安全接入服務(wù)邊緣 (SASE：Secure Access Service Edge )是一種融合多種解決方案的新興企業(yè)戰(zhàn)略，可實現(xiàn)對本地、云和在線資源的安全遠(yuǎn)程訪問。不幸的是，因為目前市場上存在著大量的不實炒作，導(dǎo)致一些組織不清楚 SASE 到底是什么。了解 SASE 的基本概念和組成部分很重要，對許多組織大有助益。幸運的是，SASE 的許多基本原理（例如融合網(wǎng)絡(luò)與安全）都是客戶多年來一直關(guān)注的發(fā)展趨勢，因此了解起來也很容易。但是，為了避免增加復(fù)雜性，甚至錯過 SASE 的真正價值，我們?nèi)匀槐仨氁日_定義 SASE。

安全保護(hù)無處不在

當(dāng)今的組織要求無論用戶位于何處，都可以不間斷地即時訪問網(wǎng)絡(luò)和云端的資源和數(shù)據(jù)，包括關(guān)鍵業(yè)務(wù)應(yīng)用。而現(xiàn)實情況是，由于 5G 的實施以及云遷移、持續(xù)居家辦公和其他數(shù)字創(chuàng)新趨勢的興起，消費模式發(fā)生了變化，讓傳統(tǒng)網(wǎng)絡(luò)變成了具有許多邊緣的網(wǎng)絡(luò)。

與此同時，這些動態(tài)變化的網(wǎng)絡(luò)配置以及攻擊面的迅速擴(kuò)展，意味著許多傳統(tǒng)安全解決方案無法再繼續(xù)提供組織和用戶所需的保護(hù)和訪問控制級別。在這種環(huán)境中，任何地方（WAN 邊緣、云邊緣、DC 邊緣、核心網(wǎng)絡(luò)邊緣、分支邊緣和移動遠(yuǎn)程員工邊緣）的任何設(shè)備必須在任何時候獲得安全保護(hù)。這離不開傳統(tǒng)安全與云安全的融合，以及安全要素和基礎(chǔ)網(wǎng)元的深度集成。

準(zhǔn)確定義 SASE

SASE旨在幫助組織保護(hù)這些新型分布式網(wǎng)絡(luò)。然而，與任何新興技術(shù)類別一樣，SASE 解決方案的確切含義以及所涵蓋的技術(shù)仍然存在一些不確定性。此外，一些廠商正嘗試按最能匹配其當(dāng)前產(chǎn)品的解釋來重新定義該市場，這意味著有些要素會被夸大，而基本要素卻常常被忽略。 可惜的是，SASE 的一些營銷概念遺漏了重要信息，致使一些組織對于如何選擇、實施和管理最能滿足其獨特環(huán)境的解決方案困惑不已。

不只是云

SASE 通常被歸為云交付服務(wù)，可提供對云資源的安全訪問、遠(yuǎn)程用戶之間的安全通信以及非本地設(shè)備“始終在線”的安全性。但在某些情況下，組織可能需要結(jié)合物理解決方案和云解決方案才能有效發(fā)揮 SASE 的作用。例如，支持已經(jīng)包含完整安全能力的現(xiàn)有本地SD-WAN解決方案，或者處理機(jī)密或敏感信息時在邊緣提供保護(hù)，而不是將其傳輸?shù)皆贫诉M(jìn)行檢查。

通過結(jié)合使用本地組件和云組件，SASE 還可以輕松擴(kuò)展到網(wǎng)絡(luò)深處，而不是簡單地將保護(hù)責(zé)任交給一個完全不同的邊緣系統(tǒng)。這樣可以確保 SASE 安全連接與同樣依賴硬件的關(guān)鍵解決方案（例如無法僅通過云安全方法滿足的網(wǎng)絡(luò)隔離和合規(guī)性要求）無縫集成，從而提供端到端的保護(hù)。

安全 LAN 和 WAN

一些 SASE 定義還忽略了許多組織必須考慮的要素，例如安全 LAN 和安全 WLAN。融合這些技術(shù)的 SASE 解決方案可確保為整個安全架構(gòu)提供一致的安全性，而不是為 SASE 部署單獨的安全組件，后者可能會在安全策略實施方面出現(xiàn)漏洞并限制可視性。要想作為現(xiàn)有安全 LAN 或 WLAN 的擴(kuò)展，SASE 還需能夠支持硬件解決方案，例如路由和 WAN 優(yōu)化控制器 (WoC)，以及用于動態(tài)路徑選擇的 SD-WAN。此外，無論是使用NGFW還是FWaaS解決方案又或者是物理和云ZTNA解決方案及 WLAN/LAN/5G控制器等網(wǎng)絡(luò)工具來保障安全網(wǎng)絡(luò)訪問和動態(tài)隔離，SASE 都要確保功能的一致性。

