SASE是一個什麼樣的黑科技

提起SASE這個詞，可能對于大多數人都比較陌生，這是Gartner最新提出的一個技術理念，該理念很先進也很龐大，待您慢慢了解和熟悉整個SASE理論和預解決方案後，可能會覺得這是個了不起的創新。

在了解SASE前，首先要談談SD-WAN。那麼，SD-WAN又是什麼呢？

什麼是SD-WAN

大家通路網際網路幾乎是每天都在進行，而技術人員對于WAN應該都很了解了。就是廣域網（Wide Area Network），或者叫公網、外網也行。世界各地的WAN組成了我們現在的網際網路。

但是傳統WAN的架構設計是以資料中心為核心的集中式網絡，所有末端資料最終都要回到核心處理，而後再傳回到終端，這樣的結構在如今的雲計算/IoT環境下已經不再适用，而且也逐漸難以滿足大家的需求。是以，SD-WAN出現了。

SD-WAN（software define Wide Area Network）即軟體定義廣域網。

思科對SD-WAN的描述：

軟體定義廣域網是一種用于管理廣域網的軟體定義方法。

主要優勢包括：

1.不受傳輸方式限制，支援 MPLS、4G/5G LTE 和其他各種連接配接類型，可以降低營運成本。

2.提高應用性能和靈活性。

3.優化軟體即服務 (SaaS) 和公共雲應用的使用者體驗與效率。

4.通過自動化和基于雲的管理功能簡化操作。

Cato Networks（Gartner官方推薦SASE廠商）對SD-WAN的描述：

組織工作的方式正在改變。工作在更多的地方完成，網際網路已經成為商業運作的中心。這意味着企業網絡也必須改變。答案便是——軟體定義廣域網(SD-WAN)。

SD-WAN為網絡帶來了無與倫比的靈活性和成本節約。使用SD-WAN，組織可以比企業傳統的MPLS服務在更短的時間内以更低的成本傳遞響應更快、更可預測的應用程式。它更加靈活，隻需幾分鐘就可以部署站點；利用一切可用的資料服務，例如MPLS、專用網際網路接入(Dedicated Internet Access,DIA)、寬頻或無線網絡；能夠立刻重新配置網站。

SD-WAN通過使用基于政策的虛拟覆寫将應用程式與底層網絡服務分離來實作這一點。該覆寫層監視底層網絡的實時性能特征，并根據配置政策為每個應用程式選擇最佳網絡。

用簡單通俗點的話來說就是，WAN就是我們平常出門所走的馬路、公路、鐵路，我們乘坐地面交通工具去想去的地方。但是，如果我要去比較遠地方就要經過幾段行程（公路、鐵路、公路），往返費時費力。這時，突然有人提出來建立空中交通，在原有地面路線上邊設定空中航線，大家可以乘坐空中交通工具出門，這樣一來就能滿足一些人的特殊需求。

圖1：思科SD-WAN廣域網交換矩陣（來源：思科SD-WAN解決方案）

SD-WAN在WAN的基礎上重新架設虛拟網絡，通過V**之類方式連接配接站點邊緣，分為資料層面和控制層面。在這個虛拟化的網絡架構中內建了路由政策和安全政策，以確定網絡穩定安全運作。站點連接配接可以看成是航線，資料層就是乘客和飛機，控制層就是空管局中心，負責管理航空管制。

以上是用俗話解釋的SD-WAN網絡，便于大家了解，實際上并沒有這麼簡單。官方一點的說明是這樣的：

在SD-WAN中，位于站點邊緣的專用裝置連接配接到網絡服務，通常是MPLS和至少兩個Internet服務。通過這些服務，SD-WAN裝置加入了一個與其他SD-WAN裝置覆寫的加密隧道網絡。在中央控制台配置的政策由裝置使用基于政策路由算法推出并執行。當流量到達裝置,SD-WAN軟體評估潛在的網絡服務的性能和可用性,引導資料包在最優服務任意時刻和預配置的應用程式政策，為一個特定的會話基于優先級和網絡條件動态選擇最優隧道。

