提起SASE這個(gè)詞矫限，可能對(duì)于大多數(shù)人都比較陌生法绵，這是Gartner最新提出的一個(gè)技術(shù)理念凭戴，該理念很先進(jìn)也很龐大涧狮，待您慢慢了解和熟悉整個(gè)SASE理論和預(yù)解決方案后，可能會(huì)覺得這是個(gè)了不起的創(chuàng)新么夫。

在了解SASE前者冤，首先要談?wù)凷D-WAN。那么档痪，SD-WAN又是什么呢涉枫？

什么是SD-WAN

大家訪問互聯(lián)網(wǎng)幾乎是每天都在進(jìn)行，而技術(shù)人員對(duì)于WAN應(yīng)該都很了解了腐螟。就是廣域網(wǎng)（Wide Area Network）愿汰，或者叫公網(wǎng)困后、外網(wǎng)也行。世界各地的WAN組成了我們現(xiàn)在的互聯(lián)網(wǎng)衬廷。

但是傳統(tǒng)WAN的架構(gòu)設(shè)計(jì)是以數(shù)據(jù)中心為核心的集中式網(wǎng)絡(luò)摇予，所有末端數(shù)據(jù)最終都要回到核心處理，而后再返回到終端吗跋，這樣的結(jié)構(gòu)在如今的云計(jì)算/IoT環(huán)境下已經(jīng)不再適用侧戴，而且也逐漸難以滿足大家的需求。因此小腊，SD-WAN出現(xiàn)了。

SD-WAN（software define Wide Area Network）即軟件定義廣域網(wǎng)久窟。

思科對(duì)SD-WAN的描述：

軟件定義廣域網(wǎng)是一種用于管理廣域網(wǎng)的軟件定義方法秩冈。

主要優(yōu)勢(shì)包括：

1.不受傳輸方式限制，支持 MPLS斥扛、4G/5G LTE 和其他各種連接類型入问，可以降低運(yùn)營成本。

2.提高應(yīng)用性能和敏捷性稀颁。

3.優(yōu)化軟件即服務(wù) (SaaS) 和公共云應(yīng)用的用戶體驗(yàn)與效率芬失。

4.通過自動(dòng)化和基于云的管理功能簡(jiǎn)化操作。

Cato Networks（Gartner官方推薦SASE廠商）對(duì)SD-WAN的描述：

組織工作的方式正在改變匾灶。工作在更多的地方完成棱烂，互聯(lián)網(wǎng)已經(jīng)成為商業(yè)運(yùn)作的中心。這意味著企業(yè)網(wǎng)絡(luò)也必須改變阶女。答案便是——軟件定義廣域網(wǎng)(SD-WAN)颊糜。

SD-WAN為網(wǎng)絡(luò)帶來了無與倫比的靈活性和成本節(jié)約。使用SD-WAN秃踩，組織可以比企業(yè)傳統(tǒng)的MPLS服務(wù)在更短的時(shí)間內(nèi)以更低的成本交付響應(yīng)更快衬鱼、更可預(yù)測(cè)的應(yīng)用程序。它更加敏捷憔杨，只需幾分鐘就可以部署站點(diǎn)鸟赫；利用一切可用的數(shù)據(jù)服務(wù)，例如MPLS消别、專用互聯(lián)網(wǎng)接入(Dedicated Internet Access,DIA)抛蚤、寬頻或無線網(wǎng)絡(luò)；能夠立刻重新配置網(wǎng)站寻狂。

SD-WAN通過使用基于策略的虛擬覆蓋將應(yīng)用程序與底層網(wǎng)絡(luò)服務(wù)分離來實(shí)現(xiàn)這一點(diǎn)霉颠。該覆蓋層監(jiān)視底層網(wǎng)絡(luò)的實(shí)時(shí)性能特征，并根據(jù)配置策略為每個(gè)應(yīng)用程序選擇最佳網(wǎng)絡(luò)荆虱。

用簡(jiǎn)單通俗點(diǎn)的話來說就是蒿偎，WAN就是我們平常出門所走的馬路朽们、公路、鐵路诉位，我們乘坐地面交通工具去想去的地方骑脱。但是，如果我要去比較遠(yuǎn)地方就要經(jīng)過幾段行程（公路苍糠、鐵路叁丧、公路），往返費(fèi)時(shí)費(fèi)力岳瞭。這時(shí)拥娄，突然有人提出來建立空中交通，在原有地面路線上邊設(shè)置空中航線瞳筏，大家可以乘坐空中交通工具出門稚瘾，這樣一來就能滿足一些人的特殊需求。

image

圖1：思科SD-WAN廣域網(wǎng)交換矩陣 （來源：思科SD-WAN解決方案）

SD-WAN在WAN的基礎(chǔ)上重新架設(shè)虛擬網(wǎng)絡(luò)姚炕，通過VPN之類方式連接站點(diǎn)邊緣摊欠，分為數(shù)據(jù)層面和控制層面。在這個(gè)虛擬化的網(wǎng)絡(luò)架構(gòu)中集成了路由策略和安全策略柱宦，以確保網(wǎng)絡(luò)穩(wěn)定安全運(yùn)行些椒。站點(diǎn)連接可以看成是航線，數(shù)據(jù)層就是乘客和飛機(jī)掸刊，控制層就是空管局中心免糕，負(fù)責(zé)管理航空管制。

以上是用俗話解釋的SD-WAN網(wǎng)絡(luò)忧侧，便于大家理解说墨，實(shí)際上并沒有這么簡(jiǎn)單。官方一點(diǎn)的說明是這樣的：

在SD-WAN中苍柏，位于站點(diǎn)邊緣的專用設(shè)備連接到網(wǎng)絡(luò)服務(wù)尼斧，通常是MPLS和至少兩個(gè)Internet服務(wù)。通過這些服務(wù)试吁，SD-WAN設(shè)備加入了一個(gè)與其他SD-WAN設(shè)備覆蓋的加密隧道網(wǎng)絡(luò)棺棵。在中央控制臺(tái)配置的策略由設(shè)備使用基于策略路由算法推出并執(zhí)行。當(dāng)流量到達(dá)設(shè)備,SD-WAN軟件評(píng)估潛在的網(wǎng)絡(luò)服務(wù)的性能和可用性,引導(dǎo)數(shù)據(jù)包在最優(yōu)服務(wù)任意時(shí)刻和預(yù)配置的應(yīng)用程序策略熄捍，為一個(gè)特定的會(huì)話基于優(yōu)先級(jí)和網(wǎng)絡(luò)條件動(dòng)態(tài)選擇最優(yōu)隧道烛恤。

