什么是 SASE？

SASE 是一种网络安全方法，它将网络连接和网络安全功能组合成单个云服务。 SASE 与传统网络安全之间的关键区别在于，SASE 不是将所有流量路由回数据中心以应用安全策略，而是在网络边缘更接近用户和终端连接位置处提供安全功能和其他服务。

在加强网络安全、简化网络性能管理和改善整体用户体验方面，SASE 模式的潜力不容小觑。

随着越来越多的组织追求数字化转型，并越来越多地采用云环境、边缘计算和居家办公或混合工作模式，越来越多的用户和 IT 资源将驻留在传统网络边界之外。 SASE 使组织能够在用户和这些资源之间提供直接、安全、低延迟的连接，而不论他们位于何处。 SASE 可能是相对较新的技术（行业分析机构 Gartner 在 2019 年定义了这个术语），但许多安全专家认为它代表了网络安全的未来。

SASE 的工作原理

SASE 是以下这两种核心技术的结合或融合：软件定义广域网络 (SD-WAN) 和安全服务边缘 (SSE)。如果您首先了解这些技术的作用，那么就更容易理解 SASE 的工作原理。

SD-WAN

SD-WAN 是一个已经虚拟化的广域网络，其方式与服务器的虚拟化大体相同。它将网络功能与底层硬件（连接、交换机、路由器和网关）分离，创建一个网络能力和网络安全功能池，这些功能可以在软件控制下进行划分、聚合和应用于流量。

传统的广域网 (WAN) 旨在将公司分支机构的用户连接到中央公司数据中心的应用，通常是通过专用、私有且昂贵的租借网络连接。每个分支机构所安装的路由器会控制流量，分清流量的主次，旨在确保最重要的应用保持最佳性能。中央数据中心应用了数据包检查和数据加密等安全功能。

SD-WAN 之所以被开发出来，起初是为了让组织能够在成本更低、可扩展性更强的互联网基础设施上复制其 WAN 功能。但随着越来越多的企业还没有完全准备好信任互联网安全性就开始采用云服务，对 SD-WAN 的需求加速增长。 WAN 安全模式遭遇了挑战：通过公司数据中心路由不断增长的互联网流量造成了成本高昂的瓶颈，网络性能和用户体验双双降低。

SD-WAN 通过在连接点将安全性应用于流量，而不是强制将流量路由到安全位置，消除了这一瓶颈。它支持组织在用户和他们需要的任何内容（SaaS（软件即服务）应用、云资源或公共互联网服务）之间建立直接、安全且优化的连接。

SSE

SSE 是 Gartner 创造的另一个术语，表示“SASE 的安全的一半”。 Gartner 将 SSE 指定为三种关键云原生安全技术的融合：

安全 Web 网关 (SWG)。 SWG 是一种双向的网络“交通警察”。它使用流量过滤和域名系统 (DNS) 查询检查等技术来识别和阻止恶意软件、勒索软件和其他网络威胁，从而防止恶意流量到达网络资源。它还可以防止授权用户连接到可疑网站：用户和终端不是直接连接到互联网，而是连接到 SWG，他们只能通过 SWG 访问批准的资源（例如，内部数据中心、业务应用以及云应用和服务）。

云访问安全代理 (CASB) CASB 位于用户与云应用和资源之间。当用户访问云时，CASB 会强制执行加密、访问控制和恶意软件检测等公司安全策略，而不论用户在何处或以何种方式进行连接，并且无需在终端设备上安装软件即可实现，因此非常适合保护 BYOD（自带设备）和其他劳动力转型用例。当用户连接到未知云资产时，其他 CASB 也可以强制执行安全策略。

零信任网络访问 (ZTNA)。 网络访问的零信任方法是一种从不信任并持续验证所有用户和实体的方法，而不论他们是在网络外部还是已经在网络内部。经过验证的用户和实体被授予完成其任务所需的最低访问权限。所有用户和实体在上下文发生变化时，都会强制其重新验证，并且会逐个数据包对每次数据交互进行验证，直至连接会话结束。

ZTNA 本身不是一种安全产品，而是一种使用多种技术实现的网络安全方法，其中包括身份和访问管理 (IAM)、多因素认证 (MFA)、用户和实体行为分析 (UEBA) 以及各种威胁检测和响应解决方案。

个别供应商的 SASE 平台可能包括其他威胁防御和安全功能，包括防火墙即服务 (FWaaS)、数据丢失预防 (DLP)、网络访问控制 (NAC) 和终端保护平台 (EPP)。

