安全访问服务边缘 （SASE） 是一种网络架构，它将软件定义的广域网 （SD-WAN） 和安全功能结合到一个统一的云服务中，承诺简化 WAN 部署、提高效率和安全性以及特定于应用程序的带宽策略。

Gartner在2019年首次概述了SASE（发音为“sassy”）已迅速从小众，安全优先的SD-WAN替代方案发展成为一个受欢迎的WAN领域，分析师预计该领域将在未来几年内发展成为一个超过100亿美元的市场。

市场研究公司Dell'Oro集团预测，到2026年，SASE市场将增长两倍，达到130亿美元。Gartner 更为乐观，预测 SASE 市场将在 2020 年至 2025 年间以 36% 的复合年增长率增长，到 2025 年达到 147 亿美元。

4g dtu

什么是 SASE？

SASE 通过一套安全服务整合了 SD-WAN，以帮助组织安全地适应不断扩展的边缘，包括分支机构、公共云、远程工作人员和物联网网络。

虽然一些 SASE 供应商提供硬件设备将边缘用户和设备连接到附近的接入点 （PoP），但大多数供应商通过软件客户端或虚拟设备处理连接。SASE 通常作为单个服务使用，但有许多移动部分，因此一些 SASE 产品将来自不同合作伙伴的服务拼凑在一起。

在网络方面，SASE 的主要功能是 WAN 优化、内容交付网络 （CDN）、缓存、SD-WAN、SaaS 加速和带宽聚合。使 SASE 的 WAN 方面发挥作用的供应商包括 SD-WAN 提供商、运营商、内容交付网络、网络即服务 （NaaS） 提供商、带宽聚合商和网络设备供应商。

SASE 的安全功能可以包括加密、多因素身份验证、威胁防护、数据泄漏防护 （DLP）、DNS、防火墙即服务 （FWaaS）、安全 Web 网关 （SWG） 和零信任网络访问 （ZTNA）。SASE 的安全方面依赖于一系列提供商，包括云访问安全代理、云安全 Web 网关提供商、零信任网络访问提供商等。

功能集因供应商而异，顶级 SASE 供应商正在投资高级功能，例如支持 WAN 链路的 5G、基于行为和上下文的高级安全功能，以及用于故障排除和自动修复的集成 AIOps。

理想情况下，所有这些功能都由单个服务提供商作为统一的 SASE 服务提供，即使某些组件被其他提供商贴上白标。

SASE 有哪些优势？

 由于它是作为统一服务计费的，因此 SASE 承诺降低复杂性和成本。企业处理的供应商越来越少，分支机构和其他远程位置所需的硬件数量下降，最终用户设备上的代理数量也减少。

SASE 消除了 IT 部门的管理负担，同时还为必须保留在内部的事项（例如设置用户策略）提供集中控制。IT 主管可以通过基于云的管理平台集中设置策略，并在靠近最终用户的分布式 PoP 上实施策略。因此，无论最终用户需要什么资源以及他们和资源位于何处，他们都会获得相同的访问体验。

SASE 还根据初始登录对用户寻求的任何资源应用适当的策略，从而简化了身份验证过程。SASE 还支持零信任网络，该网络根据用户、设备和应用程序（而不是位置和 IP 地址）控制访问。

安全性得到提高，因为无论用户位于何处，策略都会平等地实施。当新威胁出现时，服务提供商会解决如何防范这些威胁的问题，而企业无需新的硬件要求。

更多类型的最终用户（员工、合作伙伴、承包商、客户）可以获得访问权限，而不会面临传统安全性（如 VPN 和 DMZ）可能受到损害并成为企业潜在攻击的滩头阵地的风险。

SASE 提供商可以提供不同质量的服务，因此每个应用程序都能获得所需的带宽和网络响应能力。借助 SASE，企业 IT 人员可以减少与部署、监控和维护相关的琐事，并且可以分配更高级别的任务。

SASE 面临的挑战是什么？

考虑部署 SASE 的组织需要解决几个潜在的挑战。对于初学者来说，某些功能最初可能会不足，因为它们是由具有网络或安全背景的提供商实现的，但可能缺乏不是他们强项的领域的专业知识。

另一个需要考虑的问题是，一体化服务的便利性是否比同类最佳工具的集合更能满足组织的需求。

具有销售本地硬件历史的供应商提供的 SASE 产品可能不是以云原生思维方式设计的。同样，传统硬件供应商可能缺乏 SASE 所需内联代理的经验，因此客户可能会遇到意想不到的成本和性能问题。

一些传统供应商可能还缺乏评估用户上下文的经验，这可能会限制他们实施上下文相关策略的能力。由于 SASE 的复杂性，提供商可能有一个功能列表，他们说这些功能列表集成得很好，但这实际上是许多不同的服务，这些服务拼接在一起很差。

由于 SASE 承诺提供对边缘的安全访问，因此服务提供商的全球足迹非常重要。对于一些 SASE 提供商来说，构建全球网络的成本可能太高。这可能会导致不同位置的性能不均衡，因为某些站点可能远离最近的 PoP，从而引入延迟。

SASE 过渡也会给人员带来压力。随着 SASE 跨越网络和安全团队，地盘之争可能会爆发。更改供应商以采用 SASE 可能还需要重新培训 IT 人员来处理新技术。