SD-WAN的世界正在發展。基本概念的變化集中在完成大部分網絡和安全處理的地方，為準備從遺留WAN服務轉移的組織建立了一組豐富的供應商和服務提供者選擇。

而其能夠帶來的好處和優勢也很給力。

借助軟體定義廣域網，IT部門可以提供路由和威脅防護，充分提高昂貴電路的使用效率，合理分流流量負載，并且簡化廣域網網絡管理。業務優勢包括：

改善應用體驗

1.利用可預測的服務使多數關鍵企業應用實作高可用性

2.提供适用于多數網絡場景的多個雙活混合鍊路

3.利用應用感覺路由動态地路由應用流量，實作高效傳輸并改善使用者體驗。

4.減少營運支出。将昂貴的多協定标簽交換 (MPLS) 服務替換為更經濟靈活的寬帶（包括安全 V** 連接配接）（個人覺得替代MPLS可能短時間内不太可能）

更安全

1.實施具有端到端分段和實時通路控制的應用感覺政策

2.在适當的地方實施綜合威脅防護

3.保護寬帶網際網路和進入雲端的流量的安全

4.利用下一代防火牆、DNS安全和下一代防病毒解決方案将安全保護分布到分支機構和遠端終端

優化雲連接配接

1.将廣域網無縫擴充到多個公有雲

2.為 Microsoft Office 365、Salesforce 和其他主要 SaaS 應用實時優化性能

3.為 Amazon Web Services (AWS) 和 Microsoft Azure 等雲平台優化工作流程

簡化管理

1.采用單個集中式雲傳遞管理控制台，可用于配置和管理廣域網、雲和安全保護功能

2.可以實作适用于所有位置（分支機構、園區和雲）的基于模闆的零接觸調配

3.提供詳細的應用和廣域網性能報告，用于進行業務分析和帶寬預測

從思科IDC白皮書調查中，SD-WAN能夠給組織帶來的收益主要在于：

1.帶寬增加 2.25 倍

2.同等帶寬連接配接成本降低 65%

3.五年營運成本降低 38%

4.WAN 管理效率提升 33%

5.新服務自行激活速度提高59%

6.政策和配置更改實施速度提高 58%

7.意外停機時間減少 94%

8.應用延遲降低 45%

9.每個組織每年收入增加 1498萬美元

圖2：受訪組織資料（來源：IDC白皮書|思科 SD-WAN 解決方案的商業價值）

SASE又是什麼

好的，現在對SD-WAN有了一個基本的了解（如果想深入研究的可以去思科、VMware、Cato官方網站檢視）。接下來，我們來說說SASE（Secure Access Service Edge），安全通路服務邊緣。

最初接觸SASE（發音同sassy）是Gartner的《The Future of Network Security Is in the Cloud》這篇報告（有關報告内容，可自行閱讀），全篇都是在講SASE，而且推薦了号稱搭建了全球第一家SASE平台的廠商Cato Networks.下文有關SASE的理念和架構，也都是參考Cato。

在Gartner的《Top 10 strategic technology trends for 2020》報告中也提到了邊緣賦能（Trend No.6）這項技術趨勢（可參考本人翻譯的中文報告《Gartner：2020年十大戰略技術趨勢（下篇）》）。從報告中可以看出，SASE是其主推的一項創新技術，因為SASE內建了靈活、自動化、CARTA（持續自适應風險與信任評估）、ZTNA（零信任網絡通路）、Advance APT防護等技術。可以說，近幾年Gartner所提的新興技術大多都涵蓋到SASE架構中。下面我們初步認識一下它。

SASE是做什麼的？

SASE用于從分布式雲服務傳遞聚合的企業網絡和安全服務。SASE克服了分散內建和地理位置限制解決方案的成本、複雜性和剛性。當SASE與全球私有骨幹網相結合時，還可以解決WAN和雲連接配接方面的挑戰。

