目录 1概述01 2SASE的发展趋势02 2.1SASE的定义02 2.2SASE相关技术逐渐成熟并体系化02 3华为星河AI融合SASE解决方案05 3.1华为对SASE的理解05 3.2方案架构06 4关键技术方案13 4.1SecureSD-WAN13 4.2安全资源池22 4.3乾坤安全运营25 4.4终端安全28 5典型应用场景36 5.1企业客户典型场景36 5.2运营商和MSP典型场景39 6术语40 1 概 述 随着数字化转型的不断深入,业务加速上云,万物智能互联,分布式新型应用层出不穷,企业IT环境也变得更加复杂。企业将面临以下几方面挑战: 首先,业务上多云后,流量访问模型更加复杂,所对应的策略变化快、数量多。而企业运维人员需要同时维护云、网络及安全策略,运维难度显著提高,最终导致业务无法实现快速上线。 其次,远程办公和移动办公越来越普及,员工可能在任何时间和地点远程接入。当员工通过不安全的网络访问企业资源时,会令企业网络面临不确定的安全风险。此外,当海量的员工和企业分支通过Internet互联时,较大的网络延迟和糟糕的VPN(VirtualPrivateNetwork,虚拟专用网络)体验,也会使得关键业务质量难以保障。 最后,网络和安全建设的割裂,也导致投资成本、管理效率等问题愈发严重。 因此,企业迫切需要一种高效灵活的组网,可以实现分支与总部的快捷互联,满足员工随时随地安全访问云应用的诉求。而SASE(SecureAccessServiceEdge,安全访问服务边缘)的出现,解决了企业对连接性和安全性等方面的诉求。 版权所有©华为技术有限公司01 2 SASE的发展趋势 02SASE的发展趋势 数据源的网络边缘侧,通过融合计算、网络、存储、应用和安全的分布式计算系统,在就近位置提供低延时和智能化服务。而SASE的网络服务和安全服务追求低延迟的效果,因此SASE的处理节点需要靠近企业分支和用户,流量才能得到就近的安全威胁分析和防护处理,并快速接入更优质量的网络,以实现应用加速等效果。边缘计算的智能互联服务满足了不同行业对业务实时性、数据融合、安全与隐私保护等方面的关键需求。 2019年Gartner在《TheFutureofNetworkSecurityIsintheCloud》提出SASE这一新兴技术概念,并将SD-WAN、SWG、CASB、ZTNA、FWaaS定义为SASE的五大核心部件,如图2-1所示。 图2-1SASE的核心组件 2.1SASE的定义 SASE是一种新兴的云架构模型,旨在提供云原生的网络和安全服务,以满足现代企业的需求。SASE通过将网络和安全功能集成到云平台中,简化并统一了企业的网络和安全架构,提供了更灵活、更安全、更高效的网络连接和应用访问体验。 SASE的核心思想是将网络和安全功能从传统的物理设备转移到云平台上,并通过软件定义技术和虚拟化技术将其与网络流量紧密结合。最终,企业可通过云端集中管理和调整网络连接和安全策略,无论用户和应用程序位于何处,都能获得高效、安全和一致的访问体验。 2.2SASE相关技术逐渐成熟并体系化 在业界中,SASE相关技术已经逐渐成熟并形成体系化。自2021年开始,已经走出最初的技术炒作期,逐步迈向实用落地阶段。各个厂商的SASE解决方案开始迅速涌现,并面向市场推出。 部分厂商在网络服务上更有经验和优势,通过在广域网接入点增加安全服务来提供SASE服务。部分厂商则通过合作方式构建自己的SASE服务,且更加注重安全服务能力的发展。Gartner将这类注重安全服务的厂商划分为SSE(SecureServiceEdge,安全服务边缘)服务提供商,以区别于强调网络与安全融合的服务提供商。此外,也有一些厂商将专线与安全能力融合称为SASE服务,例如专线加云端防火墙服务等,这是SASE定义的延伸,属于适应国内外市场而发展起来的。 