SASE會是下一代SD-WAN技術(shù)嗎？

SD-WAN安全問題日益受到關注，而Gartner最新提出的SASE技術(shù)，能否為云端交付一個既簡潔又安全的SD-WAN方案？

在2019年下半年，Gartner發(fā)布了2019年度網(wǎng)絡技術(shù)成熟度曲線報告。報告中提到了一項新的技術(shù)Secure Access Service Edge（SASE），其定義是一個融合了廣域網(wǎng)和網(wǎng)絡安全功能，以支持數(shù)字化企業(yè)需求的新興技術(shù)。

根據(jù)Gartner的定義，SASE的網(wǎng)絡和安全服務需要包括：SD-WAN，安全Web網(wǎng)關，CASB，SDP，DNS保護和FWaaS。對于終端設備，需要有Agent來進行基于策略的訪問控制，而本地部署的設備則要具備QoS和智能選路等功能。

Gartner聲稱，SASE將取代現(xiàn)有的網(wǎng)絡和安全模型。這一全新網(wǎng)絡安全方式的提出，很快引起了業(yè)界熱議。

在網(wǎng)絡飛速發(fā)展的今天，云、移動性以及邊緣給傳統(tǒng)網(wǎng)絡和安全架構(gòu)帶來的壓力日益加大。由于網(wǎng)絡互聯(lián)下的跨業(yè)務應用程序和工作流程越來越多，從云端連接到遠程終端用戶和物聯(lián)網(wǎng)設備，再到SD-WAN連接的分支機構(gòu)，都可能成為薄弱環(huán)節(jié)，使整個企業(yè)面臨威脅。

這也是為什么在SD-WAN快速發(fā)展的同時，其安全問題也受到了很多關注。在SD-WAN中融入安全，便是典型的在接入網(wǎng)處開始解決安全問題，而SASE的出現(xiàn)，或許正是解決云端網(wǎng)絡和安全的一劑良藥。

SASE有何優(yōu)勢？

根據(jù)Gartner的說法，SASE具有比現(xiàn)有技術(shù)更多的優(yōu)勢，其中包括：為最終用戶提供更大的靈活性，降低的操作復雜性和成本，以及更好的性能。

在傳統(tǒng)的企業(yè)網(wǎng)絡中，數(shù)據(jù)中心是訪問的焦點。Gartner認為，隨著企業(yè)向軟件即服務（SaaS），云服務和邊緣計算平臺的過渡，企業(yè)數(shù)據(jù)中心實際上只是另一個分支。

因此，與傳統(tǒng)的WAN不同，SASE取消了將分支機構(gòu)連接到中心辦公室的概念，而是轉(zhuǎn)變?yōu)閷⒃O備連接到基于云的集中式服務的模型。

SASE不會強制將流量回傳到數(shù)據(jù)中心的檢查引擎，而是將檢查引擎帶到附近的存在點（PoP）?？蛻舳藢⒘髁堪l(fā)送到PoP，以進行檢查并轉(zhuǎn)發(fā)到Internet或通過SASE全球骨干網(wǎng)轉(zhuǎn)發(fā)到其他SASE客戶端。

SASE客戶端可能是具有SASE代理的移動設備，但也可能是IoT設備，具有無客戶端訪問權(quán)限的移動用戶或分支機構(gòu)中的設備。

也就是說，SASE將先前分散的網(wǎng)絡和安全服務融合在一起，將本地用戶、移動用戶以及IoT設備和云資源，整合為統(tǒng)一的服務。

顯然，SASE能夠為企業(yè)帶來許多好處，包括以下方面：

丨降低復雜性和成本。SASE通過減少IT團隊所需的供應商數(shù)量來降低復雜性和成本。該模型需要更少的物理或虛擬分支機構(gòu)設備，以及最終用戶設備代理。

丨改進的性能。借助骨干網(wǎng)，SASE服務商將能夠在全球范圍內(nèi)的PoP之間提供延遲優(yōu)化的路由。這對于延遲敏感型應用（如：協(xié)作、視頻、VoIP、網(wǎng)絡會議等）尤其重要。

