一“融”解千愁，SASE因何成为未来网络安全的新范式？

2022 年 1 月 12 日 CSDN

今天这篇文章我们所聚焦的，是2019年Gartner在《网络安全的未来在云端》报告一文中提出的一个全新概念——SASE，Secure Access Service Edge，译作“安全访问服务边缘”。

此概念一经提出便被打上了“网络安全领域变革性技术”的标签，在2020年业界更是出现了“SASE将是SD-WAN技术下一个重要的发展浪潮”的呼声。那么，回到问题的原点，何为SASE？为何这一概念能够在短短两年的时间里引发业界如此广泛的关注？

套用Gartner在报告中对于SASE的定义：SASE是一种根据实体的身份、实时上下文、企业安全/合规战略，以及在整个会话中继续评价危险/信任的服务。它将全面的广域网功用与全面的网络安全功用（如SWG，CASB，FWaaS和ZTNA）相结合，以云的方法一致交付，从而满意企业的动态安全拜访需求，协助企业进行数字化转型。

SASE专注于云，其本质更像是云网络性与云安全性有机融合之下诞生的产物。从技术的角度上来看，SASE并非是一次变革式的技术突破，其存在主要是基于现有网络工具、技术、实践所做出的的完美整合。当然，整合本身便是一次伟大的创新，基于分布式架构的SASE专注于将各个端点(分支机构、个人用户或单个设备)连接到服务边缘，并进一步着重于网络本身固有的安全性。

当然，纯粹技术上的解读很难让我们对这一技术架构建立更深层次上的理解。在12月举办的Fortinet公开课第三讲中，来自全球知名网络安全公司Fortinet亚太区产品营销产品经理岑义涛与边缘云服务提供商Zenlayer解决方案架构师刘冰深入行业需求与企业实践，详细剖析了SASE网络技术。

SASE：云端网络安全问题的“良药”

过去企业的广域网架构通常是由企业的总部以及分支机构通过MPLS VPN以及运营商的网络来连接到企业应用所在的地方（通常是数据中心），同时在数据中心部署了安全能力进行流量检查。如果企业的分支想访问互联网，通常都需要把流量通过MPLS VPN连回到数据中心进行一系列的检查之后，然后通过数据中心或者总部统一的互联网出口进行互联网的访问。

但是随着企业数字化进程的推进以及移动化和云计算的全面普及，第一代信息化建设的重心基础设施面临着巨大的挑战。岑义涛在演讲中表示：不仅是数据中心的流量，还有包括诸如IaaS与SaaS的云计算平台流量，都呈现激增的状态。如果这些流量这些流量全都经过单一节点的企业数据中心进行自建的基于安全资源池集中检测的话，势必会牺牲云计算的敏捷和高效的优势，所以我们会发现当前的企业广域网架构会变成以SD-WAN为核心进行连接的架构模式。

企业IT的运行模式也在近两年件发生了很大的变化：员工的角度，从以前办公室下的固定办公到如今的Work from anywhere概念下的移动办公；企业的数据与应用正经历着从数据中心迁移至公有云IaaS或者SaaS的进程中。

然而，模式上的变化必然意味着挑战的到来。从效率的角度，全新分支与员工所面临的网络设备高速部署需求；不同网络、安全设备带来的部署挑战；从成本的角度，带宽的增加与分支独立设备带来的增加；从安全的角度，如何在移动办公的场景下保障安全能力......

如今的企业所需要的，便是一个能够将SD-WAN的网络能力与安全的能力融合，形成一种全新的网络架构来保护无处不在的办公与应用。SASE云网的出现，便很好的满足这一需求。

岑义涛对现如今SD-WAN使用场景的演进目标进行了总结，共有四点：

实现安全的互联，
能够提供更低的TCO
能够实现更高运营效率
实现更好的业务连续性，同时提供很好的应用访问体验。

这四点其实很好地解决了SASE的使命或者说网络安全融合的目标与驱动力。在今年Hype Cycle的企业网络成熟度曲线与网络安全的成熟度曲线上，SASE作为一种融合型的方案都处在炒作的顶峰，预计在2-5年内达到成熟。从能力角度上来讲，Gartner给出定义是SASE交付了网络和安全融合的服务，而且是一种服务的形式交付能力。其提供的核心能力包括SD-WAN、SWG、CASB、NGFW和零信任，并支持分支办公室、远程办公人员以及一些本地化的互联网的安全用例。在SASE中，既可以看到ZTNA、FWaaS、SWG等传统的网络安全技术，也会以服务的形式交付诸如SD-WAN、广域网优化、QoS、高级路由等网络能力，还有一个重要的SaaS加速功能。

将网络与安全融合，即在优化网络体验的同时保障安全，同时还要控制TCO，提高ROI。岑义涛认为一个真正的SASE需要具备SD-WAN以及应用加速能力，其扮演的角色更像是一个处于接入终端和计算环境之间的重要中间层。如果没有SD-WAN的能力，SASE其实是没有办法实现一个端到端访问体验的优化，所以从某种程度上可以将SD-WAN看做是SASE最关键的组成部件。

正因为SD-WAN的存在，企业可以使用最低的成本，以与业务相结合的方式将核心能力下放到企业的边缘。而在安全领域，SASE和传统的安全资源池的最大的区别就是在于PoP点，通过将不同的安全能力灵活的或者弹性的施加到靠近接入终端的PoP，才能够让流量以最小的代价进行安全检测。

