安全访问服务边缘（SASE）功能编排管理 第1部分：总体框架

1安全访问服务边缘(SASE)功能编排管理第1部分：总体框架本文件规定了SASE框架下的功能编排管理的总体框架，包括规范化SASE功能编排管理的概述、功能要求、工作流程等内容。本文件适用于SASE服务集成商、安全功能提供商、网络功能提供商等利益相关方，为行业和相关管理部门规范SASE产业与技术发展提供支撑和参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。3术语和定义GB/T25069-2022界定的以及下列术语和定义适用于本文件。安全功能策略securityfunctionpolicy,SFP描述单个安全功能所实施的特定安全行为的规则集。安全功能模块securityfunctionmodule,SFM实现安全功能的具体服务模块，负责执行安全策略，可以物理机，虚拟机，容器，微服务等形式部署。安全和网络功能处理序列securityandnetworkfunctionprocessingsequence,SNFPS由多个网络功能模块和安全功能模块组成的有序的网络和安全处理过程，具体处理序列通常由网络功能模块和安全功能模块的唯一标识构成。处理序列的执行即可以通过服务链等网络形式，也可以通过在虚拟机或服务器上部署多个所需网络功能和安全功能，再进行有序执行的方式，也可以通过微服务的有序执行来完成。将一个或多个功能按照用户需求组织成一个处理流程，并执行该处理流程来实现用户需求。单个网络功能对应的网络策略融合网络能力与安全能力进行统一管理和交付的服务模式对关键网络和安全功能的编排和管理子系统。CPE客户终端设备CustonerPremiseEquipmDLP数据泄露防护DataleakageprevenitionDDoS分布式拒绝服务攻击DistributedDenialofServiFWaaS防火墙即服务IoT物联网InternetofThingsPoP网络功能提供点PointofPresenceSASE安全访问服务边缘SecurityAccessSeoftwareDefinedWidkSWG安全Web网关4b)SASE编排支撑层：综合管理安全和网络功能，分析和转化用户策略，选择适用的网络和安全功能模块构建网络和安全处理序列。包含三个模块：·业务编排模块：分析用户策略，制定安全和网络功能处理序列、安全功能策略和网络功能策略。·安全功能管理模块：管理安全功能模块，向安全功能模块或其所属的管理系统进行资源协商，转化和下发安全功能策略，反馈模块状态和策略执行结果。·网络功能管理模块：管理网络功能模块，向网络功能模块或其所属的管理系统进行资源协商，实现安全和网络功能处理序列，转化和下发网络功能策略，反馈模块状态和策略执行结果。c)SASE关键能力层：提供网络和安全功能。包含两类模块：·安全功能模块：执行安全功能策略。可以物理、云化或虚拟等方式部署在PoP点、CPE、网关、用户终端、云端等位置。安全功能模块根据处理对象分为流量型安全功能模块和非流量型安全功能模块。流量型安全功能模块：功能模块的处理对象为用户流量。非流量型安全功能模块：功能模块的处理对象为资产等非流量对象。6安全访问服务边缘(SASE)功能编排管理模块功能6.2.1业务编排模块业务编排模块分析用户策略选择适用网络功能模块和安全功能模块，制定网络和安全处理序列、安全功能策略和网络功能策略，下发给安全功能管理模块和网络功能管理模块。a)制定处理序列：分析用户策略，查询网络功能管理模块和安全功能管理模块所提供的网络功能模块信息和安全功能模块信息，根据网络和安全功能模块信息中的功能描述，运行状态等项，网络拓扑、网络延迟、网络流量负载均衡等网络信息，以及网络和安全功能特点(例如近用户侧和近资源侧以及对计算能力需求),以及功能先后顺序要求来选择和排列的网络和安全功能模块，构建有序的安全和网络功能处理序列b)制定安全策略：根据用户策略，制定功能处理序列中安全功能的安全策略。c)制定网络策略：根据用户策略，制定功能处理序列中网络功能的网络策略。