從VPN到SASE：不止安全，還有連接

VPN是一種技術(shù)，SASE是一種架構(gòu)，VPN 是SASE 集成解決方案的一部分。網(wǎng)絡(luò)從業(yè)者們大多對(duì)VPN耳熟能詳，但部分網(wǎng)絡(luò)從業(yè)者可能認(rèn)為SASE更偏安全領(lǐng)域，因此對(duì)其關(guān)注甚少。其實(shí)，SASE作為融合了網(wǎng)絡(luò)和安全的一個(gè)概念，在網(wǎng)絡(luò)云化、云網(wǎng)融合的背景下，網(wǎng)絡(luò)從業(yè)者需要對(duì)其加以關(guān)注。本文整理了SASE多角度的系統(tǒng)知識(shí)以饗讀者。

01

SASE 的含義——不僅僅是一個(gè)流行詞

近年來(lái)，數(shù)字化、云計(jì)算的發(fā)展加速了安全訪問(wèn)服務(wù)邊緣（SASE，Secure Access Service Edge）的采用，以實(shí)現(xiàn)統(tǒng)一的云原生網(wǎng)絡(luò)和安全服務(wù)。SASE 模型最初由 Gartner于 2019 年推出，它將網(wǎng)絡(luò)和安全解決方案連接起來(lái)。

下面是一個(gè)簡(jiǎn)單的SASE定義：

Secure Access Service Edge（縮寫為 SASE）是一種云架構(gòu)模型，它結(jié)合了網(wǎng)絡(luò)和安全即服務(wù)功能，將它們作為單一的基于云的服務(wù)提供。隨著企業(yè)攻擊面不斷擴(kuò)展到云應(yīng)用、本地資源和個(gè)人設(shè)備，SASE 網(wǎng)絡(luò)提供了一個(gè)具有完全集成的安全和網(wǎng)絡(luò)堆棧的上下文感知解決方案，可以在數(shù)據(jù)流向的任何地方執(zhí)行策略。

企業(yè)可以將他們的網(wǎng)絡(luò)和安全工具整合到一個(gè)無(wú)縫的管理解決方案中。換句話說(shuō)，在遠(yuǎn)程工作和云服務(wù)激增的時(shí)代，SASE為企業(yè)提供了一種方便、敏捷、可擴(kuò)展的網(wǎng)絡(luò)和安全 SaaS 解決方案。

02

SASE 是如何工作的？

SASE將SD-WAN邊緣功能與全面的云安全功能相結(jié)合，包括

• 防火墻即服務(wù) (FWaaS)

• 云安全 Web 網(wǎng)關(guān) (SWG)

• 零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA)

• 云訪問(wèn)安全代理 (CASB)

• Web 應(yīng)用程序和 API 保護(hù)即服務(wù) (WAAPaaS)

傳統(tǒng)上，來(lái)自分支機(jī)構(gòu)的應(yīng)用流量通過(guò)MPLS服務(wù)傳輸?shù)狡髽I(yè)數(shù)據(jù)中心進(jìn)行驗(yàn)證，當(dāng)所有應(yīng)用程序都托管在數(shù)據(jù)中心時(shí)這種方式很有效，但隨著業(yè)務(wù)向云遷移，傳統(tǒng)架構(gòu)不再能夠滿足需求。
如今，越來(lái)越多的應(yīng)用程序、數(shù)據(jù)和工作負(fù)載位于云數(shù)據(jù)中心和基礎(chǔ)設(shè)施即服務(wù) (IaaS) 平臺(tái)中。這意味著 IT 組織需要重新考慮如何建立網(wǎng)絡(luò)以及如何保護(hù)他們的用戶和資源?；谶吔绲陌踩詿o(wú)法管理從多個(gè)位置通過(guò)云訪問(wèn)應(yīng)用程序的遠(yuǎn)程用戶。通過(guò)數(shù)據(jù)中心和公司防火墻路由去往互聯(lián)網(wǎng)的流量首先會(huì)導(dǎo)致性能和用戶體驗(yàn)下降。

