提起SASE這個詞,，可能對于大多數(shù)人都比較陌生,，這是Gartner最新提出的一個技術(shù)理念，該理念很先進也很龐大,，待您慢慢了解和熟悉整個SASE理論和預(yù)解決方案后,，可能會覺得這是個了不起的創(chuàng)新。

在了解SASE前,，首先要談?wù)凷D-WAN,。那么，SD-WAN又是什么呢,？

什么是SD-WAN

大家訪問互聯(lián)網(wǎng)幾乎是每天都在進行,，而技術(shù)人員對于WAN應(yīng)該都很了解了。就是廣域網(wǎng)（Wide Area Network）,，或者叫公網(wǎng),、外網(wǎng)也行。世界各地的WAN組成了我們現(xiàn)在的互聯(lián)網(wǎng),。

但是傳統(tǒng)WAN的架構(gòu)設(shè)計是以數(shù)據(jù)中心為核心的集中式網(wǎng)絡(luò),，所有末端數(shù)據(jù)最終都要回到核心處理，而后再返回到終端,，這樣的結(jié)構(gòu)在如今的云計算/IoT環(huán)境下已經(jīng)不再適用,，而且也逐漸難以滿足大家的需求。因此,，SD-WAN出現(xiàn)了,。

SD-WAN（software define Wide Area Network）即軟件定義廣域網(wǎng)。

思科對SD-WAN的描述：

軟件定義廣域網(wǎng)是一種用于管理廣域網(wǎng)的軟件定義方法,。

主要優(yōu)勢包括：

1.不受傳輸方式限制,，支持 MPLS、4G/5G LTE 和其他各種連接類型,，可以降低運營成本,。 2.提高應(yīng)用性能和敏捷性。 3.優(yōu)化軟件即服務(wù) (SaaS) 和公共云應(yīng)用的用戶體驗與效率,。 4.通過自動化和基于云的管理功能簡化操作,。

Cato Networks（Gartner官方推薦SASE廠商）對SD-WAN的描述：

組織工作的方式正在改變。工作在更多的地方完成,，互聯(lián)網(wǎng)已經(jīng)成為商業(yè)運作的中心,。這意味著企業(yè)網(wǎng)絡(luò)也必須改變。答案便是——軟件定義廣域網(wǎng)(SD-WAN),。

SD-WAN為網(wǎng)絡(luò)帶來了無與倫比的靈活性和成本節(jié)約,。使用SD-WAN,，組織可以比企業(yè)傳統(tǒng)的MPLS服務(wù)在更短的時間內(nèi)以更低的成本交付響應(yīng)更快、更可預(yù)測的應(yīng)用程序,。它更加敏捷,，只需幾分鐘就可以部署站點；利用一切可用的數(shù)據(jù)服務(wù),，例如MPLS,、專用互聯(lián)網(wǎng)接入(Dedicated Internet Access,DIA)、寬頻或無線網(wǎng)絡(luò),；能夠立刻重新配置網(wǎng)站,。

SD-WAN通過使用基于策略的虛擬覆蓋將應(yīng)用程序與底層網(wǎng)絡(luò)服務(wù)分離來實現(xiàn)這一點。該覆蓋層監(jiān)視底層網(wǎng)絡(luò)的實時性能特征,，并根據(jù)配置策略為每個應(yīng)用程序選擇最佳網(wǎng)絡(luò),。

用簡單通俗點的話來說就是，WAN就是我們平常出門所走的馬路,、公路,、鐵路，我們乘坐地面交通工具去想去的地方,。但是,，如果我要去比較遠地方就要經(jīng)過幾段行程（公路、鐵路,、公路）,，往返費時費力。這時,，突然有人提出來建立空中交通,，在原有地面路線上邊設(shè)置空中航線，大家可以乘坐空中交通工具出門,，這樣一來就能滿足一些人的特殊需求,。

圖1：思科SD-WAN廣域網(wǎng)交換矩陣 （來源：思科SD-WAN解決方案）

SD-WAN在WAN的基礎(chǔ)上重新架設(shè)虛擬網(wǎng)絡(luò)，通過V**之類方式連接站點邊緣,，分為數(shù)據(jù)層面和控制層面,。在這個虛擬化的網(wǎng)絡(luò)架構(gòu)中集成了路由策略和安全策略，以確保網(wǎng)絡(luò)穩(wěn)定安全運行,。站點連接可以看成是航線,，數(shù)據(jù)層就是乘客和飛機，控制層就是空管局中心,，負責管理航空管制,。

以上是用俗話解釋的SD-WAN網(wǎng)絡(luò),，便于大家理解,，實際上并沒有這么簡單,。官方一點的說明是這樣的：

在SD-WAN中，位于站點邊緣的專用設(shè)備連接到網(wǎng)絡(luò)服務(wù),，通常是MPLS和至少兩個Internet服務(wù),。通過這些服務(wù)，SD-WAN設(shè)備加入了一個與其他SD-WAN設(shè)備覆蓋的加密隧道網(wǎng)絡(luò),。在中央控制臺配置的策略由設(shè)備使用基于策略路由算法推出并執(zhí)行,。當流量到達設(shè)備,SD-WAN軟件評估潛在的網(wǎng)絡(luò)服務(wù)的性能和可用性,引導數(shù)據(jù)包在最優(yōu)服務(wù)任意時刻和預(yù)配置的應(yīng)用程序策略，為一個特定的會話基于優(yōu)先級和網(wǎng)絡(luò)條件動態(tài)選擇最優(yōu)隧道,。