6.2.2安全功能管理模块安全功能管理模块，主要负责管理安全功能模块，提供安全功能模块信息，转化和下发安全功能策略，上报安全功能模块运行信息a)注册模块：接收和汇总安全功能模块的注册信息。b)监控状态：监控安全功能模块运行状态。c)下发策略：将安全功能策略转化为所选安全功能模块可识别的具体安全功能模块策略，下发策略。面行策略(资料性)安全访问服务边缘(SASE)的功能编排管理系统框架涉及利益方功能要求SASE框架需要融合多种技术，并将网络和安全功能打通，主要涉及利益相关方：用户，安全功能b)安全功能提供商：具体提供安全功能的厂商，负责满足具体的安全需求，在SASE建设过程中提供安全功能。c)网络功能提供商：提供网络功能的厂商，负责满足具体的网络需求。d)SASE服务集成商：集成网络和安全功能形成SASE编排管理系用户应通过SASE管理呈现层制定网络和安全策略，应理解网络和安全策略的执行结果。根据结果A.3安全功能提供商安全功能提供商提供安全功能模块，需实现注册、功能调用接口，结果反馈接口，运行状态反馈注册接口：注册时需提交基本的功能调用方式，功能模块类型，支持的安全策略种类等信息。资源协商接口：接受资源协商请求，进行运算资源分配和安全功能模块的拉起等操作，最终反馈能否接受资源协商请求。功能调用接口：接受并执行对应的安全功能模块策略。运行状态反馈接口：定期反馈安全功能模块目前的运行状态，如资源占用状态。A.4网络功能提供商网络功能提供商提供网络功能模块，需实现注册、功能调用接口，结果反馈接口，状态反馈接口，并兼容常用网络策略格式。资源协商接口：接受资源协商请求，进行运算资源分配和网络功能模块的拉起等操作，最终反馈能否接受资源协商请求。注册接口：注册时需提交基本的功能调用方式，功能模块类型，支持的安全策略种类等信息。功能调用接口：接受并执行对应的网络功能模块策略。结果反馈接口：以统一的格式反馈策略执行结果。运行状态反馈接口：定期反馈网络功能模块目前的运行状态，如资源占用状态安全访问服务边缘(SASE)的功能编排管理系统框架的使用场景SASE框架技术可应用于多种场景，常见使用场景有广域连接，移动/远程办公接入，客户/第三方接入、IoT(物联网，InternetofThings)/边缘接入。通过使用SASE框架进行统一安全检查，保护分散部署的分支和业务，收敛暴露面，以较低的成本提高新型企业组网的安全性。B.2广域网连接传统企业网络以企业总部为中心，采用专线实现总部与分支之间的专线连接。分支之间的通信、分支访问互联网，一般要先经过企业总部，在企业总部部署统一的安全防护措施。随着企业数字化转型和云服务架构的不断推进，越来越多的企业业务迁移到云端，分支与云端之间的互联互通更加广泛分支直接访问互联网场景更加普遍。此外国内对于广域网连接还有收敛网络出入口，等保合规以及护网等国内独有的安全需求。基于SASE框架功能编排技术可在云端、PoP点、CPE等不同位置部署FWaaS、CASB等各种网络和安全功能，针对分支、总部、互联网相互之间的流量按需提供收敛暴露面、加密、防DDOS(分布式拒绝服务攻击，DistributedDenialofService)、流量过滤、访问控制等网络和安全功能，并进行统一的配置和编排，适应用户的更高的网络和安全需求B.3移动/远程办公接入近年来受疫情影响以及企业为了缩减办公成本，需要为员工提供网络远程访问权限。方便员工随时随地办公，使用可控终端(即公司配发的笔记本电脑、手机等移动终端，可确定硬件类型并按需安装安全和网络代理),无缝访问位于云端、数据中心的企业应用，并且能够同时访问互联网。基于SASE框架功能编排技术可在用户终端、PoP点、云端等位置部署SWG和FWaaS等网络和安全功能。过滤移动/远程办公用户的内网和互联网等各类访问请求，通过ZTNA进行细粒度的访问控制，提高移动/远程办公接入的安全性。B.4客户/第三方接入随着企业业务云化部署，客户、第三方(承包商、合作伙伴等)访问的企业服务可能部署在企业总部，也可能部署在云端。企业安全防护系统需要在云端和企业总部为持有非可控终端(即无法安装安全或网络代理，硬件类型不可控的终端)的客户、第三方提供一致的安全防护策略。基于SASE框架功能编排技术可在PoP点、云端等位置部署SWG和FWaaS等网络和安全功能，过滤客户/