SD-WAN和SASE的差別？

SD-WAN是SASE平台的關鍵元件，它将分支位置和資料中心連接配接到SASE雲服務。SASE擴充了SD-WAN，以解決包括全球範圍内的安全性、雲計算和移動性在内的整個WAN的轉換過程。

SASE比SD-WAN更好麼？

SD-WAN隻是廣域網轉型的第一步。它缺乏關鍵的安全功能、全球連接配接能力以及對雲資源和移動使用者的支援。一個完整的SASE平台可以支援整個WAN轉換過程，因為它使IT能夠以靈活和經濟有效的方式提供業務需求的網絡和安全功能。

SASE是否安全？

SASE是端到端安全。SASE平台上的所有通信都是加密的。包括解密、防火牆、URL過濾、反惡意軟體和IP在内的威脅預防功能都被內建到SASE中，并且對所有連接配接的邊緣都可用。

雖然是很耀眼的技術，但畢竟剛剛被提出來，發展和成熟需要時間，而且這種規模的架構也不是一般組織能夠承建的，報告中在概要中就說明了：為了實作低延遲地随時随地通路使用者、裝置和雲服務，企業需要具有全球 POP 點和對等連接配接的 SASE 産品。是以，追新是好事，但不能盲目。

Gartner對SASE的定義：SASE 是一種基于實體的身份、實時上下文、企業安全/合規政策，以及在整個會話中持續評估風險/信任的服務。實體的身份可與人員、人員組（分支辦公室）、裝置、應用、服務、物聯網系統或邊緣計算場地相關聯。

SASE的核心是身份，即身份是通路決策的中心，而不再是企業資料中心。這也與零信任架構和CARTA理念相一緻，基于身份的通路決策。

圖 3：SASE 身份為中心的架構

使用者、裝置、服務的身份是政策中最重要的上下文因素之一。但是，還會有其他相關的上下文來源可以輸入到政策中，這些上下文來源包括：使用者使用的裝置身份、日期、風險/信任評估、場地、正在通路的應用或資料的靈敏度。企業資料中心仍存在，但不再是網絡架構的中心，隻是使用者和裝置需要通路的衆多網際網路服務中的一個。

這些實體需要通路越來越多的基于雲的服務，但是它們的連接配接方式和應用的網絡安全政策類型将根據監管需求、企業政策和特定業務上司者的風險偏好而有所不同。就像智能交換機一樣，身份通過 SASE 供應商在全球範圍内的安全通路能力連接配接到所需的網絡功能。

SASE 按需提供所需的服務和政策執行，獨立于請求服務的實體的場所（圖4）和所通路能力。

圖4：SASE技術棧 -- 基于身份和上下文的動态應用

SASE雲服務的主要特點

SASE詳細介紹了企業網絡和安全的體系結構轉換，這将使它能夠為數字業務提供全面、靈活和可适應的服務。SASE雲服務有4個主要特點：身份驅動、雲原生、支援所有邊緣(WAN、雲、移動、邊緣計算)、全球分布。

身份驅動

不僅僅是 IP 位址，使用者和資源身份決定網絡互連體驗和通路權限級别。服務品質、路由選擇、應用的風險安全控制——所有這些都由與每個網絡連接配接相關聯的身份所驅動。采用該方法，公司企業為使用者開發一套網絡和安全政策，無需考慮裝置或地理位置，進而降低營運開銷。

雲原生

SASE 架構利用雲的幾個主要功能，包括彈性、自适應性、自恢複能力和自維護功能，提供一個可以分攤客戶開銷以提供最大效率的平台，可很友善地适應新興業務需求，而且随處可用。

支援所有邊緣

SASE 為所有公司資源建立了一個網絡——資料中心、分公司、雲資源和移動使用者。舉個例子，軟體定義廣域網 (SD-WAN) 裝置支援實體邊緣，而移動用戶端和無用戶端浏覽器通路連接配接四處遊走的使用者。

