超越 SD-WAN，Gartner 提出的最新技术理念 SASE 是什么？

要了解 SASE 之前，我们首先探讨 SD-WAN。

何为 SD-WAN？

大家几乎每天都在访问互联网。而技术人员或许对 WAN 比较了解，WAN，即广域网（Wide Area Network），或称公网、外网。世界各地的 WAN 组成我们现在的互联网。

但是，传统 WAN 的架构设计是以数据中心为核心的集中式网络，所有末端数据要先返回核心进行处理，然后再返回终端。不过，这样的结构却不适用于今天的云计算 /IoT 环境，并且逐渐无法满足大家的需求。因此，SD-WAN 开始出现。

SD-WAN，英文全称为 software define Wide Area Network，中文即软件定义广域网。根据思科对 SD-WAN 的描述，软件定义广域网是一种用于管理广域网的软件定义方法。

其主要优势包括：

1. 不受传输方式限制，支持 MPLS、4G/5G LTE 和其他各种连接类型，可以降低运营成本。

2. 提高应用性能和敏捷性。

3. 优化软件即服务 (SaaS) 和公共云应用的用户体验与效率。

4. 通过自动化和基于云的管理功能简化操作。

Cato Networks（Gartner 官方推荐的 SASE 厂商）这样描述 SD-WAN：

今天，组织工作的方式正在改变，工作不再局限于某一地。互联网已经成为商业运作的中心。这意味着企业网络也必须改变。答案便是——软件定义广域网 (SD-WAN)。

SD-WAN 既为网络带来了无与伦比的灵活性，也节约了企业成本。使用 SD-WAN，组织可以比企业传统的 MPLS 服务在更短时间内以更低成本交付响应更快、更可预测的应用程序。它更加敏捷，只需几分钟就能部署站点；利用一切可用的数据服务就能立刻重新配置网站，例如 MPLS、专用互联网接入 (Dedicated Internet Access，DIA)、宽频或无线网络。

SD-WAN 通过使用基于策略的虚拟覆盖将应用程序与底层网络服务分离来实现这一点。该覆盖层监视底层网络的实时性能特征，并根据配置策略为每个应用程序选择最佳网络。

换句话说，WAN 就是我们平常出门所走的马路、公路、铁路，我们乘坐地面交通 工具 去想去的地方。但是，如果我要去比较远的地方就要经过几段行程（公路、铁路、公路），往返费时费力。这时，突然有人提出来建立空中交通，在原有地面路线上边设置空中航线，大家可以乘坐空中交通工具出门，这样一来就能满足一些人的特殊需求。

SD-WAN 在 WAN 的基础上重新架设虚拟网络，通过 VPN 之类的方式连接站点边缘，分为数据层面和控制层面。这个虚拟化的网络架构集成了路由策略和安全策略，以确保网络稳定安全运行。打个比喻，站点连接可以看成是航线，数据层就是乘客和飞机，控制层就是空管局中心，负责管理航空管制。

以上是用俗话来解释 SD-WAN 网络，方便理解，实际并不简单。

官方说明如下：

在 SD-WAN 中，位于站点边缘的专用设备连接到网络服务，通常是 MPLS 和至少两个 Internet 服务。通过这些服务，SD-WAN 设备加入一个与其他 SD-WAN 设备覆盖的加密隧道网络。在中央控制台配置的策略，由设备使用基于策略路由算法推出并执行。当流量到达设备，SD-WAN 软件评估潜在的网络服务的性能和可用性，引导数据包在最优服务任意时刻和预配置的应用程序策略，为一个特定的会话基于优先级和网络条件动态选择最优隧道。

SD-WAN 的世界正在不断发展。其基本概念的变化集中在完成大部分网络和安全处理的地方，这为准备从遗留 WAN 服务转移的组织创建了一组丰富的供应商和服务提供者选择。而其能够带来的好处和优势也很给力。

