1、SASE技术架构的实践探索演讲人:绿盟科技|李凯SASE领域现状01SASE起源和定义【SASE名称】:Secure Access Service Edge安全访问服务边缘发音SASSY“三赛”【SASE起源】:Gartner在2019.9提������出的安全模型源自报告网络安全的未来在云端【SASE定义】:融合网络即服务和安全即服务结合SD-WAN和云安全技术栈的产品如右图所示【SASE实施】:基于云的服务进行实施交付SASE的基础内容SASE将SD-WAN网络技术和安全技术整合为服务统一交付SASE vs 零信任-体系构建参考Forrester为安全和网络服务引入零信任边缘(ZTE)模型Forres
2、ter零信任(2009)数据中心零信任(2021.1������)ZTE边缘零信任(2021.1)GarternSASE(2019.9)网络服务(2019.9)安全服务(2019.9)ZTNA零信任网络访问SWG参考:Gartern网络安全的未来在云端起源:不同咨询机构目标:对抗兼容对方体系:场景 vs 理念三个对比视角SASE技术趋势预测Gartern提出SASE在510年作为网络安全领域的希望之巅和革命性技术S�������ASE领域主流友商国际领域-百花齐放网络、虚拟化和防火墙巨头到SD-WAN、云和网络安全新贵CATOMcAfeePalo Alto国际友商Netskope绿盟云战略业务BG技术拉通低端产品Saa
3、S化业务驱动PoP部署云化优先战略1、SASE2������、SSE3、多云管理国内领域-先锋探索绿盟、深信服为安全厂商的先行者SASE架构实践02SASE技术架构身份驱动通过用户�������、设备和应用安身份决定网络互连体验(路由选择等)和访问权限级别(应用全控制);边缘接入依据企业资源创建网络,包括本地数据中心、云端资源、各地公司网络、和移动用户;云原生架构利用云原生架构的多租户、弹性、发布速度、高性价比和随地接入;全球分布SASE云分布全球,企业边缘交付低延时服务;SASE是以身份为中心、接入为控制技术方案基于身份驱动策略,零信任和SASE共生的基石SASE业务架构1)多地域,全球范围部署;2)云原生,能力弹性
4、可扩展,且高可靠;3)多租户,多用户访问统一PoP节点;4)栈对等,节点安全和网络技术均相同;5)去集中,将核心技术下层到边缘;1)节点互通,full-mesh架构;2)智能选路,业务定义最短路径;1)固网接入,边缘网关(CPE);2)移动外网接入,终端软件(SDP);3)公有云端接入,云端网关(vCPE);SASE访问路����径三要素:1)边缘接入 2)PoP节点 3)SASE组网绿盟SASE安全技术栈SASE演进探索03SASE方案-绿盟&SDWAN合作关键技术合作网络能力流量汇聚1租户融合2运营统一3绿盟安全能力SD-WAN厂商网络服务主体能力,包括准入、调度、线路优化功能绿盟SDP补充移动终
5、端(PC和手机)流量接入功能,形成接入闭环;SAG&SD-WAN CPE对接完成流量汇聚;SD-WAN厂商通过VR�����F租户隔离,包括接口、路由;绿盟云原生通过独享镜像租户隔离,包括镜像、策略;VFR接口&独享镜像完成租户融合;SD-WAN厂商提供VRF网络调度的API接口;绿盟云原生提供独享租�����户安全调度的API接口;统一运营平台调用两者接口进行租户业务运营;SASE服务流量架构网络服务终端PC边缘接入CPE企业分支终端PC企业服务SERVERSERVER边缘接入CPESDN-gatewaySDP-gatewaySDP-control(终端准入)移动终端SDP-agentSDN-AC(网关准入)多
6、地域PoP节点业务流量认证控制PoP节点SDN-gatewaySDP-gatewaySASE运营平台【终端认证】1、SDP协议认证2、PoP节点选路【网关认证】1、隧道认证2、PoP节点选路【网关认证】1、隧道认证2、PoP节点选路准入控制SDP认证准入CPE认证准入PoP节点1、运营商优先,源IP所属运营商2、地域优先,源IP地理信息匹配3、1&2互斥配置;4、可用性优先自动切换SASE运营平台SDP认证准入SASE服务管理架构上网安全NIA服务安全策略(新����开发)运营数据(新开发)API接口日志传输办公分支SDWA������N-CPEPoP数据中心绿盟云SASE服务(北京)PoP节点管理通道HTTPS
7、解密HTTPS加密SSL卸载VRF配置CPE准入SDWAN-CPE安全�������容器编排流量牵引流量回注SDWAN-ACAPI接口日志传输网络订阅网络运营流量流量终端准入SAG移动流量汇聚服务分支SDWAN-CPE移动终端SDP-AGENT流量日志传输API接口安全订阅安全运营API接口LAS产品(NF数据)上网流量分析应用行为分析授权行为分析SASE演进技术规划磨砺能力拓展场景生态合作1、云地联合的SASE和SSE架构的场景化落地;2、全面安全能力的轻量化、容器化3、全类型终端接入,重点布局物联网终端(轻量接入);1、业务场景拓展,等保2.0、数据安全服务研发;2、全球业务拓展,国际化(公有云适配);3、5G-MEC业务拓展,场景化(MEC云适配)1、安全能力服务化,安全能力(IPDR)能力接口化,能够与多方运营合作;2、运营平台接口化,能够快速融合多家网络服务,进行SASE一体化服务;3、业务全局可视化,提供客户一体化运营优质体验;THANKS
sgpjbg002
工作日 8:30 - 17:30
报告分类
