VPN是一種技術，SASE是一種架構，VPN 是SASE 集成解決方案的一部分。網絡從業者們大多對VPN耳熟能詳，但部分網絡從業者可能認為SASE更偏安全領域，因此對其關注甚少。其實，SASE作為融合了網絡和安全的一個概念，在網絡云化、云網融合的背景下，網絡從業者需要對其加以關注。本文整理了SASE多角度的系統知識以饗讀者。 ? ?

SASE 的含義——不僅僅是一個流行詞

近年來，數字化、云計算的發展加速了安全訪問服務邊緣（SASE，Secure Access Service Edge）的采用，以實現統一的云原生網絡和安全服務。SASE 模型最初由 Gartner于 2019 年推出，它將網絡和安全解決方案連接起來。 ? 下面是一個簡單的SASE定義：

Secure Access Service Edge（縮寫為 SASE）是一種云架構模型，它結合了網絡和安全即服務功能，將它們作為單一的基于云的服務提供。隨著企業攻擊面不斷擴展到云應用、本地資源和個人設備，SASE 網絡提供了一個具有完全集成的安全和網絡堆棧的上下文感知解決方案，可以在數據流向的任何地方執行策略。

企業可以將他們的網絡和安全工具整合到一個無縫的管理解決方案中。換句話說，在遠程工作和云服務激增的時代，SASE為企業提供了一種方便、敏捷、可擴展的網絡和安全 SaaS 解決方案。 ?

SASE 是如何工作的？

? SASE將SD-WAN邊緣功能與全面的云安全功能相結合，包括： ?

防火墻即服務 (FWaaS)

云安全 Web 網關 (SWG)

零信任網絡訪問 (ZTNA)

云訪問安全代理 (CASB)

Web 應用程序和 API 保護即服務 (WAAPaaS)

傳統上，來自分支機構的應用流量通過MPLS服務傳輸到企業數據中心進行驗證，當所有應用程序都托管在數據中心時這種方式很有效，但隨著業務向云遷移，傳統架構不再能夠滿足需求。 ? 如今，越來越多的應用程序、數據和工作負載位于云數據中心和基礎設施即服務 (IaaS) 平臺中。這意味著 IT 組織需要重新考慮如何建立網絡以及如何保護他們的用戶和資源。基于邊界的安全性無法管理從多個位置通過云訪問應用程序的遠程用戶。通過數據中心和公司防火墻路由去往互聯網的流量首先會導致性能和用戶體驗下降。 ? SASE旨在通過轉換和統一廣域網和網絡安全來解決這些問題。傳統的網絡架構是圍繞網絡策略執行點和強制路由流量構建的。SASE 架構顛覆了這種模式，安全和廣域網功能在 SASE PoP上作為單一服務提供，用戶連接到最近的可用 PoP 以訪問服務。 ? 通過集成高級 SD-WAN 和安全功能，SASE 模型降低了操作復雜性，同時確保對應用程序、用戶、設備和物聯網 (IoT) 的一致策略實施和訪問控制。 ?

SASE 模型的組成部分

SASE將安全重點從以流量為中心轉移到以身份為中心，將安全性嵌入到網絡中。SASE解決方案包括以下組成部分： ?

軟件定義的廣域網 (SD-WAN)

SD-WAN 為 SASE 解決方案提供了基礎，實現了優化的網絡路由和增強的性能。SD-WAN 是基于 Internet 的 VPN 的靈活可靠替代方案，也是 MPLS 的一種更經濟實惠的替代方案。一些核心功能包括：延遲優化、流量路由、全球分布式網關、內聯加密等。 ?

零信任網絡訪問 (ZTNA)

零信任是一種安全策略，其運行前提是一切都不可信——用戶、數據、設備、工作負載或網絡本身都不可信。它是一個框架，確保所有資源都可以安全地訪問，無論位置如何，并應用最小權限訪問策略。 ? ZTNA 提供了粒度級控制來驗證應用程序的用戶身份，這使得它非常適合 SASE。ZTNA 是為適應業務變化而設計的，是 SASE 安全的一個可靠、彈性的組成部分。 ?