SD-WAN的世界正在發(fā)展∮嗟ⅲ基本概念的變化集中在完成大部分網(wǎng)絡(luò)和安全處理的地方缚柏，為準(zhǔn)備從遺留WAN服務(wù)轉(zhuǎn)移的組織創(chuàng)建了一組豐富的供應(yīng)商和服務(wù)提供者選擇。

而其能夠帶來的好處和優(yōu)勢(shì)也很給力碟贾。

借助軟件定義廣域網(wǎng)币喧，IT部門可以提供路由和威脅防護(hù)轨域，充分提高昂貴電路的使用效率，合理分流流量負(fù)載杀餐，并且簡(jiǎn)化廣域網(wǎng)網(wǎng)絡(luò)管理干发。業(yè)務(wù)優(yōu)勢(shì)包括：

改善應(yīng)用體驗(yàn)

1.利用可預(yù)測(cè)的服務(wù)使多數(shù)關(guān)鍵企業(yè)應(yīng)用實(shí)現(xiàn)高可用性

2.提供適用于多數(shù)網(wǎng)絡(luò)場(chǎng)景的多個(gè)雙活混合鏈路

3.利用應(yīng)用感知路由動(dòng)態(tài)地路由應(yīng)用流量，實(shí)現(xiàn)高效傳輸并改善用戶體驗(yàn)史翘。

4.減少運(yùn)營支出枉长。將昂貴的多協(xié)議標(biāo)簽交換 (MPLS) 服務(wù)替換為更經(jīng)濟(jì)靈活的寬帶（包括安全 VPN 連接）（個(gè)人覺得替代MPLS可能短時(shí)間內(nèi)不太可能）

更安全

1.實(shí)施具有端到端分段和實(shí)時(shí)訪問控制的應(yīng)用感知策略

2.在適當(dāng)?shù)牡胤綄?shí)施綜合威脅防護(hù)

3.保護(hù)寬帶互聯(lián)網(wǎng)和進(jìn)入云端的流量的安全

4.利用下一代防火墻、DNS安全和下一代防病毒解決方案將安全保護(hù)分布到分支機(jī)構(gòu)和遠(yuǎn)程終端

優(yōu)化云連接

1.將廣域網(wǎng)無縫擴(kuò)展到多個(gè)公有云

2.為 Microsoft Office 365琼讽、Salesforce 和其他主要 SaaS 應(yīng)用實(shí)時(shí)優(yōu)化性能

3.為 Amazon Web Services (AWS) 和 Microsoft Azure 等云平臺(tái)優(yōu)化工作流程

簡(jiǎn)化管理

1.采用單個(gè)集中式云交付管理控制面板必峰，可用于配置和管理廣域網(wǎng)、云和安全保護(hù)功能

2.可以實(shí)現(xiàn)適用于所有位置（分支機(jī)構(gòu)钻蹬、園區(qū)和云）的基于模板的零接觸調(diào)配

3.提供詳細(xì)的應(yīng)用和廣域網(wǎng)性能報(bào)告吼蚁，用于進(jìn)行業(yè)務(wù)分析和帶寬預(yù)測(cè)

從思科IDC白皮書調(diào)查中，SD-WAN能夠給組織帶來的收益主要在于：

1.帶寬增加 2.25 倍

2.同等帶寬連接成本降低 65%

3.五年運(yùn)營成本降低 38%

4.WAN 管理效率提升 33%

5.新服務(wù)自行激活速度提高59%

6.策略和配置更改實(shí)施速度提高 58%

7.意外停機(jī)時(shí)間減少 94%

8.應(yīng)用延遲降低 45%

9.每個(gè)組織每年收入增加 1498萬美元

image

圖2：受訪組織數(shù)據(jù)（來源：IDC白皮書|思科 SD-WAN 解決方案的商業(yè)價(jià)值）

SASE又是什么

好的脉让，現(xiàn)在對(duì)SD-WAN有了一個(gè)基本的了解（如果想深入研究的可以去思科桂敛、VMware功炮、Cato官方網(wǎng)站查看）溅潜。接下來，我們來說說SASE（Secure Access Service Edge）薪伏，安全訪問服務(wù)邊緣滚澜。

最初接觸SASE（發(fā)音同sassy）是Gartner的《》這篇報(bào)告（有關(guān)報(bào)告內(nèi)容，可自行閱讀）嫁怀，全篇都是在講SASE设捐，而且推薦了號(hào)稱搭建了全球第一家SASE平臺(tái)的廠商Cato Networks.下文有關(guān)SASE的理念和架構(gòu)，也都是參考Cato塘淑。

在Gartner的《Top 10 strategic technology trends for 2020》報(bào)告中也提到了邊緣賦能（Trend No.6）這項(xiàng)技術(shù)趨勢(shì)（可參考本人翻譯的中文報(bào)告《》）萝招。從報(bào)告中可以看出，SASE是其主推的一項(xiàng)創(chuàng)新技術(shù)存捺，因?yàn)镾ASE集成了敏捷槐沼、自動(dòng)化、CARTA（持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估）捌治、ZTNA（零信任網(wǎng)絡(luò)訪問）岗钩、Advance APT防護(hù)等技術(shù)⌒び停可以說兼吓，近幾年Gartner所提的新興技術(shù)大多都涵蓋到SASE架構(gòu)中。下面我們初步認(rèn)識(shí)一下它森枪。

SASE是做什么的视搏？

SASE用于從分布式云服務(wù)交付聚合的企業(yè)網(wǎng)絡(luò)和安全服務(wù)审孽。SASE克服了分散集成和地理位置約束解決方案的成本、復(fù)雜性和剛性凶朗。當(dāng)SASE與全球私有骨干網(wǎng)相結(jié)合時(shí)瓷胧，還可以解決WAN和云連接方面的挑戰(zhàn)疾宏。

