下圖中藍色部分是企業網絡中的安全設備。一般來說，企業會購買硬件盒子形式的安全設備，部署在企業網絡中，自己負責運維。（左圖）

　　想象一下，如果有一天企業不用運維這么一大堆安全設備了。有一個公司在云上提供同樣能力的安全服務。日常維護由云負責。沒有現場部署調試這堆麻煩事。要增加什么安全能力，一鍵完成。想想是不是很美好？

　　Gartner提出了一種新的技術架構，可以實現這種美好的愿景。架構的名字叫SASE（全稱Secure Access Service Edge）。

　　1、什么是SASE

　　SASE的一個主要思想就是基于云來提供安全，像共享單車一樣“共享安全”。

　　SASE可以“零接觸”部署全部安全服務。IT部門不必花心思應付各個安全廠商，采購各類產品，去SASE開個賬號就妥了。理論上，用了SASE的企業，辦公室里不用防火墻，不用服務器，什么都不用，全部由云來提供。

　　除了云安全，SASE還是一個云加速的方案。

　　一般公司不會在分公司放安全設備，一般會像下圖左邊這樣，在總部放全套的安全設備，分部員工先連到總部做安全檢測，再從總部出去訪問互聯網。

　　這么做會有一個問題——如果分公司在深圳，總部在北京，分公司用戶要訪問一個在深圳的SaaS應用，那流量要從深圳先到北京，檢測之后，再出來回到深圳，流量來了一個全國游。

　　這顯然是不合理的。

　　SASE架構的做法聰明很多。SASE的安全接入點不在中心而是在“邊緣”。

　　就像上圖右邊那樣。北京、深圳都有SASE節點，節點間是加密隧道。上文例子中深圳用戶接入離自己最近的深圳SASE節點即可，不用去北京繞一圈，訪問路徑大大縮短。

　　這樣，企業員工、合作伙伴無論身處何地，都可以快速地接入企業網絡了。

　　正是因為有了“邊緣加速”，云安全才變為可能。

　　SASE的一個重要意義就在于，解放了企業的安全邊界。邊界不必存在于數據中心的硬件盒子中，而是在企業需要的任何地方。員工、外地員工、第三方人員，甚至物聯網設備，都可以自由地安全訪問。

　　我很看好sase的發展，因為SASE不是單純的安全產品，它還有加速、節省人力等等好處，給企業帶來的價值更大，更重要的是它的價值是企業的老領導更容易理解的。

　　不過可惜的是，目前全球還沒有一個符合Gartner定義的完整的SASE產品。已有產品要么有云安全，沒有云加速，要么還是基于設備，沒有在云原生的網絡中?？赡艿浇衲昴甑?，才會有廠商把完整產品做出來。

　　2、sase的技術

　　從技術角度看，SASE就是一些新興的網絡技術和安全技術的集合。或者說，SASE是Network as a service和Security as a service的進化。

　　SASE不是一個大雜燴。SASE把網絡和安全整合到一個平臺中，將訪問技術棧壓進方便管理的連接網絡，進行統一管理：

　　（1）統一策略：我們可以在所有網絡位置實施統一的策略，極大消除管理跨多個位置、用戶和設備類型的網絡的復雜性。IT部門可以專注于安全策略，而不是基礎設施的常規配置。

　?。?）統一身份：SASE安全的核心就是身份，所有安全組件都以身份作為訪問決策的中心。用戶和資源身份決定網絡連接體驗和訪問權限級別。服務質量、路由選擇、應用的風險安全控制——所有這些都由身份所驅動。

　　（3）統一檢查：用戶訪問內容在內存中被并行地進行一次檢查（例如檢測敏感數據泄露或者惡意軟件入侵），而不是多個檢查引擎串行檢查。

　?。?）統一數據：SASE中組件可以統一收集日志，展示安全全景圖。不必擔心各組件之間的兼容。所有數據都在一個公共存儲庫中，使故障排除更加容易。

　?。?）持續評估：SASE框架與零信任體系一脈相承。SASE在整個訪問過程中對用戶的身份、設備環境進行持續評估風險。SASE按需提供所需的服務和策略執行。

　　具體來說，SASE的技術棧應該包括：

　　（1）云原生架構：自適應彈性擴容、自動恢復、隨處可用。

　?。?）支持各類接入形式：SDWAN組網接入、移動端接入、無端模式瀏覽器接入等等。

　　（3）接入節點覆蓋全國各地，降低服務延遲

　　（4）一個平臺上統一集成、管理各類微服務

　?。?）檢測Https加密流量中的威脅

　?。?）對各個端口各種協議做入侵檢測

　　（7）持續安全評估

　?。?）數據防泄密

　?。?）基于AI的用戶行為分析

　　（10）威脅情報

　?。?1）零信任替代VPN

　　（12）SDP網絡隱身

　?。?3）提供基于 DNS 的保護服務

　?。?4）訪問加速、路由優化、緩存、帶寬分配優化

　　3、可能的坑

　　牛都吹完了，說說坑。

　　目前還沒有一個完整的SASE產品出現，不過Gartner已經預測到會有不少廠商出來挖坑了~

　　未來一定會有廠商通過集成各家產品，串行一堆各家產品虛擬機，快速攢一個SASE出來賣。這類產品是你要小心的。沒有整體架構設計的話，各組件不能兼容，運維起來難度反而更大，買這種相當于給自己挖坑了。

　　傳統廠商習慣了賣硬件，轉型到云原生可能會有一定難度。就像視頻網站肯定不是靠堆一千個DVD做成的。云安全一定是云原生、為云而生的。

　　SASE的收費模型可能也是坑。SD-WAN產品通常根據帶寬計費。然而，云安全產品往往是按照用戶年費來收取的。由于 SASE同時包含了多種服務，廠商的收費模式還沒有標準，可能會不斷調整。買的時候可以先嘗試1到2年的短期合同避坑。

　　4、總結

　　SASE必將顛覆目前的網絡安全體系，就像“云計算”對數據中心的顛覆一樣。同時，SASE也是為安全和風險管理人員提供了未來重新思考和設計網絡和安全架構的機會。

　　在SASE產品成熟之前，Gartner還給出了一個過渡建議，企業可以提前規劃SASE最核心的兩塊——SD-WAN和零信任架構。