SASE旨在通過(guò)轉(zhuǎn)換和統(tǒng)一廣域網(wǎng)和網(wǎng)絡(luò)安全來(lái)解決這些問(wèn)題。傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)是圍繞網(wǎng)絡(luò)策略執(zhí)行點(diǎn)和強(qiáng)制路由流量構(gòu)建的。SASE 架構(gòu)顛覆了這種模式，安全和廣域網(wǎng)功能在 SASE PoP上作為單一服務(wù)提供，用戶連接到最近的可用 PoP 以訪問(wèn)服務(wù)。

通過(guò)集成高級(jí) SD-WAN 和安全功能，SASE 模型降低了操作復(fù)雜性，同時(shí)確保對(duì)應(yīng)用程序、用戶、設(shè)備和物聯(lián)網(wǎng) (IoT) 的一致策略實(shí)施和訪問(wèn)控制。

03

SASE 模型的組成部分

SASE將安全重點(diǎn)從以流量為中心轉(zhuǎn)移到以身份為中心，將安全性嵌入到網(wǎng)絡(luò)中。SASE解決方案包括以下組成部分

• 軟件定義的廣域網(wǎng) (SD-WAN)

SD-WAN 為 SASE 解決方案提供了基礎(chǔ)，實(shí)現(xiàn)了優(yōu)化的網(wǎng)絡(luò)路由和增強(qiáng)的性能。SD-WAN 是基于 Internet 的 VPN 的靈活可靠替代方案，也是 MPLS 的一種更經(jīng)濟(jì)實(shí)惠的替代方案。一些核心功能包括：延遲優(yōu)化、流量路由、全球分布式網(wǎng)關(guān)、內(nèi)聯(lián)加密等

• 零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA)

零信任是一種安全策略，其運(yùn)行前提是一切都不可信——用戶、數(shù)據(jù)、設(shè)備、工作負(fù)載或網(wǎng)絡(luò)本身都不可信。它是一個(gè)框架，確保所有資源都可以安全地訪問(wèn)，無(wú)論位置如何，并應(yīng)用最小權(quán)限訪問(wèn)策略。

ZTNA 提供了粒度級(jí)控制來(lái)驗(yàn)證應(yīng)用程序的用戶身份，這使得它非常適合 SASE。ZTNA 是為適應(yīng)業(yè)務(wù)變化而設(shè)計(jì)的，是 SASE 安全的一個(gè)可靠、彈性的組成部分。

• 云訪問(wèn)安全代理 (CASB)

云訪問(wèn)安全代理 (CASB) 充當(dāng)用戶和云服務(wù)提供商之間的中介，旨在復(fù)雜的安全環(huán)境中保護(hù)組織基于云的應(yīng)用程序。
CASB 整合了多種類型的安全策略實(shí)施，并將它們應(yīng)用于企業(yè)在云中使用的一切——無(wú)論用戶從什么設(shè)備訪問(wèn)它，包括非托管智能手機(jī)或個(gè)人筆記本電腦。這使組織能夠安全地使用云，而不會(huì)損害其企業(yè)數(shù)據(jù)，這對(duì)于正在進(jìn)行數(shù)字化轉(zhuǎn)型的企業(yè)來(lái)說(shuō)是一大優(yōu)勢(shì)。

• 防火墻即服務(wù) (FWaaS)

FWaaS 是一種云防火墻，可提供高級(jí)下一代防火墻 (NGFW) 功能，包括：URL過(guò)濾、高級(jí)威脅防護(hù)、入侵防御系統(tǒng) (IPS)、DNS 安全。
就像傳統(tǒng)防火墻會(huì)形成圍繞企業(yè)內(nèi)部網(wǎng)絡(luò)的屏障一樣，基于云的防火墻將形成圍繞云平臺(tái)、基礎(chǔ)設(shè)施和應(yīng)用程序的虛擬屏障。云防火墻也可以保護(hù)內(nèi)部基礎(chǔ)設(shè)施。

