SASE的規(guī)范定義包括五個(gè)功能，其中四個(gè)提供安全性，第五個(gè)提供網(wǎng)絡(luò)連接，這里的網(wǎng)絡(luò)部分通常使用SD-WAN實(shí)現(xiàn)，但并不一定就是SD-WAN。例如，如果企業(yè)不注重遠(yuǎn)程辦公并且其遠(yuǎn)程位置有足夠的 MPLS 覆蓋，那么就可以在沒有 SD-WAN 的情況下應(yīng)用 SASE 的安全功能。Forrester的SASE替代方案零信任邊緣模型的一個(gè)優(yōu)勢就是它沒有將遠(yuǎn)程安全與SD-WAN合并，而是強(qiáng)調(diào)SASE的安全元素。

[[439688]]

SD-WAN 和 SASE 不應(yīng)被視為相互替代的關(guān)系，而應(yīng)該被認(rèn)為是互補(bǔ)的，且在很大程度上擁有獨(dú)立的功能，這些功能結(jié)合起來可以創(chuàng)建高度可靠、可擴(kuò)展、高性能和安全的遠(yuǎn)程連接解決方案。SD-WAN通過網(wǎng)絡(luò)、內(nèi)容和身份安全服務(wù)為SASE的構(gòu)建提供了網(wǎng)絡(luò)基礎(chǔ)。

SD-WAN是將SDN技術(shù)應(yīng)用到廣域網(wǎng)中，將網(wǎng)絡(luò)控制從傳輸數(shù)據(jù)中分離出來。通過在物理和邏輯網(wǎng)絡(luò)之間插入抽象層，SD-WAN 平臺(tái)可以將多個(gè)物理鏈路組合成一個(gè)虛擬網(wǎng)絡(luò)，并對(duì)每個(gè)虛擬網(wǎng)絡(luò)上的數(shù)據(jù)包流進(jìn)行微管理，以提高聚合和應(yīng)用性能、可用性和安全性。

SD-WAN能夠交付SDP架構(gòu)，將underlay和overlay結(jié)合到一個(gè)基于云的解決方案中。 SD-WAN 適用于任何類型的有線或無線 Internet 連接，并根據(jù)網(wǎng)絡(luò)擁塞和質(zhì)量提供信道綁定、冗余、負(fù)載平衡和動(dòng)態(tài)路徑選擇。 并且，SD-WAN也提供安全性(SASE的簇?fù)碚叱３Ｒ园踩詠硖Ц咦约?。實(shí)際上，SD-WAN 最初的賣點(diǎn)是它在任何物理網(wǎng)絡(luò)鏈路上提供企業(yè)級(jí)安全性(相當(dāng)于 MPLS)。SD-WAN 的另一個(gè)優(yōu)勢是控制面與數(shù)據(jù)面分離，能夠集中管理網(wǎng)絡(luò)和端點(diǎn)配置、管理、流量策略和監(jiān)控。

典型的 SD-WAN 安全功能包括：

1) 使用 DTLS(使用 AES-GCM 證書交換和身份驗(yàn)證)或 IPSec(使用 IKE 密鑰交換)進(jìn)行鏈路加密。

2) 遠(yuǎn)程設(shè)備 (CPE) 的零接觸自動(dòng)配置，以確保安全的初始設(shè)置。

3) 支持在鏈路拓?fù)渲胁迦胩摂M網(wǎng)絡(luò)服務(wù) (VNF)，例如 NGFW 、內(nèi)容過濾器。

4) 網(wǎng)絡(luò)微分段使用虛擬網(wǎng)絡(luò)和防火墻按應(yīng)用程序、安全級(jí)別或其他標(biāo)準(zhǔn)劃分廣域網(wǎng)流量。微分段還允許 SD-WAN 使用特定于用戶、組和應(yīng)用程序的路由/防火墻規(guī)則實(shí)施簡單的內(nèi)容控制策略。

資料來源：Palo Alto Networks; The CloudBlades Platform

總之，SD-WAN 提供了滿足企業(yè)需求的網(wǎng)絡(luò)安全基礎(chǔ)，并且遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)客戶端或站點(diǎn)虛擬專用網(wǎng)提供的功能。

SASE建立在網(wǎng)絡(luò)基礎(chǔ)上，如果SD-WAN實(shí)現(xiàn)了遠(yuǎn)程工作和WFH的擴(kuò)散，那么SASE可以被看作是通過一套網(wǎng)絡(luò)、數(shù)據(jù)和用戶安全功能來支持它。與其把SASE看作是SD-WAN的創(chuàng)新替代品，不如把它看作是在SD-WAN基礎(chǔ)之上分層安全性的演進(jìn)改進(jìn)。有的供應(yīng)商聲稱SD-WAN只提供網(wǎng)絡(luò)連接，需要SASE來提供邊緣網(wǎng)絡(luò)安全，這要么是故意過度簡化，要么就是一味地為了營銷SASE。

