SASE云安全研究與實踐

葉朝陽，王欣，張士聰，詹智勇，劉伊莎

工程與應用

SASE云安全研究與實踐

葉朝陽，王欣，張士聰，詹智勇，劉伊莎

（浙江省新型互聯網交換中心有限責任公司，浙江 杭州 311215）

互聯網發展到今天，與傳統網絡相比已出現了翻天覆地的變化，在當今網絡的變革中，“云化”成了企業IT架構演進的主流方向，因此對云安全的要求也越來越高，主要介紹了通過SASE云安全架構的實踐部署，解決客戶上云安全問題。提出了獨特完整的SASE解決方案，該方案將安全功能與SD-WAN功能結合，構建統一管控平臺、集中部署核心安全資源池按需調用，實現對惡意軟件或惡意活動的實時監控、智能分析和自動攔截。實踐證明該方案在統一管控、入侵檢測與防御、精細化訪問控制等方面達到預期效果，能夠充分保障企業的云上安全。

云安全；SASE；SD-WAN

0 引言

在Gartner（高德納，又譯顧能公司，是全球較具權威的IT研究與顧問咨詢公司）2019年發布的《網絡安全的未來在云端》報告中，提出安全訪問服務邊緣的概念，并將其稱為SASE（secure access service edge）。Gartner對SASE的定義為：SASE是一種基于實體的身份、實時上下文、企業安全/合規策略，以及在整個會話中持續評估風險/信任的服務。實體的身份可與人員、人員組（分支辦公室）、設備、應用、服務、物聯網系統或邊緣計算場地相關聯。SASE平臺可以支持整個廣域網（wide area network，WAN）轉換過程，因為它使IT能夠以敏捷和經濟有效的方式提供業務需求的網絡和安全功能。因此，SASE是一個融合了SD-WAN（軟件定義廣域網）和網絡安全功能的新興技術，可以很好地支持企業的上云安全。

1 當今企業的IT現狀及安全困境

1.1 企業的IT現狀

當前企業數字化轉型已是大勢所趨，隨著大數據、云計算和5G新技術的引入，企業IT基礎設施架構也發生了顯著的變化。

● 企業核心應用“云化”，包括企業內部應用云化以及外部應用的互聯網。

● 業務場景“邊緣化”，越來越多的數據處理和計算下沉到邊緣節點完成。

● 辦公場景“多樣化”，移動辦公、遠程辦公、總部/分支機構協同辦公。

● 網絡邊界轉變，網絡架構演變到今天，服務、應用和數據越來越多地處在多云、混合云上，無論通過SaaS（software as a service）訪問、公有云訪問，還是通過私有云訪問，其應用、服務、數據已經分散化，無處不在。帶邊界層的網絡轉變如圖1所示。

1.2 安全困境

在企業核心應用“云化”“邊緣化”之后，企業需要敏捷、高速及穩定地訪問云資源，無論何時何地，不論是人員還是設備，都能夠快速地訪問業務應用及數據，但是在滿足此需求的同時，又暴露了其他問題，即原來基于IDC（internet data center）實體中心設計的傳統安全防護手段突然失靈了，不能很好地滿足企業所需的安全防護要求以及必要的訪問控制要求。例如：

● 企業核心應用云化之后，本地IDC的防護措施鞭長莫及；

● 企業無法將傳統的硬件防火墻、流量清洗、日志審計等安全設備部署在云端；

● 分布式接入后，企業無法對所有接入用戶做統一的安全管控；

● 受限于成本，多數企業無法為每個接入點都單獨部署安全硬件設備，即便完成部署，也難以實現統一的運維和監控。

“云化”“邊緣化”對傳統IT基礎設施的安全帶來了全新的挑戰，企業原先的邊界正在被打破，傳統的硬件安全方案已經無法滿足企業數字化轉型中的防護要求，企業亟須實時、全面、統一管理的安全防護手段。應運而生的SASE架構更能適應邊緣計算、云服務和混合云等IT環境，更快速、更安全地幫助企業完成數字化轉型。

