前 言 Preface
为什么要写这本书
在当今数字时代,网络安全问题已经成为各行业关注的焦点。面对不断演进的威胁,传统的网络安全体系显现出了明显的局限性。为此,SASE(Secure Access Service Edge,安全访问服务边缘)应运而生,成为网络安全领域的新潮流。为了让更多的网络安全从业者和研究者深入理解SASE,我们萌生了编写本书的想法。本书不仅是一本介绍SASE理论体系的书籍,也是作者近年来在SASE领域的架构探索和落地实践的经验总结。
(1)SASE引领未来的网络安全革新
我们选择撰写这本书,是因为SASE宛如新的曙光,照亮了我们在网络安全领域前行的道路。传统的安全体系难以应对云化、移动化、分布式办公等新型网络环境的挑战,而SASE融合了安全服务和网络服务的理念,为我们提供了一种创新性的解决方案。
过去几年里,我们见证了SASE在全球范围内的迅速崛起。然而,国内对这项新兴技术的了解和应用仍相对滞后。因此,编写这本书的目的在于跨越这一知识鸿沟,为国内的学者、从业者以及对网络安全感兴趣的读者提供一份翔实而深入的SASE学习和实践指南。
(2)助力读者在网络安全的征途上驶入快车道
我们撰写这本书还有一个初衷,即让更多的网络安全从业者知晓和掌握SASE,使这项颠覆性的技术不再是少数人的专利,而成为广大从业者的普惠技术。我们深知网络安全的未来离不开每一位致力于此领域的人,而SASE的引入则为我们打开了通向更加安全和高效的网络应用的大门。
在撰写这本书的过程中,我们努力通过深入浅出的方式,将复杂的技术原理以通俗易懂的语言呈现给读者。希望通过本书,读者能更好地理解SASE,掌握其实际应用方法,从而在网络安全的征途上驶入快车道。相信通过共同努力,我们能为国内网络安全领域的发展贡献一份微薄而坚实的力量。
愿这本书成为读者探索网络安全未知领域的指南,引领读者在SASE的奇妙世界中发现新的安全方向,与读者共同见证网络安全的下一个巅峰。
读者对象
以下是适合阅读本书的读者对象。
网络安全从业者:涵盖初入行的新手和经验丰富的专业人士,他们能够通过本书深入掌握SASE的技术原理、应用场景以及实践经验,从而更好地应对当今复杂多变的网络威胁。
企业决策者:针对企业管理层、CTO(首席技术官)、CIO(首席信息官)等决策者,本书提供了关于SASE的商业优势和实施策略的详尽介绍,有助于他们做出明智的技术投资决策。
IT服务提供商:IT服务提供商能够通过本书洞察SASE的商业机会和服务方向,有助于更好地为客户提供创新的网络安全解决方案。
技术爱好者和学生:对网络和安全技术感兴趣的技术爱好者、学生或想在相关领域深入探索的人,都能通过本书获得对SASE的全面认识。
总体而言,本书以通用、系统化的方式呈现SASE的各个方面,为不同领域的读者提供了翔实的知识,以便读者能够从中找到对自己有价值的信息,提高对SASE的认知水平,并提升在网络安全领域的实际应用能力。
本书特色
本书通过深入浅出的方式,全面探讨了SASE的核心理念和实际应用,不仅深入剖析了SASE的技术原理和技术架构,更将其融入具体行业场景,为读者提供了全方位、系统性的学习体验。
全球视野,行业洞见:本书从全球视野出发,呈现SASE的发展历程和行业趋势,通过对全球范围内SASE实际应用案例的深度解析,使读者领略SASE在不同国家、不同行业中的广泛应用,并洞悉其在未来网络安全领域的巨大潜力。
