英文原文：https://www.gartner.com/doc/reprints?id=1-6QW0Z4A&ct=190528

數(shù)字化轉(zhuǎn)型將顛覆網(wǎng)絡(luò)和安全服務(wù)設(shè)計(jì)模式，將焦點(diǎn)移動(dòng)到用戶和/或設(shè)備的身份，而不再是聚焦于數(shù)據(jù)中心。安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者需要采用融合的云交付“安全訪問服務(wù)邊緣（SASE）”來應(yīng)對(duì)這一轉(zhuǎn)變。

一、概述

1.1 要點(diǎn)

• 把企業(yè)數(shù)據(jù)中心置于連接需求的核心位置的網(wǎng)絡(luò)安全體系架構(gòu)會(huì)對(duì)數(shù)字化轉(zhuǎn)型的動(dòng)態(tài)訪問需求產(chǎn)生抑制。

• 正因?yàn)槲挥谄髽I(yè)外部的用戶、設(shè)備、應(yīng)用程序、服務(wù)和數(shù)據(jù)的數(shù)量多于企業(yè)內(nèi)部，具有這些特點(diǎn)的數(shù)字化業(yè)務(wù)和邊緣計(jì)算有著截然不同的網(wǎng)絡(luò)訪問需求。

• 降低復(fù)雜度的需求、低延遲的需求，以及一旦涉及流量加密就會(huì)產(chǎn)生的對(duì)加密流量進(jìn)行解密和檢查的需求，都將增加將網(wǎng)絡(luò)和安全即服務(wù)（Security-as-a-Service）整合為基于云交付的“安全訪問服務(wù)邊緣（縮寫為：SASE，可以讀作 “sassy” ）”的需求。

• 監(jiān)測并理解數(shù)據(jù)的上下文是采用 SASE 策略的前提。

• 為了提供與地點(diǎn)無關(guān)的用戶、設(shè)備和云服務(wù)的低延遲訪問能力，企業(yè)需要具有全球 POP 點(diǎn)和對(duì)等連接能力的 SASE 產(chǎn)品。

1.2 建議

負(fù)責(zé)網(wǎng)絡(luò)和端點(diǎn)安全領(lǐng)域的安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者應(yīng)該考慮：

• 從立場上而言，SASE 是從速度、敏捷角度助力數(shù)字化業(yè)務(wù)的推動(dòng)者。

• 從架構(gòu)上來說，是把檢查引擎移動(dòng)到靠近會(huì)話的地方，而不是把會(huì)話重新路由到檢查引擎。

• 把安全人員從管理安全設(shè)備轉(zhuǎn)向到提供基于策略的安全服務(wù)。

• 從現(xiàn)在開始，就應(yīng)該和網(wǎng)絡(luò)架構(gòu)師一起規(guī)劃 SASE 能力。把 SD-WAN 和 MPLS 卸載項(xiàng)目作為評(píng)估集成化網(wǎng)絡(luò)安全服務(wù)的催化劑。

• 現(xiàn)在就應(yīng)該向單一供應(yīng)商提供 SWG（WEB 安全網(wǎng)關(guān)）、CASB（云訪問安全代理）、DNS、ZTNA（零信任網(wǎng)絡(luò)訪問）和 RBI（遠(yuǎn)程瀏覽器隔離）的理想狀態(tài)遷移，降低網(wǎng)絡(luò)安全復(fù)雜度。

二、戰(zhàn)略規(guī)劃假設(shè)

• 到 2023 年，20% 的企業(yè)將從單一供應(yīng)商采購 SWG、CASB、ZTNA 和分支機(jī)構(gòu)的 FWaaS（防火墻即服務(wù)）服務(wù)，而這一比例在 2019 年只有 5% 。

• 到 2024 年, 最少將有 40% 的企業(yè)將有明確的切換到 SASE 的策略，而這一比例在 2018 年末僅為 1% 。

• 到 2025 年，最少將有一家 IaaS 服務(wù)商的領(lǐng)導(dǎo)者會(huì)提供有競爭力的 SASE 套裝。

三、分析

歷史的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)是針對(duì)一個(gè)正在淘汰的時(shí)代而設(shè)計(jì)的。它們無法有效地滿足數(shù)字化業(yè)務(wù)對(duì)動(dòng)態(tài)安全訪問需求。企業(yè)數(shù)據(jù)中心不再是用戶和設(shè)備訪問需求的中心。數(shù)字化轉(zhuǎn)型業(yè)務(wù)采用了 SaaS 等大量基于云計(jì)算的服務(wù)和新興的邊緣計(jì)算平臺(tái)，這使得企業(yè)網(wǎng)絡(luò)架構(gòu)出現(xiàn)了“內(nèi)外翻轉(zhuǎn)”的現(xiàn)象，顛覆了以往的架構(gòu)模式。數(shù)字化企業(yè)的特點(diǎn)是：

• 相比企業(yè)內(nèi)網(wǎng)而言，更多的用戶使用企業(yè)網(wǎng)絡(luò)之外的網(wǎng)絡(luò)環(huán)境來完成工作。

• 相比數(shù)據(jù)中心的工作負(fù)載而言，企業(yè)更多使用在 IaaS 中運(yùn)行的工作負(fù)載。

• 相比企業(yè)基礎(chǔ)設(shè)施中的應(yīng)用而言，企業(yè)更多使用 SaaS 模式的應(yīng)用。

• 相比內(nèi)部而言，更多的敏感數(shù)據(jù)存儲(chǔ)在企業(yè)數(shù)據(jù)中心以外的云服務(wù)中。

• 相對(duì)企業(yè)數(shù)據(jù)中心而言，更多的用戶流量是流向企業(yè)數(shù)據(jù)中心以外的公共云。

• 相對(duì)企業(yè)數(shù)據(jù)中心而言，更多的分支機(jī)構(gòu)流量是流向企業(yè)數(shù)據(jù)中心以外的公共云。

數(shù)字化轉(zhuǎn)型需要隨時(shí)隨地訪問應(yīng)用和服務(wù)（這些應(yīng)用與服務(wù)許多現(xiàn)在位于云中）。雖然企業(yè)數(shù)據(jù)中心將在未來幾年內(nèi)還將繼續(xù)存在，但進(jìn)出企業(yè)數(shù)據(jù)中心的流量在企業(yè)總的流量的占比將持續(xù)下降。

“以數(shù)據(jù)中心為宇宙中心”的傳統(tǒng)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)已經(jīng)過時(shí)，已經(jīng)成為對(duì)數(shù)字化業(yè)務(wù)需求的阻礙。

這種反模式數(shù)字化將進(jìn)一步擴(kuò)展，因?yàn)樵絹碓蕉嗟钠髽I(yè)需要邊緣計(jì)算能力，這些邊緣計(jì)算能力是分布式的，并更接近于需要低延遲訪問本地存儲(chǔ)和計(jì)算的系統(tǒng)和設(shè)備。5G 技術(shù)將充當(dāng)加速邊緣計(jì)算應(yīng)用的催化劑（請(qǐng)參見 “Exploring the Edge: 12 Frontiers of Edge Computing”）。

在靈活地支持?jǐn)?shù)字化轉(zhuǎn)型的同時(shí)，通過支持反模式的訪問從而保持系統(tǒng)復(fù)雜度處于可控狀態(tài)，這是 SASE 新市場的主要驅(qū)動(dòng)因素。這個(gè)市場將網(wǎng)絡(luò)即服務(wù)（如，SD-WAN [軟件定義的廣域網(wǎng)]）和網(wǎng)絡(luò)安全即服務(wù)（如，SWG、CASB、FWaaS [防火墻即服務(wù)]）融合在一起。我們將其稱為“安全訪問服務(wù)邊緣”（參見圖 1 和注 1）。它主要是作為基于云的服務(wù)交付的。