借助软件定义广域网，IT 部门可以提供路由和威胁防护，充分提高昂贵电路的使用效率，合理分流流量负载，并且简化广域网网络管理。

其业务优势包括：

1. 改善应用体验

• 利用可预测的服务使多数关键企业应用实现高可用性

• 提供适用于多数网络场景的多个双活混合链路

• 利用应用感知路由动态地路由应用流量，实现高效传输并改善用户体验。

• 减少运营支出。将昂贵的多协议标签交换 (MPLS) 服务替换为更经济灵活的宽带（包括安全 VPN 连接）（个人觉得替代 MPLS 可能短时间内不太可能）

2. 更安全

• 实施具有端到端分段和实时访问控制的应用感知策略
• 在适当的地方实施综合威胁防护
• 保护宽带互联网和进入云端的流量安全
• 利用下一代防火墙、DNS 安全和下一代防病毒解决方案将安全保护分布到分支机构和远程终端

3. 优化云连接

• 将广域网无缝扩展到多个公有云

• 为 Microsoft Office 365、Salesforce 和其他主要 SaaS 应用实时优化性能

• 为 Amazon Web Services (AWS) 和 Microsoft Azure 等云平台优化工作流程

4. 简化管理

• 采用单个集中式云交付管理控制面板，可用于配置和管理广域网、云和安全保护功能

• 可以实现适用于所有位置（分支机构、园区和云）的基于模板的零接触调配

• 提供详细的应用和广域网性能报告，用于进行业务分析和带宽预测

从思科与 IDC 的白皮书调查中，我们看到 SD-WAN 给组织带来的收益主要在于：

1. 带宽增加 2.25 倍；
2. 同等带宽连接成本降低 65%；
3. 五年运营成本降低 38%；
4. WAN 管理效率提升 33%；
5. 新服务自行激活速度提高 59%；
6. 策略和配置更改实施速度提高 58%；
7. 意外停机时间减少 94%；
8. 应用延迟降低 45%；
9. 每个组织每年收入增加 1498 万美元

SASE 是什么？

现在，我们来说说 SASE（Secure Access Service Edge），即安全访问服务边缘。

从 Gartner 的《 The Future of Network Security Is in the Cloud 》报告，我最初接触 SASE。这篇报告通篇都在讲 SASE，还推荐了号称搭建了全球第一家 SASE 平台的厂商 Cato Networks。

并且，Gartner 的《Top 10 strategic technology trends for 2020》报告也提到边缘赋能这项技术趋势。从报告中可以看到，SASE 是其主推的一项创新技术，因为它集成了敏捷、自动化、CARTA（持续自适应风险与信任评估）、ZTNA（零信任网络访问）、Advance APT 防护等多项技术。

可以说，Gartner 近几年提到的新兴技术大多都涵盖到 SASE 架构中。那我们来认识一下它。

1.SASE 是干什么的？

SASE 是用于从分布式云服务交付聚合的企业网络和安全服务。它克服了分散集成和地理位置约束解决方案的成本、复杂性和刚性。当 SASE 与全球私有骨干网相结合时，还能解决 WAN 和云连接方面的挑战。

2.SD-WAN 与 SASE 的区别？

SD-WAN 是 SASE 平台的关键组件，它将分支位置和数据中心连接到 SASE 云服务。SASE 扩展了 SD-WAN，以解决包括全球范围内的安全性、云计算和移动性在内的整个 WAN 的转换过程。

3.SASE 比 SD-WAN 更好吗？

SD-WAN 只是广域网转型的第一步。它缺乏关键的安全功能、全球连接能力以及对云资源和移动用户的支持。一个完整的 SASE 平台可以支持整个 WAN 转换过程，因为它使 IT 能以敏捷和经济有效的方式提供业务需求的网络和安全功能。

4.SASE 是否安全？

SASE 是端到端安全，平台上的所有通信都是加密的，包括解密、防火墙、URL 过滤、反恶意软件和 IP 在内的威胁预防功能都被集成到 SASE 中，并且可用于所有连接的边缘。

虽然这个技术很耀眼，但是毕竟出现不久，其发展和成熟需要时间。况且，这种规模的架构并非一般组织能承建。

报告在概要中说明： 为实现低延迟地随时随地访问用户、设备和云服务，企业需要具有全球 POP 点和对等连接的 SASE 产品。 因此，追新是好事，但不能盲目。

Gartner 对 SASE 的定义：

SASE 是一种基于实体的身份、实时上下文、企业安全 / 合规策略，以及在整个会话中持续评估风险 / 信任的服务。实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。