通俗易懂,深入浅出:本书采用通俗易懂的语言,将复杂的技术原理转化为生动的真实场景和实际方案,使初学者和专业人士都能轻松地理解SASE的核心理念和关键要素。
实践指南,案例丰富:通过丰富的项目案例和实践指南,引导读者了解从商业建模、架构设计到实际应用的SASE体系建设的全过程。这些案例覆盖了多个行业,为读者提供了在不同环境中应用SASE的参考经验
技术深入,前沿洞察:除了介绍SASE的基础知识,本书还深入挖掘其技术深度,提供了对SASE未来发展方向的前瞻性洞察。读者将能够了解SASE技术的新趋势,对未来网络安全领域的发展保持敏锐的洞察力。
本书致力于为读者提供全面、实用的知识,助力读者在网络安全领域取得更大的成功。
如何阅读本书
本书分为四篇,即入门篇、进阶篇、实践篇和展望篇,涵盖了SASE的行业情况、技术原理、技术架构以及实践方案。阅读本书时,可以参考以下建议来获得体验。
(1)入门篇
通过阅读第1章可以了解网络安全的定义、发展历程以及行业环境,掌握网络安全的分类和行业趋势。
通过阅读第2章可以学习SASE的标准和规范,理解网络即服务和安全即服务的关键技术。
通过阅读第3章可以了解SASE主流服务商的方案和产品。
通过阅读第4章可以深入理解SASE的业务场景,包括零信任内网访问、统一公网安全访问、企业等保测评服务等,掌握SASE方案的核心组件和解决方案。
(2)进阶篇
通过阅读第5章可以深入理解SASE架构设计的目标,包括功能性和非功能性设计目标;掌握SASE架构设计的核心原则,如零信任、多租户隔离、安全性等原则。
通过阅读第6章可以学习企业架构中的业务架构的概念和设计框架,掌握SASE业务架构的规划和设计方法。
通过阅读第7章可以了解SASE应用架构设计框架和应用核心设计,学习SASE应用架构设计的方法,包括领域模型设计、应用服务设计、应用功能识别和应用功能集成。
通过阅读第8章可以掌握数据架构的设计框架和规划,包括数据资产目录和数据分层组织;学习SASE数据架构的设计方法。
通过阅读第9章可以了解技术架构设计框架和规划、技术架构构建实践,包括基础设施、网络架构、安全架构等;掌握SASE技术架构的设计原则和核心组件。
(3)实践篇
通过阅读第10章可以学习SASE服务规划设计,包括业务建设规划、基础设施建设规划和服务部署规划;了解SASE业务建设和基础设施建设的具体步骤与实施计划。
通过阅读第11章可以掌握SASE运营服务体系构建方法,包括核心目标、建设内容、模式实践和持续提升等。
(4)展望篇
通过阅读第12章可以了解SASE多云安全场景拓展、SASE增值服务演进发展、SASE服务向无服务架构演进等;了解SASE架构与SRv6、人工智能等新技术的融合。
建议读者按照从前到后的顺序逐章阅读,以建立起对SASE的整体认识,有了整体认识以后,可根据个人兴趣和需求,选择特定内容进行深入学习。在实践篇中,需要特别关注SASE服务规划实施和SASE运营服务构建,这两部分有助于读者更好地将理论知识应用于实际场景。
勘误和支持
由于时间仓促和作者能力所限,书中难免会出现一些错误或者不准确的地方,恳请读者批评指正。期待得到读者的真挚反馈!
