Secure Access Service Edge (SASE)

Secure Access Service Edge, or SASE, is an emerging cybersecurity concept. In this video, you understand how the key capabilities of SASE address the demands of growing network sprawl and the challenges of digitally transforming your business.

Versa for Work-From-Home

Versa has made it simple for organizations to offer Secure SD-WAN for Work-From-Home users on home appliances or working from anywhere.

 
 
Top Energy Firm Achieves Comprehensive “Work-From-Anywhere” with Versa SASE

A large, publicly traded energy company operating in all areas of the oil and gas industry has dramatically simplified their network stack and realized huge cost savings with Versa SASE.

 
Availability and Buying Options in the Emerging SASE Market

EMA evaluates the different SASE vendors and their approaches to architecture, go-to-market, and support for their cloud-delivered and hybrid services.

 
Versa Networks - Explained in 1 minute

Learn about the Versa Secure SD-WAN solution in a high-level, one minute overview.

Versa SASE (Secure Access Service Edge)

SASE is the simplest, most scalable way to continuously secure and connect the millions points of access in and out of the corporate resources regardless of location.

 
Versa Secure SD-WAN – Simple, Secure, and Reliable Branch to Multi-Cloud Connectivity

Versa Secure SD-WAN is a single software platform that offers multi-layered security and enables multi-cloud connectivity for Enterprises.



SASE 的主要组件有哪些?

SASE 以云原生方式将 SD-WAN 网络和嵌入式安全功能结合起来,将安全重点从以流量为中心转移到以身份为中心。

过去的网络架构设计有特定的网络策略实施点和强制路由流量,通过这些点来执行安全检查,而这一设计通常会造成非常低效的聚合点和瓶颈。SASE 的方法则完全相反,它将安全实施放置在流量所在的位置 - 客户端和应用程序的端点,以及沿着已经建立的最有效路径战略性地放置网关和代理。

SASE 基于用户身份和上下文实现直接且无处不在的客户端到云安全性,并与最佳客户端到云 WAN 路由完全集成。这可实现灵活且可扩展的网络架构,该架构可沿着软件定义边界 (SDP) 边缘提供嵌入式安全性和最佳性能。

SASE 基于四大因素

管理用户访问资源和应用程序的会话的安全策略与用户、设备和资源的位置分离,改为基于以下四个因素:

  1. 请求访问的实体的身份
  2. 会话背景信息(例如,用户和/或设备的健康状况和行为,或者要访问的资源的敏感性)
  3. 在每种特定情况下授予访问权限的安全和合规性策略
  4. 对每个会话持续进行分析和风险评估

SASE 连接结构

SASE 在 SDP 客户端和服务边缘之间提供安全的连接结构,包括公共云和私有云、数据中心、私营企业和政府网络、互联网、大办公室、分支机构、家庭办公室、移动或临时站点、移动用户、随处办公 (WFA) 用户、移动设备、BYOD、IoT、本地和外部部署位置。

SASE 依据个人、设备、应用程序或服务的身份以及他(它)们相互连接的背景信息来判定访问权限。SASE 为 WFA 用户提供对所有应用程序和数据的访问权限,而无论该用户位于何处,他(它)们之间采用哪种传输技术,或者传输网络为谁所有。

SASE 的功能和属性

领先的 SASE 解决方案是纯软件驱动的解决方案,具有以下特性:


身份
  • 每个会话基于身份的访问
  • 对每次访问尝试进行企业级身份验证
架构和传输
  • 云原生架构
  • 支持沿 SDP 的所有边缘类型
  • 传输独立性:任何可用的有线、无线或移动数据互联网访问
  • 具有优化路由路径智能的全球分布式 SD-WAN 足迹
  • 支持安全的客户端到云连接
  • 加密流量分析
  • 具有嵌入式安全性的全球分布式网关和代理,可与企业身份验证方法无缝集成
  • 多租户隔离
  • 对所有资源和资产微观分段的访问 
策略驱动
  • 对所有用户、设备和资源实行零信任方法,而无论其位于何处
  • 无论用户在哪里、使用什么设备、访问什么资产或资产位于何处,都会对每个会话执行分布式且一致的公司安全策略
  • 最低权限、需要了解、应用程序感知的访问
编排和可见性
  • 启用持续诊断和缓解 (CDM)
  • 持续评估和监控风险与信任
  • 利用机器学习和人工智能 (ML/AI) 的高级分析与风险评估
  • 对用户、应用程序和风险的全面可见性和控制