云訪問安全代理 (CASB)

云訪問安全代理 (CASB) 充當用戶和云服務提供商之間的中介，旨在復雜的安全環境中保護組織基于云的應用程序。 ? CASB 整合了多種類型的安全策略實施，并將它們應用于企業在云中使用的一切——無論用戶從什么設備訪問它，包括非托管智能手機或個人筆記本電腦。這使組織能夠安全地使用云，而不會損害其企業數據，這對于正在進行數字化轉型的企業來說是一大優勢。 ?

防火墻即服務 (FWaaS)

FWaaS 是一種云防火墻，可提供高級下一代防火墻 (NGFW) 功能，包括：URL過濾、高級威脅防護、入侵防御系統 (IPS)、DNS 安全。 ? 就像傳統防火墻會形成圍繞企業內部網絡的屏障一樣，基于云的防火墻將形成圍繞云平臺、基礎設施和應用程序的虛擬屏障。云防火墻也可以保護內部基礎設施。 ?

安全 Web 網關 (SWG)

SWG 通過執行公司安全策略和實時過濾惡意流量來保護上網用戶和設備免受在線安全威脅。 ? 一個強大的 SWG 應該提供：

URL過濾

數據丟失和泄漏預防

惡意代碼檢測

遠程瀏覽器隔離 (RBI)

應用程序識別和控制功能

監控和審計追蹤

審計追蹤是企業安全態勢的重要組成部分。它記錄了使用數據發生的每個事件、活動或事務。審計追蹤可幫助組織確保合規性、進行數字取證、維護數據完整性、執行業務分析、檢測欺詐并防止數據泄露。 ? 由于企業數據使用量龐大，每天的審計日志量可達數十萬。這種級別的規模和復雜性需要自動監控和跟蹤。 ?

威脅預防

威脅防護是指保護網絡的策略和工具。雖然威脅預防過去主要關注邊界安全，但隨著云采用的擴大，攻擊面也在擴大，組織不得不采取多層安全方法。 ? SASE 模型中的高級威脅防御策略可以包括用于入侵威脅檢測和防御、高級惡意軟件保護和端點安全威脅防御的工具。 ?

可擴展性（Scalability and?Extensibility）

Scalability與Extensibility（通常指硬件和系統）密切相關，隨著云計算的加速發展，用戶正在從更多的設備和位置訪問更多的應用程序。更多的應用意味著更多的數據、更多的流量和更多的威脅。SASE 依靠動態可擴展性作為網絡安全的核心組件，以靈活地適應日益復雜的網絡。 ?

數據丟失防護 (DLP)

數據丟失防護 (DLP) 是一組用于檢測和防止數據泄露或未經授權破壞敏感數據的工具和流程。組織使用 DLP 來保護他們的數據并確保合規性。 ? DLP 對于保護個人身份信息 (PII) 和知識產權、保護移動員工、加強自帶設備 (BYOD) 環境的安全性以及保護遠程云系統上的數據尤為重要。DLP 是SASE模型下集成安全方法的重要組成部分。 ?
SASE 的 11 項優勢

據Gartner 預測，到 2025 年，至少 60% 的企業將擁有明確的 SASE 采用戰略和規劃，高于 2020 年的 10%。以下是采用SASE的 11 個好處： ? 1. 集中式動態RBAC SASE 依賴于集中式基于角色的訪問控制 (RBAC)，它根據用戶在組織中的角色來限制訪問。角色由公司分配，并確定通過系統授予每個用戶的權限和訪問權限。 ? 例如，角色可能包括管理員、專家和最終用戶——每個人都有不同級別的訪問或權限。一些員工可能有權訪問和修改文檔，而其他員工只能查看文件。 ? 這使組織能夠以更有針對性和更靈活的方式保護訪問。使用 RBAC，員工只能訪問完成工作所必需的信息，從而限制了公司內部可以訪問或共享敏感數據的人數。

? 2. 跨混合環境的集中式管理

SASE 統一了網絡管理，可提供跨所有混合環境的集中式管理。隨著組織越來越多地遷移到云中，安全環境變得更加復雜，需要不同的工具和管理解決方案將它們組合在一起。這在數據和網絡管理中產生了盲點，使組織容易受到攻擊。 ? SASE 通過彌合這些技術差距并將網絡和安全管理置于一個無縫保護傘下，解決了數據和工具孤立的問題。 ?

