2024年星河AI融合SASE解决方案白皮书
AI智能总结
目录 1 概 述..........................................................................................................................................01 2 SASE 的发展趋势.................................................................................................................02 2.1 SASE 的定义........................................................................................................................................022.2 SASE 相关技术逐渐成熟并体系化....................................................................................................02 3 华为星河 AI 融合 SASE 解决方案.....................................................................................05 3.1 华为对 SASE 的理解...........................................................................................................................053.2 方案架构................................................................................................................................................06 4 关键技术方案............................................................................................................................13 4.1 Secure SD-WAN................................................................................................................................134.2 安全资源池............................................................................................................................................224.3 乾坤安全运营........................................................................................................................................254.4 终端安全................................................................................................................................................28 5 典型应用场景...........................................................................................................................36 5.1 企业客户典型场景.................................................................................................................................365.2 运营商和 MSP 典型场景.....................................................................................................................39 6 术 语........................................................................................................................................40 概述 随着数字化转型的不断深入,业务加速上云,万物智能互联,分布式新型应用层出不穷,企业 IT 环境也变得更加复杂。企业将面临以下几方面挑战: 首先,业务上多云后,流量访问模型更加复杂,所对应的策略变化快、数量多。而企业运维人员需要同时维护云、网络及安全策略,运维难度显著提高,最终导致业务无法实现快速上线。 其次,远程办公和移动办公越来越普及,员工可能在任何时间和地点远程接入。当员工通过不安全的网络访问企业资源时,会令企业网络面临不确定的安全风险。此外,当海量的员工和企业分支通过 Internet互联时,较大的网络延迟和糟糕的 VPN(Virtual Private Network,虚拟专用网络)体验,也会使得关键业务质量难以保障。 最后,网络和安全建设的割裂,也导致投资成本、管理效率等问题愈发严重。 因此,企业迫切需要一种高效灵活的组网,可以实现分支与总部的快捷互联,满足员工随时随地安全访问云应用的诉求。而 SASE(Secure Access Service Edge,安全访问服务边缘)的出现,解决了企业对连接性和安全性等方面的诉求。 数据源的网络边缘侧,通过融合计算、网络、存储、应用和安全的分布式计算系统,在就近位置提供低延时和智能化服务。而 SASE 的网络服务和安全服务追求低延迟的效果,因此 SASE 的处理节点需要靠近企业分支和用户,流量才能得到就近的安全威胁分析和防护处理,并快速接入更优质量的网络,以实现应用加速等效果。边缘计算的智能互联服务满足了不同行业对业务实时性、数据融合、安全与隐私保护等方面的关键需求。 2019 年 Gartner 在《The Future of Network Security Is in the Cloud》提出 SASE 这一新兴技术概念,并将 SD-WAN、SWG、CASB、ZTNA、FWaaS 定义为 SASE 的五大核心部件,如图 2-1 所示。 S A S E 的 发 展 趋 势 2.1 SASE 的定义 SASE 是一种新兴的云架构模型,旨在提供云原生的网络和安全服务,以满足现代企业的需求。SASE通过将网络和安全功能集成到云平台中,简化并统一了企业的网络和安全架构,提供了更灵活、更安全、更高效的网络连接和应用访问体验。 SASE 的核心思想是将网络和安全功能从传统的物理设备转移到云平台上,并通过软件定义技术和虚拟化技术将其与网络流量紧密结合。最终,企业可通过云端集中管理和调整网络连接和安全策略,无论用户和应用程序位于何处,都能获得高效、安全和一致的访问体验。 •SD-WAN SD-WAN(Software-Defined WAN,软件定义广域网)通过智能路由、安全增强、性能优化、管理控制以及多链路冗余等特性,为企业提供灵活、智能且高效的网络连接,助力企业实现高效、可靠的远程办公和业务拓展。 2.2 SASE 相关技术逐渐成熟并体系化 在业界中,SASE 相关技术已经逐渐成熟并形成体系化。自 2021 年开始,已经走出最初的技术炒作期,逐步迈向实用落地阶段。各个厂商的 SASE 解决方案开始迅速涌现,并面向市场推出。 •SWG SWG(Secure Web Gateway,安全 Web 网关)用于保护用户访问互联网的安全。通过集成多种功能和技术,SWG 可以实现对 Web 流量的控制与检测,阻止网络威胁和数据泄露,防范恶意软件、恶意网站和不良内容的传播。 部分厂商在网络服务上更有经验和优势,通过在广域网接入点增加安全服务来提供 SASE 服务。部分厂商则通过合作方式构建自己的 SASE 服务,且更加注重安全服务能力的发展。Gartner 将这类注重安全服务的厂商划分为 SSE(Secure Service Edge,安全服务边缘)服务提供商,以区别于强调网络与安全融合的服务提供商。此外,也有一些厂商将专线与安全能力融合称为 SASE 服务,例如专线加云端防火墙服务等,这是 SASE 定义的延伸,属于适应国内外市场而发展起来的。 •CASB CASB(Cloud Access Security Broker,云访问安全代理)用于保护企业在使用云服务时的安全性和合规性。CASB 充当了企业内部网络和云提供商之间的中间代理,为企业提供了云环境中的数据和应用程序的可见性、控制和保护。 在 CSA 大中华区 SASE 工作组的研究中,提出了 SASE 的四个核心技术和三个主要应用场景。其中,边缘计算是 SASE 的一个核心技术。边缘计算是一种新型的计算模式,将云计算能力下沉到靠近用户和 •ZTNA ZTNA(Zero Trust Network Access,零信任网络访问)是 SASE 的关键能力之一。ZTNA 基于“永不信任,始终验证”的原则,对每个访问请求进行严格的身份验证和授权。通过细粒度的访问控制,确保只有授权用户和设备才能访问特定的应用程序和服务。ZTNA 通常与 IAM(Identity and AccessManagement,身份识别与访问管理)系统集成,以实现动态的访问控制。用户需要先认证,才能访问资源。ZTNA 会实时监测用户访问行为,杜绝越权访问,并及时处置安全威胁。 华 为 星 河 A I 融 合 S A S E 解 决 方 案 •FWaaS FWaaS(Firewall as a Service, 服 务 化 部 署 的 防 火 墙) 是 指 以 云 服 务 的 模 式 提 供 防 火 墙 功 能。FWaaS 将传统的基于硬件的防火墙功能移至云端,通过云服务提供商来提供和管理防火墙服务,以保护企业的网络和应用程序安全。 2020 年,MEF(Metro Ethernet Forum, 城 域 以 太 论 坛) 发 布 了 白 皮 书《MEF SASE ServicesFramework》,旨在为 SASE 服务框架制定统一的标准,涵盖 SD-WAN、安全性、自动化和其他标准化工作。为了进一步推动 SASE 服务的规范化,MEF 还启动了 SASE 服务定义项目,该项目致力于制定一系列标准化规范,包括 SD-WAN 服务属性与框架、SD-WAN 服务的应用安全、零信任安全框架与服务属性、通用 SD-WAN 边缘设备、SD-WAN 服务的性能监控与服务准备测试、基于意图的编排和策略驱动的业务流程等。 3.1 华为对 SASE 的理解 如图 3-1 所示,企业数字化转型过程中,业务上云、混合办公、IoT(Internet of Things,物联网)
