一位SASE用戶的體驗日記

用兩個詞概括我用了SASE后的感受：

簡單、可靠

第一次看到“SASE”這個詞，是在2021年3月的某個早晨，在一條朋友圈廣告上：

當(dāng)時吸引我的不是“SASE”，而是廣告詞里的“辦公安全管理”。

很長一段時間，我都在煩惱公司的辦公安全問題，任何與辦公安全有關(guān)的信息似乎都是救命稻草。這條廣告，自然也是要抓住的。

我知道廣告很可能是騙人的，但那一刻我還是“上頭”了……

沒有硬件設(shè)備，3分鐘就能上線？

提交完試用申請，早餐的面包還沒啃完，電話就來了。

是一位姓林的安全專家。林工了解完情況說，“你這情況不復(fù)雜，現(xiàn)在就能安排試用。”

好家伙，原來這款SASE產(chǎn)品不用部署安全硬件設(shè)備，直接線上開通安全服務(wù)，然后電腦上安裝一個軟件客戶端，有網(wǎng)絡(luò)就能實(shí)現(xiàn)管控。用林工的話說，這是“安全能力云化交付”。

安全服務(wù)開通很快，3分鐘就能完成：

1．注冊賬號

開通服務(wù)前先注冊一個云圖賬號x.sangfor.com.cn

2．開通授權(quán)

讓林工幫忙給賬號開通上網(wǎng)行為管理服務(wù)（SASE-AC）的授權(quán)；如果是終端檢測響應(yīng)服務(wù)（SASE-EDR），無需授權(quán)，直接云圖后臺開通

3．安裝客戶端

在云圖后臺下載安裝一個SASE-AC/SASE-EDR軟件客戶端

4．策略配置

在后臺配置策略，包括不同人員的授權(quán)、敏感信息/關(guān)鍵詞管控策略等等

3分鐘，over！

這不就是網(wǎng)購一族的正常操作嗎？選中產(chǎn)品，選好款式/規(guī)格，下單完事，就等收貨了。

試用第7天，我后悔了一件事

雖然這款SASE產(chǎn)品前期的操作簡單、方便，但對這種“虛無縹緲”的東西我還是保持質(zhì)疑：

1. 無硬件設(shè)備，連客戶端安裝后都隱藏了，摸不著看不到，怎么確保它在“工作”呢？

2. 這款產(chǎn)品通過安裝在電腦上的客戶端軟件或通過引流器將網(wǎng)絡(luò)流量引流到云端（云POP點(diǎn)）進(jìn)行管理和安全檢測，怎么確保我的數(shù)據(jù)在云上是安全的呢？廠商或其他用戶會不會窺竊數(shù)據(jù)？會不會利用或傳播數(shù)據(jù)呢？

應(yīng)該不只我一個人有這樣的疑慮。那么，這款SASE產(chǎn)品是怎么表現(xiàn)的呢？

首先，說說它的“工作”效果。

這次試用我安排了二十幾個PC點(diǎn)接入，我的目的是確保每臺電腦的上網(wǎng)安全及保障員工的工作效率，不同PC做了相應(yīng)的策略配置：

1. 能上外網(wǎng)的PC點(diǎn)：配置了敏感信息外泄管控、風(fēng)險應(yīng)用攔截、與工作無關(guān)應(yīng)用流量管控、U盤管控（拷貝敏感文件）、病毒查殺/處理等安全策略。

2. 只能上內(nèi)網(wǎng)的PC點(diǎn)：配置了U盤管控（拷貝敏感文件）、病毒查殺/處理等安全策略。

具體效果如何呢？

在上網(wǎng)安全管控方面，每個終端的上網(wǎng)風(fēng)險情況都有清晰的衡量指標(biāo)，涉及泄密文件情況、工作時間訪問與工作無關(guān)應(yīng)用的時長、被攔截情況等等。

在終端檢測響應(yīng)方面，可以在管理后臺清楚地看到所有終端設(shè)備的安全情況，有哪些高危事件、哪些設(shè)備失陷了、失陷的原因、應(yīng)如何操作等等，都有詳細(xì)的信息。

當(dāng)出現(xiàn)風(fēng)險事件時，微信公眾號會主動告警，可以直接在手機(jī)上一鍵下發(fā)處置策略，連運(yùn)維人員都省了。哪怕你在外頭，一部手機(jī)就能快速處置風(fēng)險，太省事了！