• 安全 Web 網(wǎng)關(guān) (SWG)

SWG 通過(guò)執(zhí)行公司安全策略和實(shí)時(shí)過(guò)濾惡意流量來(lái)保護(hù)上網(wǎng)用戶和設(shè)備免受在線安全威脅。
一個(gè)強(qiáng)大的 SWG 應(yīng)該提供：

• URL過(guò)濾

• 數(shù)據(jù)丟失和泄漏預(yù)防

• 惡意代碼檢測(cè)

• 遠(yuǎn)程瀏覽器隔離 (RBI)

• 應(yīng)用程序識(shí)別和控制功能

• 監(jiān)控和審計(jì)追蹤

審計(jì)追蹤是企業(yè)安全態(tài)勢(shì)的重要組成部分。它記錄了使用數(shù)據(jù)發(fā)生的每個(gè)事件、活動(dòng)或事務(wù)。審計(jì)追蹤可幫助組織確保合規(guī)性、進(jìn)行數(shù)字取證、維護(hù)數(shù)據(jù)完整性、執(zhí)行業(yè)務(wù)分析、檢測(cè)欺詐并防止數(shù)據(jù)泄露

由于企業(yè)數(shù)據(jù)使用量龐大，每天的審計(jì)日志量可達(dá)數(shù)十萬(wàn)。這種級(jí)別的規(guī)模和復(fù)雜性需要自動(dòng)監(jiān)控和跟蹤。

• 威脅預(yù)防

威脅防護(hù)是指保護(hù)網(wǎng)絡(luò)的策略和工具。雖然威脅預(yù)防過(guò)去主要關(guān)注邊界安全，但隨著云采用的擴(kuò)大，攻擊面也在擴(kuò)大，組織不得不采取多層安全方法。

SASE 模型中的高級(jí)威脅防御策略可以包括用于入侵威脅檢測(cè)和防御、高級(jí)惡意軟件保護(hù)和端點(diǎn)安全威脅防御的工具。

• 可擴(kuò)展性

Scalability與Extensibility（通常指硬件和系統(tǒng)）密切相關(guān)，隨著云計(jì)算的加速發(fā)展，用戶正在從更多的設(shè)備和位置訪問(wèn)更多的應(yīng)用程序。更多的應(yīng)用意味著更多的數(shù)據(jù)、更多的流量和更多的威脅。SASE 依靠動(dòng)態(tài)可擴(kuò)展性作為網(wǎng)絡(luò)安全的核心組件，以靈活地適應(yīng)日益復(fù)雜的網(wǎng)絡(luò)。

• 數(shù)據(jù)丟失防護(hù) (DLP)

數(shù)據(jù)丟失防護(hù) (DLP) 是一組用于檢測(cè)和防止數(shù)據(jù)泄露或未經(jīng)授權(quán)破壞敏感數(shù)據(jù)的工具和流程。組織使用 DLP 來(lái)保護(hù)他們的數(shù)據(jù)并確保合規(guī)性。

DLP 對(duì)于保護(hù)個(gè)人身份信息 (PII) 和知識(shí)產(chǎn)權(quán)、保護(hù)移動(dòng)員工、加強(qiáng)自帶設(shè)備 (BYOD) 環(huán)境的安全性以及保護(hù)遠(yuǎn)程云系統(tǒng)上的數(shù)據(jù)尤為重要。DLP 是SASE模型下集成安全方法的重要組成部分。

04

SASE 的 11 項(xiàng)優(yōu)勢(shì)