SD-WAN和SASE的區(qū)別动知？

SD-WAN是SASE平臺(tái)的關(guān)鍵組件碍侦，它將分支位置和數(shù)據(jù)中心連接到SASE云服務(wù)秀鞭。SASE擴(kuò)展了SD-WAN啸臀，以解決包括全球范圍內(nèi)的安全性邻梆、云計(jì)算和移動(dòng)性在內(nèi)的整個(gè)WAN的轉(zhuǎn)換過程玻募。

SASE比SD-WAN更好么览濒？

SD-WAN只是廣域網(wǎng)轉(zhuǎn)型的第一步次和。它缺乏關(guān)鍵的安全功能反肋、全球連接能力以及對(duì)云資源和移動(dòng)用戶的支持。一個(gè)完整的SASE平臺(tái)可以支持整個(gè)WAN轉(zhuǎn)換過程踏施，因?yàn)樗笽T能夠以敏捷和經(jīng)濟(jì)有效的方式提供業(yè)務(wù)需求的網(wǎng)絡(luò)和安全功能石蔗。

SASE是否安全？

SASE是端到端安全畅形。SASE平臺(tái)上的所有通信都是加密的养距。包括解密、防火墻日熬、URL過濾棍厌、反惡意軟件和IP在內(nèi)的威脅預(yù)防功能都被集成到SASE中，并且對(duì)所有連接的邊緣都可用竖席。

雖然是很耀眼的技術(shù)耘纱，但畢竟剛剛被提出來，發(fā)展和成熟需要時(shí)間毕荐，而且這種規(guī)模的架構(gòu)也不是一般組織能夠承建的束析，報(bào)告中在概要中就說明了：為了實(shí)現(xiàn)低延遲地隨時(shí)隨地訪問用戶、設(shè)備和云服務(wù)憎亚，企業(yè)需要具有全球 POP 點(diǎn)和對(duì)等連接的 SASE 產(chǎn)品员寇。因此，追新是好事虽填，但不能盲目丁恭。

Gartner對(duì)SASE的定義：SASE 是一種基于實(shí)體的身份、實(shí)時(shí)上下文斋日、企業(yè)安全/合規(guī)策略牲览，以及在整個(gè)會(huì)話中持續(xù)評(píng)估風(fēng)險(xiǎn)/信任的服務(wù)。實(shí)體的身份可與人員、人員組（分支辦公室）第献、設(shè)備贡必、應(yīng)用、服務(wù)庸毫、物聯(lián)網(wǎng)系統(tǒng)或邊緣計(jì)算場(chǎng)地相關(guān)聯(lián)仔拟。

SASE的核心是身份，即身份是訪問決策的中心飒赃，而不再是企業(yè)數(shù)據(jù)中心利花。這也與零信任架構(gòu)和CARTA理念相一致，基于身份的訪問決策载佳。

image

圖 3：SASE 身份為中心的架構(gòu)

用戶炒事、設(shè)備、服務(wù)的身份是策略中最重要的上下文因素之一蔫慧。但是挠乳，還會(huì)有其他相關(guān)的上下文來源可以輸入到策略中，這些上下文來源包括：用戶使用的設(shè)備身份姑躲、日期睡扬、風(fēng)險(xiǎn)/信任評(píng)估、場(chǎng)地黍析、正在訪問的應(yīng)用或數(shù)據(jù)的靈敏度卖怜。企業(yè)數(shù)據(jù)中心仍存在，但不再是網(wǎng)絡(luò)架構(gòu)的中心橄仍，只是用戶和設(shè)備需要訪問的眾多互聯(lián)網(wǎng)服務(wù)中的一個(gè)韧涨。

這些實(shí)體需要訪問越來越多的基于云的服務(wù)牍戚，但是它們的連接方式和應(yīng)用的網(wǎng)絡(luò)安全策略類型將根據(jù)監(jiān)管需求侮繁、企業(yè)策略和特定業(yè)務(wù)領(lǐng)導(dǎo)者的風(fēng)險(xiǎn)偏好而有所不同。就像智能交換機(jī)一樣如孝，身份通過 SASE 供應(yīng)商在全球范圍內(nèi)的安全訪問能力連接到所需的網(wǎng)絡(luò)功能宪哩。

SASE 按需提供所需的服務(wù)和策略執(zhí)行，獨(dú)立于請(qǐng)求服務(wù)的實(shí)體的場(chǎng)所（圖4）和所訪問能力第晰。

image

圖4：SASE技術(shù)棧 — 基于身份和上下文的動(dòng)態(tài)應(yīng)用

SASE云服務(wù)的主要特點(diǎn)

SASE詳細(xì)介紹了企業(yè)網(wǎng)絡(luò)和安全的體系結(jié)構(gòu)轉(zhuǎn)換锁孟，這將使它能夠?yàn)閿?shù)字業(yè)務(wù)提供全面、敏捷和可適應(yīng)的服務(wù)茁瘦。SASE云服務(wù)有4個(gè)主要特點(diǎn)：身份驅(qū)動(dòng)品抽、云原生、支持所有邊緣(WAN甜熔、云圆恤、移動(dòng)、邊緣計(jì)算)腔稀、全球分布盆昙。

身份驅(qū)動(dòng)

不僅僅是 IP 地址羽历，用戶和資源身份決定網(wǎng)絡(luò)互連體驗(yàn)和訪問權(quán)限級(jí)別。服務(wù)質(zhì)量淡喜、路由選擇秕磷、應(yīng)用的風(fēng)險(xiǎn)安全控制——所有這些都由與每個(gè)網(wǎng)絡(luò)連接相關(guān)聯(lián)的身份所驅(qū)動(dòng)。采用該方法炼团，公司企業(yè)為用戶開發(fā)一套網(wǎng)絡(luò)和安全策略澎嚣，無需考慮設(shè)備或地理位置，從而降低運(yùn)營開銷瘟芝。

云原生

SASE 架構(gòu)利用云的幾個(gè)主要功能币叹，包括彈性、自適應(yīng)性模狭、自恢復(fù)能力和自維護(hù)功能颈抚，提供一個(gè)可以分?jǐn)偪蛻糸_銷以提供最大效率的平臺(tái)，可很方便地適應(yīng)新興業(yè)務(wù)需求嚼鹉，而且隨處可用贩汉。

支持所有邊緣

SASE 為所有公司資源創(chuàng)建了一個(gè)網(wǎng)絡(luò)——數(shù)據(jù)中心、分公司锚赤、云資源和移動(dòng)用戶匹舞。舉個(gè)例子，軟件定義廣域網(wǎng) (SD-WAN) 設(shè)備支持物理邊緣线脚，而移動(dòng)客戶端和無客戶端瀏覽器訪問連接四處游走的用戶赐稽。