丨更好的安全性。SASE能夠在每個用戶中應用數(shù)據(jù)策略，隨著公司基于身份而非用戶設置策略（零信任網(wǎng)絡訪問或ZTNA），訪問安全也會得到改善。

丨解放IT運維。通過SASE服務商，企業(yè)無需去操作網(wǎng)絡攻擊，設備擴展、軟硬件更新等問題，從而將企業(yè)IT運維團隊從繁瑣工作中解放出來，為更重要的業(yè)務創(chuàng)造價值。

由于SASE與本地部署網(wǎng)絡和安全設備相反，需要大量依賴基于云的服務根據(jù)，那么啟用SASE需要哪些條件呢？根據(jù)Gartner的定義，SASE主要有四個特征：

1. 身份驅(qū)動

不僅僅是IP地址，用戶和資源的身份決定網(wǎng)絡互連體驗和訪問權(quán)限級別。服務質(zhì)量、路由選擇、應用的風險安全控制——所有這些都由與每個網(wǎng)絡連接相關聯(lián)的身份所驅(qū)動。采用身份驅(qū)動的網(wǎng)絡和安全策略，企業(yè)則無需考慮設備或地理位置。

2. 云原生架構(gòu)

SASE架構(gòu)利用云的幾個主要功能，包括彈性、自適應性、自恢復能力和自維護功能，提供一個可以分攤客戶開銷以提供最大效率的平臺，可很方便地適應新興業(yè)務需求，而且隨處可用。

3. 支持所有邊緣

SASE 為所有公司資源創(chuàng)建了一個網(wǎng)絡——數(shù)據(jù)中心、分公司、云資源和移動用戶。例如：SD-WAN設備支持物理邊緣，而移動客戶端和無客戶端瀏覽器訪問則連接四處游走的用戶。

4. 全球分布

為確保所有網(wǎng)絡和安全功能隨處可用，并向全部邊緣交付盡可能好的體驗，SASE云必須全球分布，擴展自身覆蓋面，向企業(yè)邊緣交付低延遲服務。

總體而言，SASE拋棄了將SD-WAN設備、防火墻、IPS設備和各種其他網(wǎng)絡及安全解決方案拼湊到一起的做法，以一個安全的全球SD-WAN 服務代替了難以管理的技術(shù)大雜燴，其最終目標是更容易地實現(xiàn)安全的云環(huán)境。

誰會成為SASE賽道玩家？

由于移動化辦公、云服務和邊緣計算的興起，正在迫使SASE這項技術(shù)快速進化。盡管SASE處在技術(shù)發(fā)展的較早期，采用率不到1％，但Gartner預計許多供應商將在未來幾個月內(nèi)開始推出SASE產(chǎn)品。

目前，信息安全公司和網(wǎng)絡服務商已率先進入SASE領域。

全球網(wǎng)絡安全巨頭Palo Alto Networks近日宣布，為Prisma Access這一業(yè)界最全面安全訪問服務邊緣(SASE)平臺，新增SD-WAN和數(shù)據(jù)防泄漏(DLP)功能。作為一個完整的SASE解決方案，Prisma Access可通過全球分布式云平臺為客戶提供端到端網(wǎng)絡及安全服務。

Palo Alto Networks首席產(chǎn)品官Lee Klarich表示，“傳統(tǒng)的SD-WAN方法會危及安全性，增加復雜性并在用戶訪問云應用時無法預測性能，Prisma Access則完全不同，它能夠從云端交付一個既簡潔又安全的高性能SD-WAN矩陣?！?/p>

以色列的網(wǎng)絡公司Cato Networks和舊金山的網(wǎng)絡公司Infoblox也是最早在SASE市場上占有一席之地的兩家。

Cato Networks在傳統(tǒng)上一直被視為專注于安全性的SD-WAN供應商，但其安全網(wǎng)絡布道師David Greenfield表示，該公司將SASE技術(shù)的核心原則作為SD-WAN產(chǎn)品的一部分，已經(jīng)使用了大約五年。

