當(dāng)前，新基建在推進(jìn)新冠疫情防控和復(fù)工復(fù)產(chǎn)等方面發(fā)揮了重要作用,。為了支撐新基建中工業(yè)互聯(lián)網(wǎng),、智慧城市,、車(chē)聯(lián)網(wǎng)、遠(yuǎn)程辦公等各種業(yè)務(wù)場(chǎng)景,，針對(duì)每個(gè)分散的地點(diǎn)/實(shí)體,，都需要敏捷優(yōu)化且安全可控的網(wǎng)絡(luò)連接才能保證業(yè)務(wù)的順利開(kāi)展，即在廣域網(wǎng)中數(shù)據(jù)的傳輸效能與安全管控是重要環(huán)節(jié),。

　　在過(guò)去的40年時(shí)間里,，WAN架構(gòu)基本上沒(méi)有大的變化。SD-WAN雖然向前邁進(jìn)了一大步,，提高了網(wǎng)絡(luò)效率,，但是也帶來(lái)了新的安全挑戰(zhàn)。例如,，SD-WAN簡(jiǎn)化了為分支機(jī)構(gòu)配置分離隧道的工作,，員工不必通過(guò)公司W(wǎng)AN和數(shù)據(jù)中心就可以直接訪問(wèn)云端。這樣雖然可以改善用戶(hù)體驗(yàn),，但是也形成了嚴(yán)重的安全漏洞。

　　Gartner在2019年發(fā)布的《網(wǎng)絡(luò)安全的未來(lái)在云端》中提出一項(xiàng)新的技術(shù)概念Secure Access Service Edge（SASE）,，其定義是一個(gè)融合了軟件定義廣域網(wǎng)和網(wǎng)絡(luò)安全功能,、以支持?jǐn)?shù)字化企業(yè)需求的新興技術(shù),。Gartner表示SASE將取代現(xiàn)有的網(wǎng)絡(luò)和安全模型。這一全新網(wǎng)絡(luò)安全模型的提出,，迅速成為國(guó)內(nèi)外研究熱點(diǎn),。

　　SASE為什么可以重新定義網(wǎng)絡(luò)和安全架構(gòu)

　　隨著企業(yè)紛紛擁抱數(shù)字化轉(zhuǎn)型，以及邊緣計(jì)算,、云服務(wù)和混合網(wǎng)絡(luò)的興起,，傳統(tǒng)云安全通過(guò)企業(yè)數(shù)據(jù)中心對(duì)數(shù)據(jù)流進(jìn)行檢查的方式在實(shí)時(shí)、移動(dòng)和邊緣等場(chǎng)景下逐漸失靈,。在這種背景下,，Gartner指出：“云服務(wù)和網(wǎng)絡(luò)正在強(qiáng)勁驅(qū)動(dòng)數(shù)字業(yè)務(wù)，但傳統(tǒng)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全架構(gòu)卻遠(yuǎn)未達(dá)到數(shù)字業(yè)務(wù)的需要,?！?/p>

　　Gartner在其發(fā)布的《網(wǎng)絡(luò)安全的未來(lái)在云端》報(bào)告中指出，SASE不是單獨(dú)的獨(dú)立系統(tǒng),，而是包含一套技術(shù),，從SD-WAN和云訪問(wèn)安全代理（CASB）到安全的web網(wǎng)關(guān)（SWG）、零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）,、防火墻即服務(wù)（FWaaS）和遠(yuǎn)程瀏覽器隔離（RBI）,。SASE架構(gòu)確定為保護(hù)云和數(shù)據(jù)中心基礎(chǔ)設(shè)施的關(guān)鍵網(wǎng)絡(luò)安全解決方案，可確保通常以云服務(wù)形式提供的應(yīng)用程序,、服務(wù),、用戶(hù)和機(jī)器對(duì)云和網(wǎng)絡(luò)資源的安全訪問(wèn)。

　　按照Gartner對(duì)SASE的定義：SASE是一種基于實(shí)體的身份,、實(shí)時(shí)上下文,、企業(yè)安全/合規(guī)策略，以及在整個(gè)會(huì)話中持續(xù)評(píng)估風(fēng)險(xiǎn)/信任的服務(wù),。實(shí)體的身份可與人員,、人員組（分支機(jī)構(gòu)）、設(shè)備,、應(yīng)用,、服務(wù)、物聯(lián)網(wǎng)系統(tǒng)或邊緣計(jì)算場(chǎng)地相關(guān)聯(lián),。

