102 李凱-SASE技術架構的實踐探索（公開版本）（16頁）.pdf

《102 李凱-SASE技術架構的實踐探索（公開版本）（16頁）.pdf》由會員分享，可在線閱讀，更多相關《102 李凱-SASE技術架構的實踐探索（公開版本）（16頁）.pdf（16頁珍藏版）》請在三個皮匠報告上搜索。

1、SASE技術架構的實踐探索演講人：綠盟科技|李凱SASE領域現狀01SASE起源和定義【SASE名稱】：Secure Access Service Edge安全訪問服務邊緣發音SASSY“三賽”【SASE起源】：Gartner在2019.9提出的安全模型源自報告網絡安全的未來在云端【SASE定義】：融合網絡即服務和安全即服務結合SD-WAN和云安全技術棧的產品如右圖所示【SASE實施】：基于云的服務進行實施交付SASE的基礎內容SASE將SD-WAN網絡技術和安全技術整合為服務統一交付SASE vs 零信任-體系構建參考Forrester為安全和網絡服務引入零信任邊緣（ZTE）模型Forres

2、ter零信任（2009）數據中心零信任（2021.1）ZTE邊緣零信任（2021.1）GarternSASE（2019.9）網絡服務（2019.9）安全服務（2019.9）ZTNA零信任網絡訪問SWG參考：Gartern網絡安全的未來在云端起源：不同咨詢機構目標：對抗兼容對方體系：場景 vs 理念三個對比視角SASE技術趨勢預測Gartern提出SASE在510年作為網絡安全領域的希望之巔和革命性技術SASE領域主流友商國際領域-百花齊放網絡、虛擬化和防火墻巨頭到SD-WAN、云和網絡安全新貴CATOMcAfeePalo Alto國際友商Netskope綠盟云戰略業務BG技術拉通低端產品Saa

3、S化業務驅動PoP部署云化優先戰略1、SASE2、SSE3、多云管理國內領域-先鋒探索綠盟、深信服為安全廠商的先行者SASE架構實踐02SASE技術架構身份驅動通過用戶、設備和應用安身份決定網絡互連體驗（路由選擇等）和訪問權限級別（應用全控制）；邊緣接入依據企業資源創建網絡，包括本地數據中心、云端資源、各地公司網絡、和移動用戶；云原生架構利用云原生架構的多租戶、彈性、發布速度、高性價比和隨地接入；全球分布SASE云分布全球，企業邊緣交付低延時服務；SASE是以身份為中心、接入為控制技術方案基于身份驅動策略，零信任和SASE共生的基石SASE業務架構1）多地域，全球范圍部署；2）云原生，能力彈性

4、可擴展，且高可靠；3）多租戶，多用戶訪問統一PoP節點；4）棧對等，節點安全和網絡技術均相同；5）去集中，將核心技術下層到邊緣；1）節點互通，full-mesh架構；2）智能選路，業務定義最短路徑；1）固網接入，邊緣網關（CPE）；2）移動外網接入，終端軟件（SDP）；3）公有云端接入，云端網關（vCPE）；SASE訪問路徑三要素：1）邊緣接入 2）PoP節點 3）SASE組網綠盟SASE安全技術棧SASE演進探索03SASE方案-綠盟&SDWAN合作關鍵技術合作網絡能力流量匯聚1租戶融合2運營統一3綠盟安全能力SD-WAN廠商網絡服務主體能力，包括準入、調度、線路優化功能綠盟SDP補充移動終

5、端（PC和手機）流量接入功能，形成接入閉環；SAG&SD-WAN CPE對接完成流量匯聚；SD-WAN廠商通過VRF租戶隔離，包括接口、路由；綠盟云原生通過獨享鏡像租戶隔離，包括鏡像、策略；VFR接口&獨享鏡像完成租戶融合；SD-WAN廠商提供VRF網絡調度的API接口；綠盟云原生提供獨享租戶安全調度的API接口；統一運營平臺調用兩者接口進行租戶業務運營；SASE服務流量架構網絡服務終端PC邊緣接入CPE企業分支終端PC企業服務SERVERSERVER邊緣接入CPESDN-gatewaySDP-gatewaySDP-control（終端準入）移動終端SDP-agentSDN-AC（網關準入）多

6、地域PoP節點業務流量認證控制PoP節點SDN-gatewaySDP-gatewaySASE運營平臺【終端認證】1、SDP協議認證2、PoP節點選路【網關認證】1、隧道認證2、PoP節點選路【網關認證】1、隧道認證2、PoP節點選路準入控制SDP認證準入CPE認證準入PoP節點1、運營商優先，源IP所屬運營商2、地域優先，源IP地理信息匹配3、1&2互斥配置；4、可用性優先自動切換SASE運營平臺SDP認證準入SASE服務管理架構上網安全NIA服務安全策略（新開發）運營數據（新開發）API接口日志傳輸辦公分支SDWAN-CPEPoP數據中心綠盟云SASE服務（北京）PoP節點管理通道HTTPS

7、解密HTTPS加密SSL卸載VRF配置CPE準入SDWAN-CPE安全容器編排流量牽引流量回注SDWAN-ACAPI接口日志傳輸網絡訂閱網絡運營流量流量終端準入SAG移動流量匯聚服務分支SDWAN-CPE移動終端SDP-AGENT流量日志傳輸API接口安全訂閱安全運營API接口LAS產品（NF數據）上網流量分析應用行為分析授權行為分析SASE演進技術規劃磨礪能力拓展場景生態合作1、云地聯合的SASE和SSE架構的場景化落地；2、全面安全能力的輕量化、容器化3、全類型終端接入，重點布局物聯網終端（輕量接入）；1、業務場景拓展，等保2.0、數據安全服務研發；2、全球業務拓展，國際化（公有云適配）；3、5G-MEC業務拓展，場景化（MEC云適配）1、安全能力服務化，安全能力（IPDR）能力接口化，能夠與多方運營合作；2、運營平臺接口化，能夠快速融合多家網絡服務，進行SASE一體化服務；3、業務全局可視化，提供客戶一體化運營優質體驗；THANKS