據(jù)Gartner 預(yù)測(cè)，到 2025 年，至少 60% 的企業(yè)將擁有明確的 SASE 采用戰(zhàn)略和規(guī)劃，高于 2020 年的 10%。以下是采用SASE的 11 個(gè)好處：
1. 集中式動(dòng)態(tài)RBACSASE 依賴于集中式基于角色的訪問(wèn)控制 (RBAC)，它根據(jù)用戶在組織中的角色來(lái)限制訪問(wèn)。角色由公司分配，并確定通過(guò)系統(tǒng)授予每個(gè)用戶的權(quán)限和訪問(wèn)權(quán)限。
例如，角色可能包括管理員、專家和最終用戶——每個(gè)人都有不同級(jí)別的訪問(wèn)或權(quán)限。一些員工可能有權(quán)訪問(wèn)和修改文檔，而其他員工只能查看文件。
這使組織能夠以更有針對(duì)性和更靈活的方式保護(hù)訪問(wèn)。使用 RBAC，員工只能訪問(wèn)完成工作所必需的信息，從而限制了公司內(nèi)部可以訪問(wèn)或共享敏感數(shù)據(jù)的人數(shù)。
2. 跨混合環(huán)境的集中式管理SASE 統(tǒng)一了網(wǎng)絡(luò)管理，可提供跨所有混合環(huán)境的集中式管理。隨著組織越來(lái)越多地遷移到云中，安全環(huán)境變得更加復(fù)雜，需要不同的工具和管理解決方案將它們組合在一起。這在數(shù)據(jù)和網(wǎng)絡(luò)管理中產(chǎn)生了盲點(diǎn)，使組織容易受到攻擊。

SASE 通過(guò)彌合這些技術(shù)差距并將網(wǎng)絡(luò)和安全管理置于一個(gè)無(wú)縫保護(hù)傘下，解決了數(shù)據(jù)和工具孤立的問(wèn)題。

3. 用戶、應(yīng)用程序和數(shù)據(jù)整體治理通過(guò)統(tǒng)一安全技術(shù)堆棧，SASE 模型改進(jìn)了用戶、應(yīng)用程序和數(shù)據(jù)的整體治理。它確保最佳實(shí)踐安全解決方案（包括 RBAC、DLP、FWaaP 和 SWG）在所有環(huán)境中得到應(yīng)用，消除安全邊界中的漏洞并實(shí)施一致的策略和合規(guī)性，無(wú)論用戶身在何處或他們?nèi)绾卧L問(wèn)數(shù)據(jù)。
4. 審計(jì)追蹤和報(bào)告數(shù)據(jù)監(jiān)控和報(bào)告是網(wǎng)絡(luò)安全的重要組成部分。依靠機(jī)器學(xué)習(xí)和人工智能，SASE 模型將審計(jì)跟蹤和報(bào)告機(jī)制構(gòu)建到網(wǎng)絡(luò)架構(gòu)中，以確保在混合環(huán)境中每個(gè)接觸點(diǎn)的全面可見(jiàn)性和實(shí)時(shí)、可擴(kuò)展的威脅預(yù)防、檢測(cè)和分析。

5. 簡(jiǎn)化的安全模型SASE 的最大好處之一是它簡(jiǎn)化了云和混合安全模型。傳統(tǒng)網(wǎng)絡(luò)解決方案需要額外的工具和系統(tǒng)來(lái)跟上數(shù)字化的步伐、攻擊面的擴(kuò)大和新出現(xiàn)的安全威脅。然而，傳統(tǒng)解決方案往往無(wú)法滿足當(dāng)今現(xiàn)代 IT 保護(hù)其組織所需的高級(jí)功能。

