有人說，SASE將替代SD-WAN成為企業(yè)最優(yōu)網(wǎng)絡(luò)解決方案？

究竟SASE是什么黑科技？是市場炒作還是新一波熱潮？是進化版的SD-WAN嗎?本文將一一為您解答。

在了解SASE前，先跟大家談?wù)凷D-WAN。

什么是SD-WAN?

SD-WAN（software define Wide Area Network）即軟件定義廣域網(wǎng)，是將SDN技術(shù)應(yīng)用到廣域網(wǎng)場景中所形成的一種服務(wù)，這種服務(wù)用于連接廣闊地理范圍的企業(yè)網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)應(yīng)用及云服務(wù)。

SD-WAN不受傳輸方式限制，能大幅度幫企業(yè)節(jié)約網(wǎng)絡(luò)成本，在更短的時間內(nèi)實現(xiàn)方案交付，優(yōu)化應(yīng)用程序的體驗和效率。

有興趣的小伙伴可以去博主的主頁，詳細了解一下。

言歸正傳， 什么是SASE?

SASE（Secure Access Service Edge），安全訪問服務(wù)邊緣，是Gartner在2019年8月的報告《云中網(wǎng)絡(luò)安全的未來》中引入的新的企業(yè)網(wǎng)絡(luò)技術(shù)類別。

Gartner對SASE的定義：SASE 是一種基于實體的身份、實時上下文、企業(yè)安全/合規(guī)策略，以及在整個會話中持續(xù)評估風(fēng)險/信任的服務(wù)。實體的身份可與人員、人員組（分支辦公室）、設(shè)備、應(yīng)用、服務(wù)、物聯(lián)網(wǎng)系統(tǒng)或邊緣計算場地相關(guān)聯(lián)。

SASE作為一種新興的體系結(jié)構(gòu)，結(jié)合了云訪問安全代理（CASB）、安全Web網(wǎng)關(guān)（SWG）、零信任網(wǎng)絡(luò)訪問（ZTNA）、集成式SD-WAN和防火墻即服務(wù)五大技術(shù)。將網(wǎng)絡(luò)和安全解決方案的功能融合為「統(tǒng)一的全球云原生服務(wù)」。滿足數(shù)字企業(yè)的動態(tài)安全訪問需求，真正實現(xiàn)用戶對云上業(yè)務(wù)或數(shù)據(jù)中心隨時隨地、低延遲、更安全的動態(tài)訪問。

SD-WAN vs SASE？

SD-WAN只提供網(wǎng)絡(luò)連接，需要SASE來提供邊緣網(wǎng)絡(luò)安全？

這樣的認(rèn)識并不正確。

SD-WAN技術(shù)的設(shè)計本身也提供安全性，可以在任何物理網(wǎng)絡(luò)鏈路上可以提供企業(yè)級安全性(相當(dāng)于 MPLS)。

典型的 SD-WAN 安全功能包括：

• 使用 DTLS(使用 AES-GCM 證書交換和身份驗證)或 IPSec(使用 IKE 密鑰交換)進行鏈路加密。

• 遠程設(shè)備 (CPE) 的零接觸自動配置，以確保安全的初始設(shè)置。

• 支持在鏈路拓撲中插入虛擬網(wǎng)絡(luò)服務(wù) (VNF)，例如 NGFW 、內(nèi)容過濾器。

  
  

• 
  

  網(wǎng)絡(luò)微分段使用虛擬網(wǎng)絡(luò)和防火墻按應(yīng)用程序、安全級別或其他標(biāo)準(zhǔn)劃分廣域網(wǎng)流量。微分段還允許 SD-WAN 使用特定于用戶、組和應(yīng)用程序的路由/防火墻規(guī)則實施簡單的內(nèi)容控制策略。

  
  

