云服(fu)務(wu)和(he)網絡(luo)正在驅(qu)動(dong)數字業務(wu)的(de)概念，但(dan)傳統網絡(luo)和(he)網絡(luo)安全架構遠未達到數字業務(wu)的(de)需求(qiu)。

Gartner 發(fa)布的《網絡安(an)全的未來在云端》報告，詳細(xi)說明了新(xin)型(xing)網絡及(ji)安(an)全模型(xing)基(ji)礎上云端網絡和(he)安(an)全轉型(xing)的潛力。該模型(xing)名為安(an)全訪問服務邊緣 (SASE)，由(you) Gartner 主(zhu)要安(an)全分析師 Neil MacDonald、Lawrence Orans 和(he) Joe Skorupa 提出(chu)。

Gartner聲稱(cheng)，SASE 有潛(qian)力(li)將已建立的網(wang)絡和(he)安(an)全服(fu)務堆棧(zhan)從一個基(ji)于(yu)數據中心的服(fu)務堆棧(zhan)轉變為一個將身(shen)份焦點轉移到用戶和(he)終(zhong)端(duan)設備的設計。

SASE 解決云端采用的傳(chuan)統網絡安全(quan)方(fang)法(fa)里(li)發現(xian)的諸多問題。此類問題的根源大(da)多存(cun)在于網絡安全(quan)架構必須位于數(shu)據(ju)中(zhong)心(xin)連(lian)接核心(xin)的思想意(yi)識(shi)。

這些(xie)遺留(liu)的(de)網絡安全應(ying)用無法(fa)高效支持(chi)更新的(de)聯網理念和用例(li)，比如(ru)轉(zhuan)向動態服務、軟(ruan)件即服務 (SaaS) 應(ying)用，以及企業需處理分布式數據的(de)大趨勢(shi)。

傳統網絡及網絡安全架構，是為企業數據(ju)中(zhong)心(xin)即用(yong)戶和(he)設備訪問所需實體中(zhong)心(xin)的時(shi)代(dai)而(er)設計(ji)的。此前(qian)這一模型(xing)(xing)效果不錯，但數字化轉型(xing)(xing)催生了一些新的要求。

隨著企業(ye)(ye)紛紛擁抱數字業(ye)(ye)務過程，以及邊緣計算、云(yun)服務和混(hun)合網絡的興起，傳統網絡和安全架構開始(shi)多方崩塌的跡象(xiang)越來越明(ming)顯(xian)。

傳統架構的(de)復(fu)(fu)雜性引入的(de)問題(ti)包括延遲、聯網盲點、過(guo)多管理(li)開銷(xiao)和隨服(fu)務改變不得不頻繁重新配置。通過(guo)降低網絡復(fu)(fu)雜度和將安全過(guo)程遷移至可發揮(hui)最大(da)效(xiao)用(yong)的(de)網絡邊(bian)緣，SASE 模型摒除了這些(xie)問題(ti)。

作(zuo)為一(yi)種(zhong)顛覆性(xing)(xing)新興技術(shu)，Gartner 著重強調(diao)了(le) SASE 的重要性(xing)(xing)，其(qi)《2019 企業網絡炒作(zuo)周期》報告中就(jiu)隆重推(tui)出(chu) SASE，為這種(zhong)技術(shu)貼上(shang)了(le) “變革性(xing)(xing)技術(shu)” 的標簽。該報告還(huan)確立了(le) SASE 樣板提供商和關鍵(jian)元(yuan)素(su)。

SASE 到底是什么？

根據 Gartner 的定(ding)義(yi)，SASE 有(you)四(si)個主要特征(zheng)：

1. 身份驅動

不僅僅是 IP 地址，用戶和資源身份決定網絡互連體驗和訪問權限級別。服務質量、路由選擇、應用的風險安全控制——所有這些都由與每個網絡連接相關聯的身份所驅動。采用該方法，公司企業為用戶開發一套網絡和安全策略，無需考慮設備或地理位置，從而降低運營開銷。

2. 云原生架構

SASE 架構利用云的幾個主要功能，包括彈性、自適應性、自恢復能力和自維護功能，提供一個可以分攤客戶開銷以提供最大效率的平臺，可很方便地適應新興業務需求，而且隨處可用。

3. 支持所有邊緣

SASE 為所有公司(si)資源創(chuang)建了一(yi)個(ge)(ge)網絡——數據中心、分公司(si)、云資源和移動(dong)用戶(hu)。舉個(ge)(ge)例子，軟件定義廣域網 (SD-WAN) 設(she)備(bei)支(zhi)持(chi)物理邊緣，而移動(dong)客戶(hu)端和無客戶(hu)端瀏覽(lan)器訪問連接四處游走的用戶(hu)。