SASE 的核心是身份，即身份是访问决策的中心，而不再是企业数据中心。这也与零信任架构和 CARTA 理念相一致，基于身份的访问决策。

SASE 身份为中心的架构

用户、设备、服务的身份是策略中最重要的上下文因素之一。但是，还会有其他相关的上下文来源可以输入到策略中，这些上下文来源包括：用户使用的设备身份、日期、风险 / 信任评估、场地、正在访问的应用或数据的灵敏度。企业数据中心仍然存在，但不再是网络架构的中心，只是用户和设备需要访问的众多互联网服务中的一个。

这些实体需要访问越来越多的基于云的服务，但是它们的连接方式和应用的网络安全策略类型将根据监管需求、企业策略和特定业务领导者的风险偏好而有所不同。就像智能交换机一样，身份通过 SASE 供应商在全球范围内的安全访问能力连接到所需的网络功能。

SASE 按需提供所需的服务和策略执行，独立于请求服务的实体的场所（图 4）和所访问能力。

SASE 技术栈 — 基于身份和上下文的动态应用

SASE 云服务的主要特点

SASE 详细介绍了企业网络和安全的体系结构转换，这让它能为数字业务提供全面、敏捷和可适应的服务。

据悉，SASE 云服务有四个主要特点： 身份驱动 、 云原生 、 支持所有边缘 (WAN、云、移动、边缘计算)、 全球分布 。

1. 身份驱动

不仅仅是 IP 地址，用户和资源身份决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由与每个网络连接相关联的身份所驱动。采用这种方法，企业只需为用户开发一套网络和安全策略，而无需考虑设备或地理位置，从而降低运营开销。

2. 云原生

SASE 架构利用云的几个主要功能，包括弹性、自适应性、自恢复能力和自维护功能，提供一个可以分摊客户开销以提供最大效率的平台，能很方便地适应新兴业务需求，且随处可用。

3. 支持所有边缘

SASE 为所有公司资源创建了一个网络——数据中心、分公司、云资源和移动用户。举个例子，软件定义广域网 (SD-WAN) 设备支持物理边缘，而移动客户端和无客户端浏览器访问连接四处游走的用户。

4. 全球分布

为确保所有网络和安全功能随处可用，并向全部边缘交付尽可能好的体验，SASE 云必须全球分布。因此，必须扩展自身覆盖面，向企业边缘交付低延迟服务。

SASE 全球 PoP（Points of Presence）

最终，SASE 架构的目标是要能更容易地实现安全的云环境。SASE 提供了一种摒弃传统方法的设计理念，抛弃了将 SD-WAN 设备、防火墙、IPS 设备和各种其他网络及安全解决方案拼凑到一起的做法。它以一个安全的全球 SD-WAN 服务代替了难以管理的技术大杂烩。

SASE 的理念就是借助 SD-WAN 搭建起来的虚拟化架构去集中化，将核心能力附加到边缘，使数据处理和安全能力都在边缘进行，以满足当前和未来云上和移动业务的动态需求。

SASE 框架和能力

为云原生构建统一管理的 SD-WAN 服务

SASE 提供一个全局的、安全管理的 SD-WAN 服务，它能从遗留的 MPLS(一组单点解决方案和昂贵的托管服务) 转移到简单、敏捷和可负担得起的网络。采取自助服务还是托管服务则取决于自己。

Cato 云平台

用云原生网络架构取代传统的电信网络。将全球私有主干网、Edge SD-WAN、安全即服务、安全优化的云和移动访问聚合到一个云服务中。因此，云解决了组织的全球网络、安全、云和移动需求，以支持完整的 WAN 转换过程。

SASE 能力

核心能力：即插即用可视化，优化与管控

SASE 体系结构由两个核心组件组成。其中， SASE 云 充当网络和安全功能的聚合器， SASE 边缘连接器 将流量从物理、云和设备边缘驱动到 SASE 云处理。

SASE 使用一个单通道的流量处理引擎来有效地应用优化和安全检查，并为所有流量提供丰富的前后关联。将 SASE 模型与堆叠单点产品进行对比，在堆叠单点产品中，每个产品分析特定需求的流量，增加解密等操作的开销，并且缺少在其他网络和安全点产品中生成的前后联系。