圖1： SASE 融合

SASE 產(chǎn)品能夠?yàn)橐粋€(gè)可無限可調(diào)節(jié)的彈性網(wǎng)絡(luò)提供基于策略的“軟件定義”安全訪問。在這個(gè)彈性網(wǎng)絡(luò)中，企業(yè)安全專業(yè)人員可以根據(jù)身份和上下文精確地指定每個(gè)網(wǎng)絡(luò)會(huì)話的性能、可靠性、安全性和成本水平。SASE 的出現(xiàn)將為安全和風(fēng)險(xiǎn)專業(yè)人員提供了一個(gè)重大的機(jī)遇，使他們能夠?yàn)楦鞣N分布式用戶、場所和基于云的服務(wù)提供安全訪問，從而安全地實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型所需要的動(dòng)態(tài)訪問。企業(yè)對(duì)基于云的 SASE 能力的需求、市場競爭與整合，將重新定義企業(yè)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)，并重塑競爭格局。

網(wǎng)絡(luò)安全的未來在云端。

四、定義

安全訪問服務(wù)邊緣（SASE）是一種新興的服務(wù)，它將廣域網(wǎng)與網(wǎng)絡(luò)安全（如：SWG、CASB、FWaaS、ZTNA）結(jié)合起來，從而滿足數(shù)字化企業(yè)的動(dòng)態(tài)安全訪問需求。

SASE 是一種基于實(shí)體的身份、實(shí)時(shí)上下文、企業(yè)安全/合規(guī)策略，以及在整個(gè)會(huì)話中持續(xù)評(píng)估風(fēng)險(xiǎn)/信任的服務(wù)。實(shí)體的身份可與人員、人員組（分支辦公室）、設(shè)備、應(yīng)用、服務(wù)、物聯(lián)網(wǎng)系統(tǒng)或邊緣計(jì)算場地相關(guān)聯(lián)（查閱 “Zero Trust Is an Initial Step on the Roadmap to CARTA”）

五、描述

傳統(tǒng)的企業(yè)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)將企業(yè)數(shù)據(jù)中心作為訪問的核心，這樣的架構(gòu)在云和移動(dòng)的環(huán)境中中越來越無效和繁瑣。即使采用了一些基于云的服務(wù)（如，基于云的 SWG、CDN [內(nèi)容交付網(wǎng)絡(luò)]、WAF [WEB 應(yīng)用防火墻] 等），企業(yè)數(shù)據(jù)中心仍然是大多數(shù)企業(yè)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)的核心（見圖 2）。

圖2：傳統(tǒng)以企業(yè)數(shù)據(jù)中心為核心的星型網(wǎng)絡(luò)及網(wǎng)絡(luò)安全架構(gòu)

在以云為中心的現(xiàn)代數(shù)字化業(yè)務(wù)中，用戶、設(shè)備和他們需要安全訪問的網(wǎng)絡(luò)能力無處不在。由此導(dǎo)致對(duì)“安全訪問服務(wù)邊緣”需求也將無處不在。圖 2 中以企業(yè)數(shù)據(jù)為中心的模型難以擴(kuò)展。當(dāng)用戶所需的東西很少留在企業(yè)數(shù)據(jù)中心時(shí)，將流量路由到企業(yè)數(shù)據(jù)中心是沒有意義的。更糟糕的是，我們往往會(huì)限制用戶訪問 SaaS，除非用戶在企業(yè)網(wǎng)絡(luò)上或已經(jīng)使用虛擬專用網(wǎng)絡(luò) ，或者需要不同的代理軟件來實(shí)現(xiàn) SWG、CASB 和虛擬專用網(wǎng)絡(luò) （這就造成了代理軟件的膨脹和用戶混亂）。而這種限制將對(duì)用戶的生產(chǎn)力、用戶體驗(yàn)和成本產(chǎn)生負(fù)面影響。而在其他情況下，當(dāng)用戶訪問任何基于云的資源時(shí)，分支機(jī)構(gòu)的流量會(huì)被強(qiáng)制通過企業(yè)數(shù)據(jù)中心進(jìn)行檢查，從而增加延遲和與專用 MPLS 專線相關(guān)的成本。

數(shù)字化轉(zhuǎn)型企業(yè)中的安全和風(fēng)險(xiǎn)專業(yè)人員需要的是一種全球性的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全能力，這種能力可以隨時(shí)隨地將實(shí)體連接到他們需要訪問的網(wǎng)絡(luò)。

我們不需要強(qiáng)制不同實(shí)體的流量流經(jīng)企業(yè)數(shù)據(jù)中心的硬件設(shè)備內(nèi)嵌的檢查引擎（通過“調(diào)度”實(shí)現(xiàn)）。我們需要顛覆原來的想法，讓檢查引擎和算法盡可能靠近實(shí)體所在的位置。

無論我們是將用戶連接到內(nèi)部應(yīng)用、基于云的應(yīng)用、SaaS 或互聯(lián)網(wǎng)，這些都存在相同的安全訪問問題。分支辦公室只是多個(gè)用戶集中的地方。同樣，在一輛載有正訪問 salesforce 的銷售人員的汽車也是一個(gè)分支辦公室；IoT 邊緣場地對(duì)設(shè)備而言也是分支辦公室。所有需要訪問網(wǎng)絡(luò)能力的端點(diǎn)的身份分布于整個(gè)互聯(lián)網(wǎng)。在數(shù)字化轉(zhuǎn)型業(yè)務(wù)中，安全訪問的決策必須以連接源（包含用戶、設(shè)備、分支機(jī)構(gòu)、物聯(lián)網(wǎng)設(shè)備、邊緣計(jì)算場所等）的實(shí)體身份為中心。如圖 3 所示，身份是訪問決策的新中心，而不是企業(yè)數(shù)據(jù)中心。

圖 3：SASE 身份為中心的架構(gòu)

用戶/設(shè)備/服務(wù)的身份是策略中最重要的上下文因素之一。但是，還會(huì)有其他相關(guān)的上下文來源可以輸入到策略中，這些上下文來源包括：用戶正在使用的設(shè)備的身份、日期、風(fēng)險(xiǎn)/信任評(píng)估、場地、正在訪問的應(yīng)用和/或數(shù)據(jù)的靈敏度。企業(yè)數(shù)據(jù)中心仍然存在，但它不再是架構(gòu)的中心。它只是用戶和設(shè)備需要訪問的許多基于互聯(lián)網(wǎng)的服務(wù)中的一個(gè)。

這些實(shí)體需要訪問越來越多的基于云的服務(wù)，但是它們的連接方式和應(yīng)用的網(wǎng)絡(luò)安全策略類型將根據(jù)監(jiān)管需求、企業(yè)策略和特定業(yè)務(wù)領(lǐng)導(dǎo)者的風(fēng)險(xiǎn)偏好而有所不同。就像智能交換機(jī)一樣，身份通過 SASE 供應(yīng)商在全球范圍內(nèi)的安全訪問能力連接到所需的網(wǎng)絡(luò)功能。