SD-WAN的世界正在發(fā)展,。基本概念的變化集中在完成大部分網(wǎng)絡(luò)和安全處理的地方,，為準備從遺留WAN服務(wù)轉(zhuǎn)移的組織創(chuàng)建了一組豐富的供應(yīng)商和服務(wù)提供者選擇,。

而其能夠帶來的好處和優(yōu)勢也很給力。

借助軟件定義廣域網(wǎng),，IT部門可以提供路由和威脅防護,，充分提高昂貴電路的使用效率，合理分流流量負載,，并且簡化廣域網(wǎng)網(wǎng)絡(luò)管理,。業(yè)務(wù)優(yōu)勢包括：

改善應(yīng)用體驗

1.利用可預(yù)測的服務(wù)使多數(shù)關(guān)鍵企業(yè)應(yīng)用實現(xiàn)高可用性 2.提供適用于多數(shù)網(wǎng)絡(luò)場景的多個雙活混合鏈路 3.利用應(yīng)用感知路由動態(tài)地路由應(yīng)用流量，實現(xiàn)高效傳輸并改善用戶體驗,。 4.減少運營支出,。將昂貴的多協(xié)議標簽交換 (MPLS) 服務(wù)替換為更經(jīng)濟靈活的寬帶（包括安全 V** 連接）（個人覺得替代MPLS可能短時間內(nèi)不太可能）

更安全

1.實施具有端到端分段和實時訪問控制的應(yīng)用感知策略 2.在適當?shù)牡胤綄嵤┚C合威脅防護 3.保護寬帶互聯(lián)網(wǎng)和進入云端的流量的安全 4.利用下一代防火墻、DNS安全和下一代防病毒解決方案將安全保護分布到分支機構(gòu)和遠程終端

優(yōu)化云連接

1.將廣域網(wǎng)無縫擴展到多個公有云 2.為 Microsoft Office 365,、Salesforce 和其他主要 SaaS 應(yīng)用實時優(yōu)化性能 3.為 Amazon Web Services (AWS) 和 Microsoft Azure 等云平臺優(yōu)化工作流程

簡化管理

1.采用單個集中式云交付管理控制面板,，可用于配置和管理廣域網(wǎng)、云和安全保護功能 2.可以實現(xiàn)適用于所有位置（分支機構(gòu),、園區(qū)和云）的基于模板的零接觸調(diào)配 3.提供詳細的應(yīng)用和廣域網(wǎng)性能報告,，用于進行業(yè)務(wù)分析和帶寬預(yù)測

從思科IDC白皮書調(diào)查中，SD-WAN能夠給組織帶來的收益主要在于：

1.帶寬增加 2.25 倍 2.同等帶寬連接成本降低 65% 3.五年運營成本降低 38% 4.WAN 管理效率提升 33% 5.新服務(wù)自行激活速度提高59% 6.策略和配置更改實施速度提高 58% 7.意外停機時間減少 94% 8.應(yīng)用延遲降低 45% 9.每個組織每年收入增加 1498萬美元

圖2：受訪組織數(shù)據(jù)（來源：IDC白皮書|思科 SD-WAN 解決方案的商業(yè)價值）

SASE又是什么

好的,，現(xiàn)在對SD-WAN有了一個基本的了解（如果想深入研究的可以去思科,、VMware、Cato官方網(wǎng)站查看）,。接下來,，我們來說說SASE（Secure Access Service Edge），安全訪問服務(wù)邊緣,。

最初接觸SASE（發(fā)音同sassy）是Gartner的《The Future of Network Security Is in the Cloud》這篇報告（有關(guān)報告內(nèi)容,，可自行閱讀），全篇都是在講SASE,，而且推薦了號稱搭建了全球第一家SASE平臺的廠商Cato Networks.下文有關(guān)SASE的理念和架構(gòu),，也都是參考Cato,。

在Gartner的《Top 10 strategic technology trends for 2020》報告中也提到了邊緣賦能（Trend No.6）這項技術(shù)趨勢（可參考本人翻譯的中文報告《Gartner：2020年十大戰(zhàn)略技術(shù)趨勢（下篇）》）。從報告中可以看出,，SASE是其主推的一項創(chuàng)新技術(shù),，因為SASE集成了敏捷、自動化,、CARTA（持續(xù)自適應(yīng)風險與信任評估）,、ZTNA（零信任網(wǎng)絡(luò)訪問）、Advance APT防護等技術(shù),?？梢哉f，近幾年Gartner所提的新興技術(shù)大多都涵蓋到SASE架構(gòu)中,。下面我們初步認識一下它,。

SASE是做什么的？

SASE用于從分布式云服務(wù)交付聚合的企業(yè)網(wǎng)絡(luò)和安全服務(wù),。SASE克服了分散集成和地理位置約束解決方案的成本,、復雜性和剛性。當SASE與全球私有骨干網(wǎng)相結(jié)合時,，還可以解決WAN和云連接方面的挑戰(zhàn),。