SASE 通過(guò)應(yīng)用 FWaaS 解決了這一挑戰(zhàn)，F(xiàn)WaaS 將 URL 過(guò)濾、反惡意軟件和防火墻等安全功能嵌入到其基礎(chǔ)設(shè)施中。這簡(jiǎn)化了安全管理，使組織能夠設(shè)置和執(zhí)行統(tǒng)一的策略，快速識(shí)別問(wèn)題。
6. 一致的邊-邊安全SASE 將網(wǎng)絡(luò)和安全功能結(jié)合在一個(gè)單一的多租戶云平臺(tái)中，增強(qiáng)了安全性和性能。作為完整網(wǎng)絡(luò)安全堆棧的一部分，該解決方案將 SWG、NGFW 和 DLP 等高級(jí)安全功能嵌入到其架構(gòu)中，實(shí)現(xiàn)了邊-邊的保護(hù)。
7. 降低成本SASE 消除了多廠商物理和虛擬設(shè)備的需求，降低了采用和維護(hù)解決方案的成本，同時(shí)簡(jiǎn)化了后端的管理。通過(guò)最大限度地減少 IT 工作負(fù)載、提高效率和降低人員成本進(jìn)一步節(jié)省成本，并且不會(huì)犧牲安全性。
8. 減少管理工作和時(shí)間SASE 通過(guò)一個(gè)基于云的中央應(yīng)用程序簡(jiǎn)化了網(wǎng)絡(luò)安全管理。這意味著當(dāng)網(wǎng)絡(luò)擴(kuò)展時(shí)，架構(gòu)的復(fù)雜性不會(huì)增加。這減少了管理工作量，并讓 IT 員工騰出時(shí)間專注于其他高價(jià)值的優(yōu)先事項(xiàng)。
9. 減少依賴SASE 模型可以減少組織對(duì)多個(gè)設(shè)備和供應(yīng)商的依賴。這不僅可以最大程度地減少成本和資源投資，還可以讓組織對(duì)其網(wǎng)絡(luò)基礎(chǔ)設(shè)施和邊緣安全具有更大的控制力和靈活性。
10. 更快更可靠的服務(wù)SASE用基于 ZTNA 原則的網(wǎng)絡(luò)安全取代傳統(tǒng)的 VPN 設(shè)備。對(duì)于傳統(tǒng)的 VPN 解決方案，企業(yè)必須部署額外的設(shè)備來(lái)填補(bǔ)功能上的空白（如 SD-WAN 安全和 NGFW）。VPN 設(shè)備通常會(huì)降低 WAN 速度，對(duì)性能產(chǎn)生負(fù)面影響，因?yàn)樗鼈冇?CPU 和資源限制。云原生 SASE 解決方案不受規(guī)模限制，并通過(guò)其底層基礎(chǔ)設(shè)施提供額外的 WAN 優(yōu)化，從而實(shí)現(xiàn)更快、更可靠的服務(wù)。
11. 永久數(shù)據(jù)保護(hù)如今，企業(yè)收集、處理和分發(fā)大量數(shù)據(jù)，包括敏感的專有數(shù)據(jù)和個(gè)人數(shù)據(jù)。為了跨環(huán)境保護(hù)數(shù)據(jù)，SASE 支持通過(guò)云交付 DLP（數(shù)據(jù)丟失防護(hù)），從根本上消除了采用和維護(hù)多種保護(hù)工具的需要。這允許組織在所有邊緣應(yīng)用一致的安全策略，從移動(dòng)設(shè)備到云，再到本地位置。

05

SASE 和 SD-WAN 有什么關(guān)系？

SASE 將 SD-WAN 與網(wǎng)絡(luò)安全相結(jié)合，提供了一個(gè)整體的網(wǎng)絡(luò)管理解決方案，可簡(jiǎn)化訪問(wèn)、增強(qiáng)安全性并提高性能。SD-WAN 將SDN的概念與傳統(tǒng) WAN 技術(shù)相結(jié)合，以提供更好的流量路由和網(wǎng)絡(luò)操作。它在組織現(xiàn)有 WAN 連接上充當(dāng)Overlay網(wǎng)絡(luò)，以改善網(wǎng)絡(luò)流量。