在CSA大中华区SASE工作组的研究中,提出了SASE的四个核心技术和三个主要应用场景。其中,边缘计算是SASE的一个核心技术。边缘计算是一种新型的计算模式,将云计算能力下沉到靠近用户和 •SD-WAN SD-WAN(Software-DefinedWAN,软件定义广域网)通过智能路由、安全增强、性能优化、管理控制以及多链路冗余等特性,为企业提供灵活、智能且高效的网络连接,助力企业实现高效、可靠的远程办公和业务拓展。 •SWG SWG(SecureWebGateway,安全Web网关)用于保护用户访问互联网的安全。通过集成多种功能和技术,SWG可以实现对Web流量的控制与检测,阻止网络威胁和数据泄露,防范恶意软件、恶意网站和不良内容的传播。 •CASB CASB(CloudAccessSecurityBroker,云访问安全代理)用于保护企业在使用云服务时的安全性和合规性。CASB充当了企业内部网络和云提供商之间的中间代理,为企业提供了云环境中的数据和应用程序的可见性、控制和保护。 华为星河AI融合SASE解决方案白皮书 •ZTNA ZTNA(ZeroTrustNetworkAccess,零信任网络访问)是SASE的关键能力之一。ZTNA基于“永不信任,始终验证”的原则,对每个访问请求进行严格的身份验证和授权。通过细粒度的访问控制,确保只有授权用户和设备才能访问特定的应用程序和服务。ZTNA通常与IAM(IdentityandAccessManagement,身份识别与访问管理)系统集成,以实现动态的访问控制。用户需要先认证,才能访问资源。ZTNA会实时监测用户访问行为,杜绝越权访问,并及时处置安全威胁。 •FWaaS FWaaS(FirewallasaService,服务化部署的防火墙)是指以云服务的模式提供防火墙功能。FWaaS将传统的基于硬件的防火墙功能移至云端,通过云服务提供商来提供和管理防火墙服务,以保护企业的网络和应用程序安全。 2020年,MEF(MetroEthernetForum,城域以太论坛)发布了白皮书《MEFSASEServicesFramework》,旨在为SASE服务框架制定统一的标准,涵盖SD-WAN、安全性、自动化和其他标准化工作。为了进一步推动SASE服务的规范化,MEF还启动了SASE服务定义项目,该项目致力于制定一系列标准化规范,包括SD-WAN服务属性与框架、SD-WAN服务的应用安全、零信任安全框架与服务属性、通用SD-WAN边缘设备、SD-WAN服务的性能监控与服务准备测试、基于意图的编排和策略驱动的业务流程等。 在Gartner和MEF的引领下,SASE正朝着更加开放和标准化的方向发展,一个更加开放、灵活和安全的网络未来正在逐步成型。 3.1华为对SASE的理解 如图3-1所示,企业数字化转型过程中,业务上云、混合办公、IoT(InternetofThings,物联网)等场景改变了访问和连接网络的要求。传统的“从分支到总部的访问”变为“Anywhere的访问”,用户需要随时随地上网和办公。应用和数据上云后,也导致数据安全存在风险,数据生命全周期充满安全挑战。 图3-1华为对SASE的理解 3 华为星河AI融合SASE解决方案 这些变化和挑战体现在以下几个方面: •从分散到融合 随着技术的进步,企业网络安全架构正从依赖单一产品和单一解决方案,向集成化和平台化转变。这种趋势意味着不同的安全工具和解决方案将更加紧密地协同工作,以提供更全面的保护。例如,安全网关 和广域网关的集成,以及终端NAC(NetworkAccessControl,网络准入控制)和EDR(EndpointDetectionandResponse,端点检测和响应)的结合,都是为了提供更统一的安全防护。 •从静态到动态 传统的网络安全策略往往是静态的,而现代企业面临的威胁是不断变化的。因此,企业正在转向更动态的安全策略,如零信任模型。