SD-WAN和SASE的區(qū)別？

SD-WAN是SASE平臺的關(guān)鍵組件,，它將分支位置和數(shù)據(jù)中心連接到SASE云服務(wù),。SASE擴展了SD-WAN，以解決包括全球范圍內(nèi)的安全性,、云計算和移動性在內(nèi)的整個WAN的轉(zhuǎn)換過程,。

SASE比SD-WAN更好么？

SD-WAN只是廣域網(wǎng)轉(zhuǎn)型的第一步,。它缺乏關(guān)鍵的安全功能,、全球連接能力以及對云資源和移動用戶的支持。一個完整的SASE平臺可以支持整個WAN轉(zhuǎn)換過程,，因為它使IT能夠以敏捷和經(jīng)濟有效的方式提供業(yè)務(wù)需求的網(wǎng)絡(luò)和安全功能,。

SASE是否安全？

SASE是端到端安全,。SASE平臺上的所有通信都是加密的,。包括解密、防火墻,、URL過濾,、反惡意軟件和IP在內(nèi)的威脅預(yù)防功能都被集成到SASE中，并且對所有連接的邊緣都可用。

雖然是很耀眼的技術(shù),，但畢竟剛剛被提出來,，發(fā)展和成熟需要時間，而且這種規(guī)模的架構(gòu)也不是一般組織能夠承建的,，報告中在概要中就說明了：為了實現(xiàn)低延遲地隨時隨地訪問用戶、設(shè)備和云服務(wù),，企業(yè)需要具有全球 POP 點和對等連接的 SASE 產(chǎn)品,。因此，追新是好事,，但不能盲目,。

Gartner對SASE的定義：SASE 是一種基于實體的身份、實時上下文,、企業(yè)安全/合規(guī)策略,，以及在整個會話中持續(xù)評估風險/信任的服務(wù)。實體的身份可與人員,、人員組（分支辦公室）,、設(shè)備、應(yīng)用,、服務(wù),、物聯(lián)網(wǎng)系統(tǒng)或邊緣計算場地相關(guān)聯(lián)。

SASE的核心是身份,，即身份是訪問決策的中心,，而不再是企業(yè)數(shù)據(jù)中心。這也與零信任架構(gòu)和CARTA理念相一致,，基于身份的訪問決策,。

圖 3：SASE 身份為中心的架構(gòu)

用戶、設(shè)備,、服務(wù)的身份是策略中最重要的上下文因素之一,。但是，還會有其他相關(guān)的上下文來源可以輸入到策略中,，這些上下文來源包括：用戶使用的設(shè)備身份,、日期、風險/信任評估,、場地,、正在訪問的應(yīng)用或數(shù)據(jù)的靈敏度。企業(yè)數(shù)據(jù)中心仍存在,，但不再是網(wǎng)絡(luò)架構(gòu)的中心,，只是用戶和設(shè)備需要訪問的眾多互聯(lián)網(wǎng)服務(wù)中的一個。

這些實體需要訪問越來越多的基于云的服務(wù),，但是它們的連接方式和應(yīng)用的網(wǎng)絡(luò)安全策略類型將根據(jù)監(jiān)管需求,、企業(yè)策略和特定業(yè)務(wù)領(lǐng)導者的風險偏好而有所不同,。就像智能交換機一樣，身份通過 SASE 供應(yīng)商在全球范圍內(nèi)的安全訪問能力連接到所需的網(wǎng)絡(luò)功能,。

SASE 按需提供所需的服務(wù)和策略執(zhí)行,，獨立于請求服務(wù)的實體的場所（圖4）和所訪問能力。

圖4：SASE技術(shù)棧 -- 基于身份和上下文的動態(tài)應(yīng)用

SASE云服務(wù)的主要特點

SASE詳細介紹了企業(yè)網(wǎng)絡(luò)和安全的體系結(jié)構(gòu)轉(zhuǎn)換,，這將使它能夠為數(shù)字業(yè)務(wù)提供全面,、敏捷和可適應(yīng)的服務(wù)。SASE云服務(wù)有4個主要特點：身份驅(qū)動,、云原生,、支持所有邊緣(WAN、云,、移動,、邊緣計算)、全球分布,。

身份驅(qū)動

不僅僅是 IP 地址,，用戶和資源身份決定網(wǎng)絡(luò)互連體驗和訪問權(quán)限級別。服務(wù)質(zhì)量,、路由選擇,、應(yīng)用的風險安全控制——所有這些都由與每個網(wǎng)絡(luò)連接相關(guān)聯(lián)的身份所驅(qū)動。采用該方法,，公司企業(yè)為用戶開發(fā)一套網(wǎng)絡(luò)和安全策略,，無需考慮設(shè)備或地理位置，從而降低運營開銷,。

云原生

SASE 架構(gòu)利用云的幾個主要功能,，包括彈性、自適應(yīng)性,、自恢復能力和自維護功能,，提供一個可以分攤客戶開銷以提供最大效率的平臺，可很方便地適應(yīng)新興業(yè)務(wù)需求,，而且隨處可用,。