致谢
在本书付梓之际,我们想要对所有在创作过程中做出贡献的人员表达最深切的感激之情。著书这个任务不仅是艰巨的,更是一个充满成就感的旅程,它汇聚了众多人的辛勤付出和无私奉献。特别感谢那些在写作、编辑、研究和设计等各个环节给予我们宝贵支持的同事和朋友。没有他们的支持和鼓励,这本书不可能顺利出版。我们衷心感谢每一位为这本书的诞生付出努力的人。
首先,感谢公司领导和同事对本书直接或间接的贡献和指导。因为有了叶晓虎、陈景妹、何坤等领导对绿盟科技云化战略的整体布局和投入牵引,才使我们能够深入研发SASE领域的技术、架构和解决方案;因为有了钟施仪、李斌、张良玉等产品经理对客户需求的深度挖掘和对项目建设的精心规划,才让我们能够将研发的技术成果转化成SASE领域的行业标杆和最佳实践;因为有了潘亚玲、陈寒冰等研发骨干的产品开发和服务运营,才让我们能够持续地感知SASE的服务效果和改进方向。
其次,感谢本书四位作者的家属(游学利、瞿雪梅、彭莉、肖玉惠)的理解和包容。正是因为她们营造了温馨和谐的家庭氛围和对家庭事务的主动分担,才让我们能够更加充分地利用闲暇时光,全身心地投入到本书的创作和打磨之中。
感谢《测试架构师修炼之道:从测试工程师到测试架构师》的作者刘琛梅,是她给予我们创作的勇气并向我们无私地分享创作经验。
我们九十九方案组的所有成员为了共同的创作目标,彼此包容、相互协同,最终完成本书。祝愿方案组所有成员平安健康、友谊长存,在不久的将来创作出更多佳作来记录我们不悔的技术历程。
九十九方案组成员(从左至右依次为彭晓军、刘国平、李凯、胡怀茂)
Contents 目 录
序
前言
入门篇
第1章 网络安全发展趋势2
1.1 网络安全2
1.1.1 网络安全的定义3
1.1.2 网络安全的发展3
1.1.3 网络安全行业分类6
1.1.4 网络安全行业环境9
1.1.5 网络安全场景变化13
1.2 云计算与云安全14
1.2.1 云计算概述14
1.2.2 云安全概述19
1.3 安全服务25
1.3.1 安全服务的定义25
1.3.2 安全服务现状26
1.3.3 安全服务趋势27
第2章 SASE架构及关键技术28
2.1 SASE标准/规范解读29
2.1.1 SASE的国际标准29
2.1.2 SASE的国内标准35
2.2 网络即服务38
2.2.1 SD-WAN38
2.2.2 VPN隧道42
2.2.3 终端引流50
2.3 安全即服务51
2.3.1 零信任网络访问51
2.3.2 云访问安全代理53
2.3.3 云安全态势管理55
2.3.4 云工作负载保护平台56
2.3.5 防火墙即服务58
2.3.6 安全Web网关59
第3章 SASE主流服务商及产品63
3.1 Zscaler63
3.1.1 方案描述64
3.1.2 典型产品ZIA服务、ZPA服务、ZCP服务和ZDE服务64
3.2 Cato Networks68
3.2.1 方案描述68
3.2.2 典型产品网络即服务和安全即服务70
3.3 Fortinet71
3.3.1 方案描述73
3.3.2 典型产品FortiSASE和FortiSASE SIA75
3.4 Cisco76
3.4.1 方案描述77
3.4.2 典型产品78
3.5 深信服79
3.5.1 方案描述79
3.5.2 典型产品内网安全接入和终端检测响应81
3.6 绿盟科技83
3.6.1 方案描述83
3.6.2 典型产品NPA服务和NIA服务84
第4章 SASE业务场景和解决方案91
4.1 SASE业务场景概述91
4.1.1 业务场景总览91
4.1.2 零信任内网访问场景93
4.1.3 统一公网安全访问场景94
4.1.4 企业等保测评服务场景96
4.2 SASE方案的核心组件96
4.2.1 云端SASE共享资源池97
4.2.2 地端SSE独享设备98
4.3 零信任内网访问解决方案100
4.3.1 云端业务和安全同区方案100
4.3.2 云端业务和安全异区方案102
4.4 统一公网安全访问解决方案103
4.4.1 云端统一出口解决方案103
4.4.2 地端多地联动解决方案105
4.5 云地联动安全服务解决方案 106
4.5.1 SASE地端安全服务106
4.5.2 云端安全服务设计108
4.5.3 云地联动解决方案110
进阶篇
第5章 SASE架构设计目标和原则116
5.1 SASE架构设计目标 116
5.1.1 功能性设计目标116
5.1.2 非功能性设计目标118
5.2 SASE架构设计原则119