SASE 可选能力包括：

• 认证：在连接边缘时，动态风险评估驱动多因素认证的激活。
• 访问：对关键应用程序和服务的访问由支持应用程序和用户的下一代防火墙策略控制。此外，零信任网络访问模型可以确保用户只能访问授权的应用程序，而不能获得一般的网络访问权限。
• 优先级：应用程序标识为流量分配优先级，以对损失敏感（loss-sensitive）的应用程序进行优化（如 VOIP 和虚拟桌面访问（VID）），而不是其他流量（如常规的 Internet 浏览）。
• 解密：为启用深度包检查，可以对加密的通信流进行一次解密，从而允许多个威胁预防引擎处理这些通信流。
• 威胁预测：多个安全引擎解析流量以检测有风险的访问。这包括寻找恶意网站的安全 Web 网关、防止下载恶意文件的反恶意软件、停止指示机器人活动的入站和出站异常连接的 IPS 等等。
• 数据防泄漏：SASE 应用特定的数据防泄漏规则来检测网络流量中的敏感数据并阻止其泄漏。类似地，云访问服务代理 (CASB) 可以对云应用程序实施粒度访问控制。

这是 SASE 功能的一个子集，SASE 体系结构的设计目的是用新引擎快速扩展“单通道流量处理引擎”。它这个独特优势是未来的网络向 SASE 云扩展，新的功能无缝扩展到任何人和任何地方。类似地，使 SASE 云服务适应新的威胁或攻击载体可以集中完成，并立即影响所有企业和所有边缘，而不需要部署或激活这些新增功能（类似思科 APIC 自动化即插即用）。

SASE 安全架构

SASE 安全架构包括以下几个组件：PoP 实例、边缘、安全即服务、威胁检测与响应管理（MDR）。

一、PoP 实例—流量处理引擎

1.PoP 结构

核心云网络, 由地理上分布的 PoPs(Points of Presence) 组成，每个 PoP 运行多个处理服务器。每个 PoP 运行一个专门构建的软件栈，在所有流量上应用路由、加密、优化和高级安全服务。PoP 由运行相同软件栈的多个功能强大的现有服务器 (commodity off the shelf servers，COTS) 组成。

2.PoP 的可扩展性和灵活性

PoPs 的设计是为了处理大量的流量。通过将服务器实例添加到相同的 PoP(垂直扩展) 或在新位置添加 PoP(水平扩展)，可以扩展处理能力。因为云平台维护基础设施，所以客户不必调整他们的网络安全环境。所有许可的内容，即使被加密，也保证被所有受许可的安全服务的 PoP 处理。

如果 PoP 服务器实例失效，受影响边缘自动重新连接到同一个 PoP 的可用服务器。如果一个 PoP 完全失效，受影响的边缘将连接到最近的可用 PoP。无论企业资源连接到哪个 PoP，云始终维护一个一致的逻辑企业网络，创建相应程度的可用性和弹性。

3.PoP 内置抗 DDoS

PoPs 的设计用以处理大流量的同时，弹性能力使云能够适应客户增长和抵御各种类型的泛洪攻击。为减少攻击面，只有授权站点和移动用户可以连接并发送流量到主干。PoP 外部 IP 地址受特定的抗 DDoS 措施保护，如 SYN cookie 机制和速率控制机制。云平台拥有一组 IP，部分用于自动将目标站点和移动用户重新分配到未受影响的地址。

4.PoP 全连接加密

所有 PoP 都是通过完全加密的隧道互相连接。加密算法是 AES-256，并使用受限制的对称密钥 (每个 PoP 实例)。密钥每 60 分钟变化一次，以减少暴露。

5. 深度包检测

PoP 软件包括一个深度包检测 (Deep Packet Inspection, DPI) 引擎，该引擎以网速处理大量流量，包括报头或有效载荷。DPI 引擎用于多种安全服务，包括 NGFW 反恶意软件、IDS/IPS 和网络控制 (SD-WAN)。

DPI 引擎自动识别第一数据包中成千上万的应用程序和数以百万计的域名。这个健壮的库由第三方网址分类引擎和机器学习算法不断丰富，挖掘大量数据仓库建立元数据的所有流量贯穿整个云。客户还可以通过云平台工程师为他们配置自定义应用程序或策略。