支持所有邊緣

SASE 為所有公司資源創(chuàng)建了一個網(wǎng)絡(luò)——數(shù)據(jù)中心、分公司,、云資源和移動用戶,。舉個例子，軟件定義廣域網(wǎng) (SD-WAN) 設(shè)備支持物理邊緣,，而移動客戶端和無客戶端瀏覽器訪問連接四處游走的用戶,。

全球分布

為確保所有網(wǎng)絡(luò)和安全功能隨處可用，并向全部邊緣交付盡可能好的體驗，SASE 云必須全球分布,。因此,，必須擴展自身覆蓋面，向企業(yè)邊緣交付低延遲服務(wù),。

圖5：SASE全球PoP（Points of Presence）來源：Cato Networks官網(wǎng)

最終,，SASE 架構(gòu)的目標是要能夠更容易地實現(xiàn)安全的云環(huán)境。SASE 提供了一種摒棄傳統(tǒng)方法的設(shè)計理念,，拋棄了將 SD-WAN 設(shè)備,、防火墻、IPS 設(shè)備和各種其他網(wǎng)絡(luò)及安全解決方案拼湊到一起的做法,。SASE以一個安全的全球SD-WAN服務(wù)代替了難以管理的技術(shù)大雜燴。

SASE的理念就是借助SD-WAN搭建起來的虛擬化架構(gòu)去集中化,，將核心能力附加到邊緣,，使數(shù)據(jù)處理和安全能力都在邊緣進行，以滿足當前和未來云上和移動業(yè)務(wù)的動態(tài)需求,。

SASE框架和能力

為云原生構(gòu)建統(tǒng)一管理的SD-WAN服務(wù)

提供一個全局的,、安全管理的SD-WAN服務(wù)。能夠從遺留的MPLS(一組單點解決方案和昂貴的托管服務(wù))轉(zhuǎn)移到簡單,、敏捷和可負擔得起的網(wǎng)絡(luò),。自助服務(wù)還是托管服務(wù)取決于自己。

圖6：Cato云平臺 來源：Cato Netwoks官網(wǎng)

用云原生網(wǎng)絡(luò)架構(gòu)取代傳統(tǒng)的電信網(wǎng)絡(luò),。將全球私有主干網(wǎng),、Edge SD-WAN、安全即服務(wù)（SaaS）,、安全優(yōu)化的云和移動訪問聚合到一個云服務(wù)中,。因此，云解決了組織的全球網(wǎng)絡(luò),、安全,、云和移動需求，以支持完整的WAN轉(zhuǎn)換過程,。

SASE能力

核心能力：即插即用可視化,，優(yōu)化與管控

SASE體系結(jié)構(gòu)由兩個核心組件組成。SASE云充當網(wǎng)絡(luò)和安全功能的聚合器,。SASE邊緣連接器將流量從物理,、云和設(shè)備邊緣驅(qū)動到SASE云處理。SASE使用一個單通道的流量處理引擎來有效地應(yīng)用優(yōu)化和安全檢查,，并為所有流量提供豐富的前后關(guān)聯(lián),。將SASE模型與堆疊單點產(chǎn)品進行對比，在堆疊單點產(chǎn)品中，每個產(chǎn)品分析特定需求的流量,，增加解密等操作的開銷,，并且缺少在其他網(wǎng)絡(luò)和安全點產(chǎn)品中生成的前后聯(lián)系。SASE可選能力包括：

1.認證：在連接邊緣時,，動態(tài)風險評估驅(qū)動多因素認證的激活,。 2.訪問：對關(guān)鍵應(yīng)用程序和服務(wù)的訪問由支持應(yīng)用程序和用戶的下一代防火墻策略控制。此外,，零信任網(wǎng)絡(luò)訪問模型可以確保用戶只能訪問授權(quán)的應(yīng)用程序,，而不能獲得一般的網(wǎng)絡(luò)訪問權(quán)限。 3.優(yōu)先級：應(yīng)用程序標識為流量分配優(yōu)先級,，以對損失敏感（loss-sensitive）的應(yīng)用程序進行優(yōu)化（如VOIP和虛擬桌面訪問（VID））,，而不是其他流量（如常規(guī)的Internet瀏覽）。 4.解密：為啟用深度包檢查,，可以對加密的通信流進行一次解密,，從而允許多個威脅預(yù)防引擎處理這些通信流。 5.威脅預(yù)測：多個安全引擎解析流量以檢測有風險的訪問,。這包括尋找惡意網(wǎng)站的安全Web網(wǎng)關(guān),、防止下載惡意文件的反惡意軟件、停止指示機器人活動的入站和出站異常連接的IPS等等,。 6.數(shù)據(jù)防泄漏：SASE應(yīng)用特定的數(shù)據(jù)防泄漏規(guī)則來檢測網(wǎng)絡(luò)流量中的敏感數(shù)據(jù)并阻止其泄漏,。類似地，云訪問服務(wù)代理(CASB)可以對云應(yīng)用程序?qū)嵤┝６仍L問控制,。

