面向云计算的零信任体系 第3部分：安全访问服务边缘能力要求.pdfVIP

面向云计算的零信任体系 第3 部分：安全访问服务边缘能力要求 1 范围 本文件规定了安全访问服务边缘能力要求，包括四个方面：一是安全访问服务边缘网络能力要求； 二是安全访问服务边缘安全能力要求；三是安全访问服务云部署能力；四是安全访问服务边缘统一管 控能力。 本文件适用于提供安全访问服务边缘的服务商。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 32400-2015 信息技术云计算概览与词汇 YD/T AAAA-AAAA 面向云计算的零信任体系第2部分：关键能力要求 YDB 144-2014 云计算服务协议参考框架 3 术语和定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 安全访问服务边缘secure access service edge 一种将网络连接能力与安全能力基于云计算统一交付的解决方案。 3.1.2 云服务cloud service 通过云计算已定义的接口提供的一种或多种能力。 [来源：GB/T 32400-2015 ，定义3.2.5] 3.1.3 工作负载workload 承载应用运行的物理设备或虚拟软件，包括物理服务器、云主机、容器、Pod或租户等。 3.2 缩略语 下列缩略语适用于本文件。 1 API ：应用程序编程接口（application programming interface ） ARP ：地址解析协议（Address Resolution Protocol ） BYOD ：自携带设备办公（Bring Your Own Device ） CC：黑洞挑战（ChallengeCollapsar ） CPE ：客户终端设备（customer premise equipment ） CPU ：中央处理器（Central Processing Unit ） DDoS ：分布式拒绝服务（Distributed Denial of Service ） DNS ：域名系统（Domain Name System ） FTP ：文件传输协议（FileTransferProtocol ） IP ：网际互联协议（Internet Protocol ） PoP ：入网点（point of presence ） QoS：服务质量（1uality of service） SASE：安全访问服务边缘能力（secure access service edge ） SaaS：软件及服务（software as a service ） SSL：安全套接层（secure socket layer ） TCP/UDP ：传输控制协议/用户数据报协议（Transmission Control Protocol/User Datagram Protocol ） vCPE ：虚拟客户终端设备（virtual customer premise equipment ） WEB ：全球广域网（World Wide Web ） 4 概述 安全访问服务边缘是一种将网络连接能力与安全能力基于云计算统一交付的服务模型。一方面安 全访问服务边缘应为用户提供端到端的连接与管理，另一方面，应提供下沉到边缘侧的安全能力，以 提供多分支与移动端提供低延时的安全需求，同时，安全访问服务边缘需要基于云计算进行开发、部 署与运维，实现轻体量、弹性伸缩、按需使用的服务交付。 安全访问服务边缘能力考量指标分为网络能力、安全能力、云部署能力和统一管控能力四部分， 如表1所示。 表 1 安全访问服务边缘能力能力表 安全访问服务边缘能力能力表 网络能力 安全能力 云部署能力 统一管控能力 网络接入能力 零信任安全接入能力 分布式能力