SASE

Gartner(高德或顾能公司，是全球较具权威的IT研究与顾问咨询公司)在2019年发布的《网络安全的未来在云端》报告中，提出安全访问服务边缘的概念，并将其称为SASE(secure access service edge)。Gartner对SASE的定义为：SASE是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。SASE平台可以支持整个广域网(wide area network，WAN)转换过程， 因为它使IT能够以敏捷和经济有效的方式提供业务需求的网络和安全功能。因此，SASE是一个融合了SD-WAN(软件定义广域网)和网络安全功能的新兴技术，可以很好地支持企业的上云安全。

根据Gartner的定义，SASE主要有基于身份驱动、支持所有边缘、全球分布、云原生架构4大特征。

(1)身份驱动

不仅仅是IP地址，用户和资源身份也决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——这些都由与每个网络连接相关联的身份所驱动。采用该方法，公司企业为用户开发一套网络和安全策略，无须考虑设备或地理位置，从而降低运营开销。和零信任一样，网络安全是动态认证的，用户和资源的身份决定访问权限级别。

(2)云原生架构

SASE架构利用云的几个主要功能，包括弹性、自适应性、自恢复能力和自维护功能，提供一个可以分摊客户开销以提供最大效率的平台，可方便地适应新兴业务需求，而且随处可用。软件是多租户的，从而最大限度地节省成本，并且可以快速实例化，实现服务的快速扩展。

(3)支持所有边缘

支持所有边缘，如物理边缘、移动设备和边缘计算中心等。流量发送到PoP中并检查。SASE为所有公司资源(数据中心、分公司、云资源和移动用户)创建了一个网络。举个例子，SD-WAN设备支持物理边缘，而移动客户端和无客户端浏览器连接四处游走的用户。

(4)全球分布

为确保所有网络和安全功能随处可用，并向全部边缘交付尽可能好的体验，SASE云必须全球分布。因此，Gartner指出，必须扩展自身覆盖面，向企业边缘交付低时延服务。最终，SASE架构的目标是要能够更容易地实现安全的云环境。SASE以一个安全的全球SD-WAN服务代替了难以管理的技术大杂烩^[1]。SASE包含在骨干网上运行的全球SD-WAN服务，以此克服了全球互联网的延迟问题。

从架构层面来看，SASE需要包含如下服务组件：

(1)SASE云基础设施：对于客户透明的SASE底座，包含网络与计算能力，提供覆盖全球范围的分布式云服务，能够为客户交付网络和安全能力。

(2)SASE管理平台：面向客户的管理界面，实现针对网络和安全能力的统一策略编排，安全与应用性能分析，实时状态监控

(3)SASEPoP(Point of presence)：为客户提供就近接入的网络接入节点与安全处理节点

(4)SASE接入边缘：为分支场所，移动用户提供硬件或软件的接入客户端，通常为SD-WAN CPE和移动客户端。

(5)从能力层面来看，SASE需要包含主要的网络和安全能力：网络即服务(Network as a Service)、SD-WAN、服务质量保障QoS、高级路由、SaaS加速、内容交付或缓存、广域网优化、分布式连接

(6)安全即服务(Security as a Service)：FWaaS、ZTNA/VPN、安全Web网关、SSL深度检测、云沙箱、IPS入侵防御系统、CASB云访问安全代理、RBI远程浏览器隔离

SASE组件介绍

SASE包括提供网络即服务(NaaS)和网络安全功能(NSaaS)的五大核心技术，分别是SD-WAN、防火墙即服务(FWaaS)、云访问安全代理(CASB)、安全Web网关(SWG)、以及零信任网络访问(ZTNA)。

(1)网络技术SD-WAN：监视网络的运行状况，并为其特定的流量需求设置策略网络安全技术。SD-WAN是为SASE解决网络基础互联的关键技术，负责将企业分支与数据中心连接起来，SD-WAN未来发展的方向就是集成安全功能的数字化网络服务，这构成了SASE的基础架构。