這是SASE功能的一個子集,，SASE體系結(jié)構(gòu)的設(shè)計目的是用新引擎快速擴展“單通道流量處理引擎”。SASE這個獨特優(yōu)勢是未來的網(wǎng)絡(luò)向SASE云擴展,，新的功能無縫擴展到任何人和任何地方,。類似地，使SASE云服務(wù)適應(yīng)新的威脅或攻擊載體可以集中完成,，并立即影響所有企業(yè)和所有邊緣,，而不需要部署或激活這些新增功能（類似思科APIC自動化即插即用）。

SASE安全架構(gòu)

SASE安全架構(gòu)包括以下幾個組件：PoP實例,、邊緣,、安全即服務(wù)、威脅檢測與響應(yīng)管理（MDR）,。

PoP實例—流量處理引擎

PoP結(jié)構(gòu)

核心云網(wǎng)絡(luò), 由地理上分布的PoPs(Points of Presence)組成,，每個PoP運行多個處理服務(wù)器。每個PoP運行一個專門構(gòu)建的軟件棧,，在所有流量上應(yīng)用路由,、加密,、優(yōu)化和高級安全服務(wù)。PoP由運行相同軟件棧的多個功能強大的現(xiàn)有服務(wù)器(commodity off the shelf servers,COTS)組成,。

PoP的可擴展性和靈活性

PoPs的設(shè)計是為了處理大量的流量,。通過將服務(wù)器實例添加到相同的PoP(垂直擴展)或在新位置添加PoP(水平擴展)，可以擴展處理能力,。因為云平臺來維護基礎(chǔ)設(shè)施,，所以客戶不必調(diào)整他們的網(wǎng)絡(luò)安全環(huán)境。所有許可的內(nèi)容,，即使被加密,，也保證被所有受許可的安全服務(wù)的PoP處理。

如果PoP服務(wù)器實例失效,受影響邊緣自動重新連接到同一個PoP的可用服務(wù)器,。如果一個PoP完全失效,，受影響的邊緣將連接到最近的可用PoP。無論企業(yè)資源連接到哪個PoP, 云始終維護一個一致的邏輯企業(yè)網(wǎng)絡(luò),，創(chuàng)建相應(yīng)程度的可用性和彈性,。

PoP內(nèi)置抗DDoS

PoPs的設(shè)計用以處理大流量的同時。彈性能力使云能夠適應(yīng)客戶增長和抵御各種類型的泛洪攻擊,。為了減少攻擊面,，只有授權(quán)站點和移動用戶可以連接并發(fā)送流量到主干,。PoP外部IP地址受特定的抗DDoS措施保護,，如SYN cookie機制和速率控制機制。云平臺擁有一組IP,，部分用于自動將目標站點和移動用戶重新分配到未受影響的地址,。

PoP全連接加密

所有PoP都是通過完全加密的隧道互相連接。加密算法是AES-256,，并使用受限制的對稱密鑰(每個PoP實例),。密鑰每60分鐘變化一次，以減少暴露,。

深度包檢測

PoP軟件包括一個深度包檢測(Deep Packet Inspection, DPI)引擎,，該引擎以網(wǎng)速處理大量流量，包括報頭或有效載荷,。DPI引擎用于多種安全服務(wù),，包括NGFW反惡意軟件、IDS/IPS和網(wǎng)絡(luò)控制(SD-WAN),。

DPI引擎自動識別第一數(shù)據(jù)包中成千上萬的應(yīng)用程序和數(shù)以百萬計的域名,。這個健壯的庫由第三方網(wǎng)址分類引擎和機器學習算法不斷豐富,挖掘大量數(shù)據(jù)倉庫建立元數(shù)據(jù)的所有流量貫穿整個云?？蛻暨€可以通過云平臺工程師為他們配置自定義應(yīng)用程序或策略,。

TLS檢測

PoP可以在針對高級威脅保護服務(wù)(如反惡意軟件和IDPS)的TLS加密通信流上執(zhí)行DPI,。TLS檢查必不可少，因為現(xiàn)在所有互聯(lián)網(wǎng)流量大部分是加密的,，惡意軟件使用加密來逃避檢測,。啟用TLS檢查后，將對加密通信進行解密和檢查,。所有操作都是在PoP中完成的,，因此沒有性能限制。要解密,，客戶必須在其網(wǎng)絡(luò)上安裝云平臺證書,。客戶可以創(chuàng)建規(guī)則來選擇性地應(yīng)用TLS檢驗流量的一個子集,如過濾數(shù)據(jù)包的應(yīng)用程序中,、服務(wù)領(lǐng)域,、類別、不包括數(shù)據(jù)包從受信任的應(yīng)用程序,、出于合規(guī)性即使解密不是應(yīng)用或配置,、所有NGFW流量、URL過濾,、和IPS規(guī)則涉及的元數(shù)據(jù)（如IP地址和URL）,。

