全球巨头竞相布局！重新定义网络安全的SASE崛起正当时

安全是网络领域的一个重要话题，随着云服务和网络不推动数字业务概念的不断进行，我们逐渐发现，传统网络和网络安全架构远远不能满足数字业务的需求。目前市场上存在的众多安全解决方案都很昂贵，且没有固定的价格，而SASE的出现给安全领域注入了新的力量。

SASE是一个相对较新的概念，是Gartner在2019年末的报告《网络安全的未来在云端》中提出的安全模型概念。

在全球性的远程办公大潮中，传统的企业网络 “边界”彻底消失，提供远程访问和安全服务的SASE模型可以帮助企业重新定义网络和边界防御。

图片来源于网络

重新定义网络和安全架构

在企业纷纷拥抱数字业务的过程中，由于边缘计算、云服务、混合网络的逐渐兴起，使得本就漏洞百出的传统网络安全架构更加岌岌可危。

但就在2019年，曾发表过《零信任架构及解决方案》白皮书的Gartner公司，又扔出了一个更加“劲爆”的“炸弹”。Gartner提出了一个比“零信任”更高一个维度的概念，即“SASE”（安全访问服务边缘模型）。

SASE全称Secure Access Service Edge，即具备安全接入服务的边缘终端。是Gartner在2019年末的报告《网络安全的未来在云端》中提出的安全模型。Gartner对SASE的定义也很简单：SASE是一种基于实体的身份、实时上下文、企业安全／合规策略，以及在整个会话中持续评估风险／信任的服务。实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。

其基本思想是将已经建立的网络安全服务堆栈从基于数据中心的中心化架构，转变为将身份管理“下沉”到终端设备的设计，从而使安全架构能够更好地支持边缘计算和混合云等数字化转型新场景中的动态服务、软件即服务（SaaS）以及分布式数据处理等新业务。

随着企业纷纷拥抱数字业务过程，以及边缘计算、云服务和混合网络的兴起，传统网络和安全架构的整体复杂性带来了问题，例如延迟、网络盲点、过多的管理开销以及随着服务变化而不断进行重新配置的需求。通过降低网络复杂度和将安全过程迁移至可发挥最大效用的网络边缘，SASE模型摒除了这些问题。

SASE将SD-WAN与零信任访问等一系列安全能力集成，访问决策基于用户身份并在边缘强制执行，而策略则在云中集中定义和管理，可实现安全架构的核心从数据中心向身份的根本性转变。这种转变有助于实现云安全的防护效力最大化，更适应企业未来的数字化需求。

根据Gartner预计，到2024年，至少40％的企业将有明确的策略采用SASE，远高于2018年底的不到1％。而且由于新冠疫情引发的全球远程办公潮，很有可能加速SASE的普及。

由于供应商仍在开发其集成的基于云的SASE平台，因此早期采用者需要保持其SASE早期方案或准备工作的灵活性。

SASE与众不同的特点

随着全球企业数字化进程的不断深化，云时代的混合网络之下，一种能保证随时随地、可在任何终端或边缘进行安全连接和访问的网络正成为刚需，SASE的出现则满足了这种需要。

在Gartner 发布的《网络安全的未来在云端》报告中，描述SASE的关键词包括：身份驱动、云原生架构、支持所有边缘以及全球分布。而报告对SASE的具体定义是集下一代广域网(SD-WAN)和网络安全服务(如CASB、FWaaS、Zero Trust等)以及边缘计算于一体的云交付网络。

SASE框架毕竟也是与“零信任体系“一脉相承，所以”零信任体系“所包含的特点SASE自然是都有，除此之外，SASE还有着4个与众不同的特点：身份驱动、云原生、兼容所有边缘、全球分布。

1、身份驱动

所有行为和访问控制全部依赖于“身份“，服务质量、权限级别、路由选择、应用的风险安全控制等等，所有这些与网络连接相关联的服务全部由身份驱动。基于此，公司企业只需专注于身份管理与对应的安全策略，从而无需考虑设备或地理位置等因素，以此达到降低运营开销的目的。

2、云原生

SASE认定未来网络安全一定会集中在云服务上，因此SASE框架利用云原生的几个主要功能：弹性、自适应性、自恢复能力、自维护能力，以此提供一个分摊客户开销以提供最大效率的平台，可很方便地适应新兴业务需求，而且随处可用。

3、兼容所有边缘

SASE 为所有公司资源创建了一个网络——数据中心、分公司、云资源和移动用户。举个例子，软件定义广域网（SD－WAN）设备支持物理边缘，而移动客户端和无客户端浏览器访问连接四处游走的用户。

4、全球分布

为确保所有网络和安全功能随处可用，并向全部边缘交付尽可能好的体验，SASE 云必须全球分布。因此，企业需要具有全球 POP 点和对等连接的 SASE 产品，必须扩展自身覆盖面，向企业边缘交付低延迟服务。

SASE带给企业巨大价值

当前，保证随时、随地、可在任何终端或边缘进行安全连接和访问的网络正成为刚需，由此代表上述方向的SASE（Security Access Service Edge）网络正成为业界竞相布局的新热点，意识到SASE重要价值的一众SD-WAN、云安全及CDN厂商都纷纷展开该领域的布局。

比如下一代防火墙巨头Palo Alto Networks近期以4.2亿美元收购了一家SD-WAN服务商CloudGenix，目的是加快其云安全平台Prisma 的SASE网络问世。而从SD-WAN领域转型SASE的供应商 Cato Networks，近期也获得了7700万美元的D轮风险投资。HPE以9.25亿美元大手笔收购SD-WAN领军厂商Silver Peak，引发了SD-WAN领域新一轮的收购潮。

此外，全球前两大CDN厂商Akamai和国内近两年发力云安全的网宿科技也通过零信任访问快速切入SASE领域。

数据显示，疫情期间，全球多家主打SASE供应商的网络使用量已激增500%-900%，对该领域的单笔投资数额平均高达亿级美元。

SASE毕竟是一种各种新兴技术的集大成之作，虽然目前SASE过于庞大导致内部并不能很好处理各个接口和数据，但没有任何人会怀疑一旦SASE成熟后将给安全形式带来巨大改变。尤其是SASE将给企业带来巨大的价值，主要体现在以下几个方面：

1、灵活性

基于云基础架构提供多种安全服务，例如威胁预防、Web过滤、沙箱、DNS安全、数据防泄漏和下一代防火墙策略。

2、节省成本

利用单一平台，无需购买和管理多点产品，可以大大降低成本和IT资源。

3、降低复杂性

通过将安全堆栈整合到基于云的网络安全服务模型中来简化IT基础架构，可以最大限度地减少IT团队管理以及需要更新和维护的安全产品数量。

4、提高性能

借助云基础架构，你可以轻松连接到资源所在的任何位置。可以在全球范围内访问应用程序、互联网和公司数据。

5、零信任