下圖中藍(lán)色部分是企業(yè)網(wǎng)絡(luò)中的安全設(shè)備。一般來說，企業(yè)會(huì)購買硬件盒子形式的安全設(shè)備，部署在企業(yè)網(wǎng)絡(luò)中，自己負(fù)責(zé)運(yùn)維。（左圖）

　　想象一下，如果有一天企業(yè)不用運(yùn)維這么一大堆安全設(shè)備了。有一個(gè)公司在云上提供同樣能力的安全服務(wù)。日常維護(hù)由云負(fù)責(zé)。沒有現(xiàn)場(chǎng)部署調(diào)試這堆麻煩事。要增加什么安全能力，一鍵完成。想想是不是很美好？

　　Gartner提出了一種新的技術(shù)架構(gòu)，可以實(shí)現(xiàn)這種美好的愿景。架構(gòu)的名字叫SASE（全稱Secure Access Service Edge）。

　　1、什么是SASE

　　SASE的一個(gè)主要思想就是基于云來提供安全，像共享單車一樣“共享安全”。

　　SASE可以“零接觸”部署全部安全服務(wù)。IT部門不必花心思應(yīng)付各個(gè)安全廠商，采購各類產(chǎn)品，去SASE開個(gè)賬號(hào)就妥了。理論上，用了SASE的企業(yè)，辦公室里不用防火墻，不用服務(wù)器，什么都不用，全部由云來提供。

　　除了云安全，SASE還是一個(gè)云加速的方案。

　　一般公司不會(huì)在分公司放安全設(shè)備，一般會(huì)像下圖左邊這樣，在總部放全套的安全設(shè)備，分部員工先連到總部做安全檢測(cè)，再從總部出去訪問互聯(lián)網(wǎng)。

　　這么做會(huì)有一個(gè)問題——如果分公司在深圳，總部在北京，分公司用戶要訪問一個(gè)在深圳的SaaS應(yīng)用，那流量要從深圳先到北京，檢測(cè)之后，再出來回到深圳，流量來了一個(gè)全國游。

　　這顯然是不合理的。

　　SASE架構(gòu)的做法聰明很多。SASE的安全接入點(diǎn)不在中心而是在“邊緣”。

　　就像上圖右邊那樣。北京、深圳都有SASE節(jié)點(diǎn)，節(jié)點(diǎn)間是加密隧道。上文例子中深圳用戶接入離自己最近的深圳SASE節(jié)點(diǎn)即可，不用去北京繞一圈，訪問路徑大大縮短。

　　這樣，企業(yè)員工、合作伙伴無論身處何地，都可以快速地接入企業(yè)網(wǎng)絡(luò)了。

　　正是因?yàn)橛辛恕斑吘壖铀佟保瓢踩抛優(yōu)榭赡堋?/p>

　　SASE的一個(gè)重要意義就在于，解放了企業(yè)的安全邊界。邊界不必存在于數(shù)據(jù)中心的硬件盒子中，而是在企業(yè)需要的任何地方。員工、外地員工、第三方人員，甚至物聯(lián)網(wǎng)設(shè)備，都可以自由地安全訪問。

　　我很看好sase的發(fā)展，因?yàn)镾ASE不是單純的安全產(chǎn)品，它還有加速、節(jié)省人力等等好處，給企業(yè)帶來的價(jià)值更大，更重要的是它的價(jià)值是企業(yè)的老領(lǐng)導(dǎo)更容易理解的。

　　不過可惜的是，目前全球還沒有一個(gè)符合Gartner定義的完整的SASE產(chǎn)品。已有產(chǎn)品要么有云安全，沒有云加速，要么還是基于設(shè)備，沒有在云原生的網(wǎng)絡(luò)中。可能到今年年底，才會(huì)有廠商把完整產(chǎn)品做出來。

　　2、sase的技術(shù)

　　從技術(shù)角度看，SASE就是一些新興的網(wǎng)絡(luò)技術(shù)和安全技術(shù)的集合。或者說，SASE是Network as a service和Security as a service的進(jìn)化。

　　SASE不是一個(gè)大雜燴。SASE把網(wǎng)絡(luò)和安全整合到一個(gè)平臺(tái)中，將訪問技術(shù)棧壓進(jìn)方便管理的連接網(wǎng)絡(luò)，進(jìn)行統(tǒng)一管理：

　?。?）統(tǒng)一策略：我們可以在所有網(wǎng)絡(luò)位置實(shí)施統(tǒng)一的策略，極大消除管理跨多個(gè)位置、用戶和設(shè)備類型的網(wǎng)絡(luò)的復(fù)雜性。IT部門可以專注于安全策略，而不是基礎(chǔ)設(shè)施的常規(guī)配置。