云上邊緣

Socket和設(shè)備連接

客戶通過加密的通道連接到云。隧道可以通過多種方式建立,。socket是部署在物理位置的零接觸設(shè)備,。為了獲得最佳的安全性和效率，socket通過DTLS隧道動態(tài)連接到最近的PoP,。如果隧道由于PoP故障而斷開連接,，socket會重新將隧道連接到最近的可用PoP?；蛘?，客戶可以使用支持IPsec或GRE的設(shè)備(如UTMs或防火墻)連接到最近的PoP。

socket具備的保護措施：

1.阻斷外部通信流量,，只允許經(jīng)過身份驗證的流量 2.通過HTTPS或SSH連接內(nèi)部接口的管理訪問 3.管理員首次登陸強制重置密碼 4.不存儲數(shù)據(jù)包中的數(shù)據(jù) 5.對所有通信加密 6.通過加密通信,、加密身份驗證(數(shù)字簽名軟件包)安全分發(fā)更新

筆記本和移動設(shè)備客戶端

云平臺客戶端運行在移動設(shè)備上，包括個人電腦,、平板電腦和智能手機,，包括Windows、Mac,、iOS和Android,。客戶端使用設(shè)備V**功能通過隧道連接到云,。其他的V**客戶端也可以獲得支持,。

可以通過與Active Directory集成,，或通過管理應(yīng)用程序中的用戶配置來啟動移動用戶的登陸面板。用戶受邀請通過電子郵件注冊到云,。用戶利用專用門戶通過幾個步驟為自己提供服務(wù),。用戶身份驗證可以通過幾種方式進行：

1.用戶名和密碼 2.多因素認證（MFA） 3.單點登錄（SSO）

安全即服務(wù)

安全即服務(wù)是一組企業(yè)級、敏捷的網(wǎng)絡(luò)安全功能,，作為緊密集成的軟件堆棧的一部分直接構(gòu)建到云網(wǎng)絡(luò)中,。目前的服務(wù)包括下一代防火墻(NGFW)、安全Web網(wǎng)關(guān)(SWG),、高級威脅預(yù)防,、安全分析和管理威脅檢測和響應(yīng)(MDR)服務(wù)。因為云平臺控制代碼,，所以可以快速引入新的服務(wù),，而不會對客戶環(huán)境造成影響?？蛻艨梢杂羞x擇地啟用服務(wù),，配置它們來執(zhí)行公司策略。

下一代防火墻

1）應(yīng)用感知

NGFW提供完整的應(yīng)用程序感知,，無論端口,、協(xié)議、規(guī)避技術(shù)或SSL加密,。DPI引擎分類相關(guān)的上下文,，如應(yīng)用程序或服務(wù)，早在第一個包且沒有SSL檢查時,。相關(guān)的信息是提取自網(wǎng)絡(luò)元數(shù)據(jù),。Cato研究實驗室不斷豐富應(yīng)用程序庫,，以擴大覆蓋面,。

對于網(wǎng)絡(luò)和安全監(jiān)控，整個Cato都可以使用DPI分類的上下文,；對“影子IT”識別和其他趨勢的網(wǎng)絡(luò)可視化,；或者用于像強制執(zhí)行阻塞/允許/監(jiān)視/提示規(guī)則這類的強制執(zhí)行。

平臺提供了一個簽名和解析器的完整列表,，用于識別常見的應(yīng)用程序,。此外，自定義應(yīng)用程序定義根據(jù)端口,、IP地址或域標識特定于帳戶的應(yīng)用程序,，這兩類應(yīng)用程序定義可供運行在云中的安全規(guī)則使用。

2）用戶感知

平臺使管理員能夠創(chuàng)建上下文安全策略,，方法是基于單個用戶,、組或角色定義和啟用對資源的訪問控制,。此外，平臺的內(nèi)置分析可以被網(wǎng)站,、用戶,、組或應(yīng)用程序查看，以分析用戶活動,、安全事件和網(wǎng)絡(luò)使用情況,。

Lan劃分 VLANs Routed Range（通過路由器連接到套接口） Direct Range（直接到套接口的LAN段，不通過路由器）

根據(jù)定義,，不同的段之間不允許流量通信,，允許這樣的連接需要創(chuàng)建局部劃分規(guī)則，由平臺socket執(zhí)行,，或者創(chuàng)建WAN防火墻規(guī)則,，由云在完全檢查流量的情況下執(zhí)行。

3）WAN流量保護

利用WAN防火墻,，安全管理員可以允許或阻止組織實體(如站點,、用戶、主機,、子網(wǎng)等)之間的通信,。默認情況下，平臺的廣域網(wǎng)絡(luò)防火墻遵循一種白名單方法,，有一個隱式的任意塊規(guī)則,。管理員可以采用這種方法，也可以切換到黑名單方式,。

4）Internet流量保護

通過使用Internet防火墻,，安全管理員可以為各種應(yīng)用程序、服務(wù)和網(wǎng)站設(shè)置允許或阻止網(wǎng)絡(luò)實體(如站點,、個人用戶,、子網(wǎng)等)之間的規(guī)則。默認情況下,，平臺的Internet防火墻遵循黑名單方法,，有一個隱式的any-any permit規(guī)則。因此,，要阻止訪問,，必須定義顯式阻止一個或多個網(wǎng)絡(luò)實體到應(yīng)用程序的連接規(guī)則。管理員可以在必要時切換到白名單方式,。

安全Web網(wǎng)關(guān)