全球分布

為確保所有網(wǎng)絡(luò)和安全功能隨處可用，并向全部邊緣交付盡可能好的體驗(yàn)浑侥，SASE 云必須全球分布姊舵。因此，必須擴(kuò)展自身覆蓋面寓落，向企業(yè)邊緣交付低延遲服務(wù)括丁。

image

圖5：SASE全球PoP（Points of Presence）來源：Cato Networks官網(wǎng)

最終，SASE 架構(gòu)的目標(biāo)是要能夠更容易地實(shí)現(xiàn)安全的云環(huán)境伶选。SASE 提供了一種摒棄傳統(tǒng)方法的設(shè)計(jì)理念史飞，拋棄了將 SD-WAN 設(shè)備、防火墻仰税、IPS 設(shè)備和各種其他網(wǎng)絡(luò)及安全解決方案拼湊到一起的做法构资。SASE以一個(gè)安全的全球SD-WAN服務(wù)代替了難以管理的技術(shù)大雜燴。

SASE的理念就是借助SD-WAN搭建起來的虛擬化架構(gòu)去集中化陨簇，將核心能力附加到邊緣吐绵，使數(shù)據(jù)處理和安全能力都在邊緣進(jìn)行，以滿足當(dāng)前和未來云上和移動(dòng)業(yè)務(wù)的動(dòng)態(tài)需求。

SASE框架和能力 為云原生構(gòu)建統(tǒng)一管理的SD-WAN服務(wù)

提供一個(gè)全局的拦赠、安全管理的SD-WAN服務(wù)巍沙。能夠從遺留的MPLS(一組單點(diǎn)解決方案和昂貴的托管服務(wù))轉(zhuǎn)移到簡(jiǎn)單、敏捷和可負(fù)擔(dān)得起的網(wǎng)絡(luò)荷鼠。自助服務(wù)還是托管服務(wù)取決于自己句携。

image

圖6：Cato云平臺(tái) 來源：Cato Netwoks官網(wǎng)

用云原生網(wǎng)絡(luò)架構(gòu)取代傳統(tǒng)的電信網(wǎng)絡(luò)。將全球私有主干網(wǎng)允乐、Edge SD-WAN矮嫉、安全即服務(wù)（SaaS）、安全優(yōu)化的云和移動(dòng)訪問聚合到一個(gè)云服務(wù)中牍疏。因此蠢笋，云解決了組織的全球網(wǎng)絡(luò)、安全鳞陨、云和移動(dòng)需求昨寞，以支持完整的WAN轉(zhuǎn)換過程。

SASE能力

核心能力：即插即用可視化厦滤，優(yōu)化與管控

SASE體系結(jié)構(gòu)由兩個(gè)核心組件組成援岩。SASE云充當(dāng)網(wǎng)絡(luò)和安全功能的聚合器。SASE邊緣連接器將流量從物理掏导、云和設(shè)備邊緣驅(qū)動(dòng)到SASE云處理享怀。SASE使用一個(gè)單通道的流量處理引擎來有效地應(yīng)用優(yōu)化和安全檢查，并為所有流量提供豐富的前后關(guān)聯(lián)趟咆。將SASE模型與堆疊單點(diǎn)產(chǎn)品進(jìn)行對(duì)比添瓷，在堆疊單點(diǎn)產(chǎn)品中，每個(gè)產(chǎn)品分析特定需求的流量值纱，增加解密等操作的開銷鳞贷，并且缺少在其他網(wǎng)絡(luò)和安全點(diǎn)產(chǎn)品中生成的前后聯(lián)系。SASE可選能力包括：

1.認(rèn)證：在連接邊緣時(shí)计雌，動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估驅(qū)動(dòng)多因素認(rèn)證的激活悄晃。

2.訪問：對(duì)關(guān)鍵應(yīng)用程序和服務(wù)的訪問由支持應(yīng)用程序和用戶的下一代防火墻策略控制玫霎。此外凿滤，零信任網(wǎng)絡(luò)訪問模型可以確保用戶只能訪問授權(quán)的應(yīng)用程序，而不能獲得一般的網(wǎng)絡(luò)訪問權(quán)限庶近。

3.優(yōu)先級(jí)：應(yīng)用程序標(biāo)識(shí)為流量分配優(yōu)先級(jí)翁脆，以對(duì)損失敏感（loss-sensitive）的應(yīng)用程序進(jìn)行優(yōu)化（如VOIP和虛擬桌面訪問（VID）），而不是其他流量（如常規(guī)的Internet瀏覽）鼻种。

4.解密：為啟用深度包檢查反番，可以對(duì)加密的通信流進(jìn)行一次解密，從而允許多個(gè)威脅預(yù)防引擎處理這些通信流。

5.威脅預(yù)測(cè)：多個(gè)安全引擎解析流量以檢測(cè)有風(fēng)險(xiǎn)的訪問罢缸。這包括尋找惡意網(wǎng)站的安全Web網(wǎng)關(guān)篙贸、防止下載惡意文件的反惡意軟件、停止指示機(jī)器人活動(dòng)的入站和出站異常連接的IPS等等枫疆。

6.數(shù)據(jù)防泄漏：SASE應(yīng)用特定的數(shù)據(jù)防泄漏規(guī)則來檢測(cè)網(wǎng)絡(luò)流量中的敏感數(shù)據(jù)并阻止其泄漏爵川。類似地，云訪問服務(wù)代理(CASB)可以對(duì)云應(yīng)用程序?qū)嵤┝６仍L問控制息楔。

這是SASE功能的一個(gè)子集寝贡，SASE體系結(jié)構(gòu)的設(shè)計(jì)目的是用新引擎快速擴(kuò)展“單通道流量處理引擎”。SASE這個(gè)獨(dú)特優(yōu)勢(shì)是未來的網(wǎng)絡(luò)向SASE云擴(kuò)展值依，新的功能無縫擴(kuò)展到任何人和任何地方圃泡。類似地，使SASE云服務(wù)適應(yīng)新的威脅或攻擊載體可以集中完成愿险，并立即影響所有企業(yè)和所有邊緣颇蜡，而不需要部署或激活這些新增功能（類似思科APIC自動(dòng)化即插即用）。

