下圖中藍(lán)色部分是企業(yè)網(wǎng)絡(luò)中的安全設(shè)備,。一般來說,，企業(yè)會購買硬件盒子形式的安全設(shè)備,，部署在企業(yè)網(wǎng)絡(luò)中,，自己負(fù)責(zé)運(yùn)維。（左圖）

　　想象一下,，如果有一天企業(yè)不用運(yùn)維這么一大堆安全設(shè)備了,。有一個公司在云上提供同樣能力的安全服務(wù)。日常維護(hù)由云負(fù)責(zé),。沒有現(xiàn)場部署調(diào)試這堆麻煩事,。要增加什么安全能力，一鍵完成,。想想是不是很美好,？

　　Gartner提出了一種新的技術(shù)架構(gòu)，可以實(shí)現(xiàn)這種美好的愿景,。架構(gòu)的名字叫SASE（全稱Secure Access Service Edge）,。

　　1,、什么是SASE

　　SASE的一個主要思想就是基于云來提供安全,，像共享單車一樣“共享安全”。

　　SASE可以“零接觸”部署全部安全服務(wù),。IT部門不必花心思應(yīng)付各個安全廠商，采購各類產(chǎn)品,，去SASE開個賬號就妥了。理論上，用了SASE的企業(yè),，辦公室里不用防火墻，不用服務(wù)器,，什么都不用,，全部由云來提供。

　　除了云安全,，SASE還是一個云加速的方案,。

　　一般公司不會在分公司放安全設(shè)備,，一般會像下圖左邊這樣,，在總部放全套的安全設(shè)備，分部員工先連到總部做安全檢測,，再從總部出去訪問互聯(lián)網(wǎng),。

　　這么做會有一個問題——如果分公司在深圳，總部在北京,，分公司用戶要訪問一個在深圳的SaaS應(yīng)用,，那流量要從深圳先到北京，檢測之后,，再出來回到深圳,，流量來了一個全國游。

　　這顯然是不合理的,。

　　SASE架構(gòu)的做法聰明很多。SASE的安全接入點(diǎn)不在中心而是在“邊緣”,。

　　就像上圖右邊那樣。北京,、深圳都有SASE節(jié)點(diǎn),，節(jié)點(diǎn)間是加密隧道,。上文例子中深圳用戶接入離自己最近的深圳SASE節(jié)點(diǎn)即可,，不用去北京繞一圈,，訪問路徑大大縮短。

　　這樣,，企業(yè)員工,、合作伙伴無論身處何地，都可以快速地接入企業(yè)網(wǎng)絡(luò)了,。

　　正是因為有了“邊緣加速”,，云安全才變?yōu)榭赡堋?/p>

　　SASE的一個重要意義就在于，解放了企業(yè)的安全邊界,。邊界不必存在于數(shù)據(jù)中心的硬件盒子中,，而是在企業(yè)需要的任何地方,。員工,、外地員工、第三方人員,，甚至物聯(lián)網(wǎng)設(shè)備,，都可以自由地安全訪問。

　　我很看好sase的發(fā)展,，因為SASE不是單純的安全產(chǎn)品,，它還有加速、節(jié)省人力等等好處,，給企業(yè)帶來的價值更大,，更重要的是它的價值是企業(yè)的老領(lǐng)導(dǎo)更容易理解的。

　　不過可惜的是,，目前全球還沒有一個符合Gartner定義的完整的SASE產(chǎn)品,。已有產(chǎn)品要么有云安全，沒有云加速,，要么還是基于設(shè)備,，沒有在云原生的網(wǎng)絡(luò)中?？赡艿浇衲昴甑?，才會有廠商把完整產(chǎn)品做出來。

　　2,、sase的技術(shù)

　　從技術(shù)角度看，SASE就是一些新興的網(wǎng)絡(luò)技術(shù)和安全技術(shù)的集合,?；蛘哒f，SASE是Network as a service和Security as a service的進(jìn)化,。

　　SASE不是一個大雜燴。SASE把網(wǎng)絡(luò)和安全整合到一個平臺中,，將訪問技術(shù)棧壓進(jìn)方便管理的連接網(wǎng)絡(luò),，進(jìn)行統(tǒng)一管理：

　　（1）統(tǒng)一策略：我們可以在所有網(wǎng)絡(luò)位置實(shí)施統(tǒng)一的策略，極大消除管理跨多個位置,、用戶和設(shè)備類型的網(wǎng)絡(luò)的復(fù)雜性,。IT部門可以專注于安全策略，而不是基礎(chǔ)設(shè)施的常規(guī)配置,。