2 SASE云安全架構

2.1 SASE主要特征

根據Gartner的定義，SASE有如下4個主要特征。

（1）身份驅動

不僅僅是IP地址，用戶和資源身份也決定網絡互連體驗和訪問權限級別。服務質量、路由選擇、應用的風險安全控制——這些都由與每個網絡連接相關聯的身份所驅動。采用該方法，公司企業為用戶開發一套網絡和安全策略，無須考慮設備或地理位置，從而降低運營開銷。

（2）云原生架構

SASE架構利用云的幾個主要功能，包括彈性、自適應性、自恢復能力和自維護功能，提供一個可以分攤客戶開銷以提供最大效率的平臺，可方便地適應新興業務需求，而且隨處可用。

（3）支持所有邊緣

SASE為所有公司資源（數據中心、分公司、云資源和移動用戶）創建了一個網絡。舉個例子，SD-WAN設備支持物理邊緣，而移動客戶端和無客戶端瀏覽器連接四處游走的用戶。

（4）全球分布

為確保所有網絡和安全功能隨處可用，并向全部邊緣交付盡可能好的體驗，SASE云必須全球分布。因此，Gartner指出，必須擴展自身覆蓋面，向企業邊緣交付低時延服務。

最終，SASE架構的目標是要能夠更容易地實現安全的云環境。SASE以一個安全的全球SD-WAN服務代替了難以管理的技術大雜燴。

2.2 業界主流觀點及架構

數字業務轉型顛覆了網絡和安全服務的設計模式，將重心轉到了用戶和設備的身份上，不再聚焦數據中心。SASE是一項云計算服務，降低了復雜性和成本，旨在向企業整體交付聚合的網絡和安全服務。SASE擺脫了分散集成和地理位置的約束，SASE分布式安全服務原理如圖2所示。

SASE將網絡控制置于云端邊緣，而不是企業數據中心。與需要單獨配置和管理的分層云服務不同，SASE 簡化了網絡和安全服務，以創建安全、無縫的網絡邊緣。通過在邊緣網絡上實施基于身份的零信任訪問策略，企業可以將其網絡邊界擴展到任何遠程用戶、分支機構、設備或應用程序。這消除了對傳統VPN和防火墻的需求，并使企業能夠更細致地控制其網絡安全策略。

圖2 SASE 分布式安全服務原理

2.3 SASE核心工作原理

SASE的理念是借助SD-WAN搭建的虛擬化架構去集中化，將核心能力附加到邊緣進行，以滿足當前和未來云上和移動業務的動態需求。SASE將軟件定義廣域網（SD-WAN）能力與多種安全功能整合，通過單一云平臺進行交付和管理。SASE產品5個核心安全部分和工作原理如下。

（1）安全Web網關（secure Web gateway，SWG）

SWG也稱為安全互聯網網關，它從Web流量中過濾不需要的內容，阻止未經授權的用戶行為，并執行公司安全策略，從而防止網絡威脅和數據泄露。SWG可以部署在任何地方，因此是確保遠程員工安全的理想選擇。

（2）云訪問安全代理（cloud access security broker，CASB）

CASB為云托管服務執行多項安全功能，包括揭示影子 IT（未經授權的公司系統）、通過訪問控制和數據丟失防護（DLP）保護機密數據、確保符合數據隱私法規等。

（3）防火墻即服務（firewall-as-a-service，FWaaS）

FWaaS是指用云端防火墻服務作為交付的防火墻，保護云端平臺、基礎設施和應用程序免受網絡攻擊。與傳統防火墻不同，FWaaS 不是物理設備，而是一組安全能力，其中包括 URL 過濾、入侵防御以及對所有網絡流量的統一策略管理。

（4）零信任網絡訪問（zero-trust network access，ZTNA）

ZTNA平臺鎖定內部資源，不允許公開查看，并要求對每個受保護應用程序的每個用戶進行實時驗證，以幫助防止潛在的數據泄露。

（5）遠程瀏覽器隔離（remote browser isolation，RBI）

RBI是讓瀏覽器運行在遠程云端的安全沙箱里，和本地終端隔離，這樣即使瀏覽器被感染，惡意軟件也無法侵害終端用戶的系統。

3 SASE實踐方案

SASE架構作為業界的主流方向，交換中心也對此進行了探索，并設計了交換中心SASE架構，旨在為上云客戶提供更安全的環境。本文將從能力架構方案、系統架構方案、安全資源池服務編排方案3方面具體闡述SASE架構的組成，然后通過對實際的部署方案的闡述說明本架構的優化點、核心能力和價值優勢。