SASE安全架構(gòu)

SASE安全架構(gòu)包括以下幾個(gè)組件：PoP實(shí)例辆亏、邊緣澡匪、安全即服務(wù)、威脅檢測(cè)與響應(yīng)管理（MDR）褒链。

PoP實(shí)例—流量處理引擎

PoP結(jié)構(gòu)

核心云網(wǎng)絡(luò), 由地理上分布的PoPs(Points of Presence)組成唁情，每個(gè)PoP運(yùn)行多個(gè)處理服務(wù)器。每個(gè)PoP運(yùn)行一個(gè)專門構(gòu)建的軟件棧甫匹，在所有流量上應(yīng)用路由甸鸟、加密、優(yōu)化和高級(jí)安全服務(wù)兵迅。PoP由運(yùn)行相同軟件棧的多個(gè)功能強(qiáng)大的現(xiàn)有服務(wù)器(commodity off the shelf servers,COTS)組成抢韭。

PoP的可擴(kuò)展性和靈活性

PoPs的設(shè)計(jì)是為了處理大量的流量。通過將服務(wù)器實(shí)例添加到相同的PoP(垂直擴(kuò)展)或在新位置添加PoP(水平擴(kuò)展)恍箭，可以擴(kuò)展處理能力刻恭。因?yàn)樵破脚_(tái)來維護(hù)基礎(chǔ)設(shè)施，所以客戶不必調(diào)整他們的網(wǎng)絡(luò)安全環(huán)境扯夭。所有許可的內(nèi)容鳍贾，即使被加密，也保證被所有受許可的安全服務(wù)的PoP處理交洗。

如果PoP服務(wù)器實(shí)例失效,受影響邊緣自動(dòng)重新連接到同一個(gè)PoP的可用服務(wù)器骑科。如果一個(gè)PoP完全失效，受影響的邊緣將連接到最近的可用PoP构拳。無論企業(yè)資源連接到哪個(gè)PoP, 云始終維護(hù)一個(gè)一致的邏輯企業(yè)網(wǎng)絡(luò)咆爽，創(chuàng)建相應(yīng)程度的可用性和彈性梁棠。

PoP內(nèi)置抗DDoS

PoPs的設(shè)計(jì)用以處理大流量的同時(shí)。彈性能力使云能夠適應(yīng)客戶增長和抵御各種類型的泛洪攻擊斗埂。為了減少攻擊面符糊，只有授權(quán)站點(diǎn)和移動(dòng)用戶可以連接并發(fā)送流量到主干。PoP外部IP地址受特定的抗DDoS措施保護(hù)呛凶，如SYN cookie機(jī)制和速率控制機(jī)制濒蒋。云平臺(tái)擁有一組IP，部分用于自動(dòng)將目標(biāo)站點(diǎn)和移動(dòng)用戶重新分配到未受影響的地址把兔。

PoP全連接加密

所有PoP都是通過完全加密的隧道互相連接沪伙。加密算法是AES-256，并使用受限制的對(duì)稱密鑰(每個(gè)PoP實(shí)例)县好。密鑰每60分鐘變化一次围橡，以減少暴露。

深度包檢測(cè)

PoP軟件包括一個(gè)深度包檢測(cè)(Deep Packet Inspection, DPI)引擎缕贡，該引擎以網(wǎng)速處理大量流量翁授，包括報(bào)頭或有效載荷。DPI引擎用于多種安全服務(wù)晾咪，包括NGFW反惡意軟件收擦、IDS/IPS和網(wǎng)絡(luò)控制(SD-WAN)。

DPI引擎自動(dòng)識(shí)別第一數(shù)據(jù)包中成千上萬的應(yīng)用程序和數(shù)以百萬計(jì)的域名谍倦。這個(gè)健壯的庫由第三方網(wǎng)址分類引擎和機(jī)器學(xué)習(xí)算法不斷豐富,挖掘大量數(shù)據(jù)倉庫建立元數(shù)據(jù)的所有流量貫穿整個(gè)云塞赂。客戶還可以通過云平臺(tái)工程師為他們配置自定義應(yīng)用程序或策略昼蛀。

TLS檢測(cè)

PoP可以在針對(duì)高級(jí)威脅保護(hù)服務(wù)(如反惡意軟件和IDPS)的TLS加密通信流上執(zhí)行DPI宴猾。TLS檢查必不可少，因?yàn)楝F(xiàn)在所有互聯(lián)網(wǎng)流量大部分是加密的叼旋，惡意軟件使用加密來逃避檢測(cè)仇哆。啟用TLS檢查后，將對(duì)加密通信進(jìn)行解密和檢查夫植。所有操作都是在PoP中完成的讹剔，因此沒有性能限制。要解密详民，客戶必須在其網(wǎng)絡(luò)上安裝云平臺(tái)證書延欠。客戶可以創(chuàng)建規(guī)則來選擇性地應(yīng)用TLS檢驗(yàn)流量的一個(gè)子集,如過濾數(shù)據(jù)包的應(yīng)用程序中阐斜、服務(wù)領(lǐng)域衫冻、類別、不包括數(shù)據(jù)包從受信任的應(yīng)用程序谒出、出于合規(guī)性即使解密不是應(yīng)用或配置隅俘、所有NGFW流量、URL過濾笤喳、和IPS規(guī)則涉及的元數(shù)據(jù)（如IP地址和URL）为居。

云上邊緣

Socket和設(shè)備連接

客戶通過加密的通道連接到云。隧道可以通過多種方式建立杀狡。socket是部署在物理位置的零接觸設(shè)備蒙畴。為了獲得最佳的安全性和效率，socket通過DTLS隧道動(dòng)態(tài)連接到最近的PoP呜象。如果隧道由于PoP故障而斷開連接膳凝，socket會(huì)重新將隧道連接到最近的可用PoP」Ф福或者蹬音，客戶可以使用支持IPsec或GRE的設(shè)備(如UTMs或防火墻)連接到最近的PoP。

socket具備的保護(hù)措施：

1.阻斷外部通信流量休玩，只允許經(jīng)過身份驗(yàn)證的流量

2.通過HTTPS或SSH連接內(nèi)部接口的管理訪問

3.管理員首次登陸強(qiáng)制重置密碼

4.不存儲(chǔ)數(shù)據(jù)包中的數(shù)據(jù)