将一切整合起来

SASE 解决方案使用 SD-WAN 在网络边缘的连接位置处或附近，向用户、设备和其他终端提供 SSE 安全服务。

具体而言，SASE 架构会将流量引导至最终用户或终端附近的分布式入网点 (PoP)，而不是将所有流量发回中央数据中心进行检查和加密。（PoP 要么由 SASE 服务提供商拥有，要么在第三方供应商的数据中心建立。） PoP 使用云交付的 SSE 服务来保护流量，然后将用户或终端连接到公有云和私有云、软件即服务 (SaaS) 应用、公共互联网或任何其他资源。

SASE 的优势

SASE 为安全团队、IT 员工、最终用户和整个组织创造了重大业务收益。

节省成本 - 具体来说，减少了资本支出。 SASE 本质上是一种 SaaS 安全解决方案：客户通过购买软件来设置和控制 SASE，并充分利用云服务提供商用于交付的硬件所具有的优势。 SASE 客户将流量从最近的互联网连接路由到云，而不是将流量从分支机构路由器路由到本地数据中心硬件来实现安全性。

公司还可以使用 SASE 作为跨公有云和组织内部基础设施提供的混合解决方案，将物理网络硬件、安全设备和数据中心与其虚拟化的云原生对应物集成起来。

简化的管理和运营。 SASE 框架提供了单个一致的解决方案，用于保护连接或试图连接到网络的任何内容，不仅是用户，还包括物联网 (IoT) 设备、API、容器化微服务或无服务器应用，甚至是按需启动的虚拟机 (VM)。它还避免了在每个连接点管理一堆点式安全解决方案（路由器、防火墙等）的需要。取而代之的是，IT 或安全团队可以制定单个中央策略来保护网络上的所有连接和资源，并且他们可以从单个控制点来管理所有内容。

加强的网络安全性。 如果实施得当，SASE 可以在多个层面上提高安全性。经过简化的管理通过减少发生错误或配置不当的几率来增强安全性。为了保护来自远程用户的流量，SASE 将对虚拟专用网络 (VPN) 访问的一刀切式通用许可，替换为 ZTNA 对应用、目录、数据集和工作负载的细粒度、基于身份和上下文的访问控制。

更完善、更一致的用户体验。 借助 SASE，无论是在现场、分支机构、家中还是路上，无论是连接到云中还是本地托管的应用和资源，用户都以相同的方式连接到网络。 SD-WAN 服务自动将流量路由到最近的 PoP，并在应用安全策略后，优化连接以实现最佳性能。

SASE 用例

对于逐渐摆脱应用交付的中央数据中心模式的任何组织，SASE 都创造了一定的优势。如今，少数特定的用例正在推动企业对它的采用。

保护混合劳动力而不会出现 VPN 瓶颈。 近二十年来，VPN 一直是保护远程或移动用户的主要手段。但是，扩展 VPN 既不容易，也不便宜 - 这是许多组织在新冠肺炎疫情导致员工完全远程工作时所体会到的困境。相比之下，SASE 则可以动态扩展，尤其是支持远程工作人员的安全需求，以及总体上不断演变的员工队伍。

混合云采用和云迁移。 混合云将公有云、私有云和本地基础架构组合成单个灵活的计算环境，工作负载会随着状况的变化在这些基础架构之间自由移动。 WAN 安全解决方案并不是为这种工作负载移动性而设计的，而从底层基础架构中抽象出安全功能的 SASE，则可以在任何位置保护流量。它还为组织提供了一定的灵活性，能够以任何合适的速度将工作负载迁移到云端。

边缘计算和 IoT/OT 设备迅速激增。 边缘计算是一种分布式计算模式，它将应用和计算资源定位在集中式数据中心之外，更靠近手机、物联网或操作技术(OT) 设备和数据服务器等数据源。这种距离上的接近缩短了应用响应时间，能够更快挖掘洞察，尤其是那些实时处理大量流数据的人工智能 (AI) 和机器学习应用。

为了支持这些应用，组织或解决方案供应商部署了数千个物联网传感器或 OT 设备，其中许多几乎没有或根本没有配置安全性。这些设备因而成为黑客的首要攻击目标，黑客会劫持这些设备，进而访问敏感数据源、中断运行或发起 DDoS（分布式拒绝服务）攻击。 SASE 可以在这些设备连接到网络时，对其应用安全策略，并且通过一个中央仪表板为管理所有连接设备提供可见性。