SASE 的组件

SASE 将网络和安全功能融合到单一服务云原生模型中,且包含多个不同的组件。

SASE 不是一项技术;它是一整套技术,这些技术将安全性嵌入到全球网络结构中,因此无论用户身在何处、正在访问的应用程序或资源在哪里,或者连接用户和资源的传输技术组合如何,它都始终可用。 


软件定义 WAN (SD-WAN)

Secure SD-WAN 技术通过在客户端到云网络架构中实现最佳性能和智能路由,构成了 SASE 解决方案的基础。主要功能包括:

  • 保护入口和出口的流量
  • 多云连接
  • 嵌入式 UTM 安全功能
  • 利用基于互联网的主干网
  • 从任何位置路由流量
  • DIA、直接云访问和智能流量控制
  • 路径选择,以优化一致的用户体验
  • 内联加密
  • 高级路由和动态路径选择
  • 应用程序感知和流量分类
  • 全球分布式网关
  • 延迟优化
  • 自我修复网络功能

防火墙:NGFW 和防火墙即服务 (FWaaS)

基于云的下一代防火墙 (NGFW) 是可扩展、应用程序感知型软件解决方案,允许企业消除基于设备的传统解决方案的挑战,提供一整套 UTM 功能。NGFW 解决方案可提供高级威胁防护、Web 和网络可见性、威胁情报和访问控制等功能,比有状态的防火墙更胜一筹。组织至少应期待其 NGFW 部署提供以下功能:

  • 用户和应用程序访问控制
  • 入侵检测和预防
  • 高级恶意软件检测
  • 威胁和网络情报
  • 自动化和编排

安全 Web 网关 (SWG)

SWG 可保护网上冲浪用户设备免受垃圾软件或恶意软件的感染,并强制执行公司和监管政策合规性,从而保护 WFA 用户和设备免受来自互联网的威胁。SWG 包括:

  • 实施互联网安全和合规策略
  • 使用 UTM 功能筛选恶意互联网流量,如 URL 筛选、防病毒程序、反恶意软件、IDS/IPS、零日攻击预防、网络钓鱼防护等
  • 应用程序识别和控制功能
  • 数据丢失/泄露防护 (DLP) 功能
  • 远程浏览器隔离 (RBI),以扫描用户会话是否存在风险,允许用户在如今险恶的威胁格局中安全前行。有风险的网站在远程浏览器上呈现,而经过净化的页面(主要作为图像文件)在用户浏览器上呈现。RBI 允许匿名浏览和无风险开放访问互联网网站。

SWG 可以作为本地硬件、虚拟设备、基于云的服务实施或以混合模式同时在本地和云中实施。

云访问安全代理 (CASB)

CASB 提供产品和服务以解决使用云服务的组织中的安全缺口。随着越来越多的用户采用云服务,以及越来越多的用户部署直接的云到云访问,该解决方案可满足用户保护云服务的需求。CASB 提供了一个中央位置,跨多个云服务为用户和设备提供并行策略和管理,同时提供对用户活动和敏感数据的细粒度可见性和控制权。

CASB 提供五大关键安全功能:

  • 云应用程序发现
  • 数据安全性
  • 自适应访问控制
  • 恶意软件检测
  • 用户和实体行为分析 (User and Entity Behavior Analytics, UEBA),该功能基于往来云服务的流量的异常行为模式实施策略

CASB 可以是本地或基于云的安全策略实施点,放置在云服务消费者和云服务提供商之间,以在访问基于云的数据或应用程序时注入企业安全策略。

零信任网络访问 (ZTNA)

ZTNA 是多种技术共同工作的框架,其前提是不信任任何内容:不信任任何用户、设备、数据、工作负载、位置或网络。ZTNA 在 SASE 解决方案内的主要功能是对访问应用程序的用户进行身份验证。高级背景信息和基于角色的身份与多因素身份验证 (MFA) 相结合,对于保护用户和设备的访问(无论是在网络上还是网络外访问)至关重要。

ZTNA 实施有两种一般模型:

客户端发起的 ZTNA

安装在设备上的软件代理将其安全背景信息和凭据发送到 SDP 控制器以进行身份验证。此模型适合受管理的设备。

服务发起的 ZTNA

与应用程序一起安装的 SDP(或 ZTNA)连接器建立并维护与云提供商的出站连接。用户需要向供应商进行身份验证才可访问受保护的应用程序。此模型适合非托管设备,因为终端设备上不需要任何特殊软件。

免费电子书

SASE
For Dummies

了解 SASE 的业务和技术背景,包括最佳实践、实际客户部署以及为启用 SASE 的组织带来的好处。