前 言 Preface
為什么要寫這本書
在當今數(shù)字時代�,網(wǎng)絡安全問題已經(jīng)成為各行業(yè)關注的焦點。面對不斷演進的威脅���,傳統(tǒng)的網(wǎng)絡安全體系顯現(xiàn)出了明顯的局限性。為此,SASE(Secure Access Service Edge�,安全訪問服務邊緣)應運而生,成為網(wǎng)絡安全領域的新潮流����。為了讓更多的網(wǎng)絡安全從業(yè)者和研究者深入理解SASE,我們萌生了編寫本書的想法����。本書不僅是一本介紹SASE理論體系的書籍,也是作者近年來在SASE領域的架構探索和落地實踐的經(jīng)驗總結�����。
(1)SASE引領未來的網(wǎng)絡安全革新
我們選擇撰寫這本書�,是因為SASE宛如新的曙光,照亮了我們在網(wǎng)絡安全領域前行的道路��。傳統(tǒng)的安全體系難以應對云化��、移動化�、分布式辦公等新型網(wǎng)絡環(huán)境的挑戰(zhàn),而SASE融合了安全服務和網(wǎng)絡服務的理念���,為我們提供了一種創(chuàng)新性的解決方案���。
過去幾年里�,我們見證了SASE在全球范圍內的迅速崛起����。然而,國內對這項新興技術的了解和應用仍相對滯后����。因此,編寫這本書的目的在于跨越這一知識鴻溝�����,為國內的學者�����、從業(yè)者以及對網(wǎng)絡安全感興趣的讀者提供一份翔實而深入的SASE學習和實踐指南��。
(2)助力讀者在網(wǎng)絡安全的征途上駛入快車道
我們撰寫這本書還有一個初衷�����,即讓更多的網(wǎng)絡安全從業(yè)者知曉和掌握SASE�,使這項顛覆性的技術不再是少數(shù)人的專利���,而成為廣大從業(yè)者的普惠技術。我們深知網(wǎng)絡安全的未來離不開每一位致力于此領域的人��,而SASE的引入則為我們打開了通向更加安全和高效的網(wǎng)絡應用的大門�。
在撰寫這本書的過程中�,我們努力通過深入淺出的方式,將復雜的技術原理以通俗易懂的語言呈現(xiàn)給讀者����。希望通過本書,讀者能更好地理解SASE�,掌握其實際應用方法,從而在網(wǎng)絡安全的征途上駛入快車道�。相信通過共同努力,我們能為國內網(wǎng)絡安全領域的發(fā)展貢獻一份微薄而堅實的力量�����。
愿這本書成為讀者探索網(wǎng)絡安全未知領域的指南����,引領讀者在SASE的奇妙世界中發(fā)現(xiàn)新的安全方向,與讀者共同見證網(wǎng)絡安全的下一個巔峰�。
讀者對象
以下是適合閱讀本書的讀者對象�。
網(wǎng)絡安全從業(yè)者:涵蓋初入行的新手和經(jīng)驗豐富的專業(yè)人士�,他們能夠通過本書深入掌握SASE的技術原理、應用場景以及實踐經(jīng)驗�,從而更好地應對當今復雜多變的網(wǎng)絡威脅。
企業(yè)決策者:針對企業(yè)管理層���、CTO(首席技術官)����、CIO(首席信息官)等決策者��,本書提供了關于SASE的商業(yè)優(yōu)勢和實施策略的詳盡介紹�,有助于他們做出明智的技術投資決策。
IT服務提供商:IT服務提供商能夠通過本書洞察SASE的商業(yè)機會和服務方向����,有助于更好地為客戶提供創(chuàng)新的網(wǎng)絡安全解決方案。
技術愛好者和學生:對網(wǎng)絡和安全技術感興趣的技術愛好者�����、學生或想在相關領域深入探索的人����,都能通過本書獲得對SASE的全面認識�。
總體而言��,本書以通用�、系統(tǒng)化的方式呈現(xiàn)SASE的各個方面,為不同領域的讀者提供了翔實的知識�����,以便讀者能夠從中找到對自己有價值的信息����,提高對SASE的認知水平��,并提升在網(wǎng)絡安全領域的實際應用能力����。
本書特色
本書通過深入淺出的方式,全面探討了SASE的核心理念和實際應用��,不僅深入剖析了SASE的技術原理和技術架構��,更將其融入具體行業(yè)場景��,為讀者提供了全方位����、系統(tǒng)性的學習體驗����。
全球視野����,行業(yè)洞見:本書從全球視野出發(fā),呈現(xiàn)SASE的發(fā)展歷程和行業(yè)趨勢���,通過對全球范圍內SASE實際應用案例的深度解析�����,使讀者領略SASE在不同國家��、不同行業(yè)中的廣泛應用��,并洞悉其在未來網(wǎng)絡安全領域的巨大潛力��。
