目錄

什麼是雲端的 SASE?

目錄

 

適用於雲端的安全存取服務邊緣 (SASE) 可讓使用者不論身處何地,都能安全且最佳化地存取雲端服務、裝置、應用程式和資源。雲端的 SASE 是對 IT 變遷的回應,因為雲端服務、行動裝置和遠端裝置的出現,傳統以周界為基礎的安全模式不再那麼有效。它將廣域網路 (WAN) 和網路安全性服務結合為單一雲端交付的服務。

數位體驗管理

 

SASE 架構基礎

SASE 將網路和安全性功能移至雲端,藉此改善網路安全性、降低複雜性並提昇效能。SASE 架構是這樣的:

  • 以雲端為中心的架構:SASE 建立在雲端原生模式上。運用雲端基礎架構,它所交付的網路與安全性服務,可依需要大規模擴充或縮小。以雲端方式提供 SASE 服務,可讓組織根據流量模式和業務需求調整資源。
  • 安全服務邊緣:有了 SASE,安全性服務可更貼近網路邊緣的使用者和裝置。尤其對於遠端使用者和行動使用者而言,這有助於減少延遲並提高效能。
  • 軟體定義 WAN (SD-WAN):SASE 架構非常依賴軟體定義的原則,例如 SD-WAN 和軟體定義的安全政策。有了 SASE,管理和自動化網路與安全性服務變得更容易。
  • 網路與安全性匯流:透過 SASE,網路與安全性服務得以統一。傳統上,這些功能是分開管理的,這導致了複雜性和弱點。SASE 整合了 SD-WAN、防火牆、安全網路閘道和零信任網路存取等功能。
  • 零信任安全:SASE 基於零信任安全方法,這表示裝置和使用者在預設情況下是不被信任的。身份驗證、裝置健康狀況和情境決定存取權限。因此,攻擊面最小化,安全性也提高了。
  • 動態周界:取而代之的是固定周界,SASE 可根據用戶需求創建動態周界。在現今的遠端分散式工作環境中,這一點尤其重要。
  • 集中管理:透過 SASE,您可以在整個網路(包括遠端位置和雲端資源)中管理和強制執行政策。如此一來,安全性的執行和網路管理都得以簡化。

SASE 將網路與安全性服務結合到雲端原生的架構中,重新想像網路與安全性服務的交付方式。此解決方案可應對現代 IT 環境的挑戰,例如遠端工作、雲端應用及不斷演進的安全威脅。

Digital Experience Management

 

雲端安全的 SASE 元件

SASE 是一個全面的框架,整合各種元件,提供以雲端為中心的安全性和網路功能。雖然不同 SASE 供應商的具體實作可能有所不同,但以下是一些用於雲端安全的常見 SASE 元件:

防火牆即服務 (FWaaS):FWaaS 在雲端提供先進的防火牆功能。檢查和過濾傳入和傳出的資料,確保只有授權的流量才能通過。

安全網路閘道 (SWG):SWG 可透過過過濾網路通訊、將 URL 分類和檢查內容,防止惡意軟體、網路釣魚和其他惡意活動等網路威脅。

零信任網路存取 (ZTNA):ZTNA 可根據使用者身分、裝置狀態和其他因素授予資源存取權,從而強制執行零信任安全性。因此,只有經過認證和授權的使用者才能存取應用程式和資源。

雲端存取安全代理 (CASB):CASB 充當使用者與雲端服務供應商之間的中介,協助強制執行安全政策,並在資料於內部部署與雲端環境之間移動時提供保護。

資料遺失防護 (DLP):DLP 解決方案可監控並防止敏感資訊未經授權的傳輸或洩漏。SASE 架構運用 DLP 功能,在資料從一位使用者移動到另一位使用者時保護資料。

身分與存取管理 (IAM):IAM 解決方案管理驗證、存取權限和使用者身分。在 SASE 中,IAM 對於執行適當的存取控制和確保安全存取至關重要。

威脅偵測與回應:在 SASE 解決方案中,先進的威脅偵測和回應機制,如行為分析和機器學習,被用來識別和緩解安全威脅。

加密和 VPN 服務:為了讓使用者與雲端資源之間的資料傳輸更安全,SASE 通常包括加密和 VPN 服務。

應用程式可視性與控制:有了 SASE,組織可以監控和管理網路中的應用程式,確保只使用核准的應用程式,並遵守安全性政策。

雲端安全勢態管理 (CSPM): 在 SASE 中整合 CSPM 可確保雲端服務和資源的正確配置和安全。

數位體驗管理 (DEM):DEM 對使用者體驗的洞察力可為 SASE 的網路與安全性政策提供資訊,讓組織能夠在分散式環境中為使用者同時提供高品質與安全的數位體驗。

