本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘要:安全访问服务边缘(SASE)模型基于自身特性实现了网络能力和安全能力的分布式云服务交付。基于SASE云原生架构的特性,提出了一种结合SD-WAN网络工具和SDN技术的SASE云安全资源池设计方案。介绍了SASE云安全资源池的整体架构、安全能力端云协同、云安全资源池业务流程设计及方案验证,最后总结SASE云安全资源池的设计建设经验并展望该技术的发展趋势。
关键词:SASE;SD-WAN;SDN;云安全资源池
doi:10.12045/j.issn.1007-3043.2022.09.011
前言
Gartner在2019年发布的《网络安全的未来在云端》中提出一项新的技术概念SASE(SecureAccessServiceEdge),其定义是一个融合了软件定义广域网和网络安全功能,以支持数字化企业需求的新兴技术。
SASE将广域网与网络安全(如SWG、CASB、FWaaS、ZTNA)结合起来,将本地用户、移动用户以及物联网设备和云资源整合为统一的服务,从而实现网络和安全能力的云交付。目前仍没有形成关于SASE的业务公认标准架构和能够提供完整SASE链条的服务提供商。SASE网络安全模型如图1(见PDF)所示。
传统的网络安全架构选择在数据中心或企业总部的边界部署物理安全设备,通过安全设备的安全防护能力实现对企业重要资产的安全防护。但是传统方案具有购置成本高、部署难度大、运维难度大、灵活性差等问题。本文在SD-WAN的基础上,提出了一种SASE云安全资源池完整解决方案,安全能力即服务,提供广域可达的云安全服务交付。相比传统安全方案,云安全资源池方案使用成本低、灵活性高,无需购置部署安全设备,通过管理平台可定制个性化的安全服务,且可进行安全服务能力的弹性扩容。云安全资源池是SASE模型云原生特性的具体应用,也是SASE安全能力栈的重要实现形式,而云安全即服务也成为当前的技术潮流。
图2(见PDF)为相对完整的SASE服务链条,作为SASE整体服务链条的重要一环,云安全资源池负责提供安全服务。多分支企业通过SD-WAN搭建的广域网互联,在SD-WAN接入端进行基于身份的认证准入和权限控制,安全资源池提供云化的安全服务并通过SDWAN实现引流,SD-WAN网管平台和安全能力平台在SASE统一管理平台的协调下实现网络和安全能力的快速交付。