　?。?）統(tǒng)一身份：SASE安全的核心就是身份，所有安全組件都以身份作為訪問決策的中心。用戶和資源身份決定網(wǎng)絡(luò)連接體驗(yàn)和訪問權(quán)限級(jí)別。服務(wù)質(zhì)量、路由選擇、應(yīng)用的風(fēng)險(xiǎn)安全控制——所有這些都由身份所驅(qū)動(dòng)。

　?。?）統(tǒng)一檢查：用戶訪問內(nèi)容在內(nèi)存中被并行地進(jìn)行一次檢查（例如檢測(cè)敏感數(shù)據(jù)泄露或者惡意軟件入侵），而不是多個(gè)檢查引擎串行檢查。

　?。?）統(tǒng)一數(shù)據(jù)：SASE中組件可以統(tǒng)一收集日志，展示安全全景圖。不必?fù)?dān)心各組件之間的兼容。所有數(shù)據(jù)都在一個(gè)公共存儲(chǔ)庫中，使故障排除更加容易。

　?。?）持續(xù)評(píng)估：SASE框架與零信任體系一脈相承。SASE在整個(gè)訪問過程中對(duì)用戶的身份、設(shè)備環(huán)境進(jìn)行持續(xù)評(píng)估風(fēng)險(xiǎn)。SASE按需提供所需的服務(wù)和策略執(zhí)行。

　　具體來說，SASE的技術(shù)棧應(yīng)該包括：

　?。?）云原生架構(gòu)：自適應(yīng)彈性擴(kuò)容、自動(dòng)恢復(fù)、隨處可用。

　?。?）支持各類接入形式：SDWAN組網(wǎng)接入、移動(dòng)端接入、無端模式瀏覽器接入等等。

　?。?）接入節(jié)點(diǎn)覆蓋全國各地，降低服務(wù)延遲

　?。?）一個(gè)平臺(tái)上統(tǒng)一集成、管理各類微服務(wù)

　?。?）檢測(cè)Https加密流量中的威脅

　　（6）對(duì)各個(gè)端口各種協(xié)議做入侵檢測(cè)

　?。?）持續(xù)安全評(píng)估

　　（8）數(shù)據(jù)防泄密

　?。?）基于AI的用戶行為分析

　　（10）威脅情報(bào)

　?。?1）零信任替代VPN

　　（12）SDP網(wǎng)絡(luò)隱身

　?。?3）提供基于 DNS 的保護(hù)服務(wù)

　?。?4）訪問加速、路由優(yōu)化、緩存、帶寬分配優(yōu)化

　　3、可能的坑

　　牛都吹完了，說說坑。

　　目前還沒有一個(gè)完整的SASE產(chǎn)品出現(xiàn)，不過Gartner已經(jīng)預(yù)測(cè)到會(huì)有不少廠商出來挖坑了~

　　未來一定會(huì)有廠商通過集成各家產(chǎn)品，串行一堆各家產(chǎn)品虛擬機(jī)，快速攢一個(gè)SASE出來賣。這類產(chǎn)品是你要小心的。沒有整體架構(gòu)設(shè)計(jì)的話，各組件不能兼容，運(yùn)維起來難度反而更大，買這種相當(dāng)于給自己挖坑了。

　　傳統(tǒng)廠商習(xí)慣了賣硬件，轉(zhuǎn)型到云原生可能會(huì)有一定難度。就像視頻網(wǎng)站肯定不是靠堆一千個(gè)DVD做成的。云安全一定是云原生、為云而生的。

　　SASE的收費(fèi)模型可能也是坑。SD-WAN產(chǎn)品通常根據(jù)帶寬計(jì)費(fèi)。然而，云安全產(chǎn)品往往是按照用戶年費(fèi)來收取的。由于 SASE同時(shí)包含了多種服務(wù)，廠商的收費(fèi)模式還沒有標(biāo)準(zhǔn)，可能會(huì)不斷調(diào)整。買的時(shí)候可以先嘗試1到2年的短期合同避坑。

　　4、總結(jié)

　　SASE必將顛覆目前的網(wǎng)絡(luò)安全體系，就像“云計(jì)算”對(duì)數(shù)據(jù)中心的顛覆一樣。同時(shí)，SASE也是為安全和風(fēng)險(xiǎn)管理人員提供了未來重新思考和設(shè)計(jì)網(wǎng)絡(luò)和安全架構(gòu)的機(jī)會(huì)。

　　在SASE產(chǎn)品成熟之前，Gartner還給出了一個(gè)過渡建議，企業(yè)可以提前規(guī)劃SASE最核心的兩塊——SD-WAN和零信任架構(gòu)。