全球分布

為確定所有網絡和安全功能随處可用，并向全部邊緣傳遞盡可能好的體驗，SASE 雲必須全球分布。是以，必須擴充自身覆寫面，向企業邊緣傳遞低延遲服務。

圖5：SASE全球PoP（Points of Presence）來源：Cato Networks官網

最終，SASE 架構的目标是要能夠更容易地實作安全的雲環境。SASE 提供了一種摒棄傳統方法的設計理念，抛棄了将 SD-WAN 裝置、防火牆、IPS 裝置和各種其他網絡及安全解決方案拼湊到一起的做法。SASE以一個安全的全球SD-WAN服務代替了難以管理的技術大雜燴。

SASE的理念就是借助SD-WAN搭建起來的虛拟化架構去集中化，将核心能力附加到邊緣，使資料處理和安全能力都在邊緣進行，以滿足目前和未來雲上和移動業務的動态需求。

SASE架構和能力

為雲原生建構統一管理的SD-WAN服務

提供一個全局的、安全管理的SD-WAN服務。能夠從遺留的MPLS(一組單點解決方案和昂貴的托管服務)轉移到簡單、靈活和可負擔得起的網絡。自助服務還是托管服務取決于自己。

圖6：Cato雲平台來源：Cato Netwoks官網

用雲原生網絡架構取代傳統的電信網絡。将全球私有主幹網、Edge SD-WAN、安全即服務（SaaS）、安全優化的雲和移動通路聚合到一個雲服務中。是以，雲解決了組織的全球網絡、安全、雲和移動需求，以支援完整的WAN轉換過程。

SASE能力

核心能力：即插即用可視化，優化與管控

SASE體系結構由兩個核心元件組成。SASE雲充當網絡和安全功能的聚合器。SASE邊緣連接配接器将流量從實體、雲和裝置邊緣驅動到SASE雲處理。SASE使用一個單通道的流量處理引擎來有效地應用優化和安全檢查，并為所有流量提供豐富的前後關聯。将SASE模型與堆疊單點産品進行對比，在堆疊單點産品中，每個産品分析特定需求的流量，增加解密等操作的開銷，并且缺少在其他網絡和安全點産品中生成的前後聯系。SASE可選能力包括：

1.認證：在連接配接邊緣時，動态風險評估驅動多因素認證的激活。

2.通路：對關鍵應用程式和服務的通路由支援應用程式和使用者的下一代防火牆政策控制。此外，零信任網絡通路模型可以確定使用者隻能通路授權的應用程式，而不能獲得一般的網絡通路權限。

3.優先級：應用程式辨別為流量配置設定優先級，以對損失敏感（loss-sensitive）的應用程式進行優化（如VOIP和虛拟桌面通路（VID）），而不是其他流量（如正常的Internet浏覽）。

4.解密：為啟用深度包檢查，可以對加密的通信流進行一次解密，進而允許多個威脅預防引擎處理這些通信流。

5.威脅預測：多個安全引擎解析流量以檢測有風險的通路。這包括尋找惡意網站的安全Web網關、防止下載下傳惡意檔案的反惡意軟體、停止訓示機器人活動的入站和出站異常連接配接的IPS等等。

6.資料防洩漏：SASE應用特定的資料防洩漏規則來檢測網絡流量中的敏感資料并阻止其洩漏。類似地，雲通路服務代理(CASB)可以對雲應用程式實施粒度通路控制。

這是SASE功能的一個子集，SASE體系結構的設計目的是用新引擎快速擴充“單通道流量處理引擎”。SASE這個獨特優勢是未來的網絡向SASE雲擴充，新的功能無縫擴充到任何人和任何地方。類似地，使SASE雲服務适應新的威脅或攻擊載體可以集中完成，并立即影響所有企業和所有邊緣，而不需要部署或激活這些新增功能（類似思科APIC自動化即插即用）。