從監(jiān)測效果來看，這款SASE產(chǎn)品完全能夠滿足日常辦公安全的需求。

第二點(diǎn)是數(shù)據(jù)在云上的安全性問題。

我們是研發(fā)公司，最擔(dān)心的就是數(shù)據(jù)上傳到云端后被窺視、傳播或利用，能不能保障數(shù)據(jù)的安全是我們選擇方案的關(guān)鍵。綜合了解了那么多家廠商及方案后，我是這么考慮這個問題的：

1. 安全廠商或云廠商的業(yè)務(wù)跟我們這些用戶的業(yè)務(wù)是不同的，我們的數(shù)據(jù)對廠商而言沒有生產(chǎn)價值，沒有窺探或利用的必要。再說，深信服在企業(yè)信息安全領(lǐng)域發(fā)展了二十年，口碑和信譽(yù)還是靠得住的。

2. 這款產(chǎn)品在日志數(shù)據(jù)訪問和保存上是滿足合規(guī)要求的：

1）云上存儲的日志是根據(jù)用戶自己配置產(chǎn)生的管控日志和審計日志，用戶之間的數(shù)據(jù)中心是隔離，確保用戶之間不能越權(quán)訪問。此外，在用戶未授權(quán)情況下，廠商無法查看用戶的數(shù)據(jù)。

從產(chǎn)品原理上，廠商或其他用戶也無法直接查看用戶數(shù)據(jù)。

2）所有日志默認(rèn)存儲180天，超時會自動清除處理，但用戶可以通過API接口或設(shè)置本地日志中心的方式對日志進(jìn)行下載或本地存儲。

3. 日志數(shù)據(jù)是存儲在深信服托管云機(jī)房，機(jī)房滿足等保三級標(biāo)準(zhǔn)，也支持雙份冗余備份。

怎么說呢，不管數(shù)據(jù)放在哪里都無法確保100%的安全，但交給有資質(zhì)、有經(jīng)驗、有口碑的廠商保管，應(yīng)該還是比待在自己的電腦上安全的。

整體來說，這款SASE產(chǎn)品還是能給人“安全感”的。

說實(shí)話，像我們這種小公司，為了存活，業(yè)務(wù)都顧不及，很難顧得上安全。我們需要的是一個簡單、可靠的方案，一款“讓人省心”的產(chǎn)品。

哎，后悔沒有早點(diǎn)用起來。

在試用的第7天，我決定下單了。

遠(yuǎn)程辦公也能安全管控？

購買這個SASE產(chǎn)品之前，我也了解過其他的安全產(chǎn)品和方案，目前市面上大部分安全產(chǎn)品只能對辦公網(wǎng)內(nèi)的設(shè)備起作用，對離開了辦公網(wǎng)的設(shè)備就沒轍了。

我們公司有一半的銷售人員，大部分銷售人員整天都在外面跑客戶，他們的電腦是否安全、是否泄密了，沒有一個是老板不關(guān)心的。

看中這款SASE產(chǎn)品的一個重要原因，就是：

它可以管控通過連接個人4G/5G網(wǎng)絡(luò)、公共Wi-Fi或家庭Wi-Fi等離開辦公網(wǎng)的電腦。也就是說，銷售人員在外面跑客戶，他們的電腦有沒有連接不安全的網(wǎng)絡(luò)，是否訪問了不安全網(wǎng)站，或者有沒有把敏感文件泄露給對手公司，我在公司也能一清二楚。

另外，這個功能最大的價值之一是為企業(yè)遠(yuǎn)程辦公提供了安全保障。

今年5月，公司所在地有新的疫情，我們不得不開啟遠(yuǎn)程辦公模式。這就意味著所有業(yè)務(wù)工作都要在互聯(lián)網(wǎng)下進(jìn)行，包括以前為了安全只能在純內(nèi)網(wǎng)進(jìn)行的研發(fā)工作。研發(fā)工作涉及了公司最核心的數(shù)據(jù)，在互聯(lián)網(wǎng)下開展將面臨更多的網(wǎng)絡(luò)攻擊攻擊，一旦核心數(shù)據(jù)被泄露，后果不堪設(shè)想。

我們再次聯(lián)系林工幫忙針對研發(fā)崗位定制更加嚴(yán)格的管控策略，一個多月的居家辦公，所有業(yè)務(wù)正常開展，沒有發(fā)生一起網(wǎng)絡(luò)安全事故。