靈活的消費模式

無論使用哪種工具或?qū)⑵洳渴鹪诤翁?，都需要記住一個核心問題。每種 SASE 解決方案不僅必須滿足當(dāng)今的訪問需求，而且還必須能夠迅速適應(yīng)不斷變化的網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)需求。這也對應(yīng)著 SASE 的一個關(guān)鍵標(biāo)準(zhǔn)：靈活的消費模式，即允許組織根據(jù)獨特的用例進(jìn)行選擇，以釋放 SASE 的真正價值。

【SASE 模型的組成部分】 

基本安全元素定義

一款 真正的 SASE 解決方案必須包括一組核心的基本安全元素。為發(fā)揮 SASE 的全部潛力，組織必須充分了解這些安全組件并將其部署到 WAN 邊緣、LAN 邊緣和云邊緣。 

• 全功能 SD-WAN 解決方案。 SASE 建立在 SD-WAN 解決方案之上，后者涉及動態(tài)路徑選擇、自我修復(fù) WAN 功能以及一致的業(yè)務(wù)應(yīng)用功能和用戶體驗等。
• NGFW（物理）或FWaaS（云）防火墻。 SASE 還需要提供涵蓋物理和云使用場景的完整安全能力。例如，遠(yuǎn)程辦公人員既需要云安全性來訪問在線資源，又需要物理安全和內(nèi)部分段功能來防止網(wǎng)絡(luò)用戶訪問受限企業(yè)網(wǎng)絡(luò)資源。但是，物理硬件和云原生安全功能必須都可大規(guī)模提供相同的高性能，才能實現(xiàn)最高靈活性和安全性。
•  
• 安全 Web 網(wǎng)關(guān)。 它可以實施互聯(lián)網(wǎng)安全和合規(guī)性策略，并過濾惡意互聯(lián)網(wǎng)流量，以保護(hù)用戶和設(shè)備免遭在線安全威脅。它還可以實施可接受的 Web 訪問使用策略，從而確保符合法規(guī)要求，防止數(shù)據(jù)泄漏。
• CASB。 一項云服務(wù)，可幫助組織控制SaaS應(yīng)用，比如保護(hù)應(yīng)用訪問權(quán)限、消除 Shadow IT 挑戰(zhàn)。CASB 與本地 DLP 結(jié)合使用才可實現(xiàn)全面的數(shù)據(jù)丟失防護(hù)。

SASE—網(wǎng)絡(luò)與安全的融合

總的來說，實施 SASE 歸根結(jié)底是為了在任何邊緣的任何地方安全連接和訪問關(guān)鍵資源。遺憾的是，可以提供此服務(wù)的供應(yīng)商非常之少，因為他們的產(chǎn)品組合中都是收購得來的單點產(chǎn)品，或者他們的安全功能無法達(dá)到強大 SASE 解決方案所需的廣度。即使他們提供了此服務(wù)，其解決方案也無法有效地互操作。

這是一個嚴(yán)重的問題，因為要使 SASE 有效發(fā)揮作用，它的所有組件（包括連接性、網(wǎng)絡(luò)和安全性要素）都必須要在單個集成系統(tǒng)下具有互操作性，也就是在單個集成式管理和編排解決方案中需要具有互操作性。它們還需要與更大的企業(yè)安全框架無縫集成，并動態(tài)適應(yīng)網(wǎng)絡(luò)環(huán)境的變化。如果不具有上述特點，那么它就不是真正的 SASE 解決方案。

SASE 近期的市場發(fā)展勢頭令人振奮，這反映了實施了安全驅(qū)動型網(wǎng)絡(luò)方法的必要性。在云連接和數(shù)字創(chuàng)新的時代，網(wǎng)絡(luò)與安全必須相互融合，過時的孤島式架構(gòu)已經(jīng)一去不復(fù)返了。

John Maddison

Chief Marketing Officer and Executive Vice President, Products

[[432090]]

Fortinet首席執(zhí)行官：網(wǎng)絡(luò)與安全技術(shù)催生安全驅(qū)動型網(wǎng)絡(luò)