通俗易懂����,深入淺出:本書采用通俗易懂的語言���,將復雜的技術原理轉化為生動的真實場景和實際方案�����,使初學者和專業(yè)人士都能輕松地理解SASE的核心理念和關鍵要素�����。
實踐指南��,案例豐富:通過豐富的項目案例和實踐指南����,引導讀者了解從商業(yè)建模�����、架構設計到實際應用的SASE體系建設的全過程���。這些案例覆蓋了多個行業(yè)��,為讀者提供了在不同環(huán)境中應用SASE的參考經(jīng)驗
技術深入��,前沿洞察:除了介紹SASE的基礎知識����,本書還深入挖掘其技術深度,提供了對SASE未來發(fā)展方向的前瞻性洞察���。讀者將能夠了解SASE技術的新趨勢����,對未來網(wǎng)絡安全領域的發(fā)展保持敏銳的洞察力�����。
本書致力于為讀者提供全面����、實用的知識,助力讀者在網(wǎng)絡安全領域取得更大的成功���。
如何閱讀本書
本書分為四篇�,即入門篇�����、進階篇、實踐篇和展望篇��,涵蓋了SASE的行業(yè)情況��、技術原理���、技術架構以及實踐方案�。閱讀本書時�����,可以參考以下建議來獲得體驗�����。
(1)入門篇
通過閱讀第1章可以了解網(wǎng)絡安全的定義�、發(fā)展歷程以及行業(yè)環(huán)境����,掌握網(wǎng)絡安全的分類和行業(yè)趨勢。
通過閱讀第2章可以學習SASE的標準和規(guī)范��,理解網(wǎng)絡即服務和安全即服務的關鍵技術�����。
通過閱讀第3章可以了解SASE主流服務商的方案和產(chǎn)品。
通過閱讀第4章可以深入理解SASE的業(yè)務場景��,包括零信任內網(wǎng)訪問��、統(tǒng)一公網(wǎng)安全訪問�、企業(yè)等保測評服務等,掌握SASE方案的核心組件和解決方案�。
(2)進階篇
通過閱讀第5章可以深入理解SASE架構設計的目標,包括功能性和非功能性設計目標����;掌握SASE架構設計的核心原則,如零信任����、多租戶隔離、安全性等原則����。
通過閱讀第6章可以學習企業(yè)架構中的業(yè)務架構的概念和設計框架,掌握SASE業(yè)務架構的規(guī)劃和設計方法�����。
通過閱讀第7章可以了解SASE應用架構設計框架和應用核心設計,學習SASE應用架構設計的方法�,包括領域模型設計、應用服務設計�����、應用功能識別和應用功能集成�����。
通過閱讀第8章可以掌握數(shù)據(jù)架構的設計框架和規(guī)劃���,包括數(shù)據(jù)資產(chǎn)目錄和數(shù)據(jù)分層組織����;學習SASE數(shù)據(jù)架構的設計方法����。
通過閱讀第9章可以了解技術架構設計框架和規(guī)劃、技術架構構建實踐�����,包括基礎設施����、網(wǎng)絡架構、安全架構等�;掌握SASE技術架構的設計原則和核心組件。
(3)實踐篇
通過閱讀第10章可以學習SASE服務規(guī)劃設計�����,包括業(yè)務建設規(guī)劃�����、基礎設施建設規(guī)劃和服務部署規(guī)劃�;了解SASE業(yè)務建設和基礎設施建設的具體步驟與實施計劃。
通過閱讀第11章可以掌握SASE運營服務體系構建方法�����,包括核心目標��、建設內容����、模式實踐和持續(xù)提升等。
(4)展望篇
通過閱讀第12章可以了解SASE多云安全場景拓展��、SASE增值服務演進發(fā)展、SASE服務向無服務架構演進等���;了解SASE架構與SRv6�����、人工智能等新技術的融合���。
建議讀者按照從前到后的順序逐章閱讀,以建立起對SASE的整體認識����,有了整體認識以后,可根據(jù)個人興趣和需求�,選擇特定內容進行深入學習。在實踐篇中�����,需要特別關注SASE服務規(guī)劃實施和SASE運營服務構建�,這兩部分有助于讀者更好地將理論知識應用于實際場景。
勘誤和支持
由于時間倉促和作者能力所限��,書中難免會出現(xiàn)一些錯誤或者不準確的地方����,懇請讀者批評指正。期待得到讀者的真摯反饋��!
