SASE(安全訪問服務(wù)邊緣)和SD-WAN是兩種網(wǎng)絡(luò)技術(shù)，旨在將地理上不同的端點連接到數(shù)據(jù)源和應(yīng)用程序資源。

SD-WAN——軟件定義的廣域網(wǎng)，它使用虛擬化網(wǎng)絡(luò)overlay連接和遠(yuǎn)程管理分支機構(gòu)。SD-WAN的重點放在將這些分支機構(gòu)連接回中央專用網(wǎng)絡(luò)上。雖然SD-WAN可以連接到云，但它并不是以云為中心構(gòu)建的。

[[347872]]

而SASE專注于云，并具有分布式架構(gòu)。SASE并非著重于將分支機構(gòu)連接到中央網(wǎng)絡(luò)，而是專注于將各個端點(分支機構(gòu)、個人用戶或單個設(shè)備)連接到服務(wù)邊緣。服務(wù)邊緣由運行SASE軟件堆棧的分布式PoP網(wǎng)絡(luò)組成。此外，SASE著重于固有的安全性。

這兩者的區(qū)別就類似于使用內(nèi)網(wǎng)與使用堅果云共享文件之間的區(qū)別。兩種方法都能達到相同的最終目標(biāo)，但方法卻截然不同。

SD-WAN是一個日趨成熟的市場，盡管疫情阻礙了它的發(fā)展，但總體保持穩(wěn)定增長。而SASE相對較新，因為它是Gartner在2019年創(chuàng)造的一個新術(shù)語，盡管SASE市場尚處于起步階段，但許多供應(yīng)商已開始通過自己的SASE或類似SASE的服務(wù)進入市場。

一、差異性

SASE和SD-WAN之間的差異可以歸納為三類：

• 與云的關(guān)系
• 安全性
• 如何進行流量檢查

1. SASE，SD-WAN和云

(1) SASE

SASE使用私有數(shù)據(jù)中心、公共云或托管設(shè)施作為pop。這些pop形成了SASE堆棧運行的體系結(jié)構(gòu)的服務(wù)邊緣。此外，這些pop通常位于公共云中，或者靠近公共云網(wǎng)關(guān)，以實現(xiàn)對云資源的低延遲安全訪問。無論哪個節(jié)點都有足夠的資源來滿足用戶的請求。SASE軟件可以確定流量到達其端點時使用的最佳路徑。與SD-WAN以數(shù)據(jù)中心為中心的架構(gòu)不同，SASE采用的是分布式架構(gòu)。Gartner認(rèn)為，當(dāng)云服務(wù)越來越多地被使用時，將單一的私有數(shù)據(jù)中心作為網(wǎng)絡(luò)的焦點會導(dǎo)致效率低下。

(2) SD-WAN

對于SD-WAN，云集成只是一個功能，而不是一個關(guān)鍵組件。在支持云的SD-WAN中，用戶通過互聯(lián)網(wǎng)連接到虛擬云網(wǎng)關(guān)，使網(wǎng)絡(luò)更易于訪問，并支持云原生應(yīng)用程序。這與SASE方法非常相似。

2. 安全性

安全是SASE和SD-WAN競爭的關(guān)鍵因素。

IDG最近發(fā)布了一項針對SASE和SD-WAN的興趣調(diào)查，數(shù)據(jù)顯示，91%的受訪者表示對SASE解決方案感興趣，其考慮的關(guān)鍵點就在于SASE所能夠提供的安全性。同樣的，在考慮采用SD-WAN的公司中，有70%的公司也強調(diào)了安全的重要性。

(1) SASE

SASE的重點是為網(wǎng)絡(luò)及其用戶提供對分布式資源的安全訪問。這些資源可以分布在私有數(shù)據(jù)中心、托管設(shè)施和云上。安全代理可以包含安全的web網(wǎng)關(guān)，供應(yīng)商的云可以包含防火墻即服務(wù)。在分支機構(gòu)或其他聚集人員的地方，為了保護打印機等無代理設(shè)備的安全，通常使用SASE設(shè)備。

(2) SD-WAN

SD-WAN技術(shù)的設(shè)計并不是以安全為重點的。SD-WAN安全性通常通過輔助功能或第三方供應(yīng)商提供。雖然一些SD-WAN解決方案確實在安全性方面取得了成功，但這也只是少數(shù)。SD-WAN的中心目標(biāo)是將地理位置不同的辦公室相互連接并連接到一個中央總部，具有對不同網(wǎng)絡(luò)條件的靈活性和適應(yīng)性。在SD-WAN中，安全工具通常位于CPE的辦公室，而不是設(shè)備本身。SD-WAN中的網(wǎng)絡(luò)決策是在分布在整個網(wǎng)絡(luò)中的虛擬化網(wǎng)絡(luò)設(shè)備中做出的。