考慮這些場景：

• Sue，一個(gè)銷售人員，需要通過她所持有的設(shè)備通過機(jī)場 Wi-Fi 網(wǎng)絡(luò)在訪問互聯(lián)網(wǎng)的同時(shí)訪問 saleseforce 提供的 CRM。SASE 通過提供 QoS（服務(wù)質(zhì)量優(yōu)化）和 SaaS 加速連接到 salesforce，并提供了 DLP、惡意軟件檢查、UEBA 和 Wi-Fi 保護(hù)。同時(shí)為瀏覽互聯(lián)網(wǎng)提供了內(nèi)嵌 DLP 的 SWG 保護(hù)。

• Jorge，一個(gè)承包商，需要從不受控的設(shè)備訪問托管在企業(yè)數(shù)據(jù)中心的企業(yè)網(wǎng)站應(yīng)用。SASE 提供 ZTNA，只允許對(duì)特定地址的訪問，通過 WAPP 服務(wù)保護(hù)開啟了 WEB 的應(yīng)用程序免受攻擊，并通過流量加密來避免遭受流量監(jiān)聽帶來的敏感數(shù)據(jù)丟失。

• 一組風(fēng)力發(fā)電機(jī)需要基于邊緣計(jì)算的網(wǎng)絡(luò)和對(duì)傳感器數(shù)據(jù)進(jìn)行數(shù)據(jù)分析的計(jì)算，然后需要將結(jié)果傳輸?shù)?AWS，同時(shí)隱藏風(fēng)力發(fā)電機(jī)組的位置。SASE 為風(fēng)力發(fā)電機(jī)組提供低延遲 ZTNA 來訪問邊緣計(jì)算資源、隱藏風(fēng)力發(fā)電機(jī)組的 IP 地址、并建立一個(gè)低延遲敏感的加密連接到 AWS API。同時(shí)，邊緣計(jì)算場地被 SASE 提供的 FWaaS 保護(hù)，避免遭受針對(duì)風(fēng)力發(fā)電機(jī)組的入站攻擊。

SASE 按需提供所需的服務(wù)和策略執(zhí)行，獨(dú)立于請(qǐng)求服務(wù)的實(shí)體的場所（圖 4 的左側(cè)）和所訪問能力（圖 4 的右側(cè)）。

圖 4：SASE 技術(shù)棧，基于身份和上下文的動(dòng)態(tài)應(yīng)用

其結(jié)果是動(dòng)態(tài)創(chuàng)建基于策略的安全訪問服務(wù)邊緣，而不管請(qǐng)求這些能的實(shí)體所處位置以及它們請(qǐng)求訪問的網(wǎng)絡(luò)功能所處的位置。

不再將安全邊界隱藏在企業(yè)數(shù)據(jù)中心邊緣的硬件盒子中，而是在企業(yè)需要它的任何地方 —— 一個(gè)動(dòng)態(tài)創(chuàng)建的、基于策略的安全訪問服務(wù)邊緣。

此外，給定的實(shí)體將同時(shí)需要多個(gè)安全的連接。例如，用戶可能同時(shí)擁有：

• 到 Office 365 的連接無需被深度檢查，但會(huì)選擇延遲最低的的線路。

• 到 Facebook 的連接，會(huì)對(duì)其中的聊天會(huì)話進(jìn)行敏感數(shù)據(jù)的安全檢查，但延時(shí)不是衡量的因素之一。

• 到 Salesfore 的會(huì)話，會(huì)對(duì)其進(jìn)行敏感數(shù)據(jù)和惡意軟件的檢查。

• 到數(shù)據(jù)中心的企業(yè)私有應(yīng)用的連接，會(huì)對(duì)其進(jìn)行監(jiān)控。

• 到用戶的個(gè)人網(wǎng)上銀行應(yīng)用的連接，不會(huì)進(jìn)行任何監(jiān)控。

企業(yè)邊界不再是一個(gè)位置；它是一組動(dòng)態(tài)的邊緣功能，在需要時(shí)作為云服務(wù)提供。

對(duì)安全訪問而言，這些都是共同的基本需求的演變。不同的是，采用了實(shí)時(shí)網(wǎng)絡(luò)和實(shí)時(shí)的網(wǎng)絡(luò)安全策略。此外，在應(yīng)用策略的情況下，無論實(shí)體正在訪問什么都會(huì)進(jìn)行一致的應(yīng)用的檢查功能（例如，檢查所有連接的內(nèi)容來查找敏感數(shù)據(jù)和惡意軟件）。為了減少延遲，SASE 產(chǎn)品應(yīng)該使用“單次通過”架構(gòu)進(jìn)行檢查。業(yè)務(wù)會(huì)話被打開（可能被解密）并使用多個(gè)策略引擎并行地檢查一次，最好是在內(nèi)存中，而不是多個(gè)檢查引擎進(jìn)行串行檢查。

最后，SASE 的新興領(lǐng)導(dǎo)者將采用“持續(xù)的適應(yīng)性風(fēng)險(xiǎn)和信任評(píng)估（CARTA）”戰(zhàn)略方法（詳見 “Seven Imperatives to Adopt a CARTA Strategic Approach” 和注 2），確保對(duì)會(huì)話進(jìn)行持續(xù)監(jiān)測。通過保留在數(shù)據(jù)路徑中并使用嵌入的 UEBA 功能對(duì)該會(huì)話進(jìn)行分析，以檢測過度風(fēng)險(xiǎn)的指標(biāo)（例如，被竊取的憑證或內(nèi)部威脅）。當(dāng)分析用戶行為發(fā)現(xiàn)風(fēng)險(xiǎn)增加時(shí)，或者當(dāng)設(shè)備可信度降低時(shí)，SASE 應(yīng)該能提供自適應(yīng)的響應(yīng)（例如，需要用戶進(jìn)行額外的認(rèn)證)。

六、效益和用途

SASE 將使安全團(tuán)隊(duì)能夠以一致和集成的方式提供一組豐富的安全網(wǎng)絡(luò)安全服務(wù)，從而支持?jǐn)?shù)字化轉(zhuǎn)型、邊緣計(jì)算和員工移動(dòng)性的需求。通過 SASE 將獲得以下的效益：

• 降低復(fù)雜度和成本。通過集成來自單個(gè)提供商的安全訪問服務(wù)，將減少供應(yīng)商的總數(shù)量，減少分支中的物理和/或虛擬設(shè)備的數(shù)量，并且減少用戶終端設(shè)備上所需代理的數(shù)量。隨著更多的 SASE 服務(wù)被啟用，長期來看成本會(huì)降低。同時(shí)通過縮減供應(yīng)商和技術(shù)堆棧也會(huì)節(jié)省費(fèi)用。

• 激活新的數(shù)字化業(yè)務(wù)場景。SASE 服務(wù)將使企業(yè)的合作伙伴和承包商可以安全地訪問其應(yīng)用、服務(wù)、API 和數(shù)據(jù)，而無需擔(dān)心暴露傳統(tǒng)架構(gòu)中的虛擬專用網(wǎng)絡(luò)和 DMZ（非軍事區(qū)）而帶來的大量風(fēng)險(xiǎn)。

• 改善性能/延時(shí)。SASE 的領(lǐng)導(dǎo)廠家會(huì)通過全球部署的 POP 提供基于延時(shí)優(yōu)化的路由。這對(duì)于延時(shí)敏感的業(yè)務(wù)非常關(guān)鍵，例如：協(xié)同、視頻、VoIP 和 WEB 會(huì)議?；诓呗裕脩艨梢酝ㄟ^ SASE 提供商（及其對(duì)等連接合作伙伴）的高帶寬骨干路由。