SD-WAN 能提供滿足企業(yè)需求的網(wǎng)絡(luò)安全基礎(chǔ)，并且遠遠超出了傳統(tǒng)客戶端或站點虛擬專用網(wǎng)提供的功能。與其把SASE看作是SD-WAN的創(chuàng)新替代品，不如把它看作是在SD-WAN基礎(chǔ)之上分層安全性的演進改進。也可以把SASE看作是通過一套網(wǎng)絡(luò)、數(shù)據(jù)和用戶安全功能來支持SD-WAN。

SASE 為 SD-WAN 添加了四個安全功能：

• 下一代防火墻即服務(wù) (FWaaS) ：目前已經(jīng)通過NFV和虛擬防火墻設(shè)備被許多SD WAN用戶所整合。

• SWG (Secure Web Gateway)：用于監(jiān)控和過濾Web流量。
  

• 
  

  云訪問安全代理 (CASB) ：通過提供應(yīng)用級網(wǎng)絡(luò)可見性和策略實施來擴展 SWG。
  

• 
  

  零信任網(wǎng)絡(luò)訪問 (ZTNA) ：使用基于發(fā)起設(shè)備、發(fā)起用戶和目標(biāo)應(yīng)用或服務(wù)的細粒度策略，使用特定于應(yīng)用和會話的身份驗證，取代了使用客戶端虛擬專用網(wǎng)絡(luò)的訪問安全性。ZTNA 是對傳統(tǒng)遠程訪問安全性的最大改變，它需要提供用戶和設(shè)備憑據(jù)(通常基于證書)、證書頒發(fā)機構(gòu) (CA)、SSO 服務(wù)和設(shè)備訪問代理。
  

  
  

  
  

  
  

  
  

SD-WAN 和 SASE 不應(yīng)被視為相互替代的關(guān)系，而應(yīng)該被認(rèn)為是互補的。

比如，SASE關(guān)于網(wǎng)絡(luò)連接的部分是由SD-WAN實現(xiàn)。但如果企業(yè)不注重遠程辦公并且其遠程位置有足夠的 MPLS 覆蓋，那么沒有 SD-WAN 的情況下也是可以應(yīng)用 SASE 的安全功能。

又比如在以SaaS為中心、有大量居家辦公或異地出差員工的企業(yè)環(huán)境中，將安全性強制集中到數(shù)據(jù)中心設(shè)備上既昂貴又低效。云部署不僅限于 SASE，它也是交付基本SD-WAN服務(wù)的一種有效方式。一些NaaS供應(yīng)商早就通過將控制平面集中在云基礎(chǔ)設(shè)施上，并使用私有核心網(wǎng)和全球分布的POP，提供SD-WAN即服務(wù)。

SASE 不是 SD-WAN 的繼任者，而是它的隊友，為軟件定義的 WAN 基礎(chǔ)添加安全功能，它們是互補的且擁有獨立部署的功能，都可以部署在任何 VM 或容器環(huán)境中，無論是作為云服務(wù) (NaaS)、云 IaaS還是混合部署。

SASE優(yōu)勢在于它為組織提供了一個完整的、集成的安全組合，覆蓋了大多數(shù)情況，并消除了將單點產(chǎn)品拼湊在一起的問題。對于完整的、集成安全組合的SASE方案，企業(yè)其實更愿意逐步地、增量地慢慢引入關(guān)于SASE的應(yīng)用或服務(wù)。

在這樣的情況下，SD-WAN 更適合企業(yè)變更管理，因為它可以無縫銜接，允許企業(yè)根據(jù)需要在 WAN 中整合NGFW（下一代防火墻）、WAF（Web應(yīng)用防護系統(tǒng)）和SWG（安全Web網(wǎng)關(guān)）等基本功能作為“改造項目”進行網(wǎng)絡(luò)架構(gòu)升級，SD-WAN 對 SASE互為補充，可以打造更適合企業(yè)的、高度可靠、可擴展、高性能和安全的遠程連接解決方案。