SASE：打造数据安全保障新模式

    在企业纷纷拥抱数字业务的过程中，由于边缘计算、云服务、混合网络的逐渐兴起，使得本就漏洞百出的传统网络安全架构更加岌岌可危，而且远远无法满足企业数字业务的需要。

伴随企业全球化发展，企业的数据中心不再是用户与设备访问需求的中心，SaaS 等大量基于云计算服务的部署，以及新兴的边缘计算平台，颠覆了以往的架构模式，使企业网络架构出现“内外翻转”的现象。与此同时，数字化转型需要随时随地访问应用和服务（很多应用于服务位于云端）传统的网络和网络安全体系架构无法满足数字业务的动态安全访问需求，SASE应运而生。

一、什么是“SASE” ？

SASE概念诞生于2019年，翻译为中文就是“安全访问服务边缘”，其融合了组网和安全服务能力，更加适应数据、应用和服务向云端迁移的趋势。全球最具权威的IT研究与顾问咨询公司，将其定义为：一种面向访问源而非数据中心，提供广域网组网和安全服务能力的技术框架。

根据Gartner的定义，SASE是一种新兴服务，它融合了网络即服务（Network-as-a-Service）和网络安全即服务（Network Security-as-a-Service）两大模型，作为一种新兴的网络安全框架，将软件定义广域网（Software Defined Wide Area Network， 简称SD-WAN）与网络安全功能（如SWG、CASB、FWaaS和ZTNA等）集成到一个统一的云原生的服务平台上。用户网络通过连接到最近的SASE 服务提供点（简称POP点）以访问业务资源，满足了企业的动态安全访问需求。

SASE的核心理念是将广域网（WAN）技术与网络安全服务结合起来，形成一个统一的、云原生的服务平台。这种结合不仅简化了网络管理和安全策略的实施，也为分散的用户和设备提供了灵活、高效的访问途径。随着云计算和数字化协作的持续增长， SASE将在未来的企业IT架构中扮演越来越重要的角色。

二、SASE之于数据安全的意义

   如果您的数据知识存储在本地，存储中心就是数据中心。但是我们已进入了数字化转型的新纪元，现在越来越多企业把业务移到云上，传统意义上的数据中心已经不复存在。网络的边界已被无限扩展、数据无处不在。我们迫切需要一种全新的解决方案，既能为我们提供坚如磐石的安全保障，同时又拥有灵活高效的访问体验。这就是SASE的使命——Secure Access Service Edge。SASE不仅仅是一项技术，它是一场革命，是安全与高效连接的完美融合。它颠覆了传统安全架构的界限，将先进的安全措施和网络技术整合在一起，为我们的数据和应用创造了一个前所未有的防御堡垒。

SASE的价值：

1、极大简化安全投入

基于云提供一体化安全接入服务，如桌管、  EDR、DLP、下一代防火墙等，无需企业购买大量安全设备堆叠，极大简化安全架构，有效降低建设成本。

2、随时随地安全访问

IT管理人员通过SAAS平台集中设置基于零信任访问策略，无论用户需要什么资源、处于何地，都可以统一地实施策略，就近访问控制，拥有相同的访问体验，无缝替代传统VPN。

3、简化安全运维

SASE服务商提供托管式运维服务，将企业IT运维人员从繁杂的部署、监视、维护等事务中解放出来，以便执行更高级别的任务。

SASE必须要具备哪些核心功能?

SASE是一种基于云的安全模型，它将软件定义的广域网与核心网络安全服务相结合，并在云边缘提供这些服务。SASE从概念提出到技术体系成熟完善，体现着网络与安全服务的不断融合。近年随着传统安全厂商、网络基础设施服务商开始提供各自的SASE解决方案，但是不是所有的“SASE”都能称之为SASE，真正的SASE必须具有五个功能模块：

1.SD-WAN：软件定义的广域网（SD-WAN）使组织能够在不借助硬件路由器或多协议标签交换（MPLS）电路的情况下建立私有企业网络。这种基于软件的虚拟体系结构为企业在创建和维护其网络基础设施时提供了更大的灵活性。

2.SWG：安全网关（SWG）通过从网络流量中过滤不需要的内容、阻止未经授权的用户行为以及强制执行公司安全策略来防止网络威胁和数据泄露。它通常包括URL过滤、反恶意软件检测和阻止以及应用程序控制等功能。

3.CASB：云访问安全代理（CASB）为云托管服务（如SaaS、IaaS和PaaS应用程序）执行多个安全功能。标准CASB通过访问控制和数据丢失防护来保护机密数据，揭示隐藏信息，并确保遵守数据隐私法规。

