什麼是 SASE?
隨著企業全面上雲、員工分散各地,傳統以「邊界」為核心的資安架構已不堪重負。SASE(Secure Access Service Edge) 由 Gartner 於 2019 年提出,將網路連線與安全功能統一整合於雲端,從根本上重新定義企業存取防護的方式。
SASE 的五大核心元件
SASE 並非單一產品,而是由五個功能模組緊密整合的框架。SD-WAN 負責智慧路由與廣域網路最佳化;ZTNA(零信任網路存取) 以身分驗證取代 IP 信任,實現最小權限原則;CASB(雲端存取安全代理) 監控 SaaS 應用的資料流動;SWG(安全 Web 閘道) 過濾惡意流量與未授權網站;FWaaS(防火牆即服務) 則在雲端提供第 7 層防護。五者協同運作,讓安全策略隨使用者身分與裝置狀態動態調整,而非固守固定邊界。
💡 重點整理
- 身分即邊界:以使用者身分與裝置健康狀態作為存取決策的核心依據。
- 雲端原生交付:安全功能部署於全球 PoP 節點,就近服務使用者、降低延遲。
- 單一管理平面:網路與安全策略統一設定,消除傳統孤島式管理的盲點。
- 持續驗證:每次存取請求皆動態評估風險,不預設任何信任。
SASE 策略設定概念示意
以下示意一個基於身分的 SASE 存取策略邏輯,說明 ZTNA 如何依據使用者角色與裝置合規狀態動態授權:
policy "finance-app-access" {
identity = ["group:finance", "mfa:required"]
device = { compliant: true, os_version: ">= 14.0" }
app = "finance-erp.internal"
action = "allow"
risk_score_threshold = 70 # 超過則降為唯讀
}
策略以身分群組、MFA 狀態、裝置合規性三重條件共同決策,並引入即時風險分數動態調整權限層級,體現零信任「持續驗證」的核心精神。
結語
SASE 不只是技術升級,更是安全思維的典範轉移。企業導入時應優先盤點身分治理與 SD-WAN 現況,再逐步整合各安全元件,才能真正釋放雲端原生架構的防護效益。
📚 參考文獻
- Gartner — The Future of Network Security Is in the Cloud(2019):SASE 概念原始提出報告,定義框架範疇與核心元件。
https://www.gartner.com/en/documents/3982217 - Cloudflare — What is SASE?:提供清晰的元件說明與實際部署架構圖解。
https://www.cloudflare.com/learning/access-management/what-is-sase/ - NIST SP 800
留言
張貼留言