保护 Enterp上升应用程序和相关数据。 SD-WAN 服务具有基本的 ZTNA 功能 VPN 和状态检查防火墙。 这不足以称之为 ZTNA SASE 建筑学。 ZTNA 功能包括身份感知应用程序访问、基于用户角色的应用程序细粒度访问（以解决“最小权限访问”原则）、跨应用程序多个实例的流量工程 cloud和数据中心、关键服务的特权访问管理等等。 差异化的 ZTNA 框架通过 WAF（Web 应用程序防火墙）、API 安全性、DLP（数据丢失防护）和反恶意软件功能进行了增强，可实现威胁防护并阻止任何数据泄露尝试。

Cloud 访问安全代理（CASB):  CASB 功能保护耳鼻喉科erp上升数据 SaaS 通过确保真正的用户访问允许的资源来提供服务。 更重要的是，它提供了正在访问的用户和资源的可见性。 CASB还有助于阻止未经批准的访问 SaaS 网站。 自从 CASB它们还可以识别任何影子 IT 访问，并识别企业帐户和个人帐户之间是否存在任何数据泄露。 一些 SaaS 供应商不推荐内联安全。 满足 Ent 的安全要求erp为这些而上涨 SaaS 服务，API 级别 CASB预计将出现在 SASE 解决方案。 API级 CASB一起工作 SaaS 提供商 API 可自动执行权限并扫描内容以查找任何恶意软件和数据（敏感、PII）泄漏。

安全Web网关（SWG）：SWG 功能保护 Enterp在访问互联网的同时增加客户资产。 它可以阻止用户访问托管恶意软件的不良网站和窃取密码的社交工程网站。 它还阻止用户下载或上传恶意软件内容。 SWG 通过包括 URL 恶意软件过滤和反恶意软件功能。 SWG 还提供基于身份的 URL 过滤功能可根据用户组/角色提供对互联网服务的差异化访问。

统一 SASE
多种安全功能的真正融合 SD-WAN 对于耳鼻喉科来说至关重要erp上升以获得全部好处 SASE.  SASE 解决方案最初是作为多个安全功能的松散耦合而开始的 SD-WAN 基础设施。 虽然耳鼻喉科erp上升看到一个供应商的所有功能 SASE，这种分解的解决方案方法（“分解 SASE”) 几乎没有什么挑战：

• 多个策略配置仪表板：这可能会导致重复配置和陡峭的学习曲线，从而导致配置错误。
• 多个可观察性堆栈：缺乏端到端可观察性和相关性可能会导致错过事件和事件响应缓慢。
• 代理链接的性能挑战：流量中的多个代理可能会导致多个代理 TCP/TLS 终止、身份验证和多跳。 这可能会导致更高的延迟和更低的吞吐量，从而影响用户体验。
• 多个性能挑战 PoPs：安全功能和 SD-WAN 在各种各样 PoPs 可能会导致流量发生 PoP 跳变，从而由于 PoP 跳变带来的更高延迟而导致用户体验问题。

统一 SASE 是与解决上述挑战的提供商相关的术语。 统一 SASE 使

• 真正的单一管理平台，可实现配置和可观察性
• 通用网络/服务/应用程序/用户对象 SD-WAN 功能和安全功能。
• 给定的流量会话仅经过一个 PoP SD-WAN 功能和安全功能。
• 仅检查一次 TLS 流量。
• 给定会话的单通道架构 SD-WAN 和安全功能。
• 减少攻击面 SASE 本身

从而有利于耳鼻喉科erp随着更好的用户体验、更低的成本和更高的信任度而上升。

了解这一点也很重要 SASE 提供商可能无法自行开发所有安全功能。 技术合作伙伴关系至关重要，因为一些供应商专注于少数安全功能。 这是 SASE 提供商与合作伙伴深度技术合作，全面打造解决方案，实现“统一” SASE' 想象。

普遍 SASE
的“边缘”部分 SASE 是一组 PoP 位置 SASE 提供者或一组多个 PoPs/Cloud的各种安全功能提供商的 SASE。 它是一种分布式架构，这意味着 PoPs 分布在全球各地并且 SASE 每个 PoP 中部署的功能使得 SASE 分散式。

话虽如此，方法 SASE 今天交付的内容并不能很好地覆盖所有流量会话。 它涵盖了正在经过的交通流量 WAN 客户端与 Internet 和 Ent 之间erp资源上升得很好。 想想这些交通流量。 这些都没有解决 SASE 提供商很好。

• 当客户端实体和应用程序服务实体位于同一数据中心/VPC 中时进行流量会话。
• Kubernetes 集群内跨微服务的流量会话。
• 跨VPC的流量 cloud 提供者 WAN 服务。
• 来自 5G 移动用户和边缘应用程序的流量会话。

网络自动化和安全实施要么由其他机制负责，要么流量被固定到 SASE PoPs。 在第一种情况下，一致性会丢失，而在第二种情况下，可能会出现用户体验挑战。

因此需要通用 SASE. SASE 服务不应仅限于 PoP 位置。 耳鼻喉科erp上升期望以统一的方式为所有流量会话提供通用网络和安全服务。 普遍的 SASE 需要启用 cloud- 原生分布式数据平面 cloud-交付的管理和可观察平台。

概要：
SASE 旅程始于 2019 年。虽然是“第一代” SASE 开始是松散耦合的 SD-WAN 和安全功能，这一旅程将导致统一和通用 SASE 为耳鼻喉科实现真正的零信任架构erp分布式劳动力和分布式应用程序部署的兴起。

我们在 Aryaka 正在这段旅程中。 请与我们联系 如果你想了解更多

更多资讯

Dell’Oro Group 报告：统一 SASE：单一供应商的注意事项 SASE

• CTO 见解博客

  Aryaka CTO 见解博客系列提供网络、安全和技术方面的思想领导力 SASE 主题。 为了 Aryaka 产品规格参考 Aryaka 数据表。