SASE 並不局限於這些元件,具體功能和產品會因供應商和網路安全狀況而異。隨著 SASE 的演進,雲端安全挑戰可能需要新的元件和功能。

 

SASE 與雲端連接

SASE 與雲端連線緊密結合,因為無論使用者和裝置身在何處,都能安全且最佳化地存取雲端資源。SASE 和雲端連線的關鍵在於確保使用者能安全且有效率地連線至雲端服務和應用程式。

SASE 供應商通常在世界各地設有全球據點 (PoPs)。PoP 為網路流量提供入口和出口點,讓使用者能以低延遲和最佳化的效能連線至雲端服務。

SASE 還使用軟體定義網路,在各種路徑中智慧地路由流量,包括直接雲端連接、VPN 和 SD-WAN。藉由此最佳化,使用者可透過最有效率且可靠的路徑存取雲端資源,而雲端應用程式則可存取必要的頻寬與低延遲連線。

遠端使用者和分公司可透過 SASE 安全地存取雲端服務。在員工分佈分散或有多個工作地點的組織中,這一點尤其重要。透過 SASE,組織可直接連線至雲端供應商。透過此直接連線,流量不需透過企業資料中心進行回程,進而提升效能並降低延遲。

應用感知的 SASE 解決方案會根據應用需求來安排流量的優先順序和路由。如此一來,關鍵應用程式就能獲得所需的資源和連線。

透過結合安全性與網路功能,SASE 可增強雲端連線能力。無論使用者和裝置位於何處,都能最佳化雲端資源的存取。

 

SASE 的實作策略

SASE 的實作策略應包括規劃和部署結合安全性與網路元件,以達到統一且以雲端為中心的安全性方法。

  1. 評估與規劃
    • 分析組織目前的網路架構、安全性狀況和雲端使用習慣。
    • 確定您希望使用 SASE 解決的特定業務目標和挑戰。
    • 定義您的安全性需求,包括使用者驗證、存取控制、資料保護及合規性。
  2. 選擇 SASE 供應商
    • 透過研究和評估,找出最符合組織需求的 SASE 供應商。
    • 檢閱 SASE 的產業分析報告,以協助找出頂尖的供應商。
    • 考慮全球 PoP、安全服務、整合能力和價格。
    • 考慮選擇能夠提供完整 SASE 解決方案(也稱為單一供應商 SASE)的供應商,以避免需要整合多家供應商的解決方案。
  3. 關鍵應用程式與資源
    • 分析哪些應用程式和雲端資源對您的業務至關重要。
    • 優先處理這些應用程式和資源,以獲得最佳化的效能和安全性。
  4. 使用者身分與存取管理:
    • 使用 IAM 管理使用者身分、角色和權限。
    • 實作 多重要素驗證 (MFA),提高安全存取。
  5. 零信任架構
    • 擁抱零信任模式,並假設沒有任何使用者或裝置是天生值得信任的。
    • 根據使用者身分、裝置健康狀況和情境,套用嚴格的存取控制。
  6. 網路安全性服務
    • 實作 FWaaS、SWG 以及您所選擇的 SASE 供應商提供的其他安全服務。
    • 建立管理流量、內容過濾和威脅偵測的政策。
  7. SD-WAN 與網路最佳化
    • 透過整合 SD-WAN,確保與雲端資源的低延遲連線。
    • 根據應用需求動態調整流量路徑。
  8. 遠端存取
    • 設定安全的遠端存取,讓遠端和行動使用者可以存取雲端服務。
    • 根據使用者設定檔製作可控制遠端存取的政策。
  9. 監控與分析
    • 監控和分析網路與應用程式效能,以及安全性事件。
    • 利用這些洞察力調整您的 SASE 部署,以應對新出現的威脅。
  10. 移民與融合
    • 將現有的安全性和網路解決方案遷移到 SASE。
    • 確保您的基礎架構與雲端無縫整合。