• 用戶的易用性/透明度。如果正確實(shí)現(xiàn)，SASE 會(huì)把設(shè)備上所需代理的數(shù)量（或一個(gè)分支的客戶場所的 CPE 設(shè)備的數(shù)量）減少到單個(gè)代理或設(shè)備。它減少了代理和設(shè)備膨脹，應(yīng)該自動(dòng)應(yīng)用訪問策略而不需要用戶交互。這為用戶提供了一致的訪問體驗(yàn)，無論用戶在哪里、在訪問什么、以及位于何處。

• 得到改善的安全性。對(duì)于支持內(nèi)容檢查（識(shí)別敏感數(shù)據(jù)和惡意軟件）的 SASE 供應(yīng)商，可以檢查任何訪問會(huì)話并應(yīng)用相同的策略集。舉例而言，無論是 salesforce、facebook，還是云托管應(yīng)用中的敏感數(shù)據(jù)，無論用戶/設(shè)備位于何處，所應(yīng)用的策略都是一致的。

• 較低的運(yùn)營費(fèi)用。隨著威脅的發(fā)展和新的檢查機(jī)制的需要，企業(yè)不再受到硬件容量和多年硬件刷新速率的限制，可以隨時(shí)增加新的功能。在基于云的 SASE 產(chǎn)品中，更新威脅和策略不需要在企業(yè)部署新的硬件或軟件，這樣會(huì)更快享受到新的服務(wù)。

• 啟用零信任網(wǎng)絡(luò)訪問。零信任網(wǎng)絡(luò)方法的原理之一是，網(wǎng)絡(luò)訪問基于用戶、設(shè)備和應(yīng)用的身份，而不僅僅基于設(shè)備的 IP 地址或物理位置（詳見 “Zero Trust Is an Initial Step on the Roadmap to CARTA.”）。這種邏輯層面定義策略的轉(zhuǎn)換極大地簡化了策略管理。此外，假設(shè)網(wǎng)絡(luò)環(huán)境是惡意的，SASE 產(chǎn)品會(huì)提供整個(gè)會(huì)話端到端的加密和可選的 WAAP（WEB 應(yīng)用和 API 保護(hù)）服務(wù)（詳見 “Defining Cloud Web Application and API Protection Services”）。SASE 供應(yīng)商中的領(lǐng)導(dǎo)者會(huì)通過建立端點(diǎn)設(shè)備到最近 POP 節(jié)點(diǎn)的隧道，從而為用戶提供公共 Wi-Fi 網(wǎng)絡(luò)保護(hù)（咖啡店、機(jī)場等）。

• 提高網(wǎng)絡(luò)和網(wǎng)絡(luò)安全人員的效能。網(wǎng)絡(luò)安全專業(yè)人員可以專注于理解業(yè)務(wù)、法規(guī)和應(yīng)用的訪問需求，并將這些需求映射到 SASE 功能，而不是陷入到基礎(chǔ)設(shè)施的常規(guī)配置任務(wù)中。

• 集中管理、本地生效的策略。SASE 具有基于云的集中管理策略，以及臨近實(shí)體的分布式執(zhí)行點(diǎn)，還包括在需要時(shí)可用的本地決策點(diǎn)。例如，使用本地分支機(jī)構(gòu)的 CPE 設(shè)備；使用托管設(shè)備上的本地代理軟件進(jìn)行本地決策。

6.1 采用率

SASE 還處于發(fā)展的早期階段。正因?yàn)閿?shù)字化轉(zhuǎn)型、SaaS 和其他云服務(wù)的驅(qū)動(dòng)，越來越多辦公人員產(chǎn)生了分布式和移動(dòng)的訪問需求，由此推動(dòng)了相關(guān)的變革和需求。SASE 早期的主流形態(tài)會(huì)表現(xiàn)為 SD-WAN 供應(yīng)商增加越來越多的網(wǎng)絡(luò)安全能力，以及云安全服務(wù)商增加 SWG、ZTNA、CASB 服務(wù)這些形式。

正如在 “Hype Cycle for Cloud Security, 2019,” 中所體現(xiàn)的，目前 SASE 還在 Hype Cycle 左側(cè) 20% 的位置（Innovation Trigger），還需要 5～10 年的時(shí)間發(fā)展為主流。

全面的 SASE 服務(wù)才剛剛出現(xiàn)，其采用率還不到 1%。然而，未來三年將為企業(yè)安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者簡化其網(wǎng)絡(luò)安全架構(gòu)提供重要的機(jī)會(huì)。

雖然 SASE 的大范圍采用將在今后幾年才會(huì)發(fā)生，但在將來的三年內(nèi)將很快出現(xiàn)領(lǐng)導(dǎo)廠商，當(dāng)前廠商都各自面臨不同挑戰(zhàn)。

七、風(fēng)險(xiǎn)

隨著 SASE 的出現(xiàn)和采用，安全和風(fēng)險(xiǎn)管理專業(yè)人員應(yīng)考慮以下風(fēng)險(xiǎn)：

• 穩(wěn)定的團(tuán)隊(duì)、文化和政治。網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)通常是由不同的獨(dú)立團(tuán)隊(duì)負(fù)責(zé)。即使在信息安全方面，SWG、CASB 和網(wǎng)絡(luò)安全設(shè)備的購買者也可能有所不同。不同的團(tuán)隊(duì)可能會(huì)將 SASE 的采購視為“領(lǐng)地之爭”問題，或者一個(gè)團(tuán)隊(duì)可能試圖控制 SASE 的采購并阻止其他團(tuán)隊(duì)的參與。要解決這一問題，SASE 必須以速度、敏捷性和降低復(fù)雜度的名義，并成為 CISO 和 CIO 級(jí)別提供跨領(lǐng)域價(jià)值的命題。

• 足夠好可能不夠好。一些 SASE 產(chǎn)品是由以網(wǎng)絡(luò)為中心的供應(yīng)商開發(fā)和交付，這些供應(yīng)商是安全領(lǐng)域的新進(jìn)入者。同樣，以安全為中心的提供商可能沒有領(lǐng)先的 WAN 邊緣解決方案所期望的完整的 SD-WAN 功能。因此這是一個(gè)獨(dú)立測試將發(fā)揮關(guān)鍵作用的領(lǐng)域，像 ICSA 實(shí)驗(yàn)室和 NSS 實(shí)驗(yàn)室這樣的組織需要將其評(píng)估對(duì)象擴(kuò)展到云服務(wù)。

• 復(fù)雜度。對(duì)于試圖從不同的供應(yīng)商和云產(chǎn)品中構(gòu)建自己的 SASE 技術(shù)棧的企業(yè)來說，將其拼接在一起將導(dǎo)致管理和執(zhí)行的不一致、性能低下和部署成本高昂。如果 SASE 產(chǎn)品由多個(gè)收購和/或合作伙伴的供應(yīng)商組合在一起，也會(huì)出現(xiàn)類似的問題。

• 傳統(tǒng)的供應(yīng)商沒有云原生的心態(tài)。以硬件為中心的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全供應(yīng)商將難以調(diào)整為云原生和基于云服務(wù)的交付模式。業(yè)務(wù)模式將會(huì)變得和 salesforce 類似，渠道激勵(lì)也將發(fā)生變化。以前銷售專用硬件的供應(yīng)商可能會(huì)沿著阻力最小的商業(yè)路徑發(fā)展，并基于單租戶架構(gòu)（每個(gè)客戶專用的虛擬設(shè)備）提供初級(jí)的 SASE 選項(xiàng)。