3. SASE與SD-WAN流量檢查

(1) SASE

在SASE網(wǎng)絡(luò)中，流量一次開放，一次可以被多個策略引擎檢查，引擎并行運行，而不會在引擎之間傳遞流量。這樣可以節(jié)省時間，因為流量不會像SD-WAN中那樣從一個安全功能傳遞到下一個安全功能，不會重復(fù)訪問。此外，這些策略引擎的作用與SD-WAN中的安全工具一樣多，甚至更多。

(2) SD-WAN

SD-WAN使用服務(wù)鏈進行流量檢查。服務(wù)鏈?zhǔn)侵敢淮我粋€安全功能一個接一個地檢查流量。這些單獨的功能處理一種類型的威脅，稱為點解決方案(point solutions)。每個點解決方案都會打開流量，對其進行檢查，關(guān)閉，然后將其轉(zhuǎn)發(fā)到下一個點解決方案，直到流量通過所有點解決方案為止。

[[347873]]

二、相似性

盡管SASE和SD-WAN的最終目的相似，但它們在架構(gòu)上并沒有很多相似之處。高層面上，它們有一點相同：它們既是廣域網(wǎng)又是虛擬化基礎(chǔ)結(jié)構(gòu)。

SD-WAN和SASE都是為了覆蓋一個大的地理區(qū)域而設(shè)計的。不同之處在于基礎(chǔ)設(shè)施，SASE的基礎(chǔ)設(shè)施有私有數(shù)據(jù)中心、托管設(shè)施或充當(dāng)端點的云。這些是運行網(wǎng)絡(luò)、優(yōu)化和安全功能的地方，在SD-WAN中，這些功能在分支機構(gòu)和總部的機箱中運行，SASE和SD-WAN都可以從任何地方進行控制。在SD-WAN的情況下，DIY方法通常將控制權(quán)置于組織的總部，托管解決方案將由服務(wù)提供商遠(yuǎn)程控制，而共同管理解決方案類似于托管解決方案，但組織通過門戶具有一定的控制權(quán)。

盡管這兩個基礎(chǔ)設(shè)施的不同，但它們?nèi)匀皇翘摂M化的。SD-WAN和SASE不像非虛擬化WAN那樣依賴于固定功能的專有設(shè)備。如前所述，SASE在云或其他數(shù)據(jù)中心以及安全代理中運行安全和網(wǎng)絡(luò)功能。對于SD-WAN，網(wǎng)絡(luò)節(jié)點和CPE都是軟件定義的。換句話說，這些功能是作為軟件運行的。

三、供應(yīng)商

1. SASE尚處于起步階段

現(xiàn)在許多SD-WAN供應(yīng)商也開始提供SASE解決方案，例如， 思科、VMware VeloCloud和Open Systems都在實踐這種解決方案。

還有一些組織已經(jīng)將他們的資源更多地用于開發(fā)和部署SD-WAN上的SASE服務(wù)，例如 Palo Alto和Cato Networks。

Gartner編制了一份供應(yīng)商名單，其中包括已經(jīng)提供SASE，或者有想法提供SASE的供應(yīng)商：

Gartner表示，“目前主要的IaaS提供商(AWS，Azure和GCP)在SASE市場上還沒有競爭力。”“我們預(yù)計，在未來五年內(nèi)，至少有一家公司將大舉進軍SASE市場，因為它們都在擴展其邊緣網(wǎng)絡(luò)業(yè)務(wù)和安全能力。”

2. SD-WAN生態(tài)參與者眾多

Gartner預(yù)計企業(yè)中部署SD-WAN的比例將從2019年的30%提升至2023年的90%。

根據(jù)IDC數(shù)據(jù)，2019年全球SD-WAN市場空間為23億美元，預(yù)計2019-2021年復(fù)合增長率高達35%。

國內(nèi)SD-WAN玩家眾多，初創(chuàng)公司、網(wǎng)絡(luò)設(shè)備商、網(wǎng)絡(luò)運營商、IDC廠商、公有云運營商、安全廠商等紛紛涌入。

三、總結(jié)

SASE和SD-WAN是兩種不同的網(wǎng)絡(luò)技術(shù)，它們使用不同的方法達到相似的目的。這兩種技術(shù)都旨在以靈活和適應(yīng)性強的方式連接地理分布的組織。SASE網(wǎng)絡(luò)專注于提供云原生安全工具，并以云為網(wǎng)絡(luò)的中心;SD-WAN技術(shù)致力于將辦公室連接到中央總部和數(shù)據(jù)中心，不過它也可以將用戶直接連接到云。

目前，雖然只有少數(shù)SD-WAN供應(yīng)商、安全提供商等在推出SASE解決方案，但Gartner預(yù)測，到2024年，至少40%的企業(yè)會采用SASE策略，也就是說在未來會有更多SD-WAN供應(yīng)商會向SASE轉(zhuǎn)型。