Secure Access Service Edge (SASE)

Secure Access Service Edge, or SASE, is an emerging cybersecurity concept. In this video, you understand how the key capabilities of SASE address the demands of growing network sprawl and the challenges of digitally transforming your business.

Versa for Work-From-Home

Versa has made it simple for organizations to offer Secure SD-WAN for Work-From-Home users on home appliances or working from anywhere.

 
 
Top Energy Firm Achieves Comprehensive “Work-From-Anywhere” with Versa SASE

A large, publicly traded energy company operating in all areas of the oil and gas industry has dramatically simplified their network stack and realized huge cost savings with Versa SASE.

 
Availability and Buying Options in the Emerging SASE Market

EMA evaluates the different SASE vendors and their approaches to architecture, go-to-market, and support for their cloud-delivered and hybrid services.

 
Versa Networks - Explained in 1 minute

Learn about the Versa Secure SD-WAN solution in a high-level, one minute overview.

Versa SASE (Secure Access Service Edge)

SASE is the simplest, most scalable way to continuously secure and connect the millions points of access in and out of the corporate resources regardless of location.

 
Versa Secure SD-WAN – Simple, Secure, and Reliable Branch to Multi-Cloud Connectivity

Versa Secure SD-WAN is a single software platform that offers multi-layered security and enables multi-cloud connectivity for Enterprises.

SASE 架构简介


SASE 将网络和安全功能融合到一个单一服务云原生架构中,将安全重点从以流量为中心转移到以身份为中心。SASE 包含一整套技术,这些技术将安全性嵌入到全球网络结构中,因此无论用户身在何处、正在访问的应用程序或资源在哪里,或者连接用户和资源的传输技术组合如何,它都始终可用。

SASE 基于用户身份和上下文实现直接且无处不在的客户端到云安全性,并与最佳客户端到云 WAN 路由完全集成。这可实现灵活且可扩展的网络架构,该架构可沿着软件定义边界 (SDP) 边缘提供嵌入式安全性和最佳性能。

SASE 身份架构
SASE – 网络收敛与反演和安全 架构

高级别 SASE 架构


在 SASE 架构的 Gartner 表示中,SASE 的核心包括:

  1. 用户、设备、应用程序和资源,以及
  2. 控制它们之间的访问权限的身份、风险、角色、配置文件、特权和策略

围绕这一核心的是外部 SASE 层,它包含安全连接核心实体(即软件定义边界 (SDP))所需的所有安全和网络技术。SDP 跟踪核心实体之间的瞬时连接,而不是遵循与固定位置、地理、实际网络区域、IP 地址或建筑物一致的传统网络架构的硬边界。

定义和保护 SDP 的过程涉及到五个 SASE 组件:这些组件在需要时参与连接(如 NGFW、SWG 或 CASB),或者是 SASE 结构不可或缺的基本功能(如 SD-WAN 和 ZTNA)。

  • Secure SD-WAN
  • 安全 Web 网关 (SWG)
  • 云访问安全代理 (CASB)
  • 零信任网络访问 (ZTNA)
  • 防火墙:NGFW 和防火墙即服务 (FWaaS)

SD-WAN 架构

SD-WAN 架构支持组织利用直接的互联网连接来实现客户端到云的工作流程。


传统 WAN 架构
传统 WAN 架构

传统 WAN 架构纯粹将互联网(如果该架构使用互联网)用作外部用户和总部或数据中心位置之间的点对点连接,该连接受到 VPN 技术保护。总部或数据中心中应用了安全性和策略,流量从其中路由到云目的地。这一设计会出现延迟,且可扩展性不足。

SD-WAN 架构
SD-WAN 架构

SD-WAN 架构基于软件定义网络 (SDN) 原则,将互联网作为网状骨干传输,任何随处办公 (WFA) 用户都可平等且直接访问数据中心或云目的地。这一设计最大限度地减少了延迟并优化了可扩展性,但需要 SASE 在这种自由连接的环境中实现安全性,在这种环境中,“本地部署”和“外部部署”这两个术语已经失去了意义。

SDP 架构

SDP 概念借鉴了 2007 年国防信息系统局 (DISA) 的模型,该模型将连接限制为需要了解的人,而不是信任网络固定边界内的所有内容。2013 年,云安全联盟 (CSA) 的 SDP 工作小组开始推广 SDP 以创建高度安全、可信的端到端网络,供不同企业使用,同时结合了以下内容:

  • 来自国家标准技术局 (NIST) 的标准
  • 零信任原则,可促进主机之间的安全访问,而无论其位于何处

SDN 架构的一项根本属性是控制、数据和管理面板分离。这种分离允许同时控制网络中的 SD-WAN 和 SDP 控制平面,进而允许在同一软件控制组件中实施 SD-WAN 和 SD 安全性。

软件定义边界架构

SWG 架构

SWG 可保护企业和用户免受恶意网络 流量的访问和感染,以及防止其被包含恶意软件或病毒的被劫持网站感染。

SWG 可基于用户、设备和位置背景信息评估应用程序策略,并仅在策略根据身份背景信息允许请求的情况下授予访问权限。

防火墙
基于每个数据包作出决定
不终止,
仅数据流扫描
SWG - 代理
在作出决定前接收来自客户端的完整要求
会话终止,
策略执行

CASB 架构

CASB 提供了一个中央位置,跨多个云服务为用户和设备提供并行策略和管理,同时提供对用户活动和敏感数据的细粒度可见性和控制权。CASB 有两个部署选项,即 API 模式和代理 模式。

API 模式
代理模式

ZTNA 架构

ZTNA 是 SDP 架构的基础。ZTNA  的本质是不信任任何内容,基于身份和背景信息验证每一次访问尝试。ZTNA 在 SASE 架构中的主要功能是将高级背景信息和基于角色的身份与多因素身份验证  (MFA) 结合使用,对应用程序的用户进行身份验证。

免费电子书

SASE
For Dummies

了解 SASE 的业务和技术背景,包括最佳实践、实际客户部署以及为启用 SASE 的组织带来的好处。