SWG允許客戶根據(jù)預(yù)定義和/或自定義的類別監(jiān)視,、控制和阻止對網(wǎng)站的訪問。云在對特定可配置類別的每個訪問上創(chuàng)建安全事件的審計跟蹤,。管理員可以根據(jù)URL類別配置訪問規(guī)則,。

URL分類與過濾規(guī)則

即來即用,平臺提供了一個預(yù)定義策略的幾十種不同的URL類別,，包括安全類別、疑似垃圾郵件和惡意軟件,。作為默認策略的一部分,每個類別設(shè)置一個可定制的默認行為,。使管理員能夠創(chuàng)建自己的類別和使用自定義規(guī)則,提高網(wǎng)絡(luò)訪問控制的細粒度。

URL過濾操作

每一類URL過濾規(guī)則都可進行以下操作：

允許 阻斷 監(jiān)控 提示

反惡意軟件

作為先進的威脅防護的一部分,，平臺提供了一系列優(yōu)質(zhì)服務(wù),。其中之一是反惡意軟件保護?？蛻艨梢允褂眠@項服務(wù)來檢查廣域網(wǎng)和互聯(lián)網(wǎng)流量中的惡意軟件,。反惡意軟件的處理包括：

1）深度包檢測

對流量有效載荷的深度包檢查，用于普通和加密的流量(如果啟用),。文件對象從流量流中提取,，檢查，并在適當?shù)臅r候阻塞,。

2）真實文件類型檢測

用于識別通過網(wǎng)絡(luò)傳輸?shù)奈募恼鎸嶎愋?，而不考慮它的文件擴展名或內(nèi)容類型頭(在HTTP/S傳輸?shù)那闆r下)。平臺使用此功能來檢測所有潛在的高風險文件類型,，預(yù)防了由攻擊者或錯誤配置導致的Web應(yīng)用程序技術(shù)被繞過,。IPS也使用這個引擎，它在流分析期間提供了更多的上下文,，并且是檢測惡意網(wǎng)絡(luò)行為的關(guān)鍵因素,。

3）惡意軟件檢測與預(yù)測

首先，基于簽名和啟發(fā)式的檢查引擎,，根據(jù)全球最新威脅情報數(shù)據(jù)庫隨時保持更新,，掃描傳輸中的文件，以確保對已知的惡意軟件的有效保護,。

其次,，與行業(yè)領(lǐng)導者SentinalOne合作，利用機器學習和人工智能來識別和阻止未知的惡意軟件,。未知的惡意軟件包括0day,，或更為常見的目的是逃避基于簽名檢查引擎的已知威脅的多態(tài)變種,。有了簽名和基于機器學習的保護,，客戶數(shù)據(jù)具備隱私保護，因為平臺不與基于云的存儲庫共享任何東西,。

此外,，客戶有能力配置反惡意軟件服務(wù)，或者監(jiān)測或者阻止,，為特定的文件在一段時間的設(shè)置例外,，也可以實現(xiàn),。

IPS

入侵防御系統(tǒng)(IPS)檢查入站和出站、廣域網(wǎng)和互聯(lián)網(wǎng)流量,，包括SSL流量,。IPS可以在監(jiān)視模式(IDS)下運行，而不執(zhí)行阻塞操作,。在IDS模式下,，將評估所有流量并生成安全事件。IPS有多層保護組成,。

1）IPS保護引擎組件

行為特征

IPS會尋找偏離正?；蝾A(yù)期行為的系統(tǒng)或用戶。通過在多個網(wǎng)絡(luò)使用大數(shù)據(jù)分析和深度流量可視化來確定正常行為,。例如,發(fā)出到一個包含可疑TLD的未知URL的HTTP連接,。經(jīng)過研究室分析后,這類流量可能是惡意流量。

名譽反饋（Reputaion Feeds）

利用內(nèi)部和外部的情報反饋,，IPS可以檢測或防止受威脅或惡意資源的入站或出站通信,。Cato研究室分析許多不同的反饋，針對云中的流量進行驗證,，并在將它們應(yīng)用于客戶生產(chǎn)流量之前對它們進行過濾以減少誤報,。反饋每小時更新一次，不需要用戶擔心,。

協(xié)議批準

驗證包與協(xié)議的一致性,，減少使用異常流量的攻擊面。

已知漏洞

IPS可以防止已知的CVE,，并可以快速適應(yīng),，將新的漏洞合并到IPS的DPI引擎中。這種能力的一個例子是IPS能夠阻止利用永恒之藍漏洞在組織內(nèi)廣泛傳播勒索軟件,。

惡意軟件通訊

基于名譽反饋和網(wǎng)絡(luò)行為分析,，可以阻止C&C服務(wù)器的出站流量。

定位

IPS執(zhí)行客戶特定的地理保護政策,，根據(jù)源和/或目的地國家選擇性地停止通信,。

網(wǎng)絡(luò)行為分析

能檢測并防止南北向網(wǎng)絡(luò)掃描。

平臺中IPS的一個獨有特點是,，它是作為一種服務(wù)提供的,，不需要客戶的參與。研究室負責更新,、優(yōu)化和維護內(nèi)部開發(fā)的IPS簽名(基于對客戶流量的大數(shù)據(jù)收集和分析),，以及來自外部的安全反饋。平臺支持簽名流程，因此客戶不必平衡防護和性能,，以避免在處理負載超過可用容量時進行意外升級,。