SASE 的實作需要 IT 團隊、安全性專家和利害關係人之間的合作。根據組織的需求調整實作策略,並緊貼產業趨勢。

 

SASE 與零信任安全

SASE 與 Zero Trust 安全性相輔相成,創造出現代網路安全的整體方法。SASE 和 Zero Trust 安全性旨在解決不斷演進的 IT 環境所帶來的挑戰,例如雲端應用和遠端工作。

零信任方法以身分驅動,並將所有使用者、裝置和應用程式視為可能不受信任。安全存取是基於嚴格的驗證、授權和持續監控。

SASE 和 Zero Trust 安全性使用身分作為授予應用程式存取權的主要因素。SASE 使用使用者和裝置身分來強制執行政策,整合了強大身分驗證的 Zero Trust 需求。

零信任架構 強調以最低權限為基礎的細粒存取控制,只給予使用者必要的存取權限。使用 SASE,可根據使用者的情境和行為動態調整存取。

它們都是保護雲端資源和遠端存取的好幫手。無論在何處,SASE 都會根據零信任原則授予存取權。

不斷地監控和評估使用者與裝置的行為,對於零信任是非常重要的。SASE 使用類似的監控方法來偵測威脅和異常。

SASE 具有統一的架構,可無縫整合網路與安全性。透過 SASE 架構,可在雲端服務、遠端使用者和分公司實作零信任原則。

透過 SASE,您可以有效實作零信任原則,確保雲端資源和應用程式的安全,無論您身在何處。

零信任架構

 

SASE 與雲端安全的未來趨勢

組織逐漸意識到將安全性與網路整合為統一框架的好處,進而推動 SASE 的採用。隨著企業採用雲端服務和遠端工作,SASE 將會更受歡迎。

機器學習與人工智慧將不斷地提升 SASE 供應商的威脅偵測與回應能力。即時流量分析可識別複雜的威脅。

以「零信任」為基礎的安全模式將不斷地受到重視、變得更成熟、應用更廣泛。組織將投資更多於強制存取控制、持續監控和行為分析的技術。

由於雲端環境和應用程式越來越依賴 API,保護 API 的安全將變得更加重要,SASE 供應商將提供增強的 API 安全功能。

隨著邊緣運算與物聯網逐漸普及,SASE 將被用來保護邊緣裝置與資料處理的安全,因此必須整合更接近邊緣的安全服務。

在多雲端世界中,SASE 解決方案將為各種雲端平台提供統一的安全政策和控制,簡化管理並確保穩健的雲端安全性。

隨著 DevOps 實務與雲端原生架構的演進,SASE 解決方案將更順暢地整合至這些環境中,以確保安全性得到考量。

隨著 SASE 平台獲得更好的分析功能,組織可以更深入地瞭解網路和安全性事件,這將有助於他們更有效地搜補威脅,並改善安全性效能。

 

雲端 SASE 常見問題集

適用於雲端的 SASE 可讓使用者安全且最佳化地存取雲端服務、應用程式和資源,無論使用者身在何處或使用何種裝置。
如果您的組織使用 SD-WAN 讓遠端員工存取網路資源,雲端的 SASE 可為全球員工提供低延遲的遠端存取。
SASE 與 Zero Trust 安全性相輔相成,為遠端員工創造出現代網路安全的整體方法。
機器學習和人工智慧將加強 SASE 的威脅偵測和回應能力。即時流量分析可識別複雜的威脅。
無論使用者和裝置身在何處,SASE 都能提供安全且最佳化的雲端資源存取。
相關內容
什麼是 SASE?
SASE 是以雲端為基礎的安全性架構,可從任何地方安全存取網路資源。
Prisma SASE
Prisma SASE 是業界最完整的 SASE 解決方案,將網路安全性、SD-WAN 和 ADEM 整合為單一雲端交付的服務。
SASE 解說視訊
瞭解什麼是 SASE、它如何運作,以及 Prisma SASE 能為您的組織做些什麼。
2025 Gartner® 單一供應商 SASE 魔力象限 (Magic Quadrant)
Palo Alto Networks 的 Prisma SASE 解決方案獲選為唯一的 Leader。

取得最新資訊、活動邀請,以及威脅警示