SASE安全架構

SASE安全架構包括以下幾個元件：PoP執行個體、邊緣、安全即服務、威脅檢測與響應管理（MDR）。

PoP執行個體—流量處理引擎

PoP結構

核心雲網絡, 由地理上分布的PoPs(Points of Presence)組成，每個PoP運作多個處理伺服器。每個PoP運作一個專門建構的軟體棧，在所有流量上應用路由、加密、優化和進階安全服務。PoP由運作相同軟體棧的多個功能強大的現有伺服器(commodity off the shelf servers,COTS)組成。

PoP的可擴充性和靈活性

PoPs的設計是為了處理大量的流量。通過将伺服器執行個體添加到相同的PoP(垂直擴充)或在新位置添加PoP(水準擴充)，可以擴充處理能力。因為雲平台來維護基礎設施，是以客戶不必調整他們的網絡安全環境。所有許可的内容，即使被加密，也保證被所有受許可的安全服務的PoP處理。

如果PoP伺服器執行個體失效,受影響邊緣自動重新連接配接到同一個PoP的可用伺服器。如果一個PoP完全失效，受影響的邊緣将連接配接到最近的可用PoP。無論企業資源連接配接到哪個PoP, 雲始終維護一個一緻的邏輯企業網絡，建立相應程度的可用性和彈性。

PoP内置抗DDoS

PoPs的設計用以處理大流量的同時。彈性能力使雲能夠适應客戶增長和抵禦各種類型的泛洪攻擊。為了減少攻擊面，隻有授權站點和移動使用者可以連接配接并發送流量到主幹。PoP外部IP位址受特定的抗DDoS措施保護，如SYN cookie機制和速率控制機制。雲平台擁有一組IP，部分用于自動将目标站點和移動使用者重新配置設定到未受影響的位址。

PoP全連接配接加密

所有PoP都是通過完全加密的隧道互相連接配接。加密算法是AES-256，并使用受限制的對稱密鑰(每個PoP執行個體)。密鑰每60分鐘變化一次，以減少暴露。

深度包檢測

PoP軟體包括一個深度包檢測(Deep Packet Inspection, DPI)引擎，該引擎以網速處理大量流量，包括報頭或有效載荷。DPI引擎用于多種安全服務，包括NGFW反惡意軟體、IDS/IPS和網絡控制(SD-WAN)。

DPI引擎自動識别第一資料包中成千上萬的應用程式和數以百萬計的域名。這個健壯的庫由第三方網址分類引擎和機器學習算法不斷豐富,挖掘大量資料倉庫建立中繼資料的所有流量貫穿整個雲。客戶還可以通過雲平台工程師為他們配置自定義應用程式或政策。

TLS檢測

PoP可以在針對進階威脅保護服務(如反惡意軟體和IDPS)的TLS加密通信流上執行DPI。TLS檢查必不可少，因為現在所有網際網路流量大部分是加密的，惡意軟體使用加密來逃避檢測。啟用TLS檢查後，将對加密通信進行解密和檢查。所有操作都是在PoP中完成的，是以沒有性能限制。要解密，客戶必須在其網絡上安裝雲平台證書。客戶可以建立規則來選擇性地應用TLS檢驗流量的一個子集,如過濾資料包的應用程式中、服務領域、類别、不包括資料包從受信任的應用程式、出于合規性即使解密不是應用或配置、所有NGFW流量、URL過濾、和IPS規則涉及的中繼資料（如IP位址和URL）。

