SASE是Gartner提出的一个技术理念。在2019年下半年，Gartner发布了2019年度网络技术成熟度曲线报告，报告中提到了一项新的技术Secure Access Service Edge（SASE）。根据Gartner的定义，SASE是一种新兴服务，它融合了网络即服务（Network-as-a-Service）和网络安全即服务（Network Security-as-a-Service）两大模型，作为一种新兴的网络安全框架，将软件定义广域网（Software Defined Wide Area Network， 简称SD-WAN）与网络安全功能（如SWG、CASB、FWaaS和ZTNA等）集成到一个统一的云原生的服务平台上。用户网络通过连接到最近的SASE 服务提供点（简称POP点）以访问业务资源，满足了企业的动态安全访问需求。

如果您的数据知识存储在本地，存储中心就是数据中心。但是我们已进入了数字化转型的新纪元，现在越来越多企业把业务移到云上，传统意义上的数据中心已经不复存在。网络的边界已被无限扩展、数据无处不在。我们迫切需要一种全新的解决方案，既能为我们提供坚如磐石的安全保障，同时又拥有灵活高效的访问体验。这就是SASE的使命——Secure Access Service Edge。SASE不仅仅是一项技术，它是一场革命，是安全与高效连接的完美融合。它颠覆了传统安全架构的界限，将先进的安全措施和网络技术整合在一起，为我们的数据和应用创造了一个前所未有的防御堡垒。

SASE的出现代表了网络安全领域的一个重要转变，它不仅应对了日益复杂的网络环境和安全挑战，还为企业提供了更灵活、高效的网络管理方式。

在SASE的保护下，无论我们身处何方，无论我们的数据流向哪里，都能享受到最高级别的安全防护和最高效通畅的交互使用。

SASE是一种基于云的安全模型，它将软件定义的广域网与核心网络安全服务相结合，并在云边缘提供这些服务。SASE从概念提出到技术体系成熟完善，体现着网络与安全服务的不断融合。近年随着传统安全厂商、网络基础设施服务商开始提供各自的SASE解决方案，但是不是所有的“SASE”都能称之为SASE，真正的SASE必须具有五个功能模块：

SASE从概念提出到技术体系成熟完善，体现着网络与安全服务的不断融合。近年随着传统安全厂商、网络基础设施服务商开始宣称提供SASE解决方案，不断“重新定义”甚至背离SASE的本质与标准，让企业用户在SASE真正价值鉴别与选型过程中变得愈发困难。我们将举例说明哪些方案不符合SASE标准，以及与传统网络及安全服务的核心差异。

（1）SASE≠SD-WAN网络接入与服务

（2）SASE≠云化上网行为管理或接入代理

（3）SASE≠网络服务与安全能力组件堆叠

对于那些已经投入大量时间、资源和资金进行复杂的内部设置、管理复杂的基于云的安全服务网络，或者仍在适应远程工作未来的企业来说，SASE的采用可能会让人感到望而却步——但这不一定非得如此。以下是开始使用SASE的五个实际步骤：

1.保护远程员工的安全：实施零信任（ZTNA）解决方案替代VPN，保护公司数据和资源免受内部和外部威胁，并改善用户体验。通过将安全的web网关和基于云的防火墙置于边缘，您可以检查和过滤流量，而无需通过中央数据中心进行回送。

2.将分支机构放置在云层周围：将零信任体系结构应用于分支机构，这将消除对现场安全设备（硬件防火墙、DDoS防护等）的需求，这些设备的维护成本可能会很高，而且在快速变化的威胁环境中效率低下。

3.将DDoS保护移动到边缘：摆脱硬件DDoS设备，通过基于云的网络层DDoS保护企业网络免受攻击，该保护可以实时检测和缓解威胁。

4.将应用程序迁移到云端：随着组织规模的扩大，将应用程序从本地数据中心移动到云端，并确保在所有流量中应用一致的云安全策略。

5.用统一的、基于云的策略实施取代本地安全设备：通过将策略实施转移到边缘，降低维护网络硬件设备的成本和复杂性。在边缘，您可以从单个窗口监视和管理所有流量、攻击模式和安全策略。

（本文作者：北京天空卫士网络安全技术有限公司 张文礼）