零信任體系黑科技之SASE
而關于身份的問題,在之前的“零信任“系列文章中也做了討論,所以這里簡單提一下即可。我們可以確定對身份因子的可把控維度越大則安全框架發揮出的防護效果更好。而我們基本可以認定:用戶、設備、服務是比較基本的身份因子,除此之外還有”上下文“信息也可以被認定為身份因子,這些上下文信息來源包括:用戶使用的設備身份、日期、風險/信任評估、場地、正在訪問的應用或數據的靈敏度。企業數據中心仍存在,但不再是網絡架構的中心,只是用戶和設備需要訪問的眾多互聯網服務中的一個。
SASE按需提供所需的服務和策略執行,獨立于請求服務的實體場所和所有訪問能力。
SASE Conceptual Model
二、SASE云服務的主要特點
SASE框架畢竟也是與“零信任體系“一脈相承,所以”零信任體系“所包含的特點SASE自然是都有,除此之外,SASE還有著4個與眾不同的特點:身份驅動、云原生、兼容所有邊緣、全球分布。
1、身份驅動
所有行為和訪問控制全部依賴于“身份“,服務質量、權限級別、路由選擇、應用的風險安全控制等等,所有這些與網絡連接相關聯的服務全部由身份驅動。基于此,公司企業只需專注于身份管理與對應的安全策略,從而無需考慮設備或地理位置等因素,以此達到降低運營開銷的目的。
2、云原生
SASE認定未來網絡安全一定會集中在云服務上,因此SASE框架利用云原生的幾個主要功能:彈性、自適應性、自恢復能力、自維護能力,以此提供一個分攤客戶開銷以提供最大效率的平臺,可很方便地適應新興業務需求,而且隨處可用。
3、兼容所有邊緣
SASE 為所有公司資源創建了一個網絡——數據中心、分公司、云資源和移動用戶。舉個例子,軟件定義廣域網 (SD-WAN) 設備支持物理邊緣,而移動客戶端和無客戶端瀏覽器訪問連接四處游走的用戶。
4、全球分布
為確保所有網絡和安全功能隨處可用,并向全部邊緣交付盡可能好的體驗,SASE 云必須全球分布。因此,企業需要具有全球 POP 點和對等連接的 SASE 產品,必須擴展自身覆蓋面,向企業邊緣交付低延遲服務。
分享
請輸入評論內容...
請輸入評論/評論長度6~500個字
圖片新聞
