安全訪問服務邊緣（SASE），為數字化時代而生

SASE（Security Access Sevices Edge，縮寫讀為sassy /ˈsæsi/ ）安全訪問服務邊緣，是Gartner 2019年提出的一種網路安全服務架構。本文將闡述綠盟科技對SASE的理解，以及對SASE在國內發展趨勢的預測。

SASE定義

Gartner對SASE（安全訪問服務邊緣）的定義是：一種結合了廣域網功能和全面的網路安全功能（例如Secure Web Gateway安全Web閘道器, Cloud Access Security Broker雲訪問安全代理, Firewall SaaS防火牆即服務和Zero Trust Network Access零信任網路訪問）的新興服務產品，能滿足數字化企業的動態安全訪問需求。下面這張圖能夠清晰看到SASE由兩大部分組成。

Gartner《The Future of Network Security Is in the Cloud》

簡單地說，SASE就是網路和安全的融合服務。

SASE的誕生背景

其實，在Gartner定義SASE之前，市面上已有一些接近SASE理念的產品服務出現，例如CATO network的CATO Cloud、ZScaler的ZIA服務（ZScaler Internet Access）、PaloAlto的PrismaAccess，他們依託於強大的全球化分佈PoP點的邊緣雲，向客戶提供安全可靠、網路質量佳的訪問接入SaaS服務。這些新興服務滿足了雲端計算時代的企業需求，尤其在疫情催化下，這些服務的需求量快速增長，在全球範圍內得到了廣泛地應用。

為什麼國外的這些接入類服務得到了快速發展？背後的市場驅動因素主要是企業的數字化轉型。

數字化企業具備這些特點：

1) 相對於傳統企業內網，使用者更多地使用企業外部的網路來完成工作

2) 相比資料中心的工作負載，數字化企業更多使用在IaaS中執行的工作負載

3) 相對於企業基礎設施中的應用，數字化企業更多使用SaaS化的應用

4) 數字化企業將更多的敏感資料儲存在雲服務中

5) 數字化企業中更多的使用者流量、分支機構流量流向公有云

企業的數字化轉型讓企業流量走向發生了變化，而流量走向的變化要求企業的網路安全架構也必須隨之變化，總結如下三點企業數字化轉型下的訴求，讓SASE的出現成為一種必然：

1、雲上應用、服務需求大量增長

企業數字化轉型需要隨時隨地訪問應用和服務，這次疫情加速了這個趨勢。可以預測，企業資料中心還將長期存在，但和雲相比其流量比例會逐漸縮小，過去聚焦於資料中心的網路和安全設計逐漸顯得不合時宜。

而SASE先天具備連線雲上資產、應用的網路優勢，SD-WAN的特性讓SASE具備更好的多雲多資料中心聯通能力。而SASE的安全能力更集中於SASE Cloud內，也減少了多資料中心、多雲內安全建設的負擔。

2、邊緣計算需求增長

企業對分散式邊緣計算能力需求在不斷增長，低延遲訪問本地儲存、計算系統和裝置的需求也在不斷增長。加上5G的到來，更讓邊緣計算需求加速催化。

SASE的邊緣特性正滿足了邊緣計算需求。將PoP點建設儘可能貼近客戶側，使客戶可以儘快接入優質的SASE網路，得到訪問加速的同時，享受雲上的全棧安全能力。

3、移動辦公需求增長

疫情讓移動辦公爆發增長，公司員工、合作伙伴、代理商都有在企業外部訪問企業應用服務的需求，傳統的VPN只能滿足少部分的移動辦公需求，當人員組成複雜、人數持續增加的情況下，VPN已不再是最優解決方案。企業需要安全高效的移動辦公解決方案。