6.TLS 检测

PoP 可以在针对高级威胁保护服务 (如反恶意软件和 IDPS) 的 TLS 加密通信流上执行 DPI。TLS 检查必不可少，因为现在所有互联网流量大部分是加密的，恶意软件使用加密来逃避检测。启用 TLS 检查后，将对加密通信进行解密和检查。所有操作都是在 PoP 中完成的，因此没有性能限制。要解密，客户必须在其网络上安装云平台证书。客户可以创建规则来选择性地应用 TLS 检验流量的一个子集，如过滤数据包的应用程序中、服务领域、类别、不包括数据包从受信任的应用程序、出于合规性即使解密不是应用或配置、所有 NGFW 流量、URL 过滤、和 IPS 规则涉及的元数据（如 IP 地址和 URL）。

二、云上边缘

1.Socket 和设备连接

客户通过加密的通道连接到云。隧道可以通过多种方式建立。socket 是部署在物理位置的零接触设备。为获得最佳的安全性和效率，socket 通过 DTLS 隧道动态连接到最近的 PoP。如果隧道由于 PoP 故障而断开连接，socket 会重新将隧道连接到最近的可用 PoP。或者，客户可以使用支持 IPsec 或 GRE 的设备 (如 UTMs 或防火墙) 连接到最近的 PoP。

socket 具备的保护措施：

• 阻断外部通信流量，只允许经过身份验证的流量；
• 通过 HTTPS 或 SSH 连接内部接口的管理访问；
• 管理员首次登陆强制重置密码；
• 不存储数据包中的数据；
• 对所有通信加密；
• 通过加密通信、加密身份验证 (数字签名软件包) 安全分发更新

2. 笔记本和移动设备客户端

云平台客户端运行在移动设备上，包括个人电脑、平板电脑和智能手机，包括 Windows、Mac、iOS 和 Android。客户端使用设备 VPN 功能通过隧道连接到云。其他的 VPN 客户端也可以获得支持。

同时，还可以通过与 Active Directory 集成，或通过管理应用程序中的用户配置来启动移动用户的登陆面板。用户受邀请通过电子邮件注册到云。用户利用专用门户通过几个步骤为自己提供服务。用户身份验证能通过几种方式进行：

• 用户名和密码

• 多因素认证（MFA）

• 单点登录（SSO）

三、安全即服务

安全即服务是一组企业级、敏捷的网络安全功能，作为紧密集成的软件堆栈的一部分直接构建到云网络中。目前的服务包括下一代防火墙 (NGFW)、安全 Web 网关 (SWG)、高级威胁预防、安全分析和管理威胁检测和响应 (MDR) 服务。因为云平台控制代码，所以可以快速引入新的服务，而不会对客户环境造成影响。客户可以有选择地启用服务，配置它们来执行公司策略。

1. 下一代防火墙

a. 应用感知

NGFW 提供完整的应用程序感知，无论端口、协议、规避技术或 SSL 加密。DPI 引擎分类相关的上下文，如应用程序或服务，早在第一个包且没有 SSL 检查时。相关的信息是提取自网络元数据。Cato 研究实验室不断丰富应用程序库，以扩大覆盖面。

对于网络和安全监控，整个 Cato 都可以使用 DPI 分类的上下文；对“影子 IT”识别和其他趋势的网络可视化；或者用于像强制执行阻塞 / 允许 / 监视 / 提示规则这类的强制执行。

平台提供了一个签名和解析器的完整列表，用于识别常见的应用程序。此外，自定义应用程序定义根据端口、IP 地址或域标识特定于帐户的应用程序，这两类应用程序定义可供运行在云中的安全规则使用。

b. 用户感知

平台使管理员能够创建上下文安全策略，方法是基于单个用户、组或角色定义和启用对资源的访问控制。此外，平台的内置分析可以被网站、用户、组或应用程序查看，以分析用户活动、安全事件和网络使用情况。