雲上邊緣

Socket和裝置連接配接

客戶通過加密的通道連接配接到雲。隧道可以通過多種方式建立。socket是部署在實體位置的零接觸裝置。為了獲得最佳的安全性和效率，socket通過DTLS隧道動态連接配接到最近的PoP。如果隧道由于PoP故障而斷開連接配接，socket會重新将隧道連接配接到最近的可用PoP。或者，客戶可以使用支援IPsec或GRE的裝置(如UTMs或防火牆)連接配接到最近的PoP。

socket具備的保護措施：

1.阻斷外部通信流量，隻允許經過身份驗證的流量

2.通過HTTPS或SSH連接配接内部接口的管理通路

3.管理者首次登陸強制重置密碼

4.不存儲資料包中的資料

5.對所有通信加密

6.通過加密通信、加密身份驗證(數字簽名軟體包)安全分發更新

筆記本和移動裝置用戶端

雲平台用戶端運作在移動裝置上，包括個人電腦、平闆電腦和智能手機，包括Windows、Mac、iOS和Android。用戶端使用裝置V**功能通過隧道連接配接到雲。其他的V**用戶端也可以獲得支援。

可以通過與Active Directory內建，或通過管理應用程式中的使用者配置來啟動移動使用者的登陸面闆。使用者受邀請通過電子郵件注冊到雲。使用者利用專用門戶通過幾個步驟為自己提供服務。使用者身份驗證可以通過幾種方式進行：

1.使用者名和密碼

2.多因素認證（MFA）

3.單點登入（SSO）

安全即服務

安全即服務是一組企業級、靈活的網絡安全功能，作為緊密內建的軟體堆棧的一部分直接建構到雲網絡中。目前的服務包括下一代防火牆(NGFW)、安全Web網關(SWG)、進階威脅預防、安全分析和管理威脅檢測和響應(MDR)服務。因為雲平台控制代碼，是以可以快速引入新的服務，而不會對客戶環境造成影響。客戶可以有選擇地啟用服務，配置它們來執行公司政策。

下一代防火牆

1）應用感覺

NGFW提供完整的應用程式感覺，無論端口、協定、規避技術或SSL加密。DPI引擎分類相關的上下文，如應用程式或服務，早在第一個包且沒有SSL檢查時。相關的資訊是提取自網絡中繼資料。Cato研究實驗室不斷豐富應用程式庫，以擴大覆寫面。

對于網絡和安全監控，整個Cato都可以使用DPI分類的上下文；對“影子IT”識别和其他趨勢的網絡可視化；或者用于像強制執行阻塞/允許/監視/提示規則這類的強制執行。

平台提供了一個簽名和解析器的完整清單，用于識别常見的應用程式。此外，自定義應用程式定義根據端口、IP位址或域辨別特定于帳戶的應用程式，這兩類應用程式定義可供運作在雲中的安全規則使用。

2）使用者感覺

平台使管理者能夠建立上下文安全政策，方法是基于單個使用者、組或角色定義和啟用對資源的通路控制。此外，平台的内置分析可以被網站、使用者、組或應用程式檢視，以分析使用者活動、安全事件和網絡使用情況。

Lan劃分

VLANs

Routed Range（通過路由器連接配接到套接口）

Direct Range（直接到套接口的LAN段，不通過路由器）

根據定義，不同的段之間不允許流量通信，允許這樣的連接配接需要建立局部劃分規則，由平台socket執行，或者建立WAN防火牆規則，由雲在完全檢查流量的情況下執行。

3）WAN流量保護

利用WAN防火牆，安全管理者可以允許或阻止組織實體(如站點、使用者、主機、子網等)之間的通信。預設情況下，平台的廣域網絡防火牆遵循一種白名單方法，有一個隐式的任意塊規則。管理者可以采用這種方法，也可以切換到黑名單方式。

4）Internet流量保護

通過使用Internet防火牆，安全管理者可以為各種應用程式、服務和網站設定允許或阻止網絡實體(如站點、個人使用者、子網等)之間的規則。預設情況下，平台的Internet防火牆遵循黑名單方法，有一個隐式的any-any permit規則。是以，要阻止通路，必須定義顯式阻止一個或多個網絡實體到應用程式的連接配接規則。管理者可以在必要時切換到白名單方式。

安全Web網關

SWG允許客戶根據預定義和/或自定義的類别監視、控制和阻止對網站的通路。雲在對特定可配置類别的每個通路上建立安全事件的審計跟蹤。管理者可以根據URL類别配置通路規則。