4.ZTNA：零信任网络访问（ZTNA）要求对每个受保护应用程序的每个用户进行实时验证，以保护内部资源并防止潜在的数据泄露。使用“零信任”方法，在对实体的身份进行身份验证之前，不会自动信任任何实体，即使它们已经位于专用网络的外围。

5.FWaaS：基于云的防火墙（FWaaS）通过一系列安全功能保护云基础设施和应用程序免受网络攻击，包括URL过滤、入侵预防和统一策略管理。

SASE的一体化优势有助于全方位保障数据安全

随着SAEA 的不断发展，不同组织的SASE实施可能会有差异。然而，与内部部署和混合网络安全配置相比，大多数SASE解决方案都有以下几个关键优势：

1.保护在任何地方工作的人员免受高级威胁：SASE可以阻止恶意软件下载；对传输过程中的流量进行加密，提高网络安全性，一旦遭受攻击可以将损失降到最低；消除网络、云、私有应用程序的安全漏洞；根据不同设备和人员的风险，控制可以访问的资源。

2.从客户端到云端，全程守护用户的数据安全：SASE平台基于统一的安全策略，使用企业级数据防泄漏技术，保护网络、云端、应用的数据安全传输和使用。

3.提高访问效率：在SASE云服务模型下，可以根据用户的位置为每个用户提供最佳的访问路径，提高传输效率。如果拿交通工具来比喻，传统的网络如果是火车，那么SD-WAN 就是飞机，从上海到北京，坐火车需要6个小时，而乘飞机只需要2个小时。

4.降低用户的成本：在SASE云服务模型下，用户购买安全设备的投入和运维的费用将大幅降低。比如，某公司有10个分公司，50个门店。传统模式下，每个门店需要购买一套安全设备，包含防火墙，IPS，安全网关等等。在SASE云服务模式下，只需要在每个POP点部署一套设备。

SASE不仅仅是一项技术，它是一场革命，是安全与高效连接的完美融合。它颠覆了传统安全架构的界限，将先进的安全措施和网络技术整合在一起，为我们的数据和应用创造了一个前所未有的防御堡垒。在SASE的保护下，无论用户身处何方，无论数据流向哪里，都能享受到最高级别的安全防护和最高效通畅的交互使用。

三、安全访问服务边缘解决方案

SASE用于从分布式云服务交付聚合的企业网络和安全服务，克服了分散集成和地理位置约束解决方案的成本、复杂性和刚性，当其与全球私有骨干网相结合时，还可以解决WAN和云连接方面的挑战。

当代现状与痛点

数据分散：数据分散在云上等多地，核心数据资产保护成难题，多地、多场景访问应用和数据，网络安全和便利性成两难。

风险难控：访问入口多而散，攻击暴露面大，难做统一的安全运维，应用认证各自为政，权限混乱，内部风险难控制。

访问速度慢：MPLS网络访问速度慢，尤其在跨国场景下，关键应用访问质量没有保障，宽带昂贵，难以持续升级宽带。

分支部署难：现有能力进行分支部署比较困难，目前现有的IT运维能力跟不上。

应用场景

01大型机构

----跨国界安全可信互联

----转控分离

----多暴露面收敛

----外网攻击面管理

----积极主动防御

----全剧态势感知

02中型机构

----分支局点安全建设上移

----安全服务按需订阅

----可信赖的安全防护

----实时监控与应急响应

03小型机构

----互联网安全访问服务

----安全顺畅的移动办公

----在家SOHO

----基础安全合规

核心收益

节省预算降低TCO

相比传统的安全建设模式，按需获取、一站交付的云安全服务大幅降低了安全的整体拥有成本。

弹性扩容资产保值

安全专线服务平台基于SaaS软件及服务交付，按需部署、按需拓容，避免资产浪费，更保值。

网安一体简化运维

云上模块免运维，专属原厂技服实时响应，全自动软件及特征库升级的服务平台，对于IT部的运维压力、使用性都有很大的便捷。

结语

近几年Gartner所提的新兴技术大多都涵盖到SASE架构中。Gartner预计，到2024年，将有40％的企业采用SASE基础架构。SASE的出现，颠覆了以往的网络和网络安全体系架构，未来的安全是厂商合作为主，相互补足，最后形成一个集成大多数厂商安全能力的整体安全防护平台，从而为数据安全提供更加坚实、全面的保障。