　?。?）統(tǒng)一身份：SASE安全的核心就是身份，所有安全組件都以身份作為訪問決策的中心,。用戶和資源身份決定網(wǎng)絡(luò)連接體驗和訪問權(quán)限級別,。服務(wù)質(zhì)量、路由選擇,、應(yīng)用的風(fēng)險安全控制——所有這些都由身份所驅(qū)動,。

　　（3）統(tǒng)一檢查：用戶訪問內(nèi)容在內(nèi)存中被并行地進(jìn)行一次檢查（例如檢測敏感數(shù)據(jù)泄露或者惡意軟件入侵）,，而不是多個檢查引擎串行檢查,。

　　（4）統(tǒng)一數(shù)據(jù)：SASE中組件可以統(tǒng)一收集日志,，展示安全全景圖,。不必?fù)?dān)心各組件之間的兼容。所有數(shù)據(jù)都在一個公共存儲庫中,，使故障排除更加容易,。

　　（5）持續(xù)評估：SASE框架與零信任體系一脈相承,。SASE在整個訪問過程中對用戶的身份,、設(shè)備環(huán)境進(jìn)行持續(xù)評估風(fēng)險。SASE按需提供所需的服務(wù)和策略執(zhí)行,。

　　具體來說,，SASE的技術(shù)棧應(yīng)該包括：

　　（1）云原生架構(gòu)：自適應(yīng)彈性擴(kuò)容,、自動恢復(fù),、隨處可用。

　?。?）支持各類接入形式：SDWAN組網(wǎng)接入,、移動端接入、無端模式瀏覽器接入等等,。

　?。?）接入節(jié)點(diǎn)覆蓋全國各地，降低服務(wù)延遲

　?。?）一個平臺上統(tǒng)一集成,、管理各類微服務(wù)

　?。?）檢測Https加密流量中的威脅

　　（6）對各個端口各種協(xié)議做入侵檢測

　?。?）持續(xù)安全評估

　?。?）數(shù)據(jù)防泄密

　　（9）基于AI的用戶行為分析

　?。?0）威脅情報

　?。?1）零信任替代VPN

　　（12）SDP網(wǎng)絡(luò)隱身

　?。?3）提供基于 DNS 的保護(hù)服務(wù)

　?。?4）訪問加速、路由優(yōu)化,、緩存,、帶寬分配優(yōu)化

　　3、可能的坑

　　牛都吹完了,，說說坑,。

　　目前還沒有一個完整的SASE產(chǎn)品出現(xiàn)，不過Gartner已經(jīng)預(yù)測到會有不少廠商出來挖坑了~

　　未來一定會有廠商通過集成各家產(chǎn)品,，串行一堆各家產(chǎn)品虛擬機(jī),，快速攢一個SASE出來賣。這類產(chǎn)品是你要小心的,。沒有整體架構(gòu)設(shè)計的話,，各組件不能兼容，運(yùn)維起來難度反而更大,，買這種相當(dāng)于給自己挖坑了,。

　　傳統(tǒng)廠商習(xí)慣了賣硬件，轉(zhuǎn)型到云原生可能會有一定難度,。就像視頻網(wǎng)站肯定不是靠堆一千個DVD做成的,。云安全一定是云原生、為云而生的,。

　　SASE的收費(fèi)模型可能也是坑。SD-WAN產(chǎn)品通常根據(jù)帶寬計費(fèi),。然而,，云安全產(chǎn)品往往是按照用戶年費(fèi)來收取的。由于 SASE同時包含了多種服務(wù),，廠商的收費(fèi)模式還沒有標(biāo)準(zhǔn),，可能會不斷調(diào)整。買的時候可以先嘗試1到2年的短期合同避坑,。

　　4,、總結(jié)

　　SASE必將顛覆目前的網(wǎng)絡(luò)安全體系,，就像“云計算”對數(shù)據(jù)中心的顛覆一樣。同時,，SASE也是為安全和風(fēng)險管理人員提供了未來重新思考和設(shè)計網(wǎng)絡(luò)和安全架構(gòu)的機(jī)會,。

　　在SASE產(chǎn)品成熟之前，Gartner還給出了一個過渡建議,，企業(yè)可以提前規(guī)劃SASE最核心的兩塊——SD-WAN和零信任架構(gòu),。