这种模型假设网络内部和外部都存在威胁,并实时验证所有访问请求,以确保网络的安全。 •从单点到协同 企业正在从依赖单一安全产品的策略转向多产品和多策略的协同工作。这种协同不仅包括内部安全组件的合作,还包括与外部安全服务提供商的合作,以实现更全面的威胁检测和响应。 •从人工到智能 人工智能(AI,ArtificialIntelligence)和机器学习(ML,MachineLearning)技术的应用正在改变网络安全领域。这些技术可以帮助自动化威胁检测和响应过程,提高效率,并减少对人工分析的依赖。生成式AI和大模型的应用,以及AI在安全运营和威胁分析中的集成,都是这一趋势的体现。 华为不仅提供云、网络、安全和终端一体化产品与解决方案,而且具备全场景、全日制分析与管控的能力。为了应对以上挑战,华为推出“云网边端”一体的星河AI融合SASE解决方案(下文简称为“SASE解决方案”)。该方案专为企业分支设计,结合MEF的SASE模型标准,采用创新的“云网边端”一体化架构,将SD-WAN组网、安全性和远程访问融合到统一的网安融合解决方案中,实现了监测、分析和运营的统一。这种集成化的方法极大地减小了威胁扩散的潜在范围,并能迅速地做出响应。同时,该方案确保用户在SASE环境以及整个网络中能够享受到灵活的交付体验,并且在任何边缘网络中都能得到一致的企业级安全标准防护。 3.2方案架构 3.2.1动态、按需、弹性的架构 如图3-2所示,华为基于业界安全发展趋势和自身的安全实践经验,以“终端安全平台、网络安全平台和安全服务平台”为基础,遵循服务化的理念和乐高化的架构,最终实现动态、按需、弹性的SASE解决方案。从逻辑功能上划分,SASE解决方案分为管控层、SSE层、网络层和终端层。 •管控层 面向终端、用户和应用,提供统一的网络和安全管理能力。减少产品堆叠和技术堆叠,保证业务体验的一致性、易用性和有效性。 •SSE层 通过模块化灵活组合,为用户提供多种安全服务,包括SWG、CASB、ZTNA、FWaaS等流量型安全能力或非流量型安全能力。 •网络层 网络层实现了网安融合,形成网络、安全、资产(终端、用户、应用)的统一视图。依托华为在网络协议上的深厚技术积累,通过扩展BGPEVPN(BorderGatewayProtocolEthernetVirtualPrivateNetwork,边界网关协议以太网虚拟私有网络)协议,提供多VPN实例接入能力,满足不同租户的业务隔离要求。BGP融合IKE(InternetKeyExchange,互联网密钥交换)协议后,支持自动化创建分支间隧道,可实现分钟级站点开局。独立EVPNRR(RouteReflector,路由反射器)做控制器,可实现水平扩展,满足SASE解决方案大规模组网的扩展性和可靠性要求。 •终端层 支持移动和固定OS(OperatingSystem,操作系统),兼容第三方安全组件,提供ZTNA接入、EDR和EPP(EndpointProtectionPlatform,终端防护平台)终端防护能力。 图3-2华为星河AI融合SASE解决方案架构 各层的关键组件如下: •管控层:iMasterNCE-Campus&乾坤安全服务平台 实现网安管控析一体化,统一管理网安设备和策略。提供用户自助服务,一站式订阅、开通网络及安全服务能力。支持私有云、公有云多种部署方式,满足企业、运营商、MSSP(ManagedSecurityServiceProvider,托管安全服务提供商)自建SASE解决方案和运营SASE服务的诉求。 •SSE层:HiSecxGuard 提供边缘云安全资源池解决方案,实现边缘集中式SWG、CASB、ZTNA、FWaaS等安全接入和防护能力。 •网络层:USG系列、Eudemon系列 SASE网关(防火墙)实现网络特性和安全特性融合,即LAN(LocalAreaNetwork,局域网)、WAN(WideAreaNet