安全接入服務邊緣 (SASE：Secure Access Service Edge )是一種融合多種解決方案的新興企業(yè)戰(zhàn)略，可實現(xiàn)對本地、云和在線資源的安全遠程訪問。不幸的是，因為目前市場上存在著大量的不實炒作，導致一些組織不清楚 SASE 到底是什么。了解 SASE 的基本概念和組成部分很重要，對許多組織大有助益。幸運的是，SASE 的許多基本原理（例如融合網(wǎng)絡與安全）都是客戶多年來一直關注的發(fā)展趨勢，因此了解起來也很容易。但是，為了避免增加復雜性，甚至錯過 SASE 的真正價值，我們?nèi)匀槐仨氁日_定義 SASE。

安全保護無處不在

當今的組織要求無論用戶位于何處，都可以不間斷地即時訪問網(wǎng)絡和云端的資源和數(shù)據(jù)，包括關鍵業(yè)務應用。而現(xiàn)實情況是，由于 5G 的實施以及云遷移、持續(xù)居家辦公和其他數(shù)字創(chuàng)新趨勢的興起，消費模式發(fā)生了變化，讓傳統(tǒng)網(wǎng)絡變成了具有許多邊緣的網(wǎng)絡。

與此同時，這些動態(tài)變化的網(wǎng)絡配置以及攻擊面的迅速擴展，意味著許多傳統(tǒng)安全解決方案無法再繼續(xù)提供組織和用戶所需的保護和訪問控制級別。在這種環(huán)境中，任何地方（WAN 邊緣、云邊緣、DC 邊緣、核心網(wǎng)絡邊緣、分支邊緣和移動遠程員工邊緣）的任何設備必須在任何時候獲得安全保護。這離不開傳統(tǒng)安全與云安全的融合，以及安全要素和基礎網(wǎng)元的深度集成。

準確定義 SASE

SASE旨在幫助組織保護這些新型分布式網(wǎng)絡。然而，與任何新興技術類別一樣，SASE 解決方案的確切含義以及所涵蓋的技術仍然存在一些不確定性。此外，一些廠商正嘗試按最能匹配其當前產(chǎn)品的解釋來重新定義該市場，這意味著有些要素會被夸大，而基本要素卻常常被忽略。 可惜的是，SASE 的一些營銷概念遺漏了重要信息，致使一些組織對于如何選擇、實施和管理最能滿足其獨特環(huán)境的解決方案困惑不已。

不只是云

SASE 通常被歸為云交付服務，可提供對云資源的安全訪問、遠程用戶之間的安全通信以及非本地設備“始終在線”的安全性。但在某些情況下，組織可能需要結合物理解決方案和云解決方案才能有效發(fā)揮 SASE 的作用。例如，支持已經(jīng)包含完整安全能力的現(xiàn)有本地SD-WAN解決方案，或者處理機密或敏感信息時在邊緣提供保護，而不是將其傳輸?shù)皆贫诉M行檢查。

通過結合使用本地組件和云組件，SASE 還可以輕松擴展到網(wǎng)絡深處，而不是簡單地將保護責任交給一個完全不同的邊緣系統(tǒng)。這樣可以確保 SASE 安全連接與同樣依賴硬件的關鍵解決方案（例如無法僅通過云安全方法滿足的網(wǎng)絡隔離和合規(guī)性要求）無縫集成，從而提供端到端的保護。

安全 LAN 和 WAN

一些 SASE 定義還忽略了許多組織必須考慮的要素，例如安全 LAN 和安全 WLAN。融合這些技術的 SASE 解決方案可確保為整個安全架構提供一致的安全性，而不是為 SASE 部署單獨的安全組件，后者可能會在安全策略實施方面出現(xiàn)漏洞并限制可視性。要想作為現(xiàn)有安全 LAN 或 WLAN 的擴展，SASE 還需能夠支持硬件解決方案，例如路由和 WAN 優(yōu)化控制器 (WoC)，以及用于動態(tài)路徑選擇的 SD-WAN。此外，無論是使用NGFW還是FWaaS解決方案又或者是物理和云ZTNA解決方案及 WLAN/LAN/5G控制器等網(wǎng)絡工具來保障安全網(wǎng)絡訪問和動態(tài)隔離，SASE 都要確保功能的一致性。