3. 用戶、應用程序和數據整體治理

通過統一安全技術堆棧，SASE 模型改進了用戶、應用程序和數據的整體治理。它確保最佳實踐安全解決方案（包括 RBAC、DLP、FWaaP 和 SWG）在所有環境中得到應用，消除安全邊界中的漏洞并實施一致的策略和合規性，無論用戶身在何處或他們如何訪問數據。 ?

4. 審計追蹤和報告

數據監控和報告是網絡安全的重要組成部分。依靠機器學習和人工智能，SASE 模型將審計跟蹤和報告機制構建到網絡架構中，以確保在混合環境中每個接觸點的全面可見性和實時、可擴展的威脅預防、檢測和分析。 ?

5. 簡化的安全模型

SASE 的最大好處之一是它簡化了云和混合安全模型。傳統網絡解決方案需要額外的工具和系統來跟上數字化的步伐、攻擊面的擴大和新出現的安全威脅。然而，傳統解決方案往往無法滿足當今現代 IT 保護其組織所需的高級功能。 ? SASE 通過應用 FWaaS 解決了這一挑戰，FWaaS 將 URL 過濾、反惡意軟件和防火墻等安全功能嵌入到其基礎設施中。這簡化了安全管理，使組織能夠設置和執行統一的策略，快速識別問題。 ?

6. 一致的邊-邊安全

SASE 將網絡和安全功能結合在一個單一的多租戶云平臺中，增強了安全性和性能。作為完整網絡安全堆棧的一部分，該解決方案將 SWG、NGFW 和 DLP 等高級安全功能嵌入到其架構中，實現了邊-邊的保護。 ?

7. 降低成本

SASE 消除了多廠商物理和虛擬設備的需求，降低了采用和維護解決方案的成本，同時簡化了后端的管理。通過最大限度地減少 IT 工作負載、提高效率和降低人員成本進一步節省成本，并且不會犧牲安全性。

? 8. 減少管理工作和時間

SASE 通過一個基于云的中央應用程序簡化了網絡安全管理。這意味著當網絡擴展時，架構的復雜性不會增加。這減少了管理工作量，并讓 IT 員工騰出時間專注于其他高價值的優先事項。 ?

9. 減少依賴

SASE 模型可以減少組織對多個設備和供應商的依賴。這不僅可以最大程度地減少成本和資源投資，還可以讓組織對其網絡基礎設施和邊緣安全具有更大的控制力和靈活性。 ? 10. 更快更可靠的服務 SASE用基于 ZTNA 原則的網絡安全取代傳統的 VPN 設備。對于傳統的 VPN 解決方案，企業必須部署額外的設備來填補功能上的空白（如 SD-WAN 安全和 NGFW）。VPN 設備通常會降低 WAN 速度，對性能產生負面影響，因為它們有 CPU 和資源限制。云原生 SASE 解決方案不受規模限制，并通過其底層基礎設施提供額外的 WAN 優化，從而實現更快、更可靠的服務。

? 11. 永久數據保護

如今，企業收集、處理和分發大量數據，包括敏感的專有數據和個人數據。為了跨環境保護數據，SASE 支持通過云交付 DLP（數據丟失防護），從根本上消除了采用和維護多種保護工具的需要。這允許組織在所有邊緣應用一致的安全策略，從移動設備到云，再到本地位置。 ?

SASE 和 SD-WAN 有什么關系？

? SASE 將 SD-WAN 與網絡安全相結合，提供了一個整體的網絡管理解決方案，可簡化訪問、增強安全性并提高性能。SD-WAN 將SDN的概念與傳統 WAN 技術相結合，以提供更好的流量路由和網絡操作。它在組織現有 WAN 連接上充當Overlay網絡，以改善網絡流量。 ?