• SASE 和 SD-WAN 之間主要區(qū)別

SASE 和 SD-WAN 都是虛擬化技術(shù)，覆蓋廣泛的地理區(qū)域并具有相同的目標(biāo)：以可擴(kuò)展且易于管理的方式將獨(dú)立的分支機(jī)構(gòu)和最終用戶連接到企業(yè)的網(wǎng)絡(luò)資源。
但是，SASE 和 SD-WAN 之間存在幾個(gè)主要區(qū)別：

#

部署和架構(gòu) 

SD-WAN 可以通過(guò)物理、軟件或云連接進(jìn)行部署，具體取決于組織的需要。它主要將分支機(jī)構(gòu)連接到數(shù)據(jù)中心，而 SASE 僅作為專注于端點(diǎn)和最終用戶設(shè)備的云原生解決方案運(yùn)行。

企業(yè)可以選擇 DIY、托管或混合 SD-WAN，其中 IT 可以自行管理網(wǎng)絡(luò)，也可以將管理外包給第三方供應(yīng)商，或兩者兼而有之。SASE 平臺(tái)通過(guò)單一的即服務(wù)（as-a-service）工具提供綜合的網(wǎng)絡(luò)和安全功能。與 SD-WAN 相比，這通常更簡(jiǎn)單，更適合組織定制。

#

安全性

SD-WAN 具有一些安全功能，但主要側(cè)重于網(wǎng)絡(luò)管理。相比之下，SASE 具有內(nèi)置的安全性，采用了 SD-WAN 的許多優(yōu)勢(shì)，例如可擴(kuò)展性和簡(jiǎn)化的管理，以獲得更安全的云原生解決方案。

#

流量和連接

SASE 和 SD-WAN 具有不同的架構(gòu)，這會(huì)影響各自處理流量和連接的方式。

SD-WAN 將分支機(jī)構(gòu)連接到組織的網(wǎng)絡(luò)和數(shù)據(jù)中心資源，遵循配置的網(wǎng)絡(luò)策略來(lái)確定如何通過(guò)數(shù)據(jù)中心路由和回程流量。

SASE 專注于云環(huán)境以及將端點(diǎn)連接到服務(wù)邊緣。因?yàn)樗腔谠频模圆恍枰ㄟ^(guò)數(shù)據(jù)中心回傳流量，而是通過(guò)全球分布的 PoP 進(jìn)行路由。

#

遠(yuǎn)程訪問(wèn)

由于 SASE 基于云，因此它具有內(nèi)置的遠(yuǎn)程訪問(wèn)功能，相比之下，SD-WAN 依賴昂貴的第三方服務(wù)來(lái)改進(jìn)遠(yuǎn)程訪問(wèn)功能，從而限制了公司選擇連接遠(yuǎn)程員工的規(guī)模。

在許多方面，SASE 更是 SD-WAN 的進(jìn)化。它將 SD-WAN 的功能和優(yōu)勢(shì)與高級(jí)網(wǎng)絡(luò)安全服務(wù)相結(jié)合，打造出無(wú)縫的一體化解決方案。

• SASE vs SD-WAN vs SWG vs UTM / NGFW

在基于云的環(huán)境中，SD-WAN、SWG 和統(tǒng)一威脅管理 (UTM) 或 NGFW 等單點(diǎn)解決方案無(wú)法在不增加成本和復(fù)雜性的情況下提供企業(yè)所需的功能。SASE 通過(guò)整合這些孤立的單點(diǎn)解決方案克服了這些問(wèn)題，從而形成一個(gè)全球連接的云原生平臺(tái)，提供增強(qiáng)的訪問(wèn)和安全性。

• 實(shí)際采用 SASE 有多難？

雖然SASE采用率正在上升，但這種轉(zhuǎn)變可能需要時(shí)間，尤其是對(duì)于已經(jīng)將資源投入到現(xiàn)有安全和數(shù)字化轉(zhuǎn)型計(jì)劃中的大型企業(yè)而言。

