什么是SASE

在數字化轉型的驅動下，傳統的以用戶DC為中心的組網架構正發生變化，工作負載從單一的DC向多云遷移，如企業微信等分支SAAS應用流量激增，居家&移動辦公、第三方接入成為常態，隨著安全攻防向分支下沉，互聯網出口如何管控也亟待解決。這些變化給組織在組網、安全、運維、敏捷等方面帶來了新的挑戰，客戶需要一種全新的架構去適配數字化轉型的要求。

主要變化

• 工作負載從數據中心向多云分布遷移
• 分支SaaS應用流量激增
• 遠程/混合辦公成為常態
• 安全攻防向分支下沉

面臨挑戰

• 組網：在保障用戶訪問體驗下降低組網成本
• 安全：全局安全策略、高級安全威脅，合規
• 運維：集中高效的統一運維管理
• 敏捷：快速上線、可靠運行、彈性擴展

SASE是Gartner在2019年8月的一份名為《網絡安全的未來在云端》的報告中首次提出的概念，SASE是一種結合了廣域網接入與網絡安全功能的一套網絡安全架構，基于用戶的身份、上下文的零信任策略，讓用戶、分支能夠更安全、更快速、更簡單的訪問所有的互聯網、SaaS、數據中心及云應用。通過下面這張圖，我們來了解Gartner眼中SASE的基本概念：

1. SASE：安全訪問服務邊緣 Secure Access Service Edge，基于SASE的直譯比較難以理解，所以中文的名稱也可以叫“云安全訪問服務”或“云安全訪問服務平臺”，通俗一句話解釋：SASE是一套云化交付的網絡和安全融合服務，可以一次部署、一次安裝、一次接入解決辦公安全問題（包括：安全上網、零信任接入、防泄密、全球組網等）；

2. 為了更精確地定義和追蹤技術發展，滿足不同用戶的特定需求，Gartner把SASE分成了網絡與安全兩個部分，SASE=SD-WAN+SSE。

• SD-WAN：軟件定義網絡Software-Defined WAN
• SSE：安全服務邊緣 Secure Service Edge

深信服是同時具備SASE-SDWAN和SASE-SSE能力的廠商，國內唯一的單一供應商SASE市場代表廠商。

——來源于Gartner®發布的報告《新興技術：在三重擠壓中蓬勃發展——對云安全風險投資的關鍵洞察》(Emerging Tech: Thriving Amid the Triple Squeeze— Critical Insights on VC Funding for Cloud Security, May 2023)

3. SD-WAN定義了一套網絡服務的能力，主要有SD-WAN、Carriers(運營商)、CDN(內容分發網絡)、WAN Optimization(廣域網優化)、Network as a Service(網絡即服務)、Bandwidth Aggregators(帶寬聚合商)、Networking Vendors(網絡供應商)等；

4. SSE定義了一套安全服務的能力，主要有：

• ZTNA：零信任網絡訪問服務Zero Trust Network Access，提供零信任接入能力；
• SWG：安全Web網關Secure Web Gateway，提供Web流量的過濾和控制能力，類似上網行為管理；
• FWaaS：防火墻即服務Firewall as a Service，提供云原生的防火墻功能，類似下一代防火墻；
• CASB：云訪問安全代理Cloud Access Security Broker，對SaaS應用進行安全監控和管理；
• RBI：遠程瀏覽器隔離Remote Browser Isolation，在遠程服務器上執行網頁內容的加載和渲染，將結果傳輸到用戶的本地瀏覽器上顯示，從而隔離用戶設備與潛在的網絡威脅；
• DNS：域名系統Domain Name System，檢測并阻止基于DNS的攻擊；
• WAAPaaS：Web應用程序和API保護即服務Web Application and API Protection as a Service，將網頁應用程序和API（應用程序編程接口）的保護服務作為云服務提供的一種模式。

為了防止大家都說自己的產品是SASE，Gartner定義了真正的SASE需要符合如下四個特征：

• 身份驅動Identity-Driven：以身份為中心，基于零信任的訪問控制；
• 云原生架構Cloud-native：通過云原生架構，而不是傳統的NFV虛擬化架構，可提供所有云服務特有的可伸縮性、彈性、自適應性和自我修復功能；
• 全球分布Globally Distributed：通過全球分布的POP點(接入點Point of Presence)提供網絡與安全服務，POP點是SASE服務商部署在全球的一個接入節點，在POP點上以云原生架構的部署安全棧與網絡服務能力，用戶可以就近接入POP點獲得所需的安全或網絡服務；
• 支持所有邊緣接入Support all Edges：支持所有分支、用戶、云數據中心等的接入。

• 上網安全場景IA：互聯網安全訪問服務Internet Access，讓分支與用戶安全的訪問互聯網，主要是通過SWG與FWaaS的能力提供；
• 接入安全場景PA：內網應用訪問服務Private Access，讓用戶安全的訪問數據中心、云應用，主要是通過ZTNA的能力提供；
• 辦公防泄密場景DLP：數據泄密保護Data Loss Prevention，讓用戶在全通路場景下保護敏感數據；
• 全球組網加速場景GA：全球組網加速Global Accelator，可以讓分布在全球的分支、用戶高速的訪問國內的數據中心、云應用。