4. 全球分布

為確保所有網絡和安全功能隨處可用，并向全部邊緣交付盡可能好的體驗，SASE 云必須全球分布。因此，Gartner 指出，必須擴展自身覆蓋面，向企業邊緣交付低延遲服務。

最終，SASE 架構的(de)(de)目(mu)標(biao)是要能夠更容(rong)易(yi)地實現安全的(de)(de)云環境。SASE 提供了一種摒棄(qi)傳統方(fang)法的(de)(de)設計哲(zhe)學，拋棄(qi)了將 SD-WAN 設備(bei)、防火墻、IPS 設備(bei)和各種其他網絡及安全解決方(fang)案拼湊(cou)到一起的(de)(de)做(zuo)法。SASE 以一個(ge)安全的(de)(de)全球(qiu) SD-WAN 服務代替了難以管理的(de)(de)技術大雜燴。

可用SASE服務

Gartner 承認，SASE 市場仍在不斷變化，沒有哪(na)家供(gong)(gong)應商(shang)(shang)提(ti)供(gong)(gong)全(quan)(quan)部(bu) SASE 功(gong)(gong)能組合。Zscaler 等部(bu)分供(gong)(gong)應商(shang)(shang)提(ti)供(gong)(gong)防火墻即(ji)服務，但缺乏 SASE 要求(qiu)的 SD-WAN 功(gong)(gong)能（及其(qi)他(ta)安(an)全(quan)(quan)功(gong)(gong)能）。其(qi)他(ta)供(gong)(gong)應商(shang)(shang)提(ti)供(gong)(gong)安(an)全(quan)(quan)即(ji)設備，但并未在云原生全(quan)(quan)球網絡中。

Cato Networks 的(de)(de)(de)服務是(shi)最接近現(xian)實 SASE 服務的(de)(de)(de)。Cato Networks 提供全球(qiu)私有(you)主干網(wang)（最后共有(you) 50+ 存(cun)在(zai)點 (PoP)）。這(zhe)些 PoP 托起(qi)了 Cato 薈聚網(wang)絡與網(wang)絡安全的(de)(de)(de)自有(you)云原(yuan)生(sheng)架(jia)構(gou)。Cato 軟件是(shi)單通(tong)云架(jia)構(gou)。所有(you)網(wang)絡優(you)化、安全檢(jian)查和策略實施都在(zai)流量轉發至其(qi)目的(de)(de)(de)地址之前以(yi)豐富上下文完(wan)成。

按 Cato 的(de)說法，各種“邊緣”通(tong)(tong)過建(jian)(jian)立通(tong)(tong)往最(zui)(zui)近 Cato PoP 的(de)加密隧(sui)道連(lian)(lian)(lian)接。該平臺通(tong)(tong)過 Cato 的(de) SD-WAN 設(she)備(bei) Cato Socket 連(lian)(lian)(lian)接各位置；移動用戶(hu)通(tong)(tong)過 Cato 的(de)客戶(hu)端和無客戶(hu)端訪(fang)問連(lian)(lian)(lian)接；云資源通(tong)(tong)過 Cato 的(de)“無代理”集成(cheng)連(lian)(lian)(lian)接。甚至第三方設(she)備(bei)也可通(tong)(tong)過建(jian)(jian)立通(tong)(tong)向(xiang)最(zui)(zui)近 Cato PoP 的(de) IPsec 隧(sui)道連(lian)(lian)(lian)接起來。

身(shen)份和訪問被(bei)統(tong)一進方便管理的范(fan)式。該范(fan)式使企業可專注(zhu)安(an)全(quan)策略(lve)而非安(an)全(quan)及(ji)網(wang)絡組(zu)件，還支持轉向(xiang)安(an)全(quan)連接所有(you)網(wang)絡邊緣的全(quan)球性分布式架構。

SASE：遠不止正確做安全

SASE 遠超安(an)全框架(jia)，是(shi)一個新(xin)的網絡模型(xing)，將訪(fang)問技術棧壓進方(fang)便(bian)管理的連接網絡，且(qie)以安(an)全為(wei)核心。這使得 SASE 云更為(wei)精悍，因為(wei)所有功能都薈(hui)聚到(dao)了(le)一起。

SASE 處理流(liu)量(liang)更快(kuai)，延遲更小，同時比其(qi)他網(wang)(wang)絡和安全方(fang)法納入了(le)(le)更多的(de)上下(xia)文。作為(wei)軟(ruan)件定義的(de)平臺，SASE 可快(kuai)速適(shi)應變化，比如規(gui)模或敏捷性(xing)驅動(dong)的(de)重(zhong)配置。SASE 還(huan)引入了(le)(le)額外的(de)網(wang)(wang)絡防護(hu)，例如業(ye)務(wu)連(lian)續性(xing)、負(fu)載(zai)分配和正(zheng)常運行時間改善等概念(nian)。