隨著云端SaaS應用普及和企業員工分散導致企業互聯網流量增多,傳統以企業自建數據中心為核心的中心輻射型網絡架構面臨著高成本的MPLS鏈路、總部集中上網應用訪問體驗差、安全邊界繞行及總部VPN容量挑戰等難題,企業不得不順勢改變網絡及安全建設思路。SASE應運而生,并逐漸受到國內眾多廠商和用戶的關注。
01.訪問云上SaaS應用辦公
由于SaaS應用的便捷和高效的特性,越來越多的中小企業從傳統的軟硬件部署方式轉向使用SaaS應用辦公,其中不乏財務、人力資源、OA等核心系統,可以有效提升企業工作效率。
SaaS安全訪問及數據外泄安全一直是中小企業關注的重點,但是由于SaaS服務已經擺脫地域和網絡環境的限制,傳統的硬件安全產品部署方式已經不再有效,同時傳統的安全設備價格昂貴、未能服務化交付。業務系統SaaS化以后,網絡缺少安全邊界,用戶可以通過辦公電腦,個人筆記本,任何終端訪問業務系統,一旦賬號密碼被泄露,黑客或者競爭對手可以直接訪問平臺獲取數據,內部員工更是隨意拿到相關數據。
SASE的應用可將企業內部應用全部收斂起來,無需暴露外部訪問地址,員工只有通過SASE的接入節點才能訪問到自身權限允許的應用,保證內部應用在簡單高效訪問的同時又不會暴露在外,實現更安全、更隱私、更穩定的訪問體驗。
無論企業的內部應用部署在私有云、公有云還是本地的數據中心,都會收納到SASE云平臺統一管理,可以做到輕資產、高效訪問等優點。
02.遠程接入辦公
傳統的企業外部接入都是經由總部數據中心將員工連接到互聯網,并在企業內網放置應用。但是,隨著應用程序遷移到云的趨勢不斷上升,以及新冠疫情等外部因素促使企業推進居家辦公模式,使得通過傳統的VPN連接總部數據中心的解決方案不再滿足當前企業的遠程接入需求。員工居家辦公、合作伙伴遠程接入內網,終端環境不可控,存在安全風險,容易被釣魚攻擊成為跳板;VPN不能最小化訪問權限,無法觸及云上業務;終端多種環境接入入口不統一等。
基于SASE 架構的遠程接入,不需要對終端進行復雜安全部署,只需部署輕量級引流插件,將流量引流到SASE云平臺的邊緣接入POP節點,即可體驗遠程訪問內部應用。
SASE云平臺對所有員工都支持下發認證策略,只有通過認證的員工才能訪問內部應用。無論企業的內部應用部署在私有云、共有云還是本地的數據中心,都由SASE云平臺統一管理;企業整體的內部應用訪問權限完全托管到SASE平臺管理,保證內部應用按需訪問,降低威脅入侵、數據泄露的可能性。同時可實現內部應用訪問活動可視化,如發現越權訪問,立即調整訪問權限,保證內部應用的安全。
實現保護企業內部應用的目標,減輕遠程訪問復雜度,基于實體身份進行權限管理,并通過云平臺集中管理內部應用。
03.多分支接入辦公
對于有多個分支機構的企業,由于地理位置分散,分支機構無法通過內網直接訪問到總部,安全保護較弱。
傳統的“總部-分支”安全模式不適用于當下的企業內外部環境,而分支機構獨立采購安全設備并使用MPLS專線進行通信的模式成本高、使用體驗差;分支機構和總部統一進行網絡和安全建設,對設備性能要求高,成本高,分支網絡、安全策略變化需要經由總部進行處理,運維復雜。
SASE架構通過在分支機構出口部署引流設備,將上網流量引流到SASE服務邊緣接入節點,按需開通安全模塊,統一實現分支上網安全、組網和集中管理功能,無需購買傳統安全設備。
使用統一安全管理平臺,可實現多分支集中管理,多分支流量可視,分支安全事件分析統一展示,提供實時告警推送。對企業終端上網行為進行管理,對上網流量進行監控與分析,保障企業信息安全。同時對終端側進行安全威脅檢測與響應,提供基于零信任的內網應用資源接入,通過身份認證、權限控制等模塊,確保企業員工、合作伙伴在全球任何地方都能更安全、更隱私地訪問業務。
企業可實現輕資產、簡運維、統一管理的目標,節省采購設備成本,減輕運維壓力,統一管理多分支安全。
