安全访问服务边缘(SASE)是什么？

Gartner报告明确了基于新网络和安全模型进行云网络和安全变革的潜力，该模型称为安全访问服务边缘(SASE)。

随着企业拥抱数字业务流程、边缘计算、云服务和混合网络的兴起，传统网络和安全架构的整体复杂性带来了问题，如延迟、网络盲点、过度管理费用和随着服务的变化而重新配置的需求。通过降低网络的复杂性，将安全过程转移到最有效的网络边缘，SASE模型消除了这些问题。

改善性能。

网络拥塞导致的丢失包和无序数据包对应用程序有很大影响。丢失数据包会严重影响延迟敏感应用(如视频、贵宾和网络会议)。目前，有一些方案可以最大限度地减少延迟和丢失数据包的影响。

该解决方案具有广域网优化功能，可应用于不同的应用程序或网站。除WAN优化功能外，还可采用协议和应用加速技术。

除了现有的减少数据包丢失和延迟的技术，我们还可以尽可能私有广域网。通过使用由PoP组成的全球干线网络进行私有化，您可以控制最后一公里对应用程序的不利影响。

一旦私有化，可以更好的控制流量路径、数据包丢失和延迟。私有网络结构是SASE的主要优势，可以提高应用的性能。

安全性。

SASE将网络和安全整合到一个平台上。这样就可以将多种安全解决方案整合到云服务中，从而在所有公司的位置、用户和数据之间实施统一的战略。

SASE采用零信任原则，首先要确定网络访问是基于用户、设备和应用的身份。不是基于IP地址或者设备的物理位置。

使用者/设备的身份必须反映商业环境，而非与上层完全脱节的二进制结构相关联。它把身份和网络世界联系起来，是实施策略的最好方法。这样，就可以消除对IP或应用程序的依赖。不管用户/设备在哪里，这个策略都可以一致地应用。与此同时，用户/设备/服务的身份也可以纳入应用策略。

SASE堆栈基于身份和上下文的动态应用，同时为云中的战略要点提供零信任。因此，强化以身份为中心的边界。

云专线（Direct Connect）是搭建在用户本地数据中心与云上虚拟私有云（Virtual Private Cloud，以下简称VPC）之间的高安全、高速度、低延迟、稳定可靠的专属连接通道。通过云专线可以将用户的数据中心、办公网络、托管区和云相连接。

首选出口点。

我们也可以定义出口点，以退出云应用的流量。这些可能是最接近客户应用实例的点。最佳全球路由算法决定了从世界任何地方到客户的云应用实例的最佳路径。

PoP可以放在数据中心，为访问AmazonAWS、MicrosoftAzure和Google云服务提供了一个很好的入口。用户可以在大部分时间内在私有云上保留流量。互联网只用于为SASE结构提供短跳点。

SASEPoP优化。

基于云的SASE解决方案中的每一个PoP都最合理的地方进行了优化，而不仅仅是WAN边缘。在主干网络中，我们进行了全球路由优化，以确定目前哪条路径是最好的路径，我们还可以根据所有流量或应用程序改变路径。

这些路由算法考虑了性能指标，如延迟、数据包丢失和抖动，这有助于为每个网络数据包选择最佳路由。网络中坚网络不断分析和试图提高性能。这不同于互联网路由，后者更喜欢成本而不是性能。

由于一切都是私有化的，我们拥有所有的信息来创建最大的数据包，并使用基于速度的算法，而不是传统的基于损失的算法。因此，用户可以保持端到端的吞吐量，而无需学习任何内容。

因为每一个PoP都是TCP代理服务器，所以TCP客户端和服务器之间的距离会更近，TCP窗口也会更大，这样可以在等待确认之前传输更多的数据。

复杂性和费用。

传统机制受客户网站物理设备硬件容量的限制。这种机制导致硬件更新滞后，这些硬件也是添加新功能所必需的。

基于硬件的网络和安全解决方案内置于硬件中，这种方法可以加快服务并添加新功能。然而，有些功能只适用于特定的硬件，而不适用于本地硬件。在这种情况下，客户有繁重的部署工作。

伴随着环境的发展，我们不该依赖新一代设备带来的新网络和安全功能。通常，该模型效率低下且复杂。带来了高运营费用和管理复杂性。

新功能的设备升级需要大量管理。从过去的经验来看，更换一张线路卡需要很多团队的参与。有些线路卡可能没有端口，或者你可能只需要添加一些额外的功能。这些操作只涉及项目规划、现场工程师、设计指南、线路卡测试等。为了保证关键站点的成功刷新，可能需要更多的维护人员。

SASE-易于管理。

基于云的SASE支持新功能和功能的更新，无需在客户端部署新设备(物理或虚拟)和软件版本。这直接影响管理的便利性。

如今，网络和安全部署可以在不接触企业网络的情况下进行。这样，企业就可以快速地使用新功能。当功能与客户设备之间的紧密联系被消除时，可以提高网络和安全服务部署的灵活性和简单性。

在SASE平台上，当我们创建一个对象(例如，网络域中的策略)时，它也可以用于其他域。因此，无论网络位置如何，分配给用户的任何策略都将绑定到用户身上。这显著消除了管理多个位置、用户和设备类型的网络和安全策略的复杂性。最重要的是，所有这些都可以在一个平台上完成。

另外，当我们研究安全解决方案时，很多人都会购买个人设备，只关注一项工作。为了排除故障，你需要收集每一个设备的日志等信息。SIEM(安全信息和事件管理)是有用的，但它只能用于某些组织，因为SIEM技术是一种资源密集的工具，需要有经验的人来实现。对那些资源不足的人来说，这一过程是非常困难的，可能会产生错误的结果。

最后，由于所有数据都在公共存储库中，SASE更容易排除故障。您不再需要标准化来自不同设备/解决方案的数据，然后将数据导入数据库以获得通用视图。

供应商与技术栈的合并。

安全性是网络领域的一个重要话题，目前市场上存在的许多安全性解决方案都非常昂贵，而且ASE的出现为安全领域注入了新的力量。通过将服务整合到单个供应商中，用户设备上的供应商和代理商/客户数量最终会减少。

总的来说，供应商和技术栈的合并可以降低很多复杂性，将复杂性从本地企业网络转移到云，降低成本。

从硬件的角度来看，基于云的SASE可以增加更多的PoP点来实现规模和增加容量。此外，基于SASE的云还负责加密。例如，由于大部分互联网流量都是加密的，恶意软件可以使用加密来逃避和隐藏测试。借助SASE，每个PoP都可以对TLS加密的流量进行DPI。

常规防火墙不能检测加密流量。DPI对TLS加密流量的执行需要额外的模块或新设备。SASE解决方案可以保证PoP上的解密和检查。所以在客户网站上不会影响性能，也不需要新设备。