是什么推动了 SASE 的采用？

SASE 的关键驱动因素包括支持混合云、远程和移动工作人员以及物联网设备，以及为 MPLS 和 IPsec VPN 等昂贵技术寻找经济实惠的替代品。

作为数字化转型工作的一部分，许多组织正在寻求打破技术孤岛，消除VPN等过时技术，并自动化日常网络和安全工作。SASE 可以帮助实现所有这些目标，但您需要确保供应商对 SASE 的未来有一个与您一致的愿景。

据Gartner称，目前在企业数据中心之外托管的传统数据中心功能比在IaaS提供商云，SaaS应用程序和云存储中托管。物联网和边缘计算的需求只会增加对基于云的资源的依赖，但典型的WAN安全架构仍然为本地企业数据中心量身定制。

在后 COVID 的混合工作经济中，这构成了一个主要问题。传统的WAN模型要求远程用户通过VPN连接，在每个位置或单个设备上都有防火墙。传统模型还强制用户向集中式安全性进行身份验证，该安全性授予访问权限，但也可以通过该中心位置路由流量。

此模型不缩放。此外，这种传统架构在 COVID 来袭之前就已经显示出它的年龄，但今天它的复杂性和延迟削弱了竞争力。

借助 SASE，最终用户和设备可以进行身份验证并获得对他们有权访问的所有资源的安全访问，并且用户受到位于其附近云中的安全服务的保护。通过身份验证后，他们可以直接访问资源，从而解决延迟问题。

什么是 SASE 架构？

传统上，WAN 由独立的基础设施组成，通常需要对硬件进行大量投资。SD-WAN并没有取代它，而是增强了它，从昂贵的链路中删除了非关键任务和/或非时间敏感的流量。

在短期内，SASE可能不会取代MPLS等传统服务，MPLS将适用于某些类型的关键任务流量，但在安全方面，IPsec VPN等工具可能会让位于云交付的替代方案。

其他网络和安全功能将与底层基础设施分离，创建一个云优先的WAN，由软件定义和管理，并在理想情况下位于企业数据中心，分支机构，设备和员工附近的全球网络上运行。

借助 SASE，客户可以监控网络的运行状况，并为其特定流量要求设置策略。由于来自互联网的流量首先通过提供商的网络，因此 SASE 可以检测危险流量并在到达企业网络之前进行干预。例如，可以在 SASE 网络中缓解 DDoS 攻击，从而将客户从大量恶意流量中拯救出来。

SASE 的核心安全功能是什么？

SASE 提供的关键安全功能包括：

- 防火墙即服务 （FWaaS）

在当今的分布式环境中，用户和计算资源都位于网络的边缘。作为服务交付的基于云的灵活防火墙可以保护这些边缘。随着边缘计算的发展以及物联网设备变得更加智能和强大，此功能将变得越来越重要。

将 FWaaS 作为 SASE 平台的一部分交付，使企业能够更轻松地管理其网络安全、设置统一策略、发现异常并快速进行更改。

- 云访问安全代理 （CASB)

随着企业系统从本地迁移到 SaaS 应用程序，身份验证和访问变得越来越重要。企业使用 CASB 来确保其安全策略得到一致应用，即使服务本身在其控制范围之外也是如此。

借助 SASE，员工用于访问公司系统的同一门户也是允许他们访问的所有云应用程序（包括 CASB）的门户。流量不必在系统外部路由到单独的 CASB 服务。

- 安全网络网关

如今，网络流量很少局限于预定义的边界。新式工作负载通常需要访问外部资源，但可能存在拒绝员工访问某些站点的合规性原因。此外，公司希望阻止对网络钓鱼站点和僵尸网络命令和控制服务器的访问。即使是无害的网站也可能被试图泄露敏感公司数据的员工恶意使用。

SGW 保护公司免受这些威胁。提供此功能的 SASE 供应商应该能够在云规模上检查加密流量。将 SWG 与其他网络安全服务捆绑在一起可提高可管理性，并允许一组更统一的安全策略。

- 零信任网络访问)

零信任网络访问为企业提供了对访问企业应用程序和服务的用户和系统的精细可见性和控制。

ZTNA的核心要素是安全性基于身份，而不是IP地址。这使得它更适合移动工作人员，但需要额外的身份验证级别，例如多重身份验证和行为分析。

还有哪些其他技术可能是 SASE 的一部分？

除了这四个核心安全功能之外，各种供应商还提供一系列附加功能。

其中包括 Web 应用程序和 API 保护、远程浏览器隔离、DLP、DNS、统一威胁防护和网络沙箱。许多企业会发现吸引人的两个功能是网络隐私保护和流量分散，这使得威胁参与者很难通过跟踪其 IP 地址或窃听流量流来找到企业资产。

其他可选功能包括 Wi-Fi 热点保护、对传统 VPN 的支持以及对离线边缘计算设备或系统的保护。

对网络和安全数据的集中访问可以使公司运行整体行为分析，并发现威胁和异常，否则这些威胁和异常在孤立的系统中并不明显。当这些分析作为基于云的服务交付时，将更容易包含更新的威胁数据和其他外部情报。

将所有这些技术整合到 SASE 保护伞下的最终目标是为企业提供灵活、一致的安全性、更好的性能和更低的复杂性——所有这些都以更低的总拥有成本实现。

企业应该能够获得所需的规模，而不必雇用相应的大量网络和安全管理员。