Cato聲稱其服務是分布式的，具有遍布全球的47個服務點（PoP），每個服務點都在運行云原生軟件堆棧。

按Cato的說法，該平臺通過Cato的SD-WAN設備Cato Socket連接各位置，移動用戶通過Cato的客戶端和無客戶端訪問連接，云資源通過Cato的“無代理”集成連接，甚至第三方設備也可通過建立通向最近Cato PoP的IPsec隧道連接起來。

不僅如此，Cato還啟動了一項計劃，該計劃為MSP建立了一條路徑，以幫助客戶遷移到SASE平臺。

通過該計劃，MSP可以轉(zhuǎn)售Cato的SASE平臺，從而減少或消除了其基礎架構(gòu)來運行多個安全和網(wǎng)絡解決方案的需求。該計劃提供免費的在線培訓和認證，以消除MSP的復雜性。

事實上，云原生軟件和分布式網(wǎng)絡，是許多進入SASE市場的早期參與者共享的兩個重要因素。Infoblox在收購SnapRoute之后就抓住了這個機遇，后者的云原生網(wǎng)絡操作系統(tǒng)為Infoblox帶來了云原生的網(wǎng)絡開發(fā)和交付。

除此之外，網(wǎng)絡安全公司Barracuda Networks和網(wǎng)絡公司Zscaler也認識到了SASE的價值。

Barracuda Networks最近宣布其CloudGen防火墻的最新功能中呼應了SASE，增加了自動化功能，以簡化部署并提供可視性和控制力，以成功實施。

Barracuda Networks網(wǎng)絡安全副總裁Klaus Gheri表示：“SD-WAN管理很復雜，許多SD-WAN產(chǎn)品需要數(shù)天的部署時間，如果配置不當，就會引入漏洞?！彼赋觯珻loudGen防火墻是與公共云集成的一體化SD-WAN解決方案。

Zscaler則通過SASE實現(xiàn)了云上統(tǒng)一的網(wǎng)絡和安全。該公司在9月10日的收益電話會議上討論了SASE的重要性。Zscaler董事長兼首席執(zhí)行官Jay Chaudhry表示：“ SASE的價值，遠遠超出了SD-WAN對MPLS的顛覆，或云對硬件設備的顛覆，甚至超出了零信任原則?！?/p>

不僅僅是網(wǎng)絡安全公司和SD-WAN服務商希望進入SASE市場，私有云領導廠商VMware也聲稱其VeloCloud SD-WAN現(xiàn)在是一個可靠的SASE平臺。

VMware SD-WAN副總裁Sanjay Uppal在一份聲明中說：“MPLS網(wǎng)絡的時代已經(jīng)過去，VMware將跨越數(shù)千個VMware SD-WAN云網(wǎng)關，以超大規(guī)模SD-WAN體系結(jié)構(gòu)與最廣泛的第三方云服務生態(tài)系統(tǒng)相結(jié)合，以提供一致的最終用戶體驗以及世界一流的安全性。”

Gartner認為，不久之后，主要的公有云服務商如：Amazon, Azure, Google等，也會進入這個市場。

不過值得注意的是，今年8月Gartner發(fā)布報告時稱，還沒有廠商能夠提供完整的SASE產(chǎn)品組合。也就是說，現(xiàn)在這些供應商的SASE平臺是否符合Gartner的定義還有待觀察。

同時，Garnter預測，這項技術(shù)將需要5-10年的時間才能被主流采用，并且在這段時間內(nèi)可能會發(fā)生重大變化。

因此，Gartner警告早期采用者將合同限制為“不超過兩年”，并獲取保護條款。它還警告客戶，應警惕供應商試圖使用虛擬機（VM）服務鏈將幾種服務鏈接在一起以縮短上市時間。

不可否認，SASE代表著云上網(wǎng)絡和安全的未來，將為企業(yè)數(shù)字化轉(zhuǎn)型帶來更好的敏捷性和競爭力。這一趨勢也引導著SD-WAN、CDN、安全設備、防火墻即服務、云計算等各類服務商同臺競技，共同推動著網(wǎng)絡和安全走向新的高度。

微信公眾賬號：科技云報道

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。