安全访问服务边缘（SASE），为数字化时代而生

2021-07-06

SASE（Security Access Sevices Edge，缩写读为sassy /ˈsæsi/ ）安全访问服务边缘，是Gartner 2019年提出的一种网络安全服务架构。本文将阐述海王捕鱼对SASE的理解，以及对SASE在国内发展趋势的预测。

SASE定义

Gartner对SASE（安全访问服务边缘）的定义是：一种结合了广域网功能和全面的网络安全功能（例如Secure Web Gateway安全Web网关, Cloud Access Security Broker云访问安全代理, Firewall SaaS防火墙即服务和Zero Trust Network Access零信任网络访问）的新兴服务产品，能满足数字化企业的动态安全访问需求。下面这张图能够清晰看到SASE由两大部分组成。

Gartner《The Future of Network Security Is in the Cloud》

简单地说，SASE就是网络和安全的融合服务。

SASE的诞生背景

其实，在Gartner定义SASE之前，市面上已有一些接近SASE理念的产品服务出现，例如CATO network的CATO Cloud、ZScaler的ZIA服务（ZScaler Internet Access）、PaloAlto的PrismaAccess，他们依托于强大的全球化分布PoP点的边缘云，向客户提供安全可靠、网络质量佳的访问接入SaaS服务。这些新兴服务满足了云计算时代的企业需求，尤其在疫情催化下，这些服务的需求量快速增长，在全球范围内得到了广泛地应用。

为什么国外的这些接入类服务得到了快速发展？背后的市场驱动因素主要是企业的数字化转型。

数字化企业具备这些特点：

1) 相对于传统企业内网，用户更多地使用企业外部的网络来完成工作

2) 相比数据中心的工作负载，数字化企业更多使用在IaaS中运行的工作负载

3) 相对于企业基础设施中的应用，数字化企业更多使用SaaS化的应用

4) 数字化企业将更多的敏感数据存储在云服务中

5) 数字化企业中更多的用户流量、分支机构流量流向公有云

企业的数字化转型让企业流量走向发生了变化，而流量走向的变化要求企业的网络安全架构也必须随之变化，总结如下三点企业数字化转型下的诉求，让SASE的出现成为一种必然：

1、云上应用、服务需求大量增长

企业数字化转型需要随时随地访问应用和服务，这次疫情加速了这个趋势。可以预测，企业数据中心还将长期存在，但和云相比其流量比例会逐渐缩小，过去聚焦于数据中心的网络和安全设计逐渐显得不合时宜。

而SASE先天具备连接云上资产、应用的网络优势，SD-WAN的特性让SASE具备更好的多云多数据中心联通能力。而SASE的安全能力更集中于SASE Cloud内，也减少了多数据中心、多云内安全建设的负担。

2、边缘计算需求增长

企业对分布式边缘计算能力需求在不断增长，低延迟访问本地存储、计算系统和设备的需求也在不断增长。加上5G的到来，更让边缘计算需求加速催化。

SASE的边缘特性正满足了边缘计算需求。将PoP点建设尽可能贴近客户侧，使客户可以尽快接入优质的SASE网络，得到访问加速的同时，享受云上的全栈安全能力。

3、移动办公需求增长

疫情让移动办公爆发增长，公司员工、合作伙伴、代理商都有在企业外部访问企业应用服务的需求，传统的VPN只能满足少部分的移动办公需求，当人员组成复杂、人数持续增加的情况下，VPN已不再是最优解决方案。企业需要安全高效的移动办公解决方案。

SASE可以将企业移动终端纳管，移动办公人员就近接入SASE，一方面可以加速访问应用，另一方面还可享受多种安全防护，如数据防泄漏、过滤恶意网站等。

SASE的四大关键特性

1、重云端轻分支

SASE模型最大特点就是重云端、轻分支。SASE将安全和网络能力上移，通过统一的云交付形式，让多分支的IT建设和运维的负担减小。SASE云端提供身份认证、深度包检测、威胁防护、数据防泄漏等多项安全能力，并拥有广域网优化等网络能力，在地端，只需轻量的SD-WAN CPE部署，将流量导向云端安全服务。

2、边缘云服务

传统SaaS服务由于服务节点少，企业在应用时往往会使业务产生更大的延迟。SASE是边缘云服务，多节点、全球分布是其一大特征。用户可就近接入PoP节点，每个PoP节点提供相同的安全网络能力，SASE让企业流量在不绕行的同时拥有最好的安全防护。

3、身份驱动

SASE安全能力的关键在于访问控制，依靠零信任网络访问技术（Zero Trust Network Access ,ZTNA），SASE基于用户、设备、应用、访问记录等上下文信息，做出智能选路和访问权限控制等。

Gartner《The Future of Network Security Is in the Cloud》

4、云原生化

SASE的PoP点具备云原生特性，PoP点的弹性扩容、全球大量分布、易复制扩张、迭代速度快等特点都源于该特性。

辨析：SASE和SD-WAN是什么关系？

SD-WAN即软件定义广域网，将SDN技术应用在了广域网络。SD-WAN解决网络的连通问题，同时具备可编排、可高效运维管理的特点。

如果要论SASE和SD-WAN的关系，那么SD-WAN应该说是SASE网络服务的一种可选基础设施。而所谓的安全SD-WAN解决方案与SASE也有不同，安全SD-WAN解决方案更多是在地端SD-WAN前加防火墙，或是在SD-WAN盒子上增加IPS、ACL等功能，其思路仍停留在重地端建设上。而SASE的理念是重云端轻分支，尽可能将多的网络安全能力上移到云。

国内需要怎样的SASE

从2020年Gartner发布的中国ICT技术成熟度曲线可以看到我国云安全技术还在发展大前期，而SASE技术在全球的云安全技术成熟度曲线上正在概念膨胀的顶峰，SASE在国外市场的确反响良好，而国内市场目前真的需要SASE吗？

2020年中国ICT技术成熟度曲线

对业务发展的判断，源于对客户IT建设发展阶段和实际需求的观察。随着国内数字化转型改革深化，越来越多的客户面临以下问题：多云互通难、边缘接入能力弱、多分支安全互联难、跨国访问难、企业影子IT管理难、防数据泄露难等，SASE这样更简洁统一的服务形式确实能够为客户解决上述的问题。但在某些行业会有使用公有云SaaS服务的受限问题，这可能是SASE当前在国内发展会遇到的最明显的阻碍点。

短期来看，SASE也许会在国内走上中国特色发展道路。例如服务商也许会贴近等保要求发展SASE的安全能力；或将SASE做本地私有化，转化为多分支安全组网方案；或将SASE模型发展为安全专网解决方案，便于三方机构统一监管行业流量；或将SASE作为SD-WAN服务行业的监管方案，检测出入境流量等等，SASE模型可衍生应用在多行业领域。

总结

数字化转型浪潮下，围绕传统数据中心的网络安全架构不再适应企业发展，数字化企业需要更一体化、简洁智能、适应云时代的IT建设解决方案。

SASE改变了传统应用访问和安全防护模式，可极大提升用户访问混合环境下各类服务的便利性和安全性，它为企业的数字化转型而生，其重云端轻地端，边缘化去中心的服务架构能更好适应数字化转型企业的IT建设需求，多合一的网络安全能力可以解决云时代下大量企业面临的实际问题，中国特色化SASE发展前景让人期待。