5.對(duì)所有通信加密

6.通過加密通信著淆、加密身份驗(yàn)證(數(shù)字簽名軟件包)安全分發(fā)更新

筆記本和移動(dòng)設(shè)備客戶端

云平臺(tái)客戶端運(yùn)行在移動(dòng)設(shè)備上，包括個(gè)人電腦拴疤、平板電腦和智能手機(jī)永部，包括Windows、Mac呐矾、iOS和Android苔埋。客戶端使用設(shè)備VPN功能通過隧道連接到云蜒犯。其他的VPN客戶端也可以獲得支持讲坎。

可以通過與Active Directory集成，或通過管理應(yīng)用程序中的用戶配置來啟動(dòng)移動(dòng)用戶的登陸面板愧薛。用戶受邀請(qǐng)通過電子郵件注冊(cè)到云晨炕。用戶利用專用門戶通過幾個(gè)步驟為自己提供服務(wù)。用戶身份驗(yàn)證可以通過幾種方式進(jìn)行：

1.用戶名和密碼

2.多因素認(rèn)證（MFA）

3.單點(diǎn)登錄（SSO）

安全即服務(wù)

安全即服務(wù)是一組企業(yè)級(jí)毫炉、敏捷的網(wǎng)絡(luò)安全功能瓮栗，作為緊密集成的軟件堆棧的一部分直接構(gòu)建到云網(wǎng)絡(luò)中。目前的服務(wù)包括下一代防火墻(NGFW)瞄勾、安全Web網(wǎng)關(guān)(SWG)费奸、高級(jí)威脅預(yù)防、安全分析和管理威脅檢測(cè)和響應(yīng)(MDR)服務(wù)进陡。因?yàn)樵破脚_(tái)控制代碼愿阐，所以可以快速引入新的服務(wù)，而不會(huì)對(duì)客戶環(huán)境造成影響趾疚∮Ю客戶可以有選擇地啟用服務(wù)以蕴，配置它們來執(zhí)行公司策略。

下一代防火墻

1）應(yīng)用感知

NGFW提供完整的應(yīng)用程序感知辛孵，無論端口丛肮、協(xié)議、規(guī)避技術(shù)或SSL加密魄缚。DPI引擎分類相關(guān)的上下文宝与，如應(yīng)用程序或服務(wù)，早在第一個(gè)包且沒有SSL檢查時(shí)冶匹。相關(guān)的信息是提取自網(wǎng)絡(luò)元數(shù)據(jù)习劫。Cato研究實(shí)驗(yàn)室不斷豐富應(yīng)用程序庫，以擴(kuò)大覆蓋面嚼隘。

對(duì)于網(wǎng)絡(luò)和安全監(jiān)控诽里，整個(gè)Cato都可以使用DPI分類的上下文；對(duì)“影子IT”識(shí)別和其他趨勢(shì)的網(wǎng)絡(luò)可視化嗓蘑；或者用于像強(qiáng)制執(zhí)行阻塞/允許/監(jiān)視/提示規(guī)則這類的強(qiáng)制執(zhí)行须肆。

平臺(tái)提供了一個(gè)簽名和解析器的完整列表，用于識(shí)別常見的應(yīng)用程序桩皿。此外豌汇，自定義應(yīng)用程序定義根據(jù)端口、IP地址或域標(biāo)識(shí)特定于帳戶的應(yīng)用程序泄隔，這兩類應(yīng)用程序定義可供運(yùn)行在云中的安全規(guī)則使用拒贱。

2）用戶感知

平臺(tái)使管理員能夠創(chuàng)建上下文安全策略，方法是基于單個(gè)用戶佛嬉、組或角色定義和啟用對(duì)資源的訪問控制逻澳。此外，平臺(tái)的內(nèi)置分析可以被網(wǎng)站暖呕、用戶斜做、組或應(yīng)用程序查看，以分析用戶活動(dòng)湾揽、安全事件和網(wǎng)絡(luò)使用情況瓤逼。

Lan劃分

VLANs

Routed Range（通過路由器連接到套接口）

Direct Range（直接到套接口的LAN段，不通過路由器）

根據(jù)定義库物，不同的段之間不允許流量通信霸旗，允許這樣的連接需要?jiǎng)?chuàng)建局部劃分規(guī)則，由平臺(tái)socket執(zhí)行戚揭，或者創(chuàng)建WAN防火墻規(guī)則诱告，由云在完全檢查流量的情況下執(zhí)行。

3）WAN流量保護(hù)

利用WAN防火墻民晒，安全管理員可以允許或阻止組織實(shí)體(如站點(diǎn)精居、用戶锄禽、主機(jī)、子網(wǎng)等)之間的通信箱蟆。默認(rèn)情況下沟绪，平臺(tái)的廣域網(wǎng)絡(luò)防火墻遵循一種白名單方法刮便，有一個(gè)隱式的任意塊規(guī)則空猜。管理員可以采用這種方法，也可以切換到黑名單方式恨旱。

4）Internet流量保護(hù)

通過使用Internet防火墻辈毯，安全管理員可以為各種應(yīng)用程序、服務(wù)和網(wǎng)站設(shè)置允許或阻止網(wǎng)絡(luò)實(shí)體(如站點(diǎn)搜贤、個(gè)人用戶谆沃、子網(wǎng)等)之間的規(guī)則。默認(rèn)情況下仪芒，平臺(tái)的Internet防火墻遵循黑名單方法唁影，有一個(gè)隱式的any-any permit規(guī)則。因此掂名，要阻止訪問据沈，必須定義顯式阻止一個(gè)或多個(gè)網(wǎng)絡(luò)實(shí)體到應(yīng)用程序的連接規(guī)則。管理員可以在必要時(shí)切換到白名單方式饺蔑。

安全Web網(wǎng)關(guān)

SWG允許客戶根據(jù)預(yù)定義和/或自定義的類別監(jiān)視锌介、控制和阻止對(duì)網(wǎng)站的訪問。云在對(duì)特定可配置類別的每個(gè)訪問上創(chuàng)建安全事件的審計(jì)跟蹤猾警。管理員可以根據(jù)URL類別配置訪問規(guī)則孔祸。