根据定义，不同的段之间不允许流量通信，允许这样的连接需要创建局部划分规则，由平台 socket 执行，或者创建 WAN 防火墙规则，由云在完全检查流量的情况下执行。

c. WAN 流量保护

利用 WAN 防火墙，安全管理员可以允许或阻止组织实体 (如站点、用户、主机、子网等) 之间的通信。默认情况下，平台的广域网络防火墙遵循一种白名单方法，有一个隐式的任意块规则。管理员可以采用这种方法，也可以切换到黑名单方式。

d. Internet 流量保护

通过使用 Internet 防火墙，安全管理员可以为各种应用程序、服务和网站设置允许或阻止网络实体 (如站点、个人用户、子网等) 之间的规则。默认情况下，平台的 Internet 防火墙遵循黑名单方法，有一个隐式的 any-any permit 规则。因此，要阻止访问，必须定义显式阻止一个或多个网络实体到应用程序的连接规则。管理员可以在必要时切换到白名单方式。

2. 安全 Web 网关

SWG 允许客户根据预定义和 / 或自定义的类别监视、控制和阻止对网站的访问。云在对特定可配置类别的每个访问上创建安全事件的审计跟踪。管理员可以根据 URL 类别配置访问规则。

3.URL 分类与过滤规则

即来即用，平台提供了一个预定义策略的几十种不同的 URL 类别，包括安全类别、疑似垃圾邮件和恶意软件。作为默认策略的一部分, 每个类别设置一个可定制的默认行为。使管理员能够创建自己的类别和使用自定义规则, 提高网络访问控制的细粒度。

4.URL 过滤操作

每一类 URL 过滤规则都可进行以下操作：

允许

阻断

监控

提示

5. 反恶意软件

作为先进的威胁防护的一部分，平台提供一系列优质服务，其一是反恶意软件保护。客户可以用这项服务来检查广域网和互联网流量中的恶意软件。反恶意软件的处理包括：

a. 深度包检测

对流量有效载荷的深度包检查，用于普通和加密的流量 (如果启用)。文件对象从流量流中提取、检查，并在适当的时候阻塞。

b. 真实文件类型检测

用于识别通过网络传输的文件的真实类型，而不考虑它的文件扩展名或内容类型头 (在 HTTP/S 传输的情况下)。平台使用此功能来检测所有潜在的高风险文件类型，预防了由攻击者或错误配置导致的 Web 应用程序技术被绕过。IPS 也使用这个引擎，它在流分析期间提供了更多的上下文，并且是检测恶意网络行为的关键因素。

c. 恶意软件检测与预测

首先，基于签名和启发式的检查引擎，根据全球最新威胁情报数据库随时保持更新，扫描传输中的文件，以确保对已知的恶意软件的有效保护。

其次，与行业领导者 SentinalOne 合作，利用机器学习和人工智能来识别和阻止未知的恶意软件。未知的恶意软件包括 0day，或更为常见的目的是逃避基于签名检查引擎的已知威胁的多态变种。有了签名和基于机器学习的保护，客户数据具备隐私保护，因为平台不与基于云的存储库共享任何东西。

此外，客户有能力配置反恶意软件服务，或者监测或者阻止，为特定的文件在一段时间的设置例外，也可以实现。

6.IPS

入侵防御系统 (IPS) 检查入站和出站、广域网和互联网流量，包括 SSL 流量。IPS 可以在监视模式 (IDS) 下运行，而不执行阻塞操作。在 IDS 模式下，将评估所有流量并生成安全事件。IPS 有多层保护组成。

IPS 保护引擎组件：

行为特征

IPS 会寻找偏离正常或预期行为的系统或用户。通过在多个网络使用大数据分析和深度流量可视化来确定正常行为。例如，发出到一个包含可疑 TLD 的未知 URL 的 HTTP 连接。经过研究室分析后，这类流量可能是恶意流量。

Reputaion Feeds

利用内部和外部的情报反馈，IPS 可以检测或防止受威胁或恶意资源的入站或出站通信。Cato 研究室分析许多不同的反馈，针对云中的流量进行验证，并在将它们应用于客户生产流量之前对它们进行过滤以减少误报。反馈每小时更新一次，不需要用户担心。

协议批准

验证包与协议的一致性，减少使用异常流量的攻击面。

已知漏洞

IPS 可以防止已知的 CVE，并可以快速适应，将新的漏洞合并到 IPS 的 DPI 引擎中。这种能力的一个例子是 IPS 能够阻止利用永恒之蓝漏洞在组织内广泛传播勒索软件。