　　SASE的核心是身份,，即身份是訪問(wèn)決策的中心，而不再是企業(yè)數(shù)據(jù)中心,。SASE框架可識(shí)別設(shè)備和用戶(hù),，并根據(jù)用戶(hù)、角色,、設(shè)備,、行為,、位置和其他特征來(lái)應(yīng)用基于策略的安全性，從而確保對(duì)應(yīng)用程序或數(shù)據(jù)的安全可靠訪問(wèn),，從而使企業(yè)能夠在全球范圍內(nèi)實(shí)施安全訪問(wèn),。

　　SASE將SD-WAN與零信任訪問(wèn)等一系列安全能力集成，訪問(wèn)決策基于用戶(hù)身份并在邊緣強(qiáng)制執(zhí)行,，而策略則在云中集中定義和管理,，可實(shí)現(xiàn)安全架構(gòu)的核心從數(shù)據(jù)中心向身份的根本性轉(zhuǎn)變。SASE克服了分散集成和地理位置約束解決方案的成本,、復(fù)雜性和剛性,，提供了從分布式云服務(wù)交付聚合的企業(yè)網(wǎng)絡(luò)和安全服務(wù)。

　　與傳統(tǒng)的WAN不同,，SASE取消了將分支機(jī)構(gòu)連接到中心機(jī)構(gòu)的概念,，而是轉(zhuǎn)變?yōu)閷⒃O(shè)備連接到基于云的集中式服務(wù)的模型。SASE不會(huì)強(qiáng)制將流量回傳到數(shù)據(jù)中心的檢查引擎,，而是將檢查引擎帶到附近的存在點(diǎn)（PoP）,。客戶(hù)端將流量發(fā)送到PoP,，以進(jìn)行檢查并轉(zhuǎn)發(fā)到Internet或通過(guò)SASE全球骨干網(wǎng)轉(zhuǎn)發(fā)到其他SASE客戶(hù)端,。SASE將先前隔離的網(wǎng)絡(luò)和安全服務(wù)融合在一起，將本地用戶(hù),、移動(dòng)用戶(hù)以及物聯(lián)網(wǎng)設(shè)備和云資源,，整合為統(tǒng)一的服務(wù)。

　　在傳統(tǒng)WAN和SD-WAN的基礎(chǔ)上,，SASE將安全功能集成到網(wǎng)絡(luò)上,，讓其成為一種網(wǎng)絡(luò)服務(wù)。由于安全和網(wǎng)絡(luò)管理是通過(guò)云完成的,，因此管理員只需要修改一次就可以將其一次性推送到所有地方,，將安全性和網(wǎng)絡(luò)功能集成到網(wǎng)絡(luò)上不僅升級(jí)了網(wǎng)絡(luò)，還可以實(shí)現(xiàn)對(duì)WAN的改造,。

　　SASE可以使企業(yè)信息系統(tǒng)更安全和高效

　　SASE的身份策略一方面可以使安全運(yùn)營(yíng)更為高效,，另一方面也使得攻擊更加困難。在SASE的身份策略中,，要充分考慮網(wǎng)絡(luò)實(shí)體需要訪問(wèn)的應(yīng)用程序和數(shù)據(jù)的敏感性,，這樣可以幫助企業(yè)更精細(xì)地制定最小特權(quán)訪問(wèn)策略，從而實(shí)施嚴(yán)格的訪問(wèn)控制,。

　　SASE能夠在每個(gè)用戶(hù)中應(yīng)用安全策略,，在企業(yè)中基于身份而非用戶(hù)設(shè)置策略（零信任網(wǎng)絡(luò)訪問(wèn)），這樣訪問(wèn)安全會(huì)得到進(jìn)一步優(yōu)化。借助于統(tǒng)一和有效的安全策略管理,，將有助于減少惡意通信,、身份欺詐和中間人劫持攻擊等。另外,，SASE供應(yīng)商可以忽略設(shè)備的具體位置，對(duì)所有的遠(yuǎn)程設(shè)備進(jìn)行安全加密,。SASE針對(duì)公共開(kāi)放環(huán)境下的訪問(wèn)執(zhí)行更為嚴(yán)格的檢查策略,，如在智慧城市的公共熱點(diǎn)網(wǎng)絡(luò)環(huán)境。

　　最后,，SASE服務(wù)商可以針對(duì)企業(yè)需求在基于云的基礎(chǔ)架構(gòu)之上實(shí)施和交付特定于客戶(hù)端的安全服務(wù),，企業(yè)無(wú)需去處理網(wǎng)絡(luò)攻擊、設(shè)備擴(kuò)展,、軟硬件更新等問(wèn)題,，從而可以將企業(yè)IT運(yùn)維團(tuán)隊(duì)從繁瑣工作中解放出來(lái)，將精力聚焦到本企業(yè)更重要的IT業(yè)務(wù)流程管理中,。