URL分類與過濾規則

即來即用,平台提供了一個預定義政策的幾十種不同的URL類别，包括安全類别、疑似垃圾郵件和惡意軟體。作為預設政策的一部分,每個類别設定一個可定制的預設行為。使管理者能夠建立自己的類别和使用自定義規則,提高網絡通路控制的細粒度。

URL過濾操作

每一類URL過濾規則都可進行以下操作：

允許

阻斷

監控

提示

反惡意軟體

作為先進的威脅防護的一部分，平台提供了一系列優質服務。其中之一是反惡意軟體保護。客戶可以使用這項服務來檢查廣域網和網際網路流量中的惡意軟體。反惡意軟體的處理包括：

1）深度包檢測

對流量有效載荷的深度包檢查，用于普通和加密的流量(如果啟用)。檔案對象從流量流中提取，檢查，并在适當的時候阻塞。

2）真實檔案類型檢測

用于識别通過網絡傳輸的檔案的真實類型，而不考慮它的檔案擴充名或内容類型頭(在HTTP/S傳輸的情況下)。平台使用此功能來檢測所有潛在的高風險檔案類型，預防了由攻擊者或錯誤配置導緻的Web應用程式技術被繞過。IPS也使用這個引擎，它在流分析期間提供了更多的上下文，并且是檢測惡意網絡行為的關鍵因素。

3）惡意軟體檢測與預測

首先，基于簽名和啟發式的檢查引擎，根據全球最新威脅情報資料庫随時保持更新，掃描傳輸中的檔案，以確定對已知的惡意軟體的有效保護。

其次，與行業上司者SentinalOne合作，利用機器學習和人工智能來識别和阻止未知的惡意軟體。未知的惡意軟體包括0day，或更為常見的目的是逃避基于簽名檢查引擎的已知威脅的多态變種。有了簽名和基于機器學習的保護，客戶資料具備隐私保護，因為平台不與基于雲的存儲庫共享任何東西。

此外，客戶有能力配置反惡意軟體服務，或者監測或者阻止，為特定的檔案在一段時間的設定例外，也可以實作。

IPS

入侵防禦系統(IPS)檢查入站和出站、廣域網和網際網路流量，包括SSL流量。IPS可以在監視模式(IDS)下運作，而不執行阻塞操作。在IDS模式下，将評估所有流量并生成安全事件。IPS有多層保護組成。

1）IPS保護引擎元件

行為特征

IPS會尋找偏離正常或預期行為的系統或使用者。通過在多個網絡使用大資料分析和深度流量可視化來确定正常行為。例如,發出到一個包含可疑TLD的未知URL的HTTP連接配接。經過研究室分析後,這類流量可能是惡意流量。

名譽回報（Reputaion Feeds）

利用内部和外部的情報回報，IPS可以檢測或防止受威脅或惡意資源的入站或出站通信。Cato研究室分析許多不同的回報，針對雲中的流量進行驗證，并在将它們應用于客戶生産流量之前對它們進行過濾以減少誤報。回報每小時更新一次，不需要使用者擔心。

協定準許

驗證包與協定的一緻性，減少使用異常流量的攻擊面。

已知漏洞

IPS可以防止已知的CVE，并可以快速适應，将新的漏洞合并到IPS的DPI引擎中。這種能力的一個例子是IPS能夠阻止利用永恒之藍漏洞在組織内廣泛傳播勒索軟體。

惡意軟體通訊

基于名譽回報和網絡行為分析，可以阻止C&C伺服器的出站流量。

定位

IPS執行客戶特定的地理保護政策，根據源和/或目的地國家選擇性地停止通信。

網絡行為分析

能檢測并防止南北向網絡掃描。

平台中IPS的一個獨有特點是，它是作為一種服務提供的，不需要客戶的參與。研究室負責更新、優化和維護内部開發的IPS簽名(基于對客戶流量的大資料收集和分析)，以及來自外部的安全回報。平台支援簽名流程，是以客戶不必平衡防護和性能，以避免在處理負載超過可用容量時進行意外更新。

