云服務(wù)和網(wǎng)絡(luò)正在驅(qū)動數(shù)字業(yè)務(wù)的概念，但傳統(tǒng)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全架構(gòu)遠未達到數(shù)字業(yè)務(wù)的需求。

Gartner 發(fā)布的《網(wǎng)絡(luò)安全的未來在云端》報告，詳細說明了新型網(wǎng)絡(luò)及安全模型基礎(chǔ)上云端網(wǎng)絡(luò)和安全轉(zhuǎn)型的潛力。該模型名為安全訪問服務(wù)邊緣 (SASE)，由 Gartner 主要安全分析師 Neil MacDonald、Lawrence Orans 和 Joe Skorupa 提出。

Gartner聲稱，SASE 有潛力將已建立的網(wǎng)絡(luò)和安全服務(wù)堆棧從一個基于數(shù)據(jù)中心的服務(wù)堆棧轉(zhuǎn)變?yōu)橐粋€將身份焦點轉(zhuǎn)移到用戶和終端設(shè)備的設(shè)計。

SASE 解決云端采用的傳統(tǒng)網(wǎng)絡(luò)安全方法里發(fā)現(xiàn)的諸多問題。此類問題的根源大多存在于網(wǎng)絡(luò)安全架構(gòu)必須位于數(shù)據(jù)中心連接核心的思想意識。

這些遺留的網(wǎng)絡(luò)安全應(yīng)用無法高效支持更新的聯(lián)網(wǎng)理念和用例，比如轉(zhuǎn)向動態(tài)服務(wù)、軟件即服務(wù) (SaaS) 應(yīng)用，以及企業(yè)需處理分布式數(shù)據(jù)的大趨勢。

傳統(tǒng)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全架構(gòu)，是為企業(yè)數(shù)據(jù)中心即用戶和設(shè)備訪問所需實體中心的時代而設(shè)計的。此前這一模型效果不錯，但數(shù)字化轉(zhuǎn)型催生了一些新的要求。

隨著企業(yè)紛紛擁抱數(shù)字業(yè)務(wù)過程，以及邊緣計算、云服務(wù)和混合網(wǎng)絡(luò)的興起，傳統(tǒng)網(wǎng)絡(luò)和安全架構(gòu)開始多方崩塌的跡象越來越明顯。

傳統(tǒng)架構(gòu)的復雜性引入的問題包括延遲、聯(lián)網(wǎng)盲點、過多管理開銷和隨服務(wù)改變不得不頻繁重新配置。通過降低網(wǎng)絡(luò)復雜度和將安全過程遷移至可發(fā)揮最大效用的網(wǎng)絡(luò)邊緣，SASE 模型摒除了這些問題。

作為一種顛覆性新興技術(shù)，Gartner 著重強調(diào)了 SASE 的重要性，其《2019 企業(yè)網(wǎng)絡(luò)炒作周期》報告中就隆重推出 SASE，為這種技術(shù)貼上了 “變革性技術(shù)” 的標簽。該報告還確立了 SASE 樣板提供商和關(guān)鍵元素。

SASE 到底是什么？

根據(jù) Gartner 的定義，SASE 有四個主要特征：

1. 身份驅(qū)動

不僅僅是 IP 地址，用戶和資源身份決定網(wǎng)絡(luò)互連體驗和訪問權(quán)限級別。服務(wù)質(zhì)量、路由選擇、應(yīng)用的風險安全控制——所有這些都由與每個網(wǎng)絡(luò)連接相關(guān)聯(lián)的身份所驅(qū)動。采用該方法，公司企業(yè)為用戶開發(fā)一套網(wǎng)絡(luò)和安全策略，無需考慮設(shè)備或地理位置，從而降低運營開銷。

2. 云原生架構(gòu)

SASE 架構(gòu)利用云的幾個主要功能，包括彈性、自適應(yīng)性、自恢復能力和自維護功能，提供一個可以分攤客戶開銷以提供最大效率的平臺，可很方便地適應(yīng)新興業(yè)務(wù)需求，而且隨處可用。

3. 支持所有邊緣

SASE 為所有公司資源創(chuàng)建了一個網(wǎng)絡(luò)——數(shù)據(jù)中心、分公司、云資源和移動用戶。舉個例子，軟件定義廣域網(wǎng) (SD-WAN) 設(shè)備支持物理邊緣，而移動客戶端和無客戶端瀏覽器訪問連接四處游走的用戶。

4. 全球分布

為確保所有網(wǎng)絡(luò)和安全功能隨處可用，并向全部邊緣交付盡可能好的體驗，SASE 云必須全球分布。因此，Gartner 指出，必須擴展自身覆蓋面，向企業(yè)邊緣交付低延遲服務(wù)。

最終，SASE 架構(gòu)的目標是要能夠更容易地實現(xiàn)安全的云環(huán)境。SASE 提供了一種摒棄傳統(tǒng)方法的設(shè)計哲學，拋棄了將 SD-WAN 設(shè)備、防火墻、IPS 設(shè)備和各種其他網(wǎng)絡(luò)及安全解決方案拼湊到一起的做法。SASE 以一個安全的全球 SD-WAN 服務(wù)代替了難以管理的技術(shù)大雜燴。

可用SASE服務(wù)

Gartner 承認，SASE 市場仍在不斷變化，沒有哪家供應(yīng)商提供全部 SASE 功能組合。Zscaler 等部分供應(yīng)商提供防火墻即服務(wù)，但缺乏 SASE 要求的 SD-WAN 功能（及其他安全功能）。其他供應(yīng)商提供安全即設(shè)備，但并未在云原生全球網(wǎng)絡(luò)中。

Cato Networks 的服務(wù)是最接近現(xiàn)實 SASE 服務(wù)的。Cato Networks 提供全球私有主干網(wǎng)（最后共有 50+ 存在點 (PoP)）。這些 PoP 托起