恶意软件通讯

基于名誉反馈和网络行为分析，可以阻止 C&C 服务器的出站流量。

定位

IPS 执行客户特定的地理保护政策，根据源和 / 或目的地国家选择性地停止通信。

网络行为分析

能检测并防止南北向网络扫描。

平台中 IPS 的一个独有特点是，它是作为一种服务提供的，不需要客户的参与。研究室负责更新、优化和维护内部开发的 IPS 签名 (基于对客户流量的大数据收集和分析)，以及来自外部的安全反馈。平台支持签名流程，因此客户不必平衡防护和性能，以避免在处理负载超过可用容量时进行意外升级。

7. 安全事件 API

平台持续收集网络和安全事件数据，用于故障排除和事件分析。一年的数据被默认保存，管理员可以通过 Cato 管理应用程序访问和查看这些数据。允许客户导出事件日志文件 (JSON 或 CEF 格式)，以便与 SIEM 系统集成或存储在远程位置。日志文件存储在安全的位置，每个帐户与其他帐户相互独立。

四、威胁检测与响应管理

MDR 使企业能够将检测受危害端点的资源集中度和技术依赖性过程交给平台 SOC 团队。平台无缝地将完整的 MDR 服务应用于客户网络。自动收集和分析所有的网络流量，验证可疑活动，并向客户通知被破坏的端点。这就是网络和安全聚合的力量，简化了各种规模企业的网络保护。

1. 零痕迹网络可视化

为每个 Internet 和 WAN 流量初始化收集完整的元数据，包括原始客户端、时间轴和目的地址。所有这些都不需要部署网络探测器。

2. 自动化威胁狩猎

高级算法寻找流数据仓库中的异常，并将它们与威胁情报来源相关联。这个机器学习驱动的过程会产生少量可疑事件，以供进一步分析。

3. 专家级威胁验证

随着时间的推移，Cato 安全研究员检查标记的端点和流量，并评估风险。SOC 只对实际威胁发出警报。

4. 威胁容器

通过配置客户网络策略来阻止 C&C 域名和 IP 地址，或断开受威胁的计算机或用户与网络的连接，可以自动包含已验证的实时威胁。

5. 整改协助

SOC 将建议风险的威胁级别、补救措施和威胁跟踪，直到威胁消除为止。

6. 报告与溯源

每个月，SOC 将发布一份自定义报告，总结所有检测到的威胁、它们的描述和风险级别，以及受影响的端点。

平台的安全即服务使各种规模的组织都可以在任意地方应用企业级通信流量。数据中心、分支机构、移动用户和云资源可以在统一的策略下以相同的防御设置进行保护。作为一种云服务，无缝地优化和调整安全控制，以应对新出现的威胁，而不需要客户的参与。与基于应用程序的安全性相关的传统工作，例如容量规划、规模调整、升级和补丁，不再需要，从而将这种责任从安全团队中剥离出来。

总结

总体看下来，感觉和之前本人所想的思路有些相似，就是 未来的安全不是各家厂商争天下，而是以合作为主，相互补足，最后形成一个集成大多数厂商安全能力的整体安全防护平台 。我们所看到的 SASE 就是这样一种理念，而 Cato 云的架构和能力设计也正是这种理念的体现。

但是，由于当前对于 SASE 的描述过于强大，可以说是集大成之作，那么如何集成这些技术、接口，怎么来管理如此庞大的一个平台都会是非常棘手的问题。比如，什么样的团队能够管理和运营 SASE 平台、新兴技术描述的非常令人向往但实际可能会有出入、这么复杂的平台如何构建、VPN 构建的网络能否承载如此庞大的流量、各家厂商是否愿意一起建设 SASE、PoP 节点的投入和维护资源、前期高昂的建设和研究费用等等。

SASE 的出现，颠覆了目前的网络和网络安全体系架构，就像 IaaS 对数据中心设计架构的影响一样。SASE 为安全和风险管理人员提供了未来重新思考和设计网络和网络安全体系架构的机会。数字业务转型、部署云计算和越来越多地采用边缘计算，将带动对 SASE 的需求。（引自 Gartner 网络安全的未来在云端报告）

本文转自 FreeBuf.COM