YD ICS 01.040.35 CCS CCS M 11 YD/T XXXXX —XXXX 安全访问服务边缘（ SASE）功能编排管理 第1部分：总体框架 Orchestration for secure access service edge (SASE) ─ Part 1: Overall framework （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发布 中华人民共和国通信行业标准 YD/T XXXXX—XXXX I目 次 前 言 ................................................................................ I 引 言 .............................................................................. III 1　范围 ................................................................................. 1 2　规范性引用文件 ....................................................................... 1 3　术语和定义 ........................................................................... 1 4　缩略语 ............................................................................... 2 5　安全访问服务边缘（ SASE）的功能编排管理框架概述 ....................................... 3 6　安全访问服务边缘（ SASE）功能编排管理模块功能 ......................................... 4 6.1　SASE管理呈现层 .................................................................. 4 6.2　SASE编排支撑层 .................................................................. 4 6.3　SASE关键能力层 .................................................................. 5 7　安全访问服务边缘（ SASE）功能编排管理流程 ............................................. 6 7.1　概述 ............................................................................. 6 7.2　网络和安全功能模块的注册和运行状态监控流程 ....................................... 6 7.3　网络和安全策略下发流程 ........................................................... 6 7.4　策略执行流程 ..................................................................... 7 附录A　 （资料性） 安全访问服务边缘（ SASE）的功能编排管理系统框架涉及利益方功能要求 ...10 附录B　 （资料性） 安全访问服务边缘（ SASE）的功能编排管理系统框架的使用场景 ........... 12 YD/T XXXXX—XXXX II前 言 本文件按照 GB/T 1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是 YD/T XXXX《安全访问服务边缘（ SASE）功能编排管理》的第 1部分。YD/T XXXX《安全访 问服务边缘（ SASE）功能编排管理》已经发布以下部分： ——第1部分：总体框架 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：中国移动通信集团有限公司，中国信息通信研究院，中国电信集团有限公司， 北京东方通网信科技有限公司，深信服科技股份有限公司，奇安信科技集团股份有限公司，北京山石 网科信息技术有限公司，新华三技术有限公司，上海观安信息技术股份有限公司，北京神州绿盟科技 有限公司，陕西省信息化工程研究院，西安邮电大学，北京芯盾时代科技有限公司，华为技术有限公 司，中信科移动通信技术股份有限公司，北京天融信网络安全技术有限公司，浙江鹏信信息科技股份 有限公司，中讯邮电咨询设计院有限公司。 本标准主要起草人：陈佳，杨凯，鲁冬杰，赵宇航，赵海燕，王肖斌，徐天妮，穆琙博，柴瑶琳， 党小东，薄明霞，崔婷婷，杨柳，赵福辰，王茜，任亮，孟丹，谢江，李凯，张勇，朱志祥，季文东， 潘伟，梁亚从，安高峰，章亮，李长连。 YD/T XXXXX—XXXX III引  言 在企业数字化转型和新冠疫情冲击下，企业云化和远程 /移动办公成为大趋势，网络的变化导致安 全边界逐渐模糊，导致网络流量缺乏统一的安全检查，分散部署业务增加安全成本和运维成本，不确 定的安全边界扩大暴露面提高了安全风险。为解决上述问题， Gartner于2019提出SASE（Secure Access Service Edge，安全访问服务边缘），融合了广域网技术和全面网络安全防护的新型服务框架， 面向企业提供以身份为中心、分布式部署、兼容各种边缘的云原生网络和安全功能。 SASE框架通过 SD-WAN（软件定义广域网 ，Software Defined Wide Area Network）/SDN（软件定 义网络，Software Defined Network）等网络技术 融合了ZTNA（零信任网络访问， Zero-Trust Network Access）、FWaaS（防火墙即服务， Firewall as a Service）、SWG（安全Web网关，Security Web Gateway）、CASB（云访问安全代理， Cloud Access Security Broker）、DLP（数据泄露防护， Data leakage prevention ）等多种安全和网络功能，从而实现网络和安全功能统一管控，灵活部署。 然而SASE服务建设难度较大，一方面， SASE服务涉及的技术过多，单个厂商很难提供高质量全栈网络 和安全功能；另一方面， SASE服务中各功能分布式灵活部署，难以统一管控编排。部分厂商通过合作 来实现SASE框架，但是缺乏统一的功能编排管理框架，导致集成效率低成本高，需要大量适配工作。 为了灵活和高效的在 SASE框架下统一编排和管理多个跨厂商和跨网络域的网络和安全功能，形成 有序的安全和网络功能处理序列，并对进行全局的策略下发和配置管理，需要制定统一的 SASE功能编 排管理框架标准，明确实现网络和安全功能统一编排管理参考框架和流程，并提出总体要求，为 SASE 功能编排建设提供支持和参考 ,拟由四个部分构成： ——第1部分：总体框架。目的在于确立 SASE功能编排管理的整体框架。 ——第2部分：编排支撑层技术要求。目的在于定义 SASE功能编排的编排支撑层技术要求。 ——第3部分：管理呈现层技术要求。目的在于定义 SASE功能编排的管理呈现层技术要求。 ——第4部分：关键能力层技术要求。目的在于定义 SASE功能编排的关键能力层技术要求。YD/T XXXXX—XXXX 1安全访问服务边缘（ SASE）功能编排管理 第1部分：总体框架 1　范围 本文件规定了 SASE框架下的功能编排管理的总体框架，包括规范化 SASE功能编排管理的概述、功 能要求、工作流程等内容。 本文件适用于 SASE服务集成商、安全功能提供商、网络功能提供商等利益相关方，为行业和相关 管理部门规范 SASE产业与技术发展提供支撑和参考。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T 25069—2022　信息安全技术 　术语 3　术语和定义 GB/T 25069—2022界定的以及下列术语和定义适用于本文件。 3.1　 安全功能策略 　security function policy，SFP 描述单个安全功能所实施的特定安全行为的规则集。 [来源：GB/T 25069—2022，3.9，有修改 ] 3.2　 安全功能模块 　security function module，SFM 实现安全功能的具体服务模块 ，负责