(2)防火墙即服务(FWaaS)：可使企业更轻松地管理网络安全，设置统一策略，发现异常并快速进行处理.FWaaS防火墙即服务适应了企业上云趋势下对于防火墙的需求、更加强调基于云原生的方式部署和云计算的使用场景。FWaaS的关键技术包括IPS、高级安全威胁防御、URL过滤和DNS安全。

(3)云访问安全代理(CASB)：发展不成熟用于监视与云相关的活动，并应用与基于云的资源的使用相关的安全性、合规性和治理规则。云访问安全代理(CASB)是内部布置或基于云的安全策略实施点，位于云服务使用者和云服务提供商之间，以在访问基于云的资源时合并和插入企业安全策略。适用于拥有大量云计算业务的企业来保护器云数据安全，并提供对用户活动和敏感数据的精细可见性并对其进行控制。

(4)安全的Web网关(SWG)：执行公司安全策略并实时过滤恶意Internet流量或非必要软件来提供针对在线安全威胁的防护。SWG的关键技术包括URL过滤、反恶意软件检测和组织、应用程序控制、数据丢失防护DLP、内容过滤和其他Internet流量过滤。

(5)零信任网络访问(ZTNA)：核心要素是安全性基于身份的访问决策，确保用户只能访问授权的应用程序，而不能获得一般的网络访问权限。SASE是零信任面向未来的重要场景，是零信任的一种形式。当前的三大技术路径分别为SDP(软件定义边界)、MSG(微隔离技术)、IAM(增强型身份认证与访问管理)。

①SDP软件定义边界：在访问者和资源直接建立动态、细粒度的访问隧道；基于身份的访问控制和完备的权限认证，为企业应用和服务提供隐身保护

②MSG微隔离技术：将资源以更细粒度分割并控制访问进度和权限，在逻辑上划分不同安全段、阻止东西向移动访问

③IAM增强型身份认证与访问管理：围绕身份、环境、权限、活动等关键数据进行管理，持续的动态认证和持续的动态授权^[2]。

为云原生构建统一管理的SD-WAN服务

提供一个全局的、安全管理的SD-WAN服务。能够从遗留的MPLS(一组单点解决方案和昂贵的托管服务)转移到简单、敏捷和可负担得起的网络。自助服务还是托管服务取决于自己。

用云原生网络架构取代传统的电信网络。将全球私有主干网、EdgeSD-WAN、安全即服务(SaaS)、安全优化的云和移动访问聚合到一个云服务中。因此，云解决了组织的全球网络、安全、云和移动需求，以支持完整的WAN转换过程。

(1)传统网络安全架构：大多数传统网络安全模型依赖于VPN技术，并通过SSL/TLS连接到终端；SASE可以代替VPN。用户可以通过连接到SASE来访问本地资源或者云服务。企业安全规则可以通过SASE来定义和执行。

(2)访问云资源：网络安全模型通过传统的防火墙和路径控制；SASE通过提供云化的网络连接来访问SaaS、PaaS和IaaS；

(3)访问控制：大多数本地部署的网络安全依赖于交换、路由、代理和防火墙来控制网络访问；SASE提供一个集合了网络安全和访问控制的架构；

(4)SD-WAN和广域网优化：这些通常需要很多代理商和不同的产品来实现相关功能，而且不同产品很难集成和协同；SASE将SD-WAN和网络优化放入到同一个框架中，从而对所有类型的访问提供整体的服务代理；

(5)威胁检测：传统网络安全模型使用NGFWs，检测沙盒或者CASB；SASE将所有的网络威胁检测能力整合到同一个服务架构中；

(6)网络安全服务：传统网络安全模型WAF通常是相互分隔的应用和平台，或者通过服务代理来使用云端资源/内容分发；SASE将WAF规则和服务整合到同一个服务代理路径；