以下是采用SASE的潛在挑戰(zhàn)：
＞ SASE 的成熟度——網(wǎng)絡(luò)即服務(wù) (NaaS) 和安全即服務(wù) (SECaaS) 市場(chǎng)尚不成熟，這意味著構(gòu)建 SASE 解決方案的供應(yīng)商仍在不斷發(fā)展。目前市場(chǎng)上的SASE廠商很多是安全供應(yīng)商增加了云和 SD-WAN 功能，又或是添加了安全功能的網(wǎng)絡(luò)供應(yīng)商。

＞ 尋找值得信賴的供應(yīng)商和服務(wù)提供商——同樣，由于 SASE 技術(shù)還很年輕，因此可能需要更長(zhǎng)的時(shí)間來(lái)確定滿足企業(yè)需求的供應(yīng)商。企業(yè)需要從一開始就充分了解需求，并據(jù)此評(píng)估供應(yīng)商以及他們提供的服務(wù)水平。

＞ 現(xiàn)有解決方案與SASE之間的取舍——許多大型企業(yè)在軟硬件解決方案方面都進(jìn)行了大量投資，難以舍棄。企業(yè)通常有專門的人員甚至團(tuán)隊(duì)負(fù)責(zé)和管理當(dāng)前的解決方案。采用 SASE 可能會(huì)破壞原本的規(guī)劃，企業(yè)需要考慮對(duì)員工進(jìn)行再培訓(xùn)和重新分配任務(wù)，這可能會(huì)減緩采用速度。

06

如何開始采用 SASE？

組織想要順利過(guò)渡到 SASE 模型需考慮到以下幾個(gè)因素：

1. 確定安全性和合規(guī)性要求SASE 不是一個(gè)單一的工具，而是一個(gè)用于集成和改進(jìn)現(xiàn)有安全堆棧的框架。為了成功采用此模型，首先需要根據(jù)網(wǎng)絡(luò)環(huán)境和用戶需求了解組織的安全要求。
此外，需查看安全策略和標(biāo)準(zhǔn)以確保SASE 網(wǎng)絡(luò)具有內(nèi)置的合規(guī)性措施。在一開始就確定這些要求，將能夠更好地設(shè)計(jì)出滿足組織需求并確保最高標(biāo)準(zhǔn)安全性和合規(guī)性的體系結(jié)構(gòu)。

2. 了解用戶和應(yīng)用程序每個(gè)組織都有一個(gè)獨(dú)特的用戶群，組織配置架構(gòu)時(shí)可以提前了解他們?cè)诰W(wǎng)絡(luò)中如何運(yùn)行和交互。換句話說(shuō)，如果組織不了解自己的 IT 環(huán)境，就很難對(duì)其進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。由于 SASE 支持 ZTNA，這需要根據(jù)業(yè)務(wù)需求定義訪問(wèn)控制，因此了解 IT 環(huán)境的結(jié)構(gòu)和用例對(duì)于成功采用至關(guān)重要。

3. 獲得整個(gè)團(tuán)隊(duì)的支持遷移需要對(duì)IT 和安全基礎(chǔ)架構(gòu)進(jìn)行全面檢查，這可能會(huì)打擾到團(tuán)隊(duì)，所以如果提前與利益相關(guān)者溝通，獲得團(tuán)隊(duì)的支持，組織遷移到 SASE 模型會(huì)更順利。

4. 針對(duì)特定目標(biāo)測(cè)試 SASE 解決方案一旦組織采用了 SASE 模型，如何知道它是否成功？需要概述解決方案的關(guān)鍵目標(biāo)和優(yōu)先級(jí)，并將其作為衡量遷移有效性的基準(zhǔn)。如果沒(méi)有達(dá)到目標(biāo)，需要確定SASE 解決方案中可能存在的差距。

