SASE功能编排管理系统总体框架
科技
2025-01-20 07:58
山东
![]()
![]()
安全访问服务边缘(SASE)的功能编排管理总体框架包含SASE管理呈现层、SASE编排支撑层、安全功能模块、网络功能模块。其中SASE编排支撑层至少包含业务编排模块、安全功能管理模块、网络功能管理模块。各模块功能由SASE功能编排管理系统框架涉及利益方实现,对涉及利益方的功能要求。SASE管理呈现层:收集用户策略,向编排支撑层下发用户策略。用户策略为用户预期达到的网络和安全需求描述。用户策略包含流量型和非流量型策略。1)流量型用户策略:包含源地址、目的地址、业务类型、资源协商接口、网络服务质量要求、安全服务质量要求和访问控制条件等信息,策略网络和安全功能的处理对象是流量,策略处理行为包含流量内容感知、过滤、访问控制、转发和加速等,例如针对指定五元组的流量过滤。2)非流量型用户策略:包含目标资产地址、资源协商接口、安全服务质量要求、定时执行周2)期和时间等信息,策略网络和安全功能的处理对象是资源等非流量对象,策略处理行为包含目标资产地址对应设备的扫描,监控和认证识别等,例如针对特定IP段设备的漏洞扫描。SASE编排支撑层:综合管理安全和网络功能,分析和转化用户策略,选择适用的网络和安全功能模块构建网络和安全处理序列。包含三个模块。1)业务编排模块:分析用户策略,制定安全和网络功能处理序列、安全功能策略和网络功能策略。2)安全功能管理模块:管理安全功能模块,向安全功能模块或其所属的管理系统进行资源协商,转化和下发安全功能策略,反馈模块状态和策略执行结果。3)网络功能管理模块:管理网络功能模块,向网络功能模块或其所属的管理系统进行资源协商,实现安全和网络功能处理序列,转化和下发网络功能策略,反馈模块状态和策略执行结果。SASE关键能力层:提供网络和安全功能。包含两类模块。1)安全功能模块:执行安全功能策略,可以物理、云化或虚拟等方式部署在PoP点、CPE、网关、用户终端、云端等位置。安全功能模块根据处理对象分为流量型安全功能模块和非流量型安全功能模块。流量型安全功能模块:功能模块的处理对象为用户流量。非流量型安全功能模块:功能模块的处理对象为资产等非流量对象。2)网络功能模块:即执行网络功能策略,可以物理、云化或虚拟等方式部署在PoP点、CPE、网关、用户终端和云端等位置。
| -