通过SASEPoP方式，Fortinet能够为客户提供就近接入，无论是分支网络还是移动设备，都能保障通过硬件或者软件的方式接入到SASE PoP。面向用户Fortinet提供了一个统一的SASE管理平台，针对网络和安全能力进行统一的策略编排，并提供安全与应用的性能分析以及实时的状态监控。

在演讲中岑义涛总结了目前SASE的四大主要特点：

身份驱动：以云服务的形式提供，并包含ZTNA的能力；
云原生：以OpEx的采购模式按需使用，按量付费提供多租户、可扩展、快速变更的交付能力；
全边缘覆盖：支持企业远程办公软件，分支网络的边缘能力覆盖，并提供互联、访问优化以及安全的能力；
优化的骨干：SASE提供商必须能够提供一个相对广泛的PoP点的存在。

从SASE的使用场景的角度来看，在分支机构场景下可以通过将SD-WAN路由器连接至SASE PoP点来通过云化的方式解决安全问题，当然通过Fortinet的安全SD-WAN设备也可以解决这一问题。针对远程办公人员访问企业内部和互联网资源的需求，SASE的零信任访问控制手段在保障合规的基础上能够极大地保障企业内部应用的信息安全。面向全球应用的访问，诸如Salesforce、office 365等海外应用，SASE方案也能够在优化海外SaaS使用体验的同时保障安全。另外还有一个关键的使用场景是公有云IaaS，SASE平台能够很好的满足企业对高速接入与灵活变更的需求。

网络安全在云端，SASE实战篇

当然，任何一个成熟的技术架构都绕不过落地这一过程，SASE亦是如此。在公开课上，Zenlayer的解决方案结构式刘冰带来了SASE落地方案—SEA安全企业访问平台解决方案的深度解析。

Zenlayer作为一家全球边缘云服务提供商，在全球有着220个数据中心和26Tbps骨干网，并将分布在全球的数据中心与骨干网专线进行了打通。此前，Zenlayer与Fortinet合作联合推出了基于零信任方法与云端交付的“安全企业访问平台”（SecureEnterprise Access，简称SEA平台）。SEA的平台架构共分为三层：客户层、骨干层与应用层。其中应用层的办公人员通过IPSec VPN、SSL VPN或专线的方式连接到骨干网之上，骨干上的边缘节点会部署FortiGate作为PoP节点，最终在应用层建立办公室到IDC、公有云、远程办公人员或者是海外应用的连接。

刘冰在演讲中总结了近几年间企业网络架构发生的主要变化，其中包括企业网络架构由中心化向边缘化的变迁，企业访问方式拓展带来了网络通道的变化，访问目标由企业内网分散至公有云、SaaS，这样的变化也就带来了分支安全、设备统一化等问题。

SEA提供了一个整体的边缘安全服务能力以及骨干加速的能力，通过部署在各个边缘安全设备、安全网关，帮助企业进行安全云化、统一化以及标准化的管理。通过Zenlayer整体的骨干网架构，连接所有的公有云、SaaS以及企业全球的办公场所，SEA用户能够轻松建立全球的快速连接网络，并进行统一、配置标准化的流程管理。

在SEA平台的整体骨干网上，部署了FortiManager集中管理和FortiAnalyzer报告与日志分析来对整体网络架构进行统一的管理。在骨干网上的所有PoP都具备完善发的安全功能，作为企业一方可以灵活选择将这些安全功能云化到PoP或者部署在数据中心的硬件网关亦或是客户端之上，无论采取哪种选择，SEA平台都能够提供灵活的调配和统一的配置策略管理。

在演讲的最后，刘冰介绍了SEA平台的两个成功案例：

他先介绍了一个国际物流公司的组网方案，这家公司的总部位于香港，在国内有大量的分支机构，对国内外的互联网都有访问需求。由于其网络结构过于复杂，而物流需求导致其节点更新速度很快，在原先网络结构下新节点更新配置与部署的时间过长。在SEA方案下，该企业采用了统一的Fortinet网关设备代替原先的思科设备，将Fortinet的网关连接至SEA骨干网就近的PoP上，通过SEA本身的调度转化能力连接其相关总部、国内互联网和海外互联网。这样做的好处意味着在简化分支配置部署的同时，还进一步提升了分支设备的性能。当再次出现业务增长导致设备性能不够的时候，Fortinet网关设备支持关闭全部安全功能以提升转化能力，同时配合SEA平台将安全能力落在云端，弥补了安全能力的缺失。

第二个案例是新加坡的一家教育机构，公司旗下员工因为日常工作需求，经常有访问office365以及海外教育机构专用的学术网站等内容的需求，同时由于工作需求，其员工大多处于全球出差移动办公的场景中。在SEA方案中，采用的是员工电脑安装客户端连接骨干网络的方式。方案根据不同的SaaS所在不同区域，为员工分配不同的出口，同时在客户端配备了统一管理、安全等跟方面功能。

“网络安全的未来在云端”这句话正随着技术的发展演变正逐渐变为现实，而SASE便是其中重要的代表。SASE的出现引领着SD-WAN、CDN、安全设备等服务领域走向转型之路，在Fortinet及其合作伙伴的大力推动下，网络安全正进入一个全新的篇章。

登录查看更多