5.2.1 零信任原则 119
5.2.2 多租户隔离原则120
5.2.3 安全性原则120
5.2.4 架构灵活原则121
5.2.5 可观测原则122
5.2.6 可伸缩原则123
第6章 SASE业务架构设计125
6.1 企业架构中的业务架构125
6.2 业务架构设计框架127
6.2.1 业务架构蓝图128
6.2.2 业务架构设计原则131
6.3 业务架构规划132
6.3.1 针对客户的体量进行规划133
6.3.2 根据特定业务进行定制规划135
6.4 业务架构设计方法137
6.4.1 商业模式设计138
6.4.2 组织结构设计145
6.4.3 业务流程设计145
6.4.4 业务功能设计149
6.5 SASE业务架构151
第7章 SASE应用架构设计154
7.1 应用架构设计框架154
7.2 应用核心设计156
7.3 应用架构设计方法157
7.3.1 领域模型设计158
7.3.2 应用服务设计161
7.3.3 应用功能识别168
7.3.4 应用功能集成171
7.4 应用架构设计175
第8章 SASE数据架构设计178
8.1 数据架构设计框架179
8.2 数据架构规划180
8.2.1 数据资产目录180
8.2.2 数据分层组织181
8.3 数据架构设计方法182
8.3.1 数据采集阶段182
8.3.2 数据建模阶段183
8.3.3 数据预处理阶段185
8.3.4 数据呈现阶段185
8.4 SASE数据架构187
第9章 SASE技术架构设计189
9.1 技术架构设计框架189
9.2 技术架构规划190
9.2.1 架构设计模式190
9.2.2 架构设计方法选择193
9.3 SASE技术架构构建实践204
9.3.1 基础设施204
9.3.2 网络架构205
9.3.3 安全架构206
9.3.4 管理平台架构208
9.3.5 构建SASE技术架构209
实践篇
第10章 SASE服务规划实施212
10.1 SASE服务规划设计212
10.1.1 业务建设规划213
10.1.2 基础设施建设规划214
10.1.3 服务部署规划215
10.2 SASE业务建设216
10.2.1 网络即服务建设216
10.2.2 安全即服务建设220
10.2.3 专项安全服务建设223
10.3 SASE基础设施建设226
10.3.1 单POP节点建设226
10.3.2 多POP节点建设228
10.3.3 运营体系优化建设229
10.4 订阅服务上线实施230
10.4.1 订阅服务上线实施计划230
10.4.2 订阅服务上线实施执行234
10.4.3 订阅服务上线实施验收235
第11章 SASE运营服务构建239
11.1 SASE运营服务体系构建239
11.2 SASE运营服务建设内容242
11.2.1 运营技术和工具建设242
11.2.2 运营团队和人员建设245
11.2.3 运营流程和制度建设250
11.2.4 运营能力和服务建设255
11.3 SASE运营服务建设模式实践259
11.3.1 自运营服务模式259
11.3.2 合作运营服务模式260
11.3.3 行业运营服务模式261
11.4 SASE运营服务持续提升262
11.4.1 业务种类持续增加262
11.4.2 基础设施持续完善263
11.4.3 增值服务持续提升263
展望篇
第12章 SASE的发展与演进268
12.1 SASE多云安全场景拓展268
12.1.1 多云业务场景由来269
12.1.2 SASE和多云架构融合270
12.1.3 SASE安全赋能多云安全271
12.2 SASE增值服务演进发展272
12.2.1 在线业务改造服务272
12.2.2 外部攻击面管理服务273
12.2.3 数据治理和数据安全服务274
12.3 SASE服务向无服务架构演进276
12.3.1 无服务架构理念简介276
12.3.2 SASE采用无服务架构277
12.3.3 SASE采用无服务架构的优劣势279
12.4 SASE架构向SRv6演进279
12.4.1 SRv6技术简介280
12.4.2 SASE与SRv6架构融合280
12.4.3 SASE运用SRv6服务流量调度模型281
12.5 SASE服务引入人工智能283
12.5.1 人工智能助力SASE服务开发284
12.5.2 人工智能协助SASE运营服务284
12.5.3 人工智能提升SASE客户服务体验285
书单推荐