• 網(wǎng)絡(luò)和防火墻廠商缺乏代理服務(wù)器的經(jīng)驗(yàn)。SASE 的許多功能將使用代理模型來獲取介入數(shù)據(jù)路徑并為訪問提供保護(hù)。網(wǎng)絡(luò)和企業(yè)防火墻供應(yīng)商缺乏在大規(guī)模分布式代理領(lǐng)域的相關(guān)專業(yè)知識(shí)，這可能會(huì)給 SASE 服務(wù)采購者帶來更高的成本和/或糟糕的性能。

• 需要投資來維持 POP 節(jié)點(diǎn)和網(wǎng)絡(luò)對(duì)等交換資源。SASE 的策略決策和執(zhí)行需要在任何端點(diǎn)可能出現(xiàn)地方都提供支持。對(duì)于需要支撐員工移動(dòng)辦公和分布式數(shù)字化生態(tài)的大型組織來說，這意味著需要提供世界范圍內(nèi)的訪問。較小的 SASE 供應(yīng)商將無法獲得維持足夠競爭力所需的投資，從而導(dǎo)致性能下降。SASE 產(chǎn)品如果只使用 IaaS 的因特網(wǎng)骨干能力但沒有本地 POP 和邊緣功能，會(huì)有延遲、性能風(fēng)險(xiǎn)，將導(dǎo)致最終用戶的不滿。

• 更換供應(yīng)商。對(duì)一些企業(yè)來說，向 SASE 轉(zhuǎn)型將需要更換供應(yīng)商，從而對(duì)工作人員進(jìn)行再培訓(xùn)，發(fā)展新技能，并學(xué)習(xí)新的管理和政策定義控制臺(tái)。

• 缺乏數(shù)據(jù)上下文。許多以網(wǎng)絡(luò)為中心的供應(yīng)商的解決方案對(duì)數(shù)據(jù)的上下文理解不足，無法判斷內(nèi)容是敏感的還是惡意的。數(shù)據(jù)上下文對(duì)于制定訪問策略、理解風(fēng)險(xiǎn)和確定風(fēng)險(xiǎn)優(yōu)先級(jí)以及相應(yīng)地調(diào)整訪問策略至關(guān)重要。不具備上下文感知能力的供應(yīng)商在做出豐富的上下文感知自適應(yīng) SASE 決策的能力方面將受到限制。

• 投資領(lǐng)先的云提供商 API 檢查能力。因?yàn)楹芏嘤脩艚K端都需要連接到 SaaS 的訪問，SASE 供應(yīng)商需要理解其數(shù)據(jù)上下文。這種上下文的檢測不能完全基于在線的流量監(jiān)測。因?yàn)檫@種對(duì)用戶終端的在線流量監(jiān)測將無法覆蓋合作伙伴上傳/分享的數(shù)據(jù)，以及云之間的數(shù)據(jù)交換。API 監(jiān)測是一項(xiàng)非常關(guān)鍵的能力，這項(xiàng)能力在 CASB 的魔力象限中是最基礎(chǔ)的能力要求（詳見 “Magic Quadrant for Cloud Access Security Brokers”）。然而，有一些 SWG 供應(yīng)商、聚焦于網(wǎng)絡(luò)的供應(yīng)商還不具備這方面的專業(yè)知識(shí)。

• SASE 領(lǐng)導(dǎo)廠商的要求部署代理。為了與基于前向代理的體系架構(gòu)集成，并處理一些遺留的應(yīng)用程序協(xié)議，將需要一個(gè)本地代理（例如，SWG、用于舊應(yīng)用程序的 ZTNA、本地 Wi-Fi 保護(hù)和本地設(shè)備安全態(tài)勢(shì)評(píng)估）。此外，SASE 供應(yīng)商使用本地代理獲得更多的設(shè)備上下文。但是，如果必須使用多個(gè)代理來支持訪問，則代理會(huì)增加企業(yè) SASE 部署的復(fù)雜度。本地代理需要與現(xiàn)有端點(diǎn)保護(hù)平臺(tái)（EPP）和統(tǒng)一端點(diǎn)管理（UEM）代理集成。（詳見 “The Long-Term Evolution of Endpoints Will Reshape Enterprise Security.”）更近一步來說，如果 SASE 供應(yīng)商在開發(fā)最終用戶設(shè)備代理方面專業(yè)知識(shí)有限，則穩(wěn)定性和可管理性可能是問題或平臺(tái)支持可能受到限制。

• 費(fèi)用過高和 SASE 市場震蕩。SASE 市場在未來五年將經(jīng)歷重大變化，預(yù)計(jì)將進(jìn)一步整合和收購。由于這個(gè)市場還在早期階段，我們推薦簽署 1～2 年的合同，并且在合同中包含適當(dāng)?shù)氖召彵Ｗo(hù)條款。隨著市場的鞏固并開始有利于大型供應(yīng)商的規(guī)模經(jīng)濟(jì)，整個(gè) SASE 市場將會(huì)面臨下調(diào)定價(jià)的壓力。此外，它還將從基于帶寬的 WAN 邊緣/ SD-WAN 模型轉(zhuǎn)向基于訂閱的模型，并根據(jù)所應(yīng)用的檢查類型進(jìn)行定價(jià)。

八、評(píng)價(jià)因素

在評(píng)估特定的 SASE 功能（SD-WAN、SWG、CASB、FW 等）時(shí)，我們提供 Gartner 的推薦閱讀材料中會(huì)包含相關(guān)的市場指南和魔力象限材料的鏈接。為了本研究的目的，我們將重點(diǎn)研究 SASE 特定的評(píng)價(jià)標(biāo)準(zhǔn)：

• 提供的 SASE 服務(wù)的廣度。并不是每個(gè)供應(yīng)商都能力提供所有的功能。一些供應(yīng)商將從以網(wǎng)絡(luò)為中心的功能開始，另一些將從以安全為中心的功能開始。新興的 SASE 的領(lǐng)導(dǎo)者應(yīng)當(dāng)提供圖 3 中大部分或全部服務(wù)。

• SASE 策略決策點(diǎn)的位置。大多數(shù) SASE 的決策都可以且應(yīng)該是基于云的交付和管理模型的。然而，還是會(huì)有一些決策是需要依賴端點(diǎn)本地 —— 為實(shí)現(xiàn)（設(shè)備）基于策略的訪問需要本地代理，在 QoS 和分支機(jī)構(gòu)路徑選擇場景需要物理/虛擬化硬件。但是，這些都應(yīng)該被基于云的服務(wù)集中管理。領(lǐng)先的 SASE 架構(gòu)需要基于云的策略決策引擎，該引擎可以使用 CPE 輕分支/重 SASE 的云模型應(yīng)用于基于云或本地策略執(zhí)行點(diǎn)（參見圖 5）。

圖 5：從傳統(tǒng)的重分支遷移到云為核心的輕分支/重 SASE 模型

• SASE 管理/控制平面的位置。即使使用代理和 CPE 形式的本地執(zhí)行點(diǎn)，SASE 管理控制臺(tái)也應(yīng)該以基于云的服務(wù)方式來交付。應(yīng)該對(duì)策略進(jìn)行云管理，并將其分發(fā)到本地的執(zhí)行點(diǎn)。