靈活的消費模式

無論使用哪種工具或?qū)⑵洳渴鹪诤翁?，都需要記住一個核心問題。每種 SASE 解決方案不僅必須滿足當今的訪問需求，而且還必須能夠迅速適應不斷變化的網(wǎng)絡環(huán)境和業(yè)務需求。這也對應著 SASE 的一個關鍵標準：靈活的消費模式，即允許組織根據(jù)獨特的用例進行選擇，以釋放 SASE 的真正價值。

【SASE 模型的組成部分】 

基本安全元素定義

一款 真正的 SASE 解決方案必須包括一組核心的基本安全元素。為發(fā)揮 SASE 的全部潛力，組織必須充分了解這些安全組件并將其部署到 WAN 邊緣、LAN 邊緣和云邊緣。 

• 全功能 SD-WAN 解決方案。 SASE 建立在 SD-WAN 解決方案之上，后者涉及動態(tài)路徑選擇、自我修復 WAN 功能以及一致的業(yè)務應用功能和用戶體驗等。
• NGFW（物理）或FWaaS（云）防火墻。 SASE 還需要提供涵蓋物理和云使用場景的完整安全能力。例如，遠程辦公人員既需要云安全性來訪問在線資源，又需要物理安全和內(nèi)部分段功能來防止網(wǎng)絡用戶訪問受限企業(yè)網(wǎng)絡資源。但是，物理硬件和云原生安全功能必須都可大規(guī)模提供相同的高性能，才能實現(xiàn)最高靈活性和安全性。
•  
• 安全 Web 網(wǎng)關。 它可以實施互聯(lián)網(wǎng)安全和合規(guī)性策略，并過濾惡意互聯(lián)網(wǎng)流量，以保護用戶和設備免遭在線安全威脅。它還可以實施可接受的 Web 訪問使用策略，從而確保符合法規(guī)要求，防止數(shù)據(jù)泄漏。
• CASB。 一項云服務，可幫助組織控制SaaS應用，比如保護應用訪問權限、消除 Shadow IT 挑戰(zhàn)。CASB 與本地 DLP 結合使用才可實現(xiàn)全面的數(shù)據(jù)丟失防護。

SASE—網(wǎng)絡與安全的融合

總的來說，實施 SASE 歸根結底是為了在任何邊緣的任何地方安全連接和訪問關鍵資源。遺憾的是，可以提供此服務的供應商非常之少，因為他們的產(chǎn)品組合中都是收購得來的單點產(chǎn)品，或者他們的安全功能無法達到強大 SASE 解決方案所需的廣度。即使他們提供了此服務，其解決方案也無法有效地互操作。

這是一個嚴重的問題，因為要使 SASE 有效發(fā)揮作用，它的所有組件（包括連接性、網(wǎng)絡和安全性要素）都必須要在單個集成系統(tǒng)下具有互操作性，也就是在單個集成式管理和編排解決方案中需要具有互操作性。它們還需要與更大的企業(yè)安全框架無縫集成，并動態(tài)適應網(wǎng)絡環(huán)境的變化。如果不具有上述特點，那么它就不是真正的 SASE 解決方案。

SASE 近期的市場發(fā)展勢頭令人振奮，這反映了實施了安全驅(qū)動型網(wǎng)絡方法的必要性。在云連接和數(shù)字創(chuàng)新的時代，網(wǎng)絡與安全必須相互融合，過時的孤島式架構已經(jīng)一去不復返了。

John Maddison

Chief Marketing Officer and Executive Vice President, Products

[[432090]]

Fortinet首席執(zhí)行官：網(wǎng)絡與安全技術催生安全驅(qū)動型網(wǎng)絡