什麼是安全訪問服務邊緣（SASE）？—Vecloud微雲

Gartner 報告闡明瞭在新的網路和安全模型的基礎上進行雲網路和安全轉型的潛力，該模型稱為安全訪問服務邊緣（ SASE ）。
隨著企業紛紛擁抱數字業務過程，以及邊緣計算、雲服務和混合網路的興起，傳統網路和安全架構的整體複雜性帶來了問題，例如延遲、網路盲點、過多的管理開銷以及隨著服務變化而不斷進行重新配置的需求。透過降低網路複雜度和將安全過程遷移至可發揮最大效用的網路邊緣， SASE 模型摒除了這些問題。
‍‍ 提高效能
網路擁塞導致的丟包和無序資料包對應用程式的影響非常大。資料包丟失會嚴重影響延遲敏感的應用程式（如影片、 VoIP 和 Web 會議）。目前有一些方案可以最大程度地減少延遲和資料包丟失帶來的影響。
SD-WAN 解決方案具有廣域網最佳化功能，可以應用於不同的應用程式或不同的站點。除了 WAN 最佳化功能外，還可以使用協議和應用程式加速技術。
除了現有的減少資料包丟失和延遲的技術外，我們還可以儘可能地將廣域網私有化。透過使用由 PoP 組成的全球主幹網進行私有化，你可以控制最後一公里對應用程式產生的不利影響。
一旦私有化，我們就可以更好地控制流量路徑、資料包丟失和延遲。私有網路結構是 SASE 的主要優勢，它可以提高應用程式的效能。
安全
SASE 將網路和安全整合到一個平臺中。這允許將多個安全解決方案整合到雲服務中，從而在所有公司位置、使用者和資料之間實施統一策略。
SASE 採用零信任原則，零信任的初始路徑首先要確定網路訪問是基於使用者、裝置和應用程式的身份。它不基於 IP 地址或裝置的物理位置。
使用者 / 裝置的身份必須反映業務環境，而不是同與上層完全脫節的二進位制結構相關聯。這將身份與網路世界繫結在一起，是執行策略的最佳方式。透過這種方式，可以消除對 IP 或應用程式的依賴。無論使用者 / 裝置位於何處，都可以一致地應用該策略。同時，可以將使用者 / 裝置 / 服務的身份納入所應用的策略中。
SASE 堆疊基於身份和上下文動態應用，同時在雲中的戰略要點提供零信任。這就是加強以身份為中心的邊界的原因。
首選出口點
我們還可以定義首選出口點以退出雲應用程式流量。這些可能是最接近客戶應用程式例項的點。最優的全域性路由演算法確定了從世界任何地方到客戶的雲應用程式例項的最佳路徑。
PoP 可以放置在資料中心，為訪問 Amazon AWS 、 Microsoft Azure 和谷歌雲服務提供了良好的入口。使用者可以在大多數時間內將流量保留在私有云上。 Internet 僅用於向 SASE 結構提供一個短躍點。
SASE PoP 最佳化
SASE 基於雲的解決方案中的每個 PoP 都在最合理的地方進行了最佳化，而不僅僅是在 WAN 邊緣。在骨幹網中，我們進行了全域性路由最佳化，以確定當前哪個路徑是最佳路徑，並且還可以針對所有流量或某些應用程式更改該路徑。
這些路由演算法考慮了效能指標，例如延遲，資料包丟失和抖動，有助於為每個網路資料包選擇最優路由。 WAN 骨幹網不斷分析並嘗試提高效能。這與 Internet 路由不同，後者偏向於成本而不是效能。
隨著一切都私有化，我們擁有所有資訊來建立最大的資料包，並使用基於速率的演算法，而不是傳統的基於損耗的演算法。因此，使用者無需學習任何內容，就可以維持端到端的吞吐量。
由於每個 PoP 都充當 TCP 代理伺服器，因此， TCP 客戶端和伺服器的距離會更近，並且擁有更大的 TCP 視窗，從而允許在等待確認之前傳遞更多資料。