深信服SASE方案以SASE架构为核心，将深信服已有的安全能力(如上网行为管理、终端安全检测与响应、上网安全防护、内网安全接入等)聚合在云上以服务化模式交付，通过云安全访问服务(Sangfor Access)来落地实现。

只需要通过轻量级客户端软件/引流器/SD-WAN设备，将网络流量引流上云进行管理和安全检测，即可满足多分支机构安全建设、移动办公安全管理、中小企业一体化办公安全等需求。

目前，Cato Networks、Palo Alto Networks、Akamai、思科等一众SD-WAN、云安全及CDN厂商都纷纷展开该领域的布局。同时，包括阿里云、亚马逊云、华为云、戴尔等在内的云厂商也开始涉足。

2020年，阿里云正式发布“云原生SASE解决方案”，将核心原生安全能力与网络能力融合，为云上用户提供了一个基于阿里云基础架构的SaaS化安全服务平台。

2021年，思科宣布推出全新的SASE产品组合。这是思科对网络运维与安全进一步简化的重要举措，从而更好地帮助网络运维团队(NetOps)和安全运维团队(SecOps)将用户与应用程序安全地连接。

2021年，VMware也推出了一套完整的SASE解决方案。基于VMware的云平台(VMware Cloud Foundation)，VMware将SD-WAN、终端用户计算以及相关云安全产品结合起来，成为一套SASE云原生的解决方案，为远程分布式办公保障安全连接。

由于SASE安全架构旨在构建一个无处不在、可随时访问、足够敏捷、有弹性的全球安全网络服务，强调云原生架构、身份驱动、支持所有边缘以及全球分布等，因此Gartner认为SASE最适应边缘计算、混合云等网络环境。

Gartner分析预测，未来5至10年，SASE将会成为主流安全解决方案。到2024年，SASE市场规模将从2019年的19亿美元攀升至110亿美元；届时SASE将成为安全领域的主流解决方案，被至少40%的大公司采用，而2018年这一比例仅为1%。

(1)SASE服务落地建设循序渐进

企业的替换成本、SASE能力建设成熟度等多方影响下，SASE服务的采用更可能是渐进式的，先解决单独的业务场景需求，逐渐整合一体以解决更多问题。

(2)交付形式持续多样化

SASE的理想状态是完全云交付，但是考虑到企业的替换成本，国内的使用习惯、行业特性等，短期内SASE的交付形式仍会有多种形态，包含云原生部署、私有化部署、混合部署等形式。

(3)多种方式完善SASE服务能力

SASE能力的建设非一朝一夕可以完成，短期来看，在SASE发展初期，各供应商可通过相互合作、收购、并购等方式为企业提供完整的SASE服务，并有望通过技术架构调整、整合，实现在单个节点，通过接入点便可执行全部网络策略和安全策略；长期来看，各SASE供应商必将呈现百家争鸣的盛况。

(4)各项服务能力大幅提升

一方面随着行业标准的统一、产品能力的成熟，SASE对远程员工、云端数据的保护能力，边缘多样化的接入能力等都将有大幅提升。例如SASE通过统一管理平台对数据进行集中管理，可使敏感数据的防护及威胁检测能力更上一层楼。另一方面SASE本身是要求拥有统一的控制平台及技术架构，统一的控制管理能力将打破碎片化的用户体验，进一步提升运维效率。再者供应商未来可通过SASE提供统一的安全托管服务，这将进一步促进安全托管服务行业的发展。

(5)应用场景不断丰富

目前供应商在建设SASE时已开始考虑未来接入IOT、车联网等场景，随着5G的商用化发展，其与SASE相得益彰，将在更多的应用场景中发挥其价值^[3]。

参考资料：

[1] 叶朝阳，王欣，张士聪，等. SASE云安全研究与实践[J]. 电信科学，2022，38(1):140-149.

[2] 2021年网络安全行业发展模式与深信服SASE产品竞争优势研究报告(23页).pdf

[3] 深信服2022年SASE安全访问边缘白皮书35页.pdf