安全事件API

平台持續收集網絡和安全事件資料，用于故障排除和事件分析。一年的資料被預設儲存，管理者可以通過Cato管理應用程式通路和檢視這些資料。允許客戶導出事件日志檔案(JSON或CEF格式)，以便與SIEM系統內建或存儲在遠端位置。日志檔案存儲在安全的位置，每個帳戶與其他帳戶互相獨立。

威脅檢測與響應管理

MDR使企業能夠将檢測受危害端點的資源集中度和技術依賴性過程交給平台SOC團隊。平台無縫地将完整的MDR服務應用于客戶網絡。自動收集和分析所有的網絡流量，驗證可疑活動，并向客戶通知被破壞的端點。這就是網絡和安全聚合的力量，簡化了各種規模企業的網絡保護。

圖7 增加檢測和預防手段的MDR服務來源：Cato Networks Advanced Security Services

MDR服務能力

1）零痕迹網絡可視化

為每個Internet和WAN流量初始化收集完整的中繼資料，包括原始用戶端、時間軸和目的位址。所有這些都不需要部署網絡探測器。

2）自動化威脅狩獵

進階算法尋找流資料倉庫中的異常，并将它們與威脅情報來源相關聯。這個機器學習驅動的過程會産生少量可疑事件，以供進一步分析。

3）專家級威脅驗證

随着時間的推移，Cato安全研究員檢查标記的端點和流量，并評估風險。SOC隻對實際威脅發出警報。

4）威脅容器

通過配置客戶網絡政策來阻止C&C域名和IP位址，或斷開受威脅的計算機或使用者與網絡的連接配接，可以自動包含已驗證的實時威脅。

5）整改協助

SOC将建議風險的威脅級别、補救措施和威脅跟蹤，直到威脅消除為止。

6）報告與溯源

每個月，SOC将釋出一份自定義報告，總結所有檢測到的威脅、它們的描述和風險級别，以及受影響的端點。

平台的安全即服務使各種規模的組織都可以在任意地方應用企業級通信流量。資料中心、分支機構、移動使用者和雲資源可以在統一的政策下以相同的防禦設定進行保護。作為一種雲服務，無縫地優化和調整安全控制，以應對新出現的威脅，而不需要客戶的參與。與基于應用程式的安全性相關的傳統工作，例如容量規劃、規模調整、更新和更新檔，不再需要，進而将這種責任從安全團隊中剝離出來。

總結

總體看下來，感覺和之前本人所想的思路有些相似，就是未來的安全不是各家廠商争天下，而是以合作為主，互相補足，最後形成一個內建大多數廠商安全能力的整體安全防護平台。我們所看到的SASE就是這樣一種理念，而Cato雲的架構和能力設計也正是這種理念的展現。

但是，由于目前對于SASE的描述過于強大，可以說是集大成之作，那麼如何內建這些技術、接口，怎麼來管理如此龐大的一個平台都會是非常棘手的問題。比如，什麼樣的團隊能夠管理和營運SASE平台、新興技術描述的非常令人向往但實際可能會有出入、這麼複雜的平台如何建構、V**建構的網絡能否承載如此龐大的流量、各家廠商是否願意一起建設SASE、PoP節點的投入和維護資源、前期高昂的建設和研究費用等等。

SASE的出現，颠覆了目前的網絡和網絡安全體系架構，就像IaaS對資料中心設計架構的影響一樣。SASE為安全和風險管理人員提供了未來重新思考和設計網絡和網絡安全體系架構的機會。數字業務轉型、部署雲計算和越來越多地采用邊緣計算，将帶動對 SASE 的需求。（引自Gartner網絡安全的未來在雲端報告）

*本文作者：宇宸，轉載請注明來自FreeBuf.COM