安全访问服务边缘(SASE)是第三方风险的解决方案吗？

​译者 | 李睿

审校 | 孙淑娟

除了零信任之外，使用SASE等适当的工具可以帮助保护企业的IT基础设施免受第三方访问带来的威胁。  

什么是SASE？  

安全访问服务边缘(SASE)是一种网络安全架构，可以帮助企业将系统、端点和用户从全球任何位置安全地连接到服务和应用程序。这是一项可以从云端访问并集中管理的服务。  

SASE是一个框架，而不是一种特定的技术。它通过结合多种云原生安全技术来工作，其中包括：  

• 安全Web网关(SWG)  
• 云访问安全代理(CASB)  
• 零信任网络访问（ZTNA）  
• 防火墙即服务（FWaaS）  
• 广域网（WAN）  

但不要将SASE与安全服务边缘(SSE)混淆，SSE是SASE的一个子集，主要关注的是SASE云平台所需的安全服务。  

SASE解决了哪些问题？  

越来越多的企业开展远程工作，并正在采用混合工作方法，希望将其员工顺利转换为全职或兼职远程工作。如今，企业每天通常使用数十个SaaS应用程序，并且授予对管理和运营资源（例如文件共享系统）的远程访问权限。  

传统的远程访问方法使用虚拟专用网络通过加密通道将用户连接通过隧道连接到单个位置。这使得集中应用和执行权限的策略成为可能。  

然而，这种方法会造成网络瓶颈，影响用户体验。企业必须投资于能够管理和检查流量的技术，即使如此，虚拟网络也不能提供精细的网络访问控制，允许用户不受限制地访问整个网络。

其解决方案的一部分是引入安全Web网关(SWG)和防火墙即服务(FWaaS)提供商。这些基于云计算的服务在分布式当前点(PoP)部署检查引擎，并与SaaS提供商合作，使用云访问服务代理(CASB)保护他们的云环境。但这仍然不能解决连接到企业网络的问题。除了基于云计算的资源之外，企业仍然拥有本地网络，这一远程访问难题尚未解决。

SASE解决了这个缺失的部分。它的设计考虑了最终用户，并采用了零信任方法。SASE允许用户连接到任何资源，无论是在云平台中还是在内部部署设施。它首先验证他们的身份，并检查用户的设备是否具有最低限度的安全性。受信任的用户只能连接到他们想要访问的特定资源，而不能连接其他任何资源。这通常通过依赖微分段的零信任网络访问技术(ZTNA)来实现。  

与集中安全检查的传统网络解决方案不同，SASE方法将这些检查分布在不同的区域，以提高网络资源的效率。这有助于降低将这些组件作为单独的单点解决方案进行管理的复杂性。SASE提供了一组集中的基于云的工具，可提高可见性和控制力。这些工具可以在云平台中完全编排，并在网络边缘立即实施策略。

通过零信任和SASE最大限度地降低第三方风险

第三方风险管理涉及解决源自企业外部可信来源的安全风险。这个定义很宽泛，但有一些值得注意的第三方风险来源：

• 第三方应用程序——所有企业都使用第三方开发的应用程序。企业通常信任这些应用程序，因为它们来自信誉良好的开发人员或受信任的软件公司。但是，第三方软件通常包含漏洞，如果开发人员的系统受到威胁，受信任的应用程序可能会成为恶意行为者的攻击向量。  
• 受信任的外部用户——许多企业允许外部合作伙伴或供应商访问其受保护的系统和环境。但是，受损的第三方用户帐户可以作为网络攻击的平台，允许恶意行为者获得对内部网络的授权访问。  
• 开源代码——大多数企业使用包含第三方软件组件和依赖项的应用程序。开源库和代码通常包含允许网络攻击者利用应用程序的后门。如果企业缺乏对其开源依赖项的可见性，那么未知的漏洞可能会带来攻击机会。  

在每种情况下，企业都隐含地信任第三方以确保安全。如果网络攻击者利用这种信任，它可能会破坏企业的安全。企业对过时的安全策略的依赖可能会导致第三方风险的许多恶劣影响。  

例如，许多企业使用传统的安全边界模型来保护他们的网络免受外部攻击。这种方法涉及在网络边界部署安全机制，以在渗透受保护的网络和系统之前识别和阻止威胁。  

基于边界的安全模型假设安全威胁来自网络外部，然而这并不总是正确的。通过只关注外部威胁，企业通常会忽略已经渗透到其网络中的威胁。第三方应用程序和用户通常会为保护外部接入点的安全解决方案带来额外的安全挑战和潜在盲点。  

管理第三方风险需要了解即使是受信任的系统或实体也可能对企业构成风险。简而言之，企业不得完全信任任何人或任何事物。这一假设构成了零信任的基础，这是一种将安全事件的可能性和潜在损害降至最低的安全方法。  

采用零信任安全策略相对简单，尽管有时执行它可能更具挑战性。实施零信任需要在整个企业的整个基础设施中实施一致的访问控制。  

企业应在网络级别强制实施零信任，以确保东西向流量和南北向流量的安全。安全访问服务边缘(SASE)提供两种功能：  

• 东西向流量——SASE建立了企业WAN，将完整的安全堆栈集成到每个接入点(PoP)。它支持SASE PoP进行东西流量检查，并应用基于零信任模型的访问控制。
• 南北向流量——SASE建立软件定义边界(SDP)或零信任网络访问(ZTNA)，对源自外部用户的对内部资源或应用程序的所有请求实施基于零信任的访问控制。它限制对企业应用程序的外部访问，以防止利用隐藏的漏洞。  

结论  

第三方风险管理通常是一项复杂的工作。零信任安全实施是最小化第三方风险的一个关键方面。除了零信任之外，使用SASE等适当的工具可以帮助保护企业的IT基础设施免受第三方访问带来的威胁。  

原文标题：​​Is SASE the Solution for Third-Party Risk?​​​，作者：Gilad David Maayan​