複雜性和開銷
傳統的機制受到客戶站點物理裝置硬體容量的限制。這種機制導致硬體更新率的滯後，而這些硬體也是新增新功能所必需的。
基於硬體的網路和安全解決方案內建在硬體中，這種方式可以加速服務並新增新功能。但有些功能只在特定的硬體上可用，而不是在您本地的硬體上。在這種情況下，客戶有繁重的部署工作。
隨著環境的發展，我們不應依賴於新一代裝置帶來的新網路和安全功能。通常，此模型效率低下且複雜。它帶來了高昂的運營開銷和管理複雜性。
新功能的裝置升級需要大量的管理。從過去的經驗來看，更換一張線路卡需要多個團隊的參與。有的線路卡可能沒有埠，或者您可能只需要新增一些附加功能。僅這些操作將涉及到專案規劃、現場工程師、設計指南、線路卡測試等方面。為了確保關鍵站點成功重新整理，可能需要更多的維護人員。
SASE—— 輕鬆管理
基於雲的 SASE 支援新功能和功能的更新，無需在客戶端部署新的裝置（物理或虛擬）和軟體版本。這對管理的便利性有直接的影響。
現在，無需接觸企業網路就可以進行網路和安全部署。這使企業可以迅速採用新功能。一旦消除了功能與客戶裝置之間的緊密聯絡，就可以提高網路和安全服務部署的敏捷性和簡便性。
在 SASE 平臺上，當我們建立一個物件（比如網路域中的策略）時，它也可以在其他域中使用。因此，無論網路位置如何，分配給使用者的任何策略都將繫結到該使用者。這顯著地消除了管理跨多個位置、使用者和裝置型別的網路和安全策略的複雜性。最重要的是，所有這些都可以在一個平臺上完成。
此外，當我們研究安全解決方案時，許多人購買的是隻專注於一項工作的個人裝置。要進行故障排除，您需要收集資訊，例如每個裝置的日誌。這就是 SIEM （安全資訊和事件管理）有用的地方，但是它只能在某些組織中使用，因為 SIEM 技術是資源密集型工具，需要經驗豐富的人員來實現。對於那些沒有足夠資源的人來說，這個過程是非常艱難的，可能會出現錯誤的結果。
最後，由於所有資料都在一個公共儲存庫中，因此 SASE 使得故障排除更加容易。您不再需要對來自不同裝置 / 解決方案的資料進行規範化，然後將資料匯入資料庫以獲取通用檢視。
供應商和技術棧的合併
安全是網路領域的一個重要話題，目前市場上存在的眾多安全解決方案都很昂貴，且沒有固定的價格， SASE 的出現給安全領域注入了新的力量。透過將服務整合到單個提供商中，終端使用者裝置上的供應商和代理商 / 客戶數量將會減少。
總體而言，供應商和技術棧的合併可以減少大量的複雜性，將複雜性從本地企業網路轉移到雲端，並降低了成本。
從硬體的角度來看：為了實現規模和增加容量，基於雲的 SASE 可以新增更多 PoP 點。此外，基於 SASE 的雲還負責加密處理。例如，由於現在網際網路流量的很大一部分都是加密的，惡意軟體可以使用加密來逃避和隱藏檢測，藉助 SASE ，每個 PoP 都可以對經過 TLS 加密的流量執行 DPI 。
傳統防火牆無法檢查加密的流量。對 TLS 加密的流量執行 DPI 將需要額外的模組或新的裝置。 SASE 解決方案可確保在 PoP 上完成解密和檢查。因此，在客戶站點不會影響效能，也不需要新裝置。
Vecloud是一家面向企業提供雲交換網路服務為核心業務的技術創新企業，在全球的資料中心節點30個，POP節點超過200個，服務的大客戶超過300個，涉及金融、網際網路、遊戲、AI、教育、製造業、跨國企業等行業領域。