再回去看那個月的監(jiān)測數(shù)據(jù)，不得不感嘆，哪有什么風(fēng)平浪靜，不過是SASE把所有“風(fēng)浪”都抗住了。

SASE能做的遠(yuǎn)不止這些

一直以為“SASE”是一類安全產(chǎn)品，其實(shí)它是一個架構(gòu)，或者說一種模型。它是由國外的咨詢機(jī)構(gòu)Gartner提出的一個融合網(wǎng)絡(luò)和安全的新架構(gòu)，我們用的這款SASE產(chǎn)品就是基于這個架構(gòu)來實(shí)現(xiàn)的。

這是廠商提供的產(chǎn)品架構(gòu)圖：

官方解釋是，通過“SD-WAN+安全能力”，以及遍布全球的云POP點(diǎn)，隨時隨地為企業(yè)總部（辦公網(wǎng)）、移動辦公、多分支機(jī)構(gòu)等提供安全服務(wù)。

簡單來說，無論員工在總部還是在分公司辦公，或者移動辦公，接入SASE后，都能實(shí)現(xiàn)隨時隨地、低延時、更安全地訪問本地或云上業(yè)務(wù)。

為了更了解SASE（畢竟未來還要好好跟它相處呢），我自己也翻了一些資料。其實(shí)，SASE作為一種新趨勢，未來很多企業(yè)都會用上SASE，除了前面提到的本地辦公網(wǎng)辦公、移動辦公場景，多分支機(jī)構(gòu)安全建設(shè)也是SASE的重要場景。

多分支企業(yè)（具有多個分公司、連鎖門店的企業(yè)）通過SASE來進(jìn)行安全建設(shè)，可以實(shí)現(xiàn)：

1. 成本低，能力快速擴(kuò)展

不用像以前那樣每個分支機(jī)構(gòu)都要買上一套硬件設(shè)備，也不用給每個分支安排專門的運(yùn)維人員，SASE具備無限可擴(kuò)展性，可根據(jù)業(yè)務(wù)需要及時添加新的安全服務(wù)，隨時隨地執(zhí)行安全防護(hù)策略的能力。

2. 易部署，易運(yùn)維

借助云交付的安全性實(shí)現(xiàn)分鐘級部署上線，免硬件運(yùn)維以及復(fù)雜的多分支管理，云端統(tǒng)一策略管控，一鍵處置安全事件，大幅度提升運(yùn)維效率。

3. 統(tǒng)一策略，統(tǒng)一管控

使用SASE可避免以往總部和分支策略難統(tǒng)一、離網(wǎng)用戶無法管控的局面。甭管有多少個分支機(jī)構(gòu)，SASE可提供一致的安全策略和上網(wǎng)體驗，支持一鍵下發(fā)管控策略。

SASE的出現(xiàn)，為企業(yè)節(jié)省大量的設(shè)備、運(yùn)維成本，大大提升效率。企業(yè)主要將重點(diǎn)放在業(yè)務(wù)開發(fā)和創(chuàng)新上，安全的事，交給SASE，省心。

不得不感嘆，科技進(jìn)步和創(chuàng)新正在一步步提升社會整體的工作效率，如果不想被社會拋棄，就必須乘著科技進(jìn)步和創(chuàng)新的風(fēng)，努力向前追趕。

看來，是時候開分公司了，才能配得上SASE……

所以說，廣告也不一定是騙人的。如果有一天你看到深信服SASE產(chǎn)品廣告，不妨點(diǎn)開看一下，或許會有不一樣的體驗。

免費(fèi)試用申請：請在【深信服科技】公眾號聊天框回復(fù)“免費(fèi)試用SASE”，最長可免費(fèi)試用30天。

深信服SASE方案 以SASE架構(gòu)為核心，將深信服已有的安全能力（如上網(wǎng)行為管理、終端檢測響應(yīng)、上網(wǎng)安全防護(hù)、內(nèi)網(wǎng)安全接入等）聚合在云上以服務(wù)化模式交付，用戶只需要通過輕量級客戶端軟件/引流器/SD-WAN設(shè)備，將網(wǎng)絡(luò)流量引流上云進(jìn)行管理和安全檢測，即可滿足多分支機(jī)構(gòu)安全建設(shè)、移動辦公安全管理、中小企業(yè)一體化辦公安全等需求。