• 架構(gòu)。SASE 的架構(gòu)非常重要。理想情況下，該產(chǎn)品是基于云的，內(nèi)置微服務(wù)，可根據(jù)需要進(jìn)行擴(kuò)展。為了最大限度地減少延遲，數(shù)據(jù)包應(yīng)復(fù)制到內(nèi)存中，并對(duì)其進(jìn)行處理并轉(zhuǎn)發(fā)/阻止，而不是從虛擬機(jī)（VM）傳遞到虛擬機(jī)（VM），也不應(yīng)該是從云傳遞到云。軟件技術(shù)棧應(yīng)該沒有特定的硬件依賴性，并且在需要時(shí)實(shí)例化，以將基于風(fēng)險(xiǎn)的和基于策略的能力傳遞給端點(diǎn)身份。

• 用戶側(cè) CPE 部署選項(xiàng)。現(xiàn)場（物理或虛擬） CPE 設(shè)備仍然是需要的，但應(yīng)該使用基于云的管理和配置模型。這類 CPE 設(shè)備的設(shè)計(jì)模式應(yīng)該是交鑰匙的黑盒子，開機(jī)然后就可以把它給忘了。作為評(píng)估的一部分，會(huì)評(píng)估供應(yīng)商的架構(gòu)，以確保 CPE 的生命周期內(nèi)可以提供更新和報(bào)廢。一些企業(yè)將更喜歡使用 SASE 的 CPE 硬件。硬件應(yīng)該是具有用于安全引導(dǎo)和秘密保護(hù)（例如加密密鑰和證書）的體系架構(gòu)的商品，其不可能具有虛擬設(shè)備形式因素。

• 租賃模式。云原生的 SASE 架構(gòu)總是會(huì)使用多租戶和多客戶共享的底層數(shù)據(jù)平面。有一些供應(yīng)商會(huì)堅(jiān)持使用每個(gè)用戶使用獨(dú)立的實(shí)例。企業(yè)用戶也許不會(huì)也不感興趣知道自己使用的是哪個(gè)實(shí)例，但架構(gòu)會(huì)影響到 SASE 供應(yīng)商的擴(kuò)展能力。單一租賃通常會(huì)導(dǎo)致更低的密度，而成本可能會(huì)給企業(yè)帶來更高的成本。然而，也有一些企業(yè)更傾向于對(duì)單一租賃模式進(jìn)行更強(qiáng)的隔離。

• POP 節(jié)點(diǎn)和對(duì)等連接的地點(diǎn)和數(shù)量。在 SASE 場景中，對(duì)于某些應(yīng)用來說延遲是重要的。SASE 解決方案應(yīng)提供 POP 與數(shù)字化企業(yè)的訪問延遲和數(shù)據(jù)駐留要求相一致的業(yè)務(wù)對(duì)等連接的組合。這對(duì)于本地化最終用戶體驗(yàn)也是至關(guān)重要的。企業(yè)流量很少穿越公共互聯(lián)網(wǎng)。相反，互聯(lián)網(wǎng)被用于縮短連接 SASE 網(wǎng)絡(luò)的條數(shù)。在 SASE 網(wǎng)絡(luò)中進(jìn)行基于策略的檢查，并且通過使用快速路徑路由和對(duì)等連接來優(yōu)化以獲得最佳性能。此外，SASE 供應(yīng)商必須能夠顯示處理分布式拒絕服務(wù)（DDoS）攻擊的能力，因?yàn)楣羝矫鏁?huì)移動(dòng)到 SASE 供應(yīng)商。

• 使用 IaaS 的通用計(jì)算進(jìn)行非延遲敏感操作。一些 SASE 供應(yīng)商將使用帶有互聯(lián)網(wǎng)邊緣和 POP 節(jié)點(diǎn)的混合模型進(jìn)行低延遲的在線檢查，并使用商業(yè)化的計(jì)算資源（CPU/GPU）和 IaaS 供應(yīng)商提供的存儲(chǔ)進(jìn)行低延遲敏感操作，例如：網(wǎng)絡(luò)沙箱、遠(yuǎn)程瀏覽器隔離、審計(jì)日志存儲(chǔ)和分析。

• 大范圍進(jìn)行加密流量的監(jiān)測。SASE 廠商必須具備提供大范圍在線加密流量監(jiān)測的能力（解密及后續(xù)再加密），理想情況下應(yīng)該是云交付，而不使用專有硬件。必須支持 TLS 的最新版本。

• 一次通過掃描。應(yīng)該打開給定會(huì)話的流量并對(duì)嵌入的內(nèi)容進(jìn)行一次且僅一次的并檢查。一旦解密，多個(gè)掃描和策略引擎可以以擴(kuò)展的方式并行運(yùn)行，理想情況下無需通過服務(wù)鏈串接檢查服務(wù)。例如，應(yīng)該一次內(nèi)容檢查就完成對(duì)敏感數(shù)據(jù)和惡意軟件的檢查。

• 可選的流量重定向、檢查和日志記錄能力。全球范圍內(nèi)對(duì)數(shù)據(jù)隱私的監(jiān)管要求（例如，通用數(shù)據(jù)保護(hù)法規(guī) GDPR）的增加，將為 SASE 帶來基于策略進(jìn)行流量處理的企業(yè)需求，這將用于檢查、路由和記錄特定地理轄區(qū)的流量。

• 支持 IoT/邊緣計(jì)算的場景。對(duì)于 SASE 而言，IoT 邊緣計(jì)算平臺(tái)只是需要支持的另一個(gè)端點(diǎn)身份。關(guān)鍵的區(qū)別將是假設(shè)邊緣計(jì)算位置將具有間歇性連通性和對(duì)系統(tǒng)的物理攻擊的風(fēng)險(xiǎn)。因此，SASE 的架構(gòu)應(yīng)支持離線決策（例如，緩存訪問策略），并對(duì)數(shù)據(jù)和秘密進(jìn)行本地保護(hù)。由于 IoT 和邊緣設(shè)備可能不支持代理，所以可能需要本地 SASE 網(wǎng)關(guān)或 CPE 設(shè)備。遠(yuǎn)程設(shè)備的網(wǎng)絡(luò)訪問控制是一項(xiàng)增值服務(wù)。

• 威脅防護(hù)。這方面的例子包括使用惡意軟件和內(nèi)容的沙箱來檢測會(huì)話上下文。在公共的 Wi-Fi 網(wǎng)絡(luò)中，SASE 解決方案需要提供基于 DNS 的保護(hù)服務(wù)，建立到本地 POP 節(jié)點(diǎn)的加密會(huì)話，避免被監(jiān)聽。如果用戶正在處理的內(nèi)容表示風(fēng)險(xiǎn)，則可以采取自適應(yīng)行動(dòng)（例如，隔離內(nèi)容或阻止下載）。更多的高級(jí)威脅防護(hù)服務(wù)往往需要額外的費(fèi)用（見注 3）。

• 能夠識(shí)別敏感數(shù)據(jù)并適應(yīng)。SASE 產(chǎn)品應(yīng)理解正在訪問的數(shù)據(jù)/應(yīng)用程序的上下文，并且當(dāng)檢測到過度風(fēng)險(xiǎn)時(shí)，能夠采取自適應(yīng)操作（例如，阻止敏感數(shù)據(jù)的上載/下載）。關(guān)鍵的評(píng)價(jià)標(biāo)準(zhǔn)將是如何定義敏感數(shù)據(jù)的策略豐富度。為了了解云的敏感數(shù)據(jù)，使用 API 來檢查數(shù)據(jù)對(duì)于理解數(shù)據(jù)上下文至關(guān)重要，并在數(shù)據(jù)離開云之前應(yīng)用有用的策略（例如：加密或水?。?。