SASE可以將企業移動終端納管，移動辦公人員就近接入SASE，一方面可以加速訪問應用，另一方面還可享受多種安全防護，如資料防洩漏、過濾惡意網站等。

SASE的四大關鍵特性

1、重雲端輕分支

SASE模型最大特點就是重雲端、輕分支。SASE將安全和網路能力上移，透過統一的雲交付形式，讓多分支的IT建設和運維的負擔減小。SASE雲端提供身份認證、深度包檢測、威脅防護、資料防洩漏等多項安全能力，並擁有廣域網最佳化等網路能力，在地端，只需輕量的SD-WAN CPE部署，將流量導向雲端安全服務。

 

2、邊緣雲服務

傳統SaaS服務由於服務節點少，企業在應用時往往會使業務產生更大的延遲。SASE是邊緣雲服務，多節點、全球分佈是其一大特徵。使用者可就近接入PoP節點，每個PoP節點提供相同的安全網路能力，SASE讓企業流量在不繞行的同時擁有最好的安全防護。

 

3、身份驅動

SASE安全能力的關鍵在於訪問控制，依靠零信任網路訪問技術（Zero Trust Network Access ,ZTNA），SASE基於使用者、裝置、應用、訪問記錄等上下文資訊，做出智慧選路和訪問許可權控制等。

Gartner《The Future of Network Security Is in the Cloud》

4、雲原生化

SASE的PoP點具備雲原生特性，PoP點的彈性擴容、全球大量分佈、易複製擴張、迭代速度快等特點都源於該特性。

辨析：SASE和SD-WAN是什麼關係？

SD-WAN即軟體定義廣域網，將SDN技術應用在了廣域網路。SD-WAN解決網路的連通問題，同時具備可編排、可高效運維管理的特點。

如果要論SASE和SD-WAN的關係，那麼SD-WAN應該說是SASE網路服務的一種可選基礎設施。而所謂的安全SD-WAN解決方案與SASE也有不同，安全SD-WAN解決方案更多是在地端SD-WAN前加防火牆，或是在SD-WAN盒子上增加IPS、ACL等功能，其思路仍停留在重地端建設上。而SASE的理念是重雲端輕分支，儘可能將多的網路安全能力上移到雲。

國內需要怎樣的SASE

從2020年Gartner釋出的中國ICT技術成熟度曲線可以看到我國雲安全技術還在發展大前期，而SASE技術在全球的雲安全技術成熟度曲線上正在概念膨脹的頂峰，SASE在國外市場的確反響良好，而國內市場目前真的需要SASE嗎？

2020年中國ICT技術成熟度曲線

對業務發展的判斷，源於對客戶IT建設發展階段和實際需求的觀察。隨著國內數字化轉型改革深化 ，越來越多的客戶面臨以下問題：多雲互通難、邊緣接入能力弱、多分支安全互聯難、跨國訪問難、企業影子IT管理難、防資料洩露難等，SASE這樣更簡潔統一的服務形式確實能夠為客戶解決上述的問題。但在某些行業會有使用公有云SaaS服務的受限問題，這可能是SASE當前在國內發展會遇到的最明顯的阻礙點。

短期來看，SASE也許會在國內走上中國特色發展道路。例如服務商也許會貼近等保要求發展SASE的安全能力；或將SASE做本地私有化，轉化為多分支安全組網方案；或將SASE模型發展為安全專網解決方案，便於三方機構統一監管行業流量；或將SASE作為SD-WAN服務行業的監管方案，檢測出入境流量等等，SASE模型可衍生應用在多行業領域。

總結

數字化轉型浪潮下，圍繞傳統資料中心的網路安全架構不再適應企業發展，數字化企業需要更一體化、簡潔智慧、適應雲時代的IT建設解決方案。

SASE改變了傳統應用訪問和安全防護模式，可極大提升使用者訪問混合環境下各類服務的便利性和安全性，它為企業的數字化轉型而生，其重雲端輕地端，邊緣化去中心的服務架構能更好適應數字化轉型企業的IT建設需求，多合一的網路安全能力可以解決雲時代下大量企業面臨的實際問題，中國特色化SASE發展前景讓人期待。

｜體驗全新網路安全服務｜

 掃碼申請試用綠盟科技SASE服務