3.1 SASE能力架構方案

核心能力是即插即用可視化、網絡優化與安全管控。主要分為兩大部分：安全云管理平臺和安全資源池。交換中心SASE能力架構方案如圖3所示。

安全云管理平臺用于集中管理各類軟硬件安全產品，實現云安全服務靈活編排，為云平臺和云租戶提供靈活、高性能的安全能力。平臺能夠提供安全服務化、流量編排、策略管理、計量計費、態勢呈現等諸多功能，為各類政企用戶的云安全保駕護航。

安全云平臺與業務云平臺松耦合，通過部署獨立的安全資源池實現在不改變原有云結構的同時，為平臺和租戶提供全方面的安全能力。平臺除了可通過獨立的界面實現安全組件的資源管理、策略管理和資源監控外，還提供統一的計量計費、服務模板、工單流轉、運營與運維大屏等諸多內容。

在面向需要高性能的大型場景時，由于租戶數量多、服務節點數多，增加軟硬混合資源池方案，即為該場景使用頻率較高的安全設施配置專用高性能硬件，其余則通過平臺調度。該方案的優勢為通過高性能的硬件安全資源與靈活的軟件安全資源結合的方式，保障業務的穩定性與高效性。安全能力可以靈活選擇，具有全網統一的安全運營與運維視角。

3.2 SASE系統架構方案

SASE系統架構方案主要包含三大模塊：統一的云安全一體化管理平臺、集中化安全能力池和近源端安全能力池。交換中心SASE系統架構如圖4所示。

圖3 SASE能力架構方案

（1）統一的云安全一體化管理平臺

平臺可以適用不同場景、不同業務的云用戶，為用戶提供多場景、個性化安全能力服務；平臺可以實現對集中化安全能力池和云網POP近源端安全能力池的集中調度管理；平臺擁有標準API與各安全組件對接，實現安全能力的統一配置、編排和使用。

（2）集中化安全能力池

監測審計類等安全能力集中云化部署，實現資源化、服務化和目錄化，按需快速開通調用；向云側輸出可調用的安全能力；安全能力資源共建共享，節約化建設運營。

（3）近源端安全能力池

部分網關類安全能力近源端部署，沉入云內，作為集中安全能力池的延伸，經由安全管理平臺統一管理，通過近源網絡流量牽引實現安全防護。快速實現云平臺內南北向流量的檢測防護，保證用戶對安全能力的性能需求。

3.3 SASE安全資源池服務編排方案

對城域流量和云租戶訪問流量的防護，編排不同的服務方案，對城域流量同步鏡像給態勢感知平臺進行威脅檢測，交換中心SASE安全資源池服務編排方案如圖5所示。

圖4 交換中心SASE系統架構

方案說明如下。

● 安全云管理平臺實現對安全產品的納管，可實現對軟硬件資源的拉起、調度、編排、策略管理、計量計費、報表、統一運維、數據運營等功能。

● 防火墻、負載均衡和交換機等硬件設備，采用雙機方式部署，提高網絡的可靠性。

● 規劃單獨的安全資源池，虛擬化的安全網元（堡壘機、WAF、數據庫審計等）采用虛擬機上線方式接入租戶業務網絡。

● 安全云管理平臺對安全資源池內的網元納管以及安全業務網元將安全日志發送給態勢感知直接走安全網元的管理網通道。

本方案優勢如下。

● 通過高性能的硬件安全資源與靈活的軟件安全資源結合的方式，保障業務的穩定性與高效性。

● 全網統一的安全運營與運維視角。

3.4 SASE組網拓撲

接入企業通過邊緣網關接入交換中心，由邊緣網關部署的安全綜合網關提供安全防護，而后接入公有云和邊緣云，或經過外墻和抗DDoS攻擊等防護后接入經互聯網接入邊緣云。交換中心SASE組網拓撲如圖6所示。