致謝
在本書付梓之際��,我們想要對所有在創(chuàng)作過程中做出貢獻的人員表達最深切的感激之情�����。著書這個任務不僅是艱巨的�,更是一個充滿成就感的旅程,它匯聚了眾多人的辛勤付出和無私奉獻����。特別感謝那些在寫作、編輯�、研究和設計等各個環(huán)節(jié)給予我們寶貴支持的同事和朋友。沒有他們的支持和鼓勵����,這本書不可能順利出版。我們衷心感謝每一位為這本書的誕生付出努力的人�。
首先,感謝公司領導和同事對本書直接或間接的貢獻和指導��。因為有了葉曉虎、陳景妹�、何坤等領導對綠盟科技云化戰(zhàn)略的整體布局和投入牽引,才使我們能夠深入研發(fā)SASE領域的技術�、架構和解決方案;因為有了鐘施儀�����、李斌�、張良玉等產(chǎn)品經(jīng)理對客戶需求的深度挖掘和對項目建設的精心規(guī)劃,才讓我們能夠將研發(fā)的技術成果轉化成SASE領域的行業(yè)標桿和最佳實踐��;因為有了潘亞玲�、陳寒冰等研發(fā)骨干的產(chǎn)品開發(fā)和服務運營,才讓我們能夠持續(xù)地感知SASE的服務效果和改進方向���。
其次����,感謝本書四位作者的家屬(游學利��、瞿雪梅���、彭莉�����、肖玉惠)的理解和包容���。正是因為她們營造了溫馨和諧的家庭氛圍和對家庭事務的主動分擔,才讓我們能夠更加充分地利用閑暇時光��,全身心地投入到本書的創(chuàng)作和打磨之中����。
感謝《測試架構師修煉之道:從測試工程師到測試架構師》的作者劉琛梅,是她給予我們創(chuàng)作的勇氣并向我們無私地分享創(chuàng)作經(jīng)驗�����。
我們九十九方案組的所有成員為了共同的創(chuàng)作目標��,彼此包容����、相互協(xié)同,最終完成本書���。祝愿方案組所有成員平安健康����、友誼長存,在不久的將來創(chuàng)作出更多佳作來記錄我們不悔的技術歷程��。
九十九方案組成員(從左至右依次為彭曉軍�����、劉國平�、李凱、胡懷茂)
Contents 目 錄
序
前言
入門篇
第1章 網(wǎng)絡安全發(fā)展趨勢2
1.1 網(wǎng)絡安全2
1.1.1 網(wǎng)絡安全的定義3
1.1.2 網(wǎng)絡安全的發(fā)展3
1.1.3 網(wǎng)絡安全行業(yè)分類6
1.1.4 網(wǎng)絡安全行業(yè)環(huán)境9
1.1.5 網(wǎng)絡安全場景變化13
1.2 云計算與云安全14
1.2.1 云計算概述14
1.2.2 云安全概述19
1.3 安全服務25
1.3.1 安全服務的定義25
1.3.2 安全服務現(xiàn)狀26
1.3.3 安全服務趨勢27
第2章 SASE架構及關鍵技術28
2.1 SASE標準/規(guī)范解讀29
2.1.1 SASE的國際標準29
2.1.2 SASE的國內標準35
2.2 網(wǎng)絡即服務38
2.2.1 SD-WAN38
2.2.2 VPN隧道42
2.2.3 終端引流50
2.3 安全即服務51
2.3.1 零信任網(wǎng)絡訪問51
2.3.2 云訪問安全代理53
2.3.3 云安全態(tài)勢管理55
2.3.4 云工作負載保護平臺56
2.3.5 防火墻即服務58
2.3.6 安全Web網(wǎng)關59
第3章 SASE主流服務商及產(chǎn)品63
3.1 Zscaler63
3.1.1 方案描述64
3.1.2 典型產(chǎn)品ZIA服務�����、ZPA服務���、ZCP服務和ZDE服務64
3.2 Cato Networks68
