有人說，SASE將替代SD-WAN成為企業最優網絡解決方案？

究竟SASE是什么黑科技？是市場炒作還是新一波熱潮？是進化版的SD-WAN嗎?本文將一一為您解答。

在了解SASE前，先跟大家談談SD-WAN。

什么是SD-WAN?

SD-WAN（software define Wide Area Network）即軟件定義廣域網，是將SDN技術應用到廣域網場景中所形成的一種服務，這種服務用于連接廣闊地理范圍的企業網絡、數據中心、互聯網應用及云服務。

SD-WAN不受傳輸方式限制，能大幅度幫企業節約網絡成本，在更短的時間內實現方案交付，優化應用程序的體驗和效率。

有興趣的小伙伴可以去博主的主頁，詳細了解一下。

言歸正傳， 什么是SASE?

SASE（Secure Access Service Edge），安全訪問服務邊緣，是Gartner在2019年8月的報告《云中網絡安全的未來》中引入的新的企業網絡技術類別。

Gartner對SASE的定義：SASE 是一種基于實體的身份、實時上下文、企業安全/合規策略，以及在整個會話中持續評估風險/信任的服務。實體的身份可與人員、人員組（分支辦公室）、設備、應用、服務、物聯網系統或邊緣計算場地相關聯。

SASE作為一種新興的體系結構，結合了云訪問安全代理（CASB）、安全Web網關（SWG）、零信任網絡訪問（ZTNA）、集成式SD-WAN和防火墻即服務五大技術。將網絡和安全解決方案的功能融合為「統一的全球云原生服務」。滿足數字企業的動態安全訪問需求，真正實現用戶對云上業務或數據中心隨時隨地、低延遲、更安全的動態訪問。

SD-WAN vs SASE？

SD-WAN只提供網絡連接，需要SASE來提供邊緣網絡安全？

這樣的認識并不正確。

SD-WAN技術的設計本身也提供安全性，可以在任何物理網絡鏈路上可以提供企業級安全性(相當于 MPLS)。

典型的 SD-WAN 安全功能包括：

• 使用 DTLS(使用 AES-GCM 證書交換和身份驗證)或 IPSec(使用 IKE 密鑰交換)進行鏈路加密。

• 遠程設備 (CPE) 的零接觸自動配置，以確保安全的初始設置。

• 支持在鏈路拓撲中插入虛擬網絡服務 (VNF)，例如 NGFW 、內容過濾器。

  
  

• 
  

  網絡微分段使用虛擬網絡和防火墻按應用程序、安全級別或其他標準劃分廣域網流量。微分段還允許 SD-WAN 使用特定于用戶、組和應用程序的路由/防火墻規則實施簡單的內容控制策略。

  
  

SD-WAN 能提供滿足企業需求的網絡安全基礎，并且遠遠超出了傳統客戶端或站點虛擬專用網提供的功能。與其把SASE看作是SD-WAN的創新替代品，不如把它看作是在SD-WAN基礎之上分層安全性的演進改進。也可以把SASE看作是通過一套網絡、數據和用戶安全功能來支持SD-WAN。

SASE 為 SD-WAN 添加了四個安全功能：

• 下一代防火墻即服務 (FWaaS) ：目前已經通過NFV和虛擬防火墻設備被許多SD WAN用戶所整合。

• SWG (Secure Web Gateway)：用于監控和過濾Web流量。
  

• 
  

  云訪問安全代理 (CASB) ：通過提供應用級網絡可見性和策略實施來擴展 SWG。
  

• 
  

  零信任網絡訪問 (ZTNA) ：使用基于發起設備、發起用戶和目標應用或服務的細粒度策略，使用特定于應用和會話的身份驗證，取代了使用客戶端虛擬專用網絡的訪問安全性。ZTNA 是對傳統遠程訪問安全性的最大改變，它需要提供用戶和設備憑據(通?；谧C書)、證書頒發機構 (CA)、SSO 服務和設備訪問代理。
  

  
  

  
  

  
  

  
  

SD-WAN 和 SASE 不應被視為相互替代的關系，而應該被認為是互補的。

比如，SASE關于網絡連接的部分是由SD-WAN實現。但如果企業不注重遠程辦公并且其遠程位置有足夠的 MPLS 覆蓋，那么沒有 SD-WAN 的情況下也是可以應用 SASE 的安全功能。

又比如在以SaaS為中心、有大量居家辦公或異地出差員工的企業環境中，將安全性強制集中到數據中心設備上既昂貴又低效。云部署不僅限于 SASE，它也是交付基本SD-WAN服務的一種有效方式。一些NaaS供應商早就通過將控制平面集中在云基礎設施上，并使用私有核心網和全球分布的POP，提供SD-WAN即服務。

SASE 不是 SD-WAN 的繼任者，而是它的隊友，為軟件定義的 WAN 基礎添加安全功能，它們是互補的且擁有獨立部署的功能，都可以部署在任何 VM 或容器環境中，無論是作為云服務 (NaaS)、云 IaaS還是混合部署。

SASE優勢在于它為組織提供了一個完整的、集成的安全組合，覆蓋了大多數情況，并消除了將單點產品拼湊在一起的問題。對于完整的、集成安全組合的SASE方案，企業其實更愿意逐步地、增量地慢慢引入關于SASE的應用或服務。

在這樣的情況下，SD-WAN 更適合企業變更管理，因為它可以無縫銜接，允許企業根據需要在 WAN 中整合NGFW（下一代防火墻）、WAF（Web應用防護系統）和SWG（安全Web網關）等基本功能作為“改造項目”進行網絡架構升級，SD-WAN 對 SASE互為補充，可以打造更適合企業的、高度可靠、可擴展、高性能和安全的遠程連接解決方案。