SASE 和 SD-WAN 之間的主要區別

SASE 和 SD-WAN 都是虛擬化技術，覆蓋廣泛的地理區域并具有相同的目標：以可擴展且易于管理的方式將獨立的分支機構和最終用戶連接到企業的網絡資源。 ? 但是，SASE 和 SD-WAN 之間存在幾個主要區別：

部署和架構?

SD-WAN 可以通過物理、軟件或云連接進行部署，具體取決于組織的需要。它主要將分支機構連接到數據中心，而 SASE 僅作為專注于端點和最終用戶設備的云原生解決方案運行。

企業可以選擇 DIY、托管或混合 SD-WAN，其中 IT 可以自行管理網絡，也可以將管理外包給第三方供應商，或兩者兼而有之。SASE 平臺通過單一的即服務（as-a-service）工具提供綜合的網絡和安全功能。與 SD-WAN 相比，這通常更簡單，更適合組織定制。

安全性

SD-WAN 具有一些安全功能，但主要側重于網絡管理。相比之下，SASE 具有內置的安全性，采用了 SD-WAN 的許多優勢，例如可擴展性和簡化的管理，以獲得更安全的云原生解決方案。

流量和連接

SASE 和 SD-WAN 具有不同的架構，這會影響各自處理流量和連接的方式。

SD-WAN 將分支機構連接到組織的網絡和數據中心資源，遵循配置的網絡策略來確定如何通過數據中心路由和回程流量。

SASE 專注于云環境以及將端點連接到服務邊緣。因為它是基于云的，所以不需要通過數據中心回傳流量，而是通過全球分布的 PoP 進行路由。

遠程訪問

由于 SASE 基于云，因此它具有內置的遠程訪問功能，相比之下，SD-WAN 依賴昂貴的第三方服務來改進遠程訪問功能，從而限制了公司選擇連接遠程員工的規模。

在許多方面，SASE 更是 SD-WAN 的進化。它將 SD-WAN 的功能和優勢與高級網絡安全服務相結合，打造出無縫的一體化解決方案。 ?

SASE vs?SD-WAN vs?SWG vs?UTM / NGFW

在基于云的環境中，SD-WAN、SWG 和統一威脅管理 (UTM) 或 NGFW 等單點解決方案無法在不增加成本和復雜性的情況下提供企業所需的功能。SASE 通過整合這些孤立的單點解決方案克服了這些問題，從而形成一個全球連接的云原生平臺，提供增強的訪問和安全性。 ?

實際采用 SASE 有多難？

雖然SASE采用率正在上升，但這種轉變可能需要時間，尤其是對于已經將資源投入到現有安全和數字化轉型計劃中的大型企業而言。 ? 以下是采用SASE的潛在挑戰：

? ＞ SASE 的成熟度——網絡即服務 (NaaS) 和安全即服務 (SECaaS) 市場尚不成熟，這意味著構建 SASE 解決方案的供應商仍在不斷發展。目前市場上的SASE廠商很多是安全供應商增加了云和 SD-WAN 功能，又或是添加了安全功能的網絡供應商。 ?

＞?尋找值得信賴的供應商和服務提供商——同樣，由于 SASE 技術還很年輕，因此可能需要更長的時間來確定滿足企業需求的供應商。企業需要從一開始就充分了解需求，并據此評估供應商以及他們提供的服務水平。 ?

＞?現有解決方案與SASE之間的取舍——許多大型企業在軟硬件解決方案方面都進行了大量投資，難以舍棄。企業通常有專門的人員甚至團隊負責和管理當前的解決方案。采用 SASE 可能會破壞原本的規劃，企業需要考慮對員工進行再培訓和重新分配任務，這可能會減緩采用速度。 ?

如何開始采用 SASE？

? 組織想要順利過渡到 SASE 模型需考慮到以下幾個因素： ?