安全事件API

平臺持續(xù)收集網(wǎng)絡(luò)和安全事件數(shù)據(jù)，用于故障排除和事件分析,。一年的數(shù)據(jù)被默認保存,，管理員可以通過Cato管理應(yīng)用程序訪問和查看這些數(shù)據(jù)。允許客戶導出事件日志文件(JSON或CEF格式),，以便與SIEM系統(tǒng)集成或存儲在遠程位置,。日志文件存儲在安全的位置，每個帳戶與其他帳戶相互獨立,。

威脅檢測與響應(yīng)管理

MDR使企業(yè)能夠?qū)z測受危害端點的資源集中度和技術(shù)依賴性過程交給平臺SOC團隊,。平臺無縫地將完整的MDR服務(wù)應(yīng)用于客戶網(wǎng)絡(luò)。自動收集和分析所有的網(wǎng)絡(luò)流量,，驗證可疑活動,，并向客戶通知被破壞的端點。這就是網(wǎng)絡(luò)和安全聚合的力量,，簡化了各種規(guī)模企業(yè)的網(wǎng)絡(luò)保護,。

圖7 增加檢測和預(yù)防手段的MDR服務(wù) 來源：Cato Networks Advanced Security Services

MDR服務(wù)能力

1）零痕跡網(wǎng)絡(luò)可視化

為每個Internet和WAN流量初始化收集完整的元數(shù)據(jù)，包括原始客戶端,、時間軸和目的地址,。所有這些都不需要部署網(wǎng)絡(luò)探測器。

2）自動化威脅狩獵

高級算法尋找流數(shù)據(jù)倉庫中的異常,，并將它們與威脅情報來源相關(guān)聯(lián),。這個機器學習驅(qū)動的過程會產(chǎn)生少量可疑事件，以供進一步分析,。

3）專家級威脅驗證

隨著時間的推移,，Cato安全研究員檢查標記的端點和流量，并評估風險,。SOC只對實際威脅發(fā)出警報,。

4）威脅容器

通過配置客戶網(wǎng)絡(luò)策略來阻止C&C域名和IP地址，或斷開受威脅的計算機或用戶與網(wǎng)絡(luò)的連接,，可以自動包含已驗證的實時威脅,。

5）整改協(xié)助

SOC將建議風險的威脅級別、補救措施和威脅跟蹤,，直到威脅消除為止,。

6）報告與溯源

每個月，SOC將發(fā)布一份自定義報告,，總結(jié)所有檢測到的威脅,、它們的描述和風險級別，以及受影響的端點,。

平臺的安全即服務(wù)使各種規(guī)模的組織都可以在任意地方應(yīng)用企業(yè)級通信流量,。數(shù)據(jù)中心、分支機構(gòu),、移動用戶和云資源可以在統(tǒng)一的策略下以相同的防御設(shè)置進行保護,。作為一種云服務(wù)，無縫地優(yōu)化和調(diào)整安全控制,，以應(yīng)對新出現(xiàn)的威脅,，而不需要客戶的參與。與基于應(yīng)用程序的安全性相關(guān)的傳統(tǒng)工作,，例如容量規(guī)劃,、規(guī)模調(diào)整、升級和補丁,，不再需要,，從而將這種責任從安全團隊中剝離出來。

總結(jié)

總體看下來,，感覺和之前本人所想的思路有些相似,，就是未來的安全不是各家廠商爭天下，而是以合作為主,，相互補足,，最后形成一個集成大多數(shù)廠商安全能力的整體安全防護平臺。我們所看到的SASE就是這樣一種理念,，而Cato云的架構(gòu)和能力設(shè)計也正是這種理念的體現(xiàn),。

但是，由于當前對于SASE的描述過于強大,，可以說是集大成之作,，那么如何集成這些技術(shù)、接口,，怎么來管理如此龐大的一個平臺都會是非常棘手的問題,。比如，什么樣的團隊能夠管理和運營SASE平臺,、新興技術(shù)描述的非常令人向往但實際可能會有出入,、這么復雜的平臺如何構(gòu)建、V**構(gòu)建的網(wǎng)絡(luò)能否承載如此龐大的流量,、各家廠商是否愿意一起建設(shè)SASE,、PoP節(jié)點的投入和維護資源、前期高昂的建設(shè)和研究費用等等,。

SASE的出現(xiàn),，顛覆了目前的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)，就像IaaS對數(shù)據(jù)中心設(shè)計架構(gòu)的影響一樣。SASE為安全和風險管理人員提供了未來重新思考和設(shè)計網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)的機會,。數(shù)字業(yè)務(wù)轉(zhuǎn)型,、部署云計算和越來越多地采用邊緣計算，將帶動對 SASE 的需求,。（引自Gartner網(wǎng)絡(luò)安全的未來在云端報告）

*本文作者：宇宸,，轉(zhuǎn)載請注明來自FreeBuf.COM