■ 山东 王强 赵长林

编者按：SASE 是近期流行起来的一种访问管理服务模型，与传统基于网络的控制和服务相比，SASE 提供的一种更有令人期待的功能是身份驱动的访问管理。

Gartner 定义了一种基于云的多功能的新架构服务模 型：SASE，也 就是所谓的安全访问服务边缘模型。SASE 提供了多种服务，主要集中在软件定义的网络访问、云服务访问管理、VPN替换以及云访问安全代理服务等领域。

与传统基于网络的控制和服务相比，SASE 提供的一种更有“魅力”的功能是身份驱动的访问管理。那么，SASE 能否成为网络安全领域的下一个翘楚？

SASE 扩展了身份的定义

SASE 实现访问管理的首要方面就是，它定义了哪些内容构成了身份。虽然更传统的身份概念仍然适用，也就是用户、组、角色分配等仍然有其重要意义，但所有的边缘位置和分布式WAN 分支及网络源头也都被认为是“身份”。

在一个以云为关注点的企业中，安全访问的决策应当以连接源实体的身份为中心。例如，其中可能包括用户、设备、分公司、物联网设备以及边缘计算位置等。

SASE 对身份的解释如何影响其策略

用户、组、设备及在用服务的身份仍是SASE 身份访问策略的主要元素。有意思的是，SASE 的身份策略在不断地演变，包括能够纳入到策略决策和应用的另外的一些相关的身份因素源，其中可能包括身份位置、时间及设备的安全性评估或信任验证的某种组合。在SASE的身份策略中，企业可能还要考虑网络实体需要访问的应用程序和数据的敏感性。

这些因素可以帮助企业更精细地制定更积极的最小特权访问策略，从而实施严格的强化访问控制。SASE的身份策略旨在使企业能够控制以更多相关属性（其中包括应用程序的访问、实体的身份、被访问数据的敏感性等）为基础的资源交互。

SASE 如何适合更大规模的身份和访问的演变

安全和身份环境在持续改变，尤其是零信任网络访问、针对应用的微分段、身份相似性策略都是这种改变的证明。从以往来看，这种改变是一种重要的内部技术的革新，但如今却扩展为一种更广泛的访问控制方法，该方法可以使整个办公场所、远程用户、物联网设备等更容易实施基于身份的控制。

SASE 模型旨在深刻地改进传统的访问策略，后者仅专注于可能难以建立和维护的网络信息。例如，复杂的网络信息可能包括IP 地址和范围，或者使用严格连接方法的网络边缘设备。

这种面向应用、数据、设备、用户相似性的策略改变可以简化访问策略的创建和管理。SASE 服务在得到认证和授权从而可以访问资源后，就可以充当一个类似于VPN 的 代 理。SASE 保 护整个会话，而不管此会话连接到哪里，也不管它源自哪里。在涉及零信任的框架时，SASE 系统应当拥有一些灵活的选择，可以实施会话的端到端加密。其他的选项还可以包括额外的Web 应用保护、API 的检查和安全评估、DLP（数据防泄露）的内容检查以及代理访问模式中的其他种类的安全服务。

SASE 模式如何使企业更安全

SASE 服务的有效应用可能能够减少大量的攻击。借助于强健的统一策略的管理，企业就可以构建和维护子公司连接的更彻底的认证、经许可的物联网设备，以及边缘服务和位置。这也必将有助于减少一些中间人的劫持攻击、欺诈以及恶意通信。

终端用户也可以从这种模式中获益。SASE 供应商可以对所有的远程设备进行安全加密，而不管设备在哪里。SASE 的选项甚至可以基于公共访问实施更为严格的检查策略，如在机场和咖啡厅等网络环境都可以实现。根据用户和发起通信设备的身份，通过将通信转发到特定位置的节点上，也可以更好地实施私密控制。

构建关于身份的访问模式需要花费时间，而且还要求在初始阶段花费大量的努力才能从过去陈旧的基于IP地址的访问模式中转变过来。

但是，如果考虑到SASE的身份策略及其带来的益处将使得安全运营更为高效并且使得攻击更加困难，我们相信最终的目标将证明新方法的可行性。