3.2.1 方案描述68
3.2.2 典型產(chǎn)品網(wǎng)絡即服務和安全即服務70
3.3 Fortinet71
3.3.1 方案描述73
3.3.2 典型產(chǎn)品FortiSASE和FortiSASE SIA75
3.4 Cisco76
3.4.1 方案描述77
3.4.2 典型產(chǎn)品78
3.5 深信服79
3.5.1 方案描述79
3.5.2 典型產(chǎn)品內網(wǎng)安全接入和終端檢測響應81
3.6 綠盟科技83
3.6.1 方案描述83
3.6.2 典型產(chǎn)品NPA服務和NIA服務84
第4章 SASE業(yè)務場景和解決方案91
4.1 SASE業(yè)務場景概述91
4.1.1 業(yè)務場景總覽91
4.1.2 零信任內網(wǎng)訪問場景93
4.1.3 統(tǒng)一公網(wǎng)安全訪問場景94
4.1.4 企業(yè)等保測評服務場景96
4.2 SASE方案的核心組件96
4.2.1 云端SASE共享資源池97
4.2.2 地端SSE獨享設備98
4.3 零信任內網(wǎng)訪問解決方案100
4.3.1 云端業(yè)務和安全同區(qū)方案100
4.3.2 云端業(yè)務和安全異區(qū)方案102
4.4 統(tǒng)一公網(wǎng)安全訪問解決方案103
4.4.1 云端統(tǒng)一出口解決方案103
4.4.2 地端多地聯(lián)動解決方案105
4.5 云地聯(lián)動安全服務解決方案 106
4.5.1 SASE地端安全服務106
4.5.2 云端安全服務設計108
4.5.3 云地聯(lián)動解決方案110
進階篇
第5章 SASE架構設計目標和原則116
5.1 SASE架構設計目標 116
5.1.1 功能性設計目標116
5.1.2 非功能性設計目標118
5.2 SASE架構設計原則119
5.2.1 零信任原則 119
5.2.2 多租戶隔離原則120
5.2.3 安全性原則120
5.2.4 架構靈活原則121
5.2.5 可觀測原則122
5.2.6 可伸縮原則123
第6章 SASE業(yè)務架構設計125
6.1 企業(yè)架構中的業(yè)務架構125
6.2 業(yè)務架構設計框架127
6.2.1 業(yè)務架構藍圖128
6.2.2 業(yè)務架構設計原則131
6.3 業(yè)務架構規(guī)劃132
6.3.1 針對客戶的體量進行規(guī)劃133
6.3.2 根據(jù)特定業(yè)務進行定制規(guī)劃135
6.4 業(yè)務架構設計方法137
6.4.1 商業(yè)模式設計138
6.4.2 組織結構設計145
6.4.3 業(yè)務流程設計145
6.4.4 業(yè)務功能設計149
6.5 SASE業(yè)務架構151
第7章 SASE應用架構設計154
7.1 應用架構設計框架154
7.2 應用核心設計156
7.3 應用架構設計方法157
7.3.1 領域模型設計158
7.3.2 應用服務設計161
7.3.3 應用功能識別168
7.3.4 應用功能集成171
7.4 應用架構設計175
第8章 SASE數(shù)據(jù)架構設計178
8.1 數(shù)據(jù)架構設計框架179
8.2 數(shù)據(jù)架構規(guī)劃180
8.2.1 數(shù)據(jù)資產(chǎn)目錄180
8.2.2 數(shù)據(jù)分層組織181
8.3 數(shù)據(jù)架構設計方法182