URL分類與過濾規(guī)則

即來即用,平臺(tái)提供了一個(gè)預(yù)定義策略的幾十種不同的URL類別，包括安全類別发皿、疑似垃圾郵件和惡意軟件崔慧。作為默認(rèn)策略的一部分,每個(gè)類別設(shè)置一個(gè)可定制的默認(rèn)行為。使管理員能夠創(chuàng)建自己的類別和使用自定義規(guī)則,提高網(wǎng)絡(luò)訪問控制的細(xì)粒度穴墅。

URL過濾操作

每一類URL過濾規(guī)則都可進(jìn)行以下操作：

允許

阻斷

監(jiān)控

提示

反惡意軟件

作為先進(jìn)的威脅防護(hù)的一部分惶室，平臺(tái)提供了一系列優(yōu)質(zhì)服務(wù)。其中之一是反惡意軟件保護(hù)封救∧吹樱客戶可以使用這項(xiàng)服務(wù)來檢查廣域網(wǎng)和互聯(lián)網(wǎng)流量中的惡意軟件。反惡意軟件的處理包括：

1）深度包檢測(cè)

對(duì)流量有效載荷的深度包檢查誉结，用于普通和加密的流量(如果啟用)鹅士。文件對(duì)象從流量流中提取，檢查惩坑，并在適當(dāng)?shù)臅r(shí)候阻塞掉盅。

2）真實(shí)文件類型檢測(cè)

用于識(shí)別通過網(wǎng)絡(luò)傳輸?shù)奈募恼鎸?shí)類型也拜，而不考慮它的文件擴(kuò)展名或內(nèi)容類型頭(在HTTP/S傳輸?shù)那闆r下)。平臺(tái)使用此功能來檢測(cè)所有潛在的高風(fēng)險(xiǎn)文件類型趾痘，預(yù)防了由攻擊者或錯(cuò)誤配置導(dǎo)致的Web應(yīng)用程序技術(shù)被繞過慢哈。IPS也使用這個(gè)引擎，它在流分析期間提供了更多的上下文永票，并且是檢測(cè)惡意網(wǎng)絡(luò)行為的關(guān)鍵因素卵贱。

3）惡意軟件檢測(cè)與預(yù)測(cè)

首先，基于簽名和啟發(fā)式的檢查引擎侣集，根據(jù)全球最新威脅情報(bào)數(shù)據(jù)庫隨時(shí)保持更新键俱，掃描傳輸中的文件，以確保對(duì)已知的惡意軟件的有效保護(hù)世分。

其次编振，與行業(yè)領(lǐng)導(dǎo)者SentinalOne合作，利用機(jī)器學(xué)習(xí)和人工智能來識(shí)別和阻止未知的惡意軟件臭埋。未知的惡意軟件包括0day踪央，或更為常見的目的是逃避基于簽名檢查引擎的已知威脅的多態(tài)變種。有了簽名和基于機(jī)器學(xué)習(xí)的保護(hù)瓢阴，客戶數(shù)據(jù)具備隱私保護(hù)畅蹂，因?yàn)槠脚_(tái)不與基于云的存儲(chǔ)庫共享任何東西。

此外炫掐，客戶有能力配置反惡意軟件服務(wù)魁莉，或者監(jiān)測(cè)或者阻止，為特定的文件在一段時(shí)間的設(shè)置例外募胃，也可以實(shí)現(xiàn)旗唁。

IPS

入侵防御系統(tǒng)(IPS)檢查入站和出站、廣域網(wǎng)和互聯(lián)網(wǎng)流量痹束，包括SSL流量检疫。IPS可以在監(jiān)視模式(IDS)下運(yùn)行，而不執(zhí)行阻塞操作祷嘶。在IDS模式下屎媳，將評(píng)估所有流量并生成安全事件。IPS有多層保護(hù)組成论巍。

1）IPS保護(hù)引擎組件

行為特征

IPS會(huì)尋找偏離正持蛞辏或預(yù)期行為的系統(tǒng)或用戶。通過在多個(gè)網(wǎng)絡(luò)使用大數(shù)據(jù)分析和深度流量可視化來確定正常行為嘉汰。例如,發(fā)出到一個(gè)包含可疑TLD的未知URL的HTTP連接丹禀。經(jīng)過研究室分析后,這類流量可能是惡意流量。

名譽(yù)反饋（Reputaion Feeds）

利用內(nèi)部和外部的情報(bào)反饋，IPS可以檢測(cè)或防止受威脅或惡意資源的入站或出站通信双泪。Cato研究室分析許多不同的反饋持搜，針對(duì)云中的流量進(jìn)行驗(yàn)證，并在將它們應(yīng)用于客戶生產(chǎn)流量之前對(duì)它們進(jìn)行過濾以減少誤報(bào)焙矛。反饋每小時(shí)更新一次葫盼，不需要用戶擔(dān)心。

協(xié)議批準(zhǔn)

驗(yàn)證包與協(xié)議的一致性村斟，減少使用異常流量的攻擊面贫导。

已知漏洞

IPS可以防止已知的CVE，并可以快速適應(yīng)邓梅，將新的漏洞合并到IPS的DPI引擎中脱盲。這種能力的一個(gè)例子是IPS能夠阻止利用永恒之藍(lán)漏洞在組織內(nèi)廣泛傳播勒索軟件邑滨。

惡意軟件通訊

基于名譽(yù)反饋和網(wǎng)絡(luò)行為分析日缨，可以阻止C&C服務(wù)器的出站流量。

定位

IPS執(zhí)行客戶特定的地理保護(hù)政策掖看，根據(jù)源和/或目的地國家選擇性地停止通信匣距。

網(wǎng)絡(luò)行為分析

能檢測(cè)并防止南北向網(wǎng)絡(luò)掃描。

平臺(tái)中IPS的一個(gè)獨(dú)有特點(diǎn)是哎壳，它是作為一種服務(wù)提供的毅待，不需要客戶的參與。研究室負(fù)責(zé)更新归榕、優(yōu)化和維護(hù)內(nèi)部開發(fā)的IPS簽名(基于對(duì)客戶流量的大數(shù)據(jù)收集和分析)尸红，以及來自外部的安全反饋。平臺(tái)支持簽名流程刹泄，因此客戶不必平衡防護(hù)和性能外里，以避免在處理負(fù)載超過可用容量時(shí)進(jìn)行意外升級(jí)。