SASE 為 SD-WAN 添加了四個(gè)安全功能：

1) 下一代防火墻即服務(wù) (FWaaS) ：目前已經(jīng)通過NFV和虛擬防火墻設(shè)備被許多SD WAN用戶所整合。

2) SWG (Secure Web Gateway)：用于監(jiān)控和過濾Web流量。

3) 云訪問安全代理 (CASB) ：通過提供應(yīng)用級(jí)網(wǎng)絡(luò)可見性和策略實(shí)施來擴(kuò)展 SWG。

4) 零信任網(wǎng)絡(luò)訪問 (ZTNA) ：使用基于發(fā)起設(shè)備、發(fā)起用戶和目標(biāo)應(yīng)用或服務(wù)的細(xì)粒度策略，使用特定于應(yīng)用和會(huì)話的身份驗(yàn)證，取代了使用客戶端虛擬專用網(wǎng)絡(luò)的訪問安全性。ZTNA 是對(duì)傳統(tǒng)遠(yuǎn)程訪問安全性的最大改變，它需要提供用戶和設(shè)備憑據(jù)(通?；谧C書)、證書頒發(fā)機(jī)構(gòu) (CA)、SSO 服務(wù)和設(shè)備訪問代理。

盡管打包云服務(wù)可能是大多數(shù)情況下最好的 SASE 交付工具，但這不是必需的。一些組織可能會(huì)選擇運(yùn)營私有 SASE 基礎(chǔ)設(shè)施，或與提供SASE作為其網(wǎng)絡(luò)基礎(chǔ)設(shè)施一部分的MSP簽訂合同。事實(shí)上，創(chuàng)造了“SASE”一詞的 Gartner 認(rèn)為，基于云的 SASE 的采用正在緩慢增長。

Gartner 表示，到2024年，30%的企業(yè)將采用來自同一供應(yīng)商的云交付SWG、CASB、ZTNA和分支機(jī)構(gòu)防火墻即服務(wù)(FWaaS)能力，而2020年這一比例不到5%。為了滿足用戶對(duì)安全的要求，越來越多地采用SASE組件。

云交付并非 SASE 獨(dú)有

一些供應(yīng)商將 SASE 與云交付混為一談，從而來宣揚(yáng)所謂的“獨(dú)特優(yōu)勢”，以及營造一種SD-WAN已經(jīng)“過時(shí) ”的假象。

當(dāng)供應(yīng)商錯(cuò)誤地宣稱SASE是唯一的基于云的網(wǎng)絡(luò)服務(wù)時(shí)，問題就來了。盡管云托管是我們首選的 SASE 運(yùn)營模式，但它不是必需的，并且一些產(chǎn)品支持云、本地或混合部署。

邊緣網(wǎng)絡(luò)和安全的云服務(wù)交付在大多數(shù)企業(yè)SaaS使用爆炸式增長的時(shí)代最有意義，在線應(yīng)用程序取代了本地軟件，但云交付不是唯一的選擇。舉例來看，在以SaaS為中心、有大量WFH員工的企業(yè)環(huán)境中，將安全性強(qiáng)制集中到數(shù)據(jù)中心設(shè)備上既昂貴又低效。

云部署不僅限于 SASE，它也是交付基本SD-WAN服務(wù)的一種有效方式。事實(shí)上，像Aryaka、Adaptiv Networks(前身為TeloIP)、Masergy等NaaS供應(yīng)商早就通過將控制平面集中在云基礎(chǔ)設(shè)施上，并使用私有核心網(wǎng)和全球分布的POP，提供SD-WAN即服務(wù)。

這又帶來了另一個(gè)問題，有供應(yīng)商宣稱SASE是“基于設(shè)備的架構(gòu)”，需要“專有設(shè)備來增加安全性和遠(yuǎn)程支持”。實(shí)際情況是，任何基于 SD-WAN 的遠(yuǎn)程訪問解決方案都需要某種形式的 CPE 來終止兩條或多條物理鏈路，為遠(yuǎn)程 LAN 提供 L2/L3 連接，并執(zhí)行控制平面決策，將流量引導(dǎo)至最佳物理鏈路。將 SD-WAN CPE(通常是小型低功耗設(shè)備)與功能齊全的分支機(jī)構(gòu)路由器(如Cisco ISR或Juniper SRX)混為一談是完全錯(cuò)誤的。

競爭 vs. 互補(bǔ)

SASE 不是 SD-WAN 的繼任者，而是它的隊(duì)友，為軟件定義的 WAN 基礎(chǔ)添加安全功能。同時(shí)每個(gè)也都可以獨(dú)立使用：SD-WAN 不需要 SASE，SASE 功能也可以在傳統(tǒng)網(wǎng)絡(luò)上使用。同樣的，SD-WAN 和 SASE 都可以部署在任何 VM 或容器環(huán)境中，無論是作為云服務(wù) (NaaS)、云 IaaS還是混合部署。

SASE優(yōu)勢在于它為組織提供了一個(gè)完整的、集成的安全組合，覆蓋了大多數(shù)情況，并消除了將單點(diǎn)產(chǎn)品拼湊在一起的問題。不過也有很多組織更愿意逐步地、增量地引入新的應(yīng)用或服務(wù)。在這樣的情況下，SD-WAN 更適合企業(yè)變更管理，因?yàn)樗试S根據(jù)需要在 WAN 中整合NGFW、WAF和SWG等基本功能。

SASE的大部分重要安全性改進(jìn)(即零信任身份驗(yàn)證模型)需要時(shí)間來引入。因此，大部分組織傾向于將更容易部署的NGFW、SWG等 SASE 功能作為 SD-WAN 的增量添加，同時(shí)有選擇地為高風(fēng)險(xiǎn)/高價(jià)值應(yīng)用和用戶引入 ZTNA。

與其讓 SASE 和 SD-WAN 相互競爭，不如將它們視為互補(bǔ)功能。