• 用戶隱私。SASE 供應(yīng)商應(yīng)根據(jù)政策提供不檢查流量的選項(xiàng)（例如，GDPR、HIPAA 和類似的個(gè)人隱私保護(hù)條例）。此非檢查策略可以與遠(yuǎn)程瀏覽器隔離相結(jié)合，以進(jìn)一步將會(huì)話與企業(yè)系統(tǒng)和日志隔離開來。

• 支持代理。需要支持最終用戶使用的終端設(shè)備包括 Windows、Mac 和特定版本的 Linux 發(fā)行版。Android 和 iOS 為基礎(chǔ)的設(shè)備未來也需要能夠支持。近一步來說，無論是使用 SASE 供應(yīng)商還是使用 UEM 供應(yīng)商的終端代理，SASE 交付都必須能夠收集設(shè)備的上下文（例如：健康度、狀態(tài)、行為等這類信息）來改善安全訪問的決策（詳見 “Magic Quadrant for Unified Endpoint Management Tools”）。

• 管理不受控的設(shè)備。企業(yè)往往很難做到 100% 強(qiáng)制使用代理，特別是在他們不擁有或無法控制的系統(tǒng)上。輕量級(jí)移動(dòng)應(yīng)用程序或?yàn)g覽器插件可以用于增加可見性（詳見 “Market Guide for Mobile Threat Defense”）?；蛘?，不受控的設(shè)備應(yīng)該支持反向代理或被重定向到遠(yuǎn)程瀏覽器隔離服務(wù)（實(shí)質(zhì)上創(chuàng)建托管會(huì)話，其中策略可在非受控端點(diǎn)上應(yīng)用）。

• 可選的精細(xì)的可見性和詳細(xì)的日志記錄。SASE 交付應(yīng)在訪問應(yīng)用程序和服務(wù)時(shí)提供對(duì)用戶進(jìn)行細(xì)顆粒的活動(dòng)監(jiān)控（最好在使用 ZTNA 保護(hù)時(shí)將此可見性應(yīng)用于企業(yè)應(yīng)用程序）。會(huì)話中的所有活動(dòng)都應(yīng)該記錄下來，這就要求 SASE 產(chǎn)品能夠按比例創(chuàng)建和管理分布式日志，并根據(jù)策略將用戶和設(shè)備的日志保存在客戶的首選地理位置。

• 在會(huì)話中監(jiān)測行為。在 Gartner 的 CARTA 戰(zhàn)略方法指引下，SASE 會(huì)話代理應(yīng)該使用內(nèi)嵌的 UEBA 進(jìn)行過度的風(fēng)險(xiǎn)和異常的持續(xù)監(jiān)測。如果檢測到過度風(fēng)險(xiǎn)，應(yīng)至少提供提高警報(bào)的能力。與企業(yè)安全信息和事件管理（SIEM）工具的集成應(yīng)該是標(biāo)準(zhǔn)功能。

• 基于角色管理控制臺(tái)和面板。最終，安全架構(gòu)師、網(wǎng)絡(luò)運(yùn)營經(jīng)理或 CISO 可能希望獲得所有安全訪問會(huì)話的快照視圖。SASE 提供商應(yīng)提供基于角色的、可定制的風(fēng)險(xiǎn)控制面板/熱圖，以了解特定角色，以獲得整體網(wǎng)絡(luò)性能（對(duì)于網(wǎng)絡(luò)運(yùn)行）的可見性和云風(fēng)險(xiǎn)及安全態(tài)勢(shì)（用于安全運(yùn)行）的可見性。

• 收費(fèi)模型。 WAN 邊緣/ SD-WAN 產(chǎn)品通常根據(jù)帶寬計(jì)費(fèi)。然而，CASB、SWG 和遠(yuǎn)程瀏覽器隔離往往是按照每用戶、每年來計(jì)費(fèi)。由于 SASE 同時(shí)包含了多種服務(wù)，SASE 供應(yīng)商將在逐步淘汰基于帶寬的定價(jià)模式。大多數(shù)模型將基于受保護(hù)的實(shí)體數(shù)量進(jìn)行計(jì)費(fèi) —— 不論是獨(dú)立實(shí)體（設(shè)備、用戶、應(yīng)用程序、系統(tǒng)）還是聚合實(shí)體（分支辦公室/IoT 和邊緣位置）。

九、SASE 替代品

當(dāng)前使用硬件為基礎(chǔ)的分支解決方案。這是當(dāng)今大多數(shù)企業(yè)采用的一種受限的模型，這是由于訪問模式的改變以及硬件為中心的設(shè)備的剛性和高成本所造成的，這些設(shè)備都帶有插件硬件刀片，用于特定的網(wǎng)絡(luò)安全功能。檢查受到本地計(jì)算能力和硬件刷新周期的限制，基于硬件的形式因素，使得在支持?jǐn)?shù)字化企業(yè)的流量模式方面效率低下?；谲浖姆种C(jī)構(gòu)。通過使用基于軟件的刀片方法到內(nèi)部分支 CPE，具有一組合作伙伴的供應(yīng)商可以提供圖 3 中的許多服務(wù)?；蛘?，當(dāng)需要時(shí)（例如：為了安全檢查），CPE 可以調(diào)用基于云的服務(wù)。雖然云管理和云交付的分支機(jī)構(gòu)可以提供 SASE，但分支機(jī)構(gòu)只是一個(gè)要解決的邊緣服務(wù)交付問題。此外，該方法仍然存在多個(gè)服務(wù)、控制臺(tái)和策略的問題，這些服務(wù)、控制臺(tái)和策略被縫合在一起，以構(gòu)建完整的產(chǎn)品組合。通過服務(wù)鏈自己構(gòu)建 SASE 。一些企業(yè)將嘗試通過服務(wù)鏈接多個(gè)不同提供商的產(chǎn)品并使用多個(gè)端點(diǎn)代理，并把將 SASE 相關(guān)的功能集合在一起，構(gòu)建自己的 SASE。這種方法具有難以管理的復(fù)雜性、高成本和高延遲。采用較新的加密標(biāo)準(zhǔn)，如 TLS1.3 將使服務(wù)鏈接檢查變得困難。SD-WAN 來自一個(gè)服務(wù)商，而網(wǎng)絡(luò)安全服務(wù)來自于另一個(gè)廠商。一些企業(yè)將采用的另一種方法是將“連接”的基礎(chǔ)設(shè)施與圖 1 所示的“安全”的基礎(chǔ)設(shè)施分開，但兩者都轉(zhuǎn)移到基于云的服務(wù)。這具有解決組織政治的優(yōu)勢(shì)，但與使用單一的 SASE 提供商相比，具有更高的復(fù)雜性和成本。運(yùn)營商編排的服務(wù)鏈。企業(yè)的另一種選擇將是轉(zhuǎn)向在網(wǎng)絡(luò)、網(wǎng)絡(luò)安全或運(yùn)營商方面占主導(dǎo)地位的運(yùn)營商，并讓供應(yīng)商代表客戶執(zhí)行所需的服務(wù)鏈接。使用服務(wù)鏈接和網(wǎng)絡(luò)功能虛擬化，主要的運(yùn)營商可以成為代理或總承包商，負(fù)責(zé)將不同的服務(wù)拼接在一起。多個(gè)供應(yīng)商的管理控制臺(tái)（誰管理和控制這些控制臺(tái)）和不同的策略框架的問題使這一戰(zhàn)略復(fù)雜化。