安全事件API

平臺(tái)持續(xù)收集網(wǎng)絡(luò)和安全事件數(shù)據(jù)特石，用于故障排除和事件分析盅蝗。一年的數(shù)據(jù)被默認(rèn)保存，管理員可以通過Cato管理應(yīng)用程序訪問和查看這些數(shù)據(jù)姆蘸。允許客戶導(dǎo)出事件日志文件(JSON或CEF格式)墩莫，以便與SIEM系統(tǒng)集成或存儲(chǔ)在遠(yuǎn)程位置。日志文件存儲(chǔ)在安全的位置逞敷，每個(gè)帳戶與其他帳戶相互獨(dú)立狂秦。

威脅檢測(cè)與響應(yīng)管理

MDR使企業(yè)能夠?qū)z測(cè)受危害端點(diǎn)的資源集中度和技術(shù)依賴性過程交給平臺(tái)SOC團(tuán)隊(duì)。平臺(tái)無縫地將完整的MDR服務(wù)應(yīng)用于客戶網(wǎng)絡(luò)推捐。自動(dòng)收集和分析所有的網(wǎng)絡(luò)流量裂问，驗(yàn)證可疑活動(dòng)，并向客戶通知被破壞的端點(diǎn)。這就是網(wǎng)絡(luò)和安全聚合的力量愕秫，簡(jiǎn)化了各種規(guī)模企業(yè)的網(wǎng)絡(luò)保護(hù)慨菱。

image

圖7 增加檢測(cè)和預(yù)防手段的MDR服務(wù) 來源：Cato Networks Advanced Security Services

MDR服務(wù)能力

1）零痕跡網(wǎng)絡(luò)可視化

為每個(gè)Internet和WAN流量初始化收集完整的元數(shù)據(jù)，包括原始客戶端戴甩、時(shí)間軸和目的地址符喝。所有這些都不需要部署網(wǎng)絡(luò)探測(cè)器。

2）自動(dòng)化威脅狩獵

高級(jí)算法尋找流數(shù)據(jù)倉庫中的異常甜孤，并將它們與威脅情報(bào)來源相關(guān)聯(lián)协饲。這個(gè)機(jī)器學(xué)習(xí)驅(qū)動(dòng)的過程會(huì)產(chǎn)生少量可疑事件，以供進(jìn)一步分析缴川。

3）專家級(jí)威脅驗(yàn)證

隨著時(shí)間的推移茉稠，Cato安全研究員檢查標(biāo)記的端點(diǎn)和流量，并評(píng)估風(fēng)險(xiǎn)把夸。SOC只對(duì)實(shí)際威脅發(fā)出警報(bào)而线。

4）威脅容器

通過配置客戶網(wǎng)絡(luò)策略來阻止C&C域名和IP地址，或斷開受威脅的計(jì)算機(jī)或用戶與網(wǎng)絡(luò)的連接恋日，可以自動(dòng)包含已驗(yàn)證的實(shí)時(shí)威脅膀篮。

5）整改協(xié)助

SOC將建議風(fēng)險(xiǎn)的威脅級(jí)別、補(bǔ)救措施和威脅跟蹤岂膳，直到威脅消除為止誓竿。

6）報(bào)告與溯源

每個(gè)月，SOC將發(fā)布一份自定義報(bào)告谈截，總結(jié)所有檢測(cè)到的威脅筷屡、它們的描述和風(fēng)險(xiǎn)級(jí)別，以及受影響的端點(diǎn)簸喂。

平臺(tái)的安全即服務(wù)使各種規(guī)模的組織都可以在任意地方應(yīng)用企業(yè)級(jí)通信流量毙死。數(shù)據(jù)中心、分支機(jī)構(gòu)娘赴、移動(dòng)用戶和云資源可以在統(tǒng)一的策略下以相同的防御設(shè)置進(jìn)行保護(hù)规哲。作為一種云服務(wù)，無縫地優(yōu)化和調(diào)整安全控制诽表，以應(yīng)對(duì)新出現(xiàn)的威脅唉锌，而不需要客戶的參與。與基于應(yīng)用程序的安全性相關(guān)的傳統(tǒng)工作竿奏，例如容量規(guī)劃袄简、規(guī)模調(diào)整、升級(jí)和補(bǔ)丁泛啸，不再需要绿语，從而將這種責(zé)任從安全團(tuán)隊(duì)中剝離出來。

總結(jié)

總體看下來，感覺和之前本人所想的思路有些相似吕粹，就是未來的安全不是各家廠商爭(zhēng)天下种柑，而是以合作為主，相互補(bǔ)足匹耕，最后形成一個(gè)集成大多數(shù)廠商安全能力的整體安全防護(hù)平臺(tái)聚请。我們所看到的SASE就是這樣一種理念，而Cato云的架構(gòu)和能力設(shè)計(jì)也正是這種理念的體現(xiàn)稳其。

但是驶赏，由于當(dāng)前對(duì)于SASE的描述過于強(qiáng)大，可以說是集大成之作既鞠，那么如何集成這些技術(shù)煤傍、接口，怎么來管理如此龐大的一個(gè)平臺(tái)都會(huì)是非常棘手的問題嘱蛋。比如蚯姆，什么樣的團(tuán)隊(duì)能夠管理和運(yùn)營SASE平臺(tái)、新興技術(shù)描述的非常令人向往但實(shí)際可能會(huì)有出入浑槽、這么復(fù)雜的平臺(tái)如何構(gòu)建蒋失、VPN構(gòu)建的網(wǎng)絡(luò)能否承載如此龐大的流量、各家廠商是否愿意一起建設(shè)SASE桐玻、PoP節(jié)點(diǎn)的投入和維護(hù)資源、前期高昂的建設(shè)和研究費(fèi)用等等荆萤。

SASE的出現(xiàn)镊靴，顛覆了目前的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)，就像IaaS對(duì)數(shù)據(jù)中心設(shè)計(jì)架構(gòu)的影響一樣链韭。SASE為安全和風(fēng)險(xiǎn)管理人員提供了未來重新思考和設(shè)計(jì)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)的機(jī)會(huì)偏竟。數(shù)字業(yè)務(wù)轉(zhuǎn)型、部署云計(jì)算和越來越多地采用邊緣計(jì)算敞峭，將帶動(dòng)對(duì) SASE 的需求踊谋。（引自Gartner網(wǎng)絡(luò)