8.3.1 數(shù)據(jù)采集階段182
8.3.2 數(shù)據(jù)建模階段183
8.3.3 數(shù)據(jù)預處理階段185
8.3.4 數(shù)據(jù)呈現(xiàn)階段185
8.4 SASE數(shù)據(jù)架構187
第9章 SASE技術架構設計189
9.1 技術架構設計框架189
9.2 技術架構規(guī)劃190
9.2.1 架構設計模式190
9.2.2 架構設計方法選擇193
9.3 SASE技術架構構建實踐204
9.3.1 基礎設施204
9.3.2 網(wǎng)絡架構205
9.3.3 安全架構206
9.3.4 管理平臺架構208
9.3.5 構建SASE技術架構209
實踐篇
第10章 SASE服務規(guī)劃實施212
10.1 SASE服務規(guī)劃設計212
10.1.1 業(yè)務建設規(guī)劃213
10.1.2 基礎設施建設規(guī)劃214
10.1.3 服務部署規(guī)劃215
10.2 SASE業(yè)務建設216
10.2.1 網(wǎng)絡即服務建設216
10.2.2 安全即服務建設220
10.2.3 專項安全服務建設223
10.3 SASE基礎設施建設226
10.3.1 單POP節(jié)點建設226
10.3.2 多POP節(jié)點建設228
10.3.3 運營體系優(yōu)化建設229
10.4 訂閱服務上線實施230
10.4.1 訂閱服務上線實施計劃230
10.4.2 訂閱服務上線實施執(zhí)行234
10.4.3 訂閱服務上線實施驗收235
第11章 SASE運營服務構建239
11.1 SASE運營服務體系構建239
11.2 SASE運營服務建設內容242
11.2.1 運營技術和工具建設242
11.2.2 運營團隊和人員建設245
11.2.3 運營流程和制度建設250
11.2.4 運營能力和服務建設255
11.3 SASE運營服務建設模式實踐259
11.3.1 自運營服務模式259
11.3.2 合作運營服務模式260
11.3.3 行業(yè)運營服務模式261
11.4 SASE運營服務持續(xù)提升262
11.4.1 業(yè)務種類持續(xù)增加262
11.4.2 基礎設施持續(xù)完善263
11.4.3 增值服務持續(xù)提升263
展望篇
第12章 SASE的發(fā)展與演進268
12.1 SASE多云安全場景拓展268
12.1.1 多云業(yè)務場景由來269
12.1.2 SASE和多云架構融合270
12.1.3 SASE安全賦能多云安全271
12.2 SASE增值服務演進發(fā)展272
12.2.1 在線業(yè)務改造服務272
12.2.2 外部攻擊面管理服務273
12.2.3 數(shù)據(jù)治理和數(shù)據(jù)安全服務274
12.3 SASE服務向無服務架構演進276
12.3.1 無服務架構理念簡介276
12.3.2 SASE采用無服務架構277
12.3.3 SASE采用無服務架構的優(yōu)劣勢279
12.4 SASE架構向SRv6演進279
12.4.1 SRv6技術簡介280
12.4.2 SASE與SRv6架構融合280
12.4.3 SASE運用SRv6服務流量調度模型281
12.5 SASE服務引入人工智能283
12.5.1 人工智能助力SASE服務開發(fā)284
12.5.2 人工智能協(xié)助SASE運營服務284
12.5.3 人工智能提升SASE客戶服務體驗285
書單推薦