5. 實(shí)施 SASE 作為云遷移的一部分云遷移和數(shù)字化工作正在興起。據(jù) Gartner 稱，在 COVID-19 后，69% 的董事會(huì)加快了他們的數(shù)字業(yè)務(wù)計(jì)劃。如果企業(yè)正在加入云遷移，將 SASE 作為云戰(zhàn)略的一部分，可以更有效地調(diào)整整個(gè)組織的云計(jì)劃。

07

七大疑問(wèn)

• SASE 有什么用？

SASE 是一種云架構(gòu)模型，它結(jié)合了網(wǎng)絡(luò)和安全即服務(wù)，通過(guò)單一的云交付平臺(tái)向客戶分發(fā)網(wǎng)絡(luò)和安全功能，用于改善工作人員的的遠(yuǎn)程訪問(wèn)

• SASE 需要哪些特性？

結(jié)合 SD-WAN 和安全功能

可擴(kuò)展、敏捷和自我修復(fù)的云原生架構(gòu)

全球分布的 PoP 結(jié)構(gòu)，無(wú)論用戶位于何處，都能確保高級(jí) WAN 和安全功能

驅(qū)動(dòng)影響安全策略實(shí)時(shí)上下文的身份驅(qū)動(dòng)服務(wù)

• SASE 安全嗎？

SASE 提供端到端的安全性。它將 SD-WAN 與一整套高級(jí)安全功能相結(jié)合，提供集中式解決方案，提高數(shù)據(jù)可見(jiàn)性和監(jiān)控、提升性能，并彌補(bǔ)了用戶端點(diǎn)而非傳統(tǒng)邊界的安全漏洞。

• SASE 是 VPN 嗎？

VPN 是SASE 集成解決方案的一部分。采用此模型的組織將其現(xiàn)有的網(wǎng)絡(luò)功能（如 VPN）結(jié)合起來(lái)提供無(wú)縫的云解決方案。例如，VPN 服務(wù)將流量路由到 SASE 解決方案，然后通過(guò)軟件即服務(wù) (SaaS) 路由到任何公共或私有云。

• SASE 是 SD-WAN 嗎？

SD-WAN 是 SASE 的一部分。SASE 在其架構(gòu)中嵌入了邊緣 SD-WAN 功能，作為其組合網(wǎng)絡(luò)和基于策略的安全功能的一部分。

• SASE 會(huì)取代 SD-WAN 嗎？

SASE 將 SD-WAN 集成到其網(wǎng)絡(luò)和安全框架中。也就是說(shuō)，SD-WAN只是廣域網(wǎng)轉(zhuǎn)型的第一步。SASE 是邁向高級(jí) WAN 功能的下一步，可實(shí)現(xiàn) SD-WAN 所缺乏的安全、云和連接功能。

• SASE 是 SD-WAN 和安全的未來(lái)嗎？

SASE 是一個(gè)不斷發(fā)展的框架，可以解決傳統(tǒng)安全和網(wǎng)絡(luò)解決方案（如 SD-WAN）的挑戰(zhàn)和問(wèn)題。隨著混合工作和云應(yīng)用的興起，傳統(tǒng)的安全和網(wǎng)絡(luò)方法已不再足夠。SASE 提供了一種簡(jiǎn)化的集成解決方案，以更高效、更易于管理且更具成本效益的模式中滿足大多數(shù)網(wǎng)絡(luò)和安全需求。

08

基于云的網(wǎng)絡(luò)安全的未來(lái)

數(shù)字化和遠(yuǎn)程工作將繼續(xù)存在，這意味著組織將需要采用能夠滿足遠(yuǎn)程用戶和分布式員工需求的網(wǎng)絡(luò)和安全態(tài)勢(shì)。SASE為網(wǎng)絡(luò)安全的未來(lái)提供了一個(gè)基于云的、動(dòng)態(tài)的、完全集成的愿景。