該組網拓撲的優化點如下。

（1）中小企業簡化組網

中小企業可以直接接入邊緣網關，使用邊緣網關的防護能力，也可以使用SD-WAN通過互聯網接入外墻，一點接入訪問各公有云和邊緣云節點，大大簡化了中小企業的組網結構。

（2）多邊緣節點統一安全納管

由云安全管理中心對全網安全設備進行統一納管，實現全網能力可視、資源可視、安全狀態可視。

圖5 SASE安全資源池服務編排方案

圖6 SASE組網拓撲

（3）運維審計能力集中上收

在交換中心統一部署安全能力池，實現運維審計各項功能集中管理，實現可管可控。

（4）安全綜合網關近源端流量防護

將安全綜合網關部署在近源端，就近防護，減少對其他企業的影響。部署方式可以是獨立部署方式，也可以是池化部署方式，當采用池化部署方式時，由云安全中心統一為所有客戶分配安全能力池資源。

3.5 SASE核心能力

（1）靈活接入

依托廣覆蓋的網絡資源，為各種分布式用戶、場所提供隨時隨地的靈活接入，并實現性能、可靠性、安全性的精確控制，幫助企業安全地實現數字化轉型所需的動態接入和訪問能力。

（2）跨地加速

憑借SD-WAN的核心優勢，通過將網絡設備的控制面與數據面分離，實現了網絡流量的靈活控制，使網絡作為管道更加智能，為企業提供多維度的網絡加速能力。

（3）身份驅動

融合零信任安全理念，將身份作為安全策略最重要的上下文因素，通過用戶、設備、時間、場地、被訪問應用和數據靈敏度等多維度信息，實現針對網絡服務質量、路由選擇、應用安全風險控制的細粒度落地。

（4）按需安全

將云原生安全能力與網絡能力進行全面融合，能夠根據用戶實際需要，在鄰近實體的分布式執行點處，按需提供滿足安全監管需求、企業安全策略以及具體業務安全需求的安全能力。

（5）持續運營

以公司集中化安全運營服務能力為依托，為用戶提供持續的態勢感知、事件監測、威脅分析、情報管理、通報預警、應急處置等服務能力，幫助用戶實現安全能力的切實落地和安全事件的高效應對。

3.6 SASE價值優勢

（1）提升用戶多場景下網絡和安全的性能保障

通過POP（point of purchase）提供基于時延優化的路由策略，全面支持企業數字化轉型、邊緣計算和員工移動接入等多場景下的網絡和安全需求，實現針對關鍵、敏感業務的性能和時延保障。

（2）增加用戶安全部署靈活度并降低安全建設成本

通過安全云交付的形式，企業的安全擴容需求擺脫傳統硬件容量的限制，可以根據需要隨時增加新的安全能力。同時，與傳統物理架構模式相比，大幅降低了企業安全建設和擴容的成本。

（3）提升用戶安全效能并降低安全運營復雜度

企業安全技術人員不用再陷入安全基礎設施的常規配置和維護工作中，而可以專注于業務應用的安全需求挖掘和策略規劃，有效降低安全運營的復雜度。

4 SASE能力驗證

在圖6組網拓撲下，企業通過專線或SD-WAN接入交換中心新型互聯網絡，通過SASE安全防護后提供至各公有云的訪問。交換中心通過實踐對新型SASE架構的統一管控能力、零信任內網訪問管控能力、入侵檢測與防御能力、精細化訪問控制能力進行了驗證，驗證結果如下。

（1）統一管控能力驗證

主要驗證云安全一體化管理平臺對全網安全資源池資源的管理能力，交換中心安全云管理平臺兼備網絡、安全、配置、運維、資產、API管理等能力，達到預期效果。

（2）零信任內網訪問管控能力驗證

實現通過自研HTTPS加密傳輸協議，基于動態身份認證，支持端到端（TCP）、端到應用（HTTP/HTTPS）的最小權限訪問控制。相較于傳統VPN訪問，訪問更快速、運維更高效、部署更便捷、系統安全性更高。

圖7 數據量化安全防護的顯示界面

（3）入侵檢測與防御能力驗證

云防火墻內置了威脅檢測引擎，可對互聯網上的惡意流量入侵活動和常規攻擊行為進行實時阻斷和攔截，并提供精準的威脅檢測虛擬補丁，智能阻斷入侵風險。數據量化安全防護的顯示界面如圖7所示。