十、建議

SASE 將對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系結(jié)構(gòu)造成破壞，就像 IaaS 對(duì)數(shù)據(jù)中心設(shè)計(jì)的體系架構(gòu)的影響一樣。SASE 為安全和風(fēng)險(xiǎn)管理專業(yè)人員提供了在未來十年內(nèi)徹底重新思考和重新設(shè)計(jì)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)的機(jī)會(huì)。業(yè)務(wù)數(shù)字化轉(zhuǎn)型、采用云計(jì)算和越來越多地采用邊緣計(jì)算平臺(tái)這都將需要 SASE。盡管 SASE 剛剛出現(xiàn)，但今天安全和風(fēng)險(xiǎn)管理專業(yè)人員可以采取一些具體措施：

• 現(xiàn)在參與 SD-WAN 架構(gòu)和規(guī)劃會(huì)議。在可能的情況下，利用將網(wǎng)絡(luò)安全服務(wù)作為架構(gòu)的一部分的機(jī)會(huì)：

  • 在企業(yè) SD-WAN 評(píng)估中包括網(wǎng)絡(luò)安全提供者。例如，Barracuda、Cisco、Forcepoint 和 Fortinet 都是著名的安全供應(yīng)商，它們都提供有競爭力的 SD-WAN 服務(wù)（詳見 “Magic Quadrant for WAN Edge Infrastructure”）。

  • 要求 SASE 供應(yīng)商提供第三方測試 SD-WAN 能力和安全功能的證據(jù)，理想情況下使用已知的信譽(yù)良好且獨(dú)立的測試公司。

• 評(píng)估 ZTNA 作為一個(gè)立即采取 SASE 解決方案和應(yīng)用零信任概念的機(jī)會(huì)（詳見 “Market Guide for Zero Trust Network Access”）?？蓮奶囟ǖ闹С?jǐn)?shù)字化業(yè)務(wù)的項(xiàng)目開始，例如對(duì)合作伙伴或承包商使用的非托管設(shè)備的精確標(biāo)識(shí)和應(yīng)用程序感知訪問。

• 現(xiàn)在評(píng)估 SASE 服務(wù)合并降低復(fù)雜度的短期機(jī)會(huì)；例如，隨著這些合同的續(xù)簽，CASB、SWG、ZTNA、虛擬專用網(wǎng)絡(luò) 和遠(yuǎn)程瀏覽器隔離功能之間的部分或完全合并。

• 避免將 SASE 產(chǎn)品拼接在一起。一個(gè)大供應(yīng)商可能擁有收購或合作伙伴中所有的 SASE 元素。但是，要仔細(xì)評(píng)估服務(wù)的集成及其作為單個(gè)控制臺(tái)和設(shè)置策略的單一方法進(jìn)行編排的能力。

• 讓您的 CISO 和首席網(wǎng)絡(luò)架構(gòu)師參與評(píng)估現(xiàn)有供應(yīng)商和新興供應(yīng)商的產(chǎn)品和路線圖，因?yàn)橄?SASE 的技術(shù)過渡跨越了傳統(tǒng)的組織邊界，設(shè)備部署可能會(huì)帶來團(tuán)隊(duì)成員抵制。

• 和 SASE 供應(yīng)商簽訂最長期限為 1～2 年的短期合同，因?yàn)樵S可模式還在不斷調(diào)整。SASE 供應(yīng)商最好能在在所有產(chǎn)品中提供基于身份/實(shí)體的訂閱許可（而不是基于帶寬）。

十一、代表性的供應(yīng)商

由于 SASE 市場還正在出現(xiàn)，盡管有幾個(gè)供應(yīng)商擁有大多數(shù)必需的功能，但目前沒有單一供應(yīng)商提供整個(gè) SASE 的產(chǎn)品組合。到2020年年底，我們預(yù)計(jì)幾個(gè)供應(yīng)商將提供完整的產(chǎn)品組合。因?yàn)檫@個(gè)市場跨越了以前不同的市場，涉及到能力交付方式的轉(zhuǎn)變，所以不可能包括一個(gè)全面的列表。因此，這個(gè)列表包括了不同類別的具有代表性的供應(yīng)商，我們預(yù)計(jì)這些供應(yīng)商將競爭提供 SASE：

• Akamai

• Cato Networks

• Cisco

• Cloudflare

• Forcepoint

• Fortinet

• McAfee

• Netskope

• Palo Alto Networks

• Proofpoint

• Symantec

• Versa

• VMware

• Zscaler

在 SASE 市場中，主要的 IaaS 提供商（AWS、Azure和GCP）還沒有競爭力。我們期望在未來五年中，至少有一個(gè)將移動(dòng)到圖3所示的Sase的大多數(shù)市場要求，因?yàn)樗鼈兌紨U(kuò)展了它們的邊緣-網(wǎng)絡(luò)存在和安全能力。

注 1：SASE 組件

• 核心組件： SD-WAN、SWG、CASB、ZTNA、FWaaS所有這些都具有識(shí)別敏感數(shù)據(jù)/惡意軟件的能力，并且能夠以在線速度對(duì)內(nèi)容進(jìn)行加密/解密，同時(shí)持續(xù)監(jiān)控風(fēng)險(xiǎn)/信任級(jí)別的會(huì)話。

• 推薦能力：WEB 應(yīng)用程序和 API 保護(hù)、遠(yuǎn)程瀏覽器隔離、遞歸 DNS、網(wǎng)絡(luò)沙箱、基于 API 的數(shù)據(jù)上下文訪問 SaaS，以及對(duì)托管和非托管設(shè)備的支持。

• 可選能力：Wi-Fi 熱點(diǎn)保護(hù)、網(wǎng)絡(luò)混淆/分散、傳統(tǒng)虛擬專用網(wǎng)絡(luò)和邊緣計(jì)算防護(hù)（脫機(jī)/緩存保護(hù)）。

注 2：CARTA

持續(xù)適應(yīng)性風(fēng)險(xiǎn)和信任評(píng)估是信息安全演變的戰(zhàn)略框架，組織的網(wǎng)絡(luò)安全態(tài)勢(shì)不斷調(diào)整，風(fēng)險(xiǎn)優(yōu)化到預(yù)期水平。這是通過持續(xù)評(píng)估所有數(shù)字實(shí)體、它們的屬性、它們的配置、它們的環(huán)境和它們的行為來實(shí)現(xiàn)的，以確定開發(fā)和生產(chǎn)中的相對(duì)風(fēng)險(xiǎn)和信任水平。當(dāng)風(fēng)險(xiǎn)太高，或者信任太低時(shí)，安全基礎(chǔ)設(shè)施（以及由此產(chǎn)生的安全態(tài)勢(shì)）就會(huì)適應(yīng)以達(dá)到預(yù)期的風(fēng)險(xiǎn)水平。

注 3：高級(jí)威脅防護(hù)

預(yù)計(jì) SASE 供應(yīng)商將提供高級(jí)威脅防護(hù)解決方案。一個(gè)例子是遠(yuǎn)程瀏覽器隔離，另一個(gè)例子是網(wǎng)絡(luò)隱私保護(hù)（也稱為網(wǎng)絡(luò)隱私作為服務(wù)）和流量分散。這樣做的目的是通過隱藏底層 IP 地址和可選地將流量分散到多個(gè)不同加密的流中，從而很難找到企業(yè)系統(tǒng)，從而使攻擊者更難竊聽。