1. 確定安全性和合規性要求

SASE 不是一個單一的工具，而是一個用于集成和改進現有安全堆棧的框架。為了成功采用此模型，首先需要根據網絡環境和用戶需求了解組織的安全要求。 ? 此外，需查看安全策略和標準以確保SASE 網絡具有內置的合規性措施。在一開始就確定這些要求，將能夠更好地設計出滿足組織需求并確保最高標準安全性和合規性的體系結構。 ?

2. 了解用戶和應用程序

每個組織都有一個獨特的用戶群，組織配置架構時可以提前了解他們在網絡中如何運行和交互。換句話說，如果組織不了解自己的 IT 環境，就很難對其進行適當的保護。由于 SASE 支持 ZTNA，這需要根據業務需求定義訪問控制，因此了解 IT 環境的結構和用例對于成功采用至關重要。 ?

3. 獲得整個團隊的支持

遷移需要對IT 和安全基礎架構進行全面檢查，這可能會打擾到團隊，所以如果提前與利益相關者溝通，獲得團隊的支持，組織遷移到 SASE 模型會更順利。

? 4. 針對特定目標測試 SASE 解決方案

一旦組織采用了 SASE 模型，如何知道它是否成功？需要概述解決方案的關鍵目標和優先級，并將其作為衡量遷移有效性的基準。如果沒有達到目標，需要確定SASE 解決方案中可能存在的差距。?

5. 實施 SASE 作為云遷移的一部分 云遷移和數字化工作正在興起。據 Gartner 稱，在 COVID-19 后，69% 的董事會加快了他們的數字業務計劃。如果企業正在加入云遷移，將 SASE 作為云戰略的一部分，可以更有效地調整整個組織的云計劃。 ? ?

七大疑問

SASE 有什么用？

SASE 是一種云架構模型，它結合了網絡和安全即服務，通過單一的云交付平臺向客戶分發網絡和安全功能，用于改善工作人員的的遠程訪問。 ?

SASE 需要哪些特性？

結合 SD-WAN 和安全功能

可擴展、敏捷和自我修復的云原生架構

全球分布的 PoP 結構，無論用戶位于何處，都能確保高級 WAN 和安全功能

驅動影響安全策略實時上下文的身份驅動服務

SASE 安全嗎？

SASE 提供端到端的安全性。它將 SD-WAN 與一整套高級安全功能相結合，提供集中式解決方案，提高數據可見性和監控、提升性能，并彌補了用戶端點而非傳統邊界的安全漏洞。

SASE 是 VPN 嗎？

VPN 是SASE 集成解決方案的一部分。采用此模型的組織將其現有的網絡功能（如 VPN）結合起來提供無縫的云解決方案。例如，VPN 服務將流量路由到 SASE 解決方案，然后通過軟件即服務 (SaaS) 路由到任何公共或私有云。

SASE 是 SD-WAN 嗎？

SD-WAN 是 SASE 的一部分。SASE 在其架構中嵌入了邊緣 SD-WAN 功能，作為其組合網絡和基于策略的安全功能的一部分。

SASE 會取代 SD-WAN 嗎？

SASE 將 SD-WAN 集成到其網絡和安全框架中。也就是說，SD-WAN只是廣域網轉型的第一步。SASE 是邁向高級 WAN 功能的下一步，可實現 SD-WAN 所缺乏的安全、云和連接功能。

SASE 是 SD-WAN 和安全的未來嗎？

SASE 是一個不斷發展的框架，可以解決傳統安全和網絡解決方案（如 SD-WAN）的挑戰和問題。隨著混合工作和云應用的興起，傳統的安全和網絡方法已不再足夠。 SASE 提供了一種簡化的集成解決方案，以更高效、更易于管理且更具成本效益的模式中滿足大多數網絡和安全需求。 ?

基于云的網絡安全的未來

? 數字化和遠程工作將繼續存在，這意味著組織將需要采用能夠滿足遠程用戶和分布式員工需求的網絡和安全態勢。SASE為網絡安全的未來提供了一個基于云的、動態的、完全集成的愿景。 ?

編輯：黃飛

?