（4）精細化訪問控制能力驗證

實現統一管理互聯網到業務的訪問控制策略和業務與業務之間的微隔離策略，實現支持全網流量可視和業務間訪問關系可視，全面保護企業和用戶的網絡安全。

但由于現階段很多企業未能實現智能網關接入，因此未能實現Internet就近加密接入以獲得更加智能、可靠、安全的上云體驗，還需要不斷進行探索升級。

5 結束語

交換中心通過部署SASE 架構，很好地滿足了企業上云的安全需求，也滿足了企業多分支機構的安全管理、移動辦公安全管理、中小企業一體化辦公安全管理等場景的需求。在未來的發展中，隨著云安全重要性的提升，SASE架構也會越來越完善，為用戶提供更豐富的解決方案，交換中心也需要與時俱進不斷探索，不斷滿足當前和未來上云業務的動態需求。

[1] 李長連, 馬季春, 藺旋. 基于SD-WAN構建SASE模型思路淺析[J]. 郵電設計技術, 2021(06): 78-83.

LI C L, MA J C, LIN X. Research and design of SASE model based on SD-WAN[J]. Designing Techniques of Posts and Telecommunications, 2021(6): 78-83.

[2] 林世榮, 姜守旭. 軟件定義企業級無線網絡平臺設計與實現[J]. 智能計算機與應用, 2021, 11(02): 210-215.

LIN S R, JIANG S X. Design and implementation of software defined enterprise wireless network platform[J]. Intelligent Computer and Applications, 2021, 11(2): 210-215.

[3] 章岐貴, 黃海, 汪有杰. 基于零信任的軟件定義邊界安全模型研究[J]. 信息技術與信息化, 2020(11): 92-94.

ZHANG Q G, HUANG H, WANG Y J. Research on software definition boundary security model based on zero trust[J]. Information Technology and Informatization, 2020(11): 92-94.

[4] 康敏. 內生安全SD-WAN網絡架構與關鍵設備方案研究[J]. 信息安全與通信保密, 2021, 19(7): 95-104.

KANG M. Research on an endogenous safety SD-WAN network architecture and technical proposal of key equipment[J]. Information Security and Communications Privacy, 2021, 19(7): 95-104.

[5] 網絡安全的未來在云端[EB]. 2019.

secure-access-service-edge[EB]. 2019.

Research and practice of SASE cloud security

YE Chaoyang, WANG Xin, ZHANG Shicong, ZHAN Zhiyong, LIU Yisha

Zhejiang Province New-Type Internet Exchange Point Co., Ltd.,Hangzhou 311215,China

With the development of the Internet today, earth shaking changes have taken place compared with the traditional network. In today's network reform, "cloud" has become the mainstream direction of the evolution of enterprise IT architecture, so the requirements for cloud security are becoming higher and higher. The practical deployment scheme of SASE cloud security architecture was introduced to solve the problem of cloud security for customers. A unique and complete SASE solution was proposed, which combined security functions with SD-WAN functions, and realized real-time monitoring, intelligent analysis and automatic interception of malware or malicious activities by building a unified management and control platform and centralized deployment of core security resource pool. Practice has proved that the scheme achieves the expected results in unified management and control, intrusion detection and defense, fine access control and so on, and can fully ensure the cloud security of enterprises.

cloud security, SASE, SD-WAN

TN929

A

10.11959/j.issn.1000－0801.2022019

2021?10?28；

2021?12?20

葉朝陽（1976? ），男，浙江省新型互聯網交換中心有限責任公司高級工程師、總經理，中國互聯網協會互聯網互聯互通工作委員會副主任委員，主要研究方向為新型互聯網交換中心相關的新技術、新業務的開發和推廣。

王欣（1973? ），男，浙江省新型互聯網交換中心有限責任公司副總經理，主要研究方向為新型互聯網交換中心相關的新技術、新業務的開發和推廣。

張士聰（1990? ），男，浙江省新型互聯網交換中心有限責任公司技術部經理，主要研究方向為新型互聯與網絡架構。

詹智勇（1985? ），男，浙江省新型互聯網交換中心有限責任公司高級工程師，主要研究方向為新型互聯網絡架構、新型互聯網絡安全等。

劉伊莎（1992? ），女，浙江省新型互聯網交換中心有限責任公司IT工程師，主要研究方向為新型互聯與網絡架構信息化。