自從Gartner將SASE定義為將網(wǎng)絡(luò)安全功能和WAN結(jié)合在一起的新領(lǐng)域以來，SASE已經(jīng)成為了一個(gè)熱點(diǎn)話題。每個(gè)人都認(rèn)同SASE從理論上很有價(jià)值，但當(dāng)要將理論上的框架落到IT實(shí)踐的時(shí)候，就會(huì)有各種誤區(qū)。以下是三個(gè)甲方因?yàn)閷?duì)SASE過于理想化而產(chǎn)生的誤區(qū)。

[[416781]]

誤區(qū)一：SASE必須零菊花鏈

Gartner在2019年的企業(yè)網(wǎng)絡(luò)成熟度曲線中的一個(gè)隊(duì)虛擬機(jī)服務(wù)鏈(菊花鏈)的警告，有時(shí)候會(huì)誤導(dǎo)人們：“軟件架構(gòu)和部署非常重要。需要注意廠商會(huì)通過(虛擬機(jī))服務(wù)鏈連接大量的功能，尤其當(dāng)產(chǎn)品來自不少收購項(xiàng)目或者通過合作伙伴提供的時(shí)候。這種方式可能會(huì)加速市場(chǎng)擴(kuò)張速度，但結(jié)果可能導(dǎo)致服務(wù)不連續(xù)、管理難度高、以及延遲高的問題。”

解決方案結(jié)構(gòu)固然重要，而且客戶確實(shí)希望減少菊花鏈數(shù)量來降低復(fù)雜性。然而，這不代表在解決方案中完全不需要菊花鏈。事實(shí)上，零菊花鏈也會(huì)有問題——不是性能問題，而是安全問題。

SASE會(huì)將多種安全技術(shù)集成到一個(gè)服務(wù)中，但是很多這些技術(shù)現(xiàn)在都是獨(dú)立的——每一種技術(shù)都會(huì)有自己領(lǐng)域的領(lǐng)導(dǎo)者和落后者。任何一個(gè)要求零菊花鏈的客戶其實(shí)都得相信某一個(gè)SASE供應(yīng)商能夠完全獨(dú)立打造橫跨多個(gè)領(lǐng)域的最佳技術(shù)——而且還會(huì)不停地升級(jí)自己技術(shù)的深度和廣度。事實(shí)上，考慮到菊花鏈可以將業(yè)界最佳技術(shù)集成到一個(gè)供應(yīng)商的方案中，認(rèn)定某一家廠商顯然并不可行。當(dāng)然，這里還有幾個(gè)菊花鏈?zhǔn)潜仨毜脑颍?/p>

• 沒有任何一個(gè)廠商，尤其是初創(chuàng)廠商，可以在保證產(chǎn)品的成熟度、有效性的情況下，提供SASE所有安全領(lǐng)域產(chǎn)品，以滿足業(yè)務(wù)在當(dāng)下攻擊環(huán)境下的期望。SASE的能力應(yīng)該建立在嚴(yán)酷的攻防斗爭(zhēng)之上，而大部分初創(chuàng)企業(yè)顯然很難堅(jiān)持下來。
• 任何因菊花鏈產(chǎn)生的復(fù)雜性應(yīng)該由供應(yīng)商自己來管理，而非讓這個(gè)情況影響客戶。如果一個(gè)SASE平臺(tái)的表現(xiàn)超出預(yù)期，那有多少菊花鏈又有什么關(guān)系呢?
• “零菊花鏈”意味著大量的技術(shù)收購和市場(chǎng)吞并，從而表示會(huì)有一小部分巨型SASE供應(yīng)商掌握了極大的市場(chǎng)資源，就會(huì)抑制創(chuàng)新的同時(shí)，提升價(jià)格。這對(duì)甲方來說并不是好事。

誤區(qū)二：SASE必須全云化

SASE圍繞云環(huán)境展開，毫無疑問能通弄過基于云的安全能力實(shí)現(xiàn)速度和靈活性。然而，SASE并不是只有通過云才能實(shí)現(xiàn)。實(shí)際上，IT領(lǐng)導(dǎo)人員應(yīng)該用一些更實(shí)際的方式落地SASE，基于現(xiàn)在情況和問題使用最好的技術(shù)。舉例而言，本地部署的NGFW對(duì)大型辦公環(huán)境而言依然是最佳選擇;因?yàn)樵谠摥h(huán)境下，性能和總成本是關(guān)鍵。如果SASE的部署方案是“云優(yōu)先”，而非“云唯一”，那么就要確保解決方案適合自己的需求。

誤區(qū)三：SASE會(huì)解決所有安全問題

千萬別認(rèn)為SASE是個(gè)完整的解決方案。SASE涵蓋了很多領(lǐng)域，但是絕不包含一個(gè)企業(yè)需要的所有遠(yuǎn)程辦公和多云環(huán)境相關(guān)的安全技術(shù)。比如，CWP和EDR對(duì)保護(hù)用戶和云計(jì)算環(huán)境非常關(guān)鍵，但卻并非是SASE框架的一部分。盡管EDR是針對(duì)惡意軟件的主要技術(shù)，但因?yàn)樗⒉灰欢ㄐ枰W(wǎng)絡(luò)流量檢查才能工作，因此在SASE之外;EDR實(shí)際上是基于代理的解決方案，對(duì)操作系統(tǒng)活動(dòng)和完整性進(jìn)行監(jiān)測(cè)。

另外，SASE只應(yīng)用于一個(gè)有效安全項(xiàng)目的技術(shù)部分，還是需要有人類專家進(jìn)行24/7的安全監(jiān)控和成熟的事件響應(yīng)。如果沒有專注的安全分析師團(tuán)隊(duì)，安全技術(shù)就會(huì)無效——無論它們是否包括在SASE中。專業(yè)技術(shù)依然對(duì)威脅調(diào)查以及在重大損失出現(xiàn)之前進(jìn)行阻止非常必要。

純粹性 VS 實(shí)用性

SASE的火爆在于給了IT領(lǐng)導(dǎo)夢(mèng)寐以求多年的理想框架一個(gè)實(shí)現(xiàn)的可能，但是要實(shí)現(xiàn)純粹的SASE可能會(huì)有些其他問題。對(duì)零菊花鏈和云的強(qiáng)硬態(tài)度應(yīng)該軟化一些，從而能收獲最佳的安全效果和商業(yè)價(jià)值。同樣的，SASE解決方案也應(yīng)該和更廣泛的安全與網(wǎng)絡(luò)策略作對(duì)比，發(fā)現(xiàn)SASE哪些地方可以增加價(jià)值，哪些可能還有不足。從一個(gè)實(shí)用的角度來看問題，企業(yè)可以讓理想更加落地，用已有的安全技術(shù)實(shí)現(xiàn)靈活性和業(yè)務(wù)高效性。

點(diǎn)評(píng)

SASE作為零信任的一種實(shí)踐，受到了很多廠商的關(guān)注，并開始推出自己的解決方案。但是，所以安全理念的推出都必然是理想化的，而理想化的東西在落地的時(shí)候都會(huì)因?qū)嶋H情況而發(fā)生一些改變。無論是廠商，還是客戶，都應(yīng)該從最終的安全價(jià)值出發(fā)，實(shí)現(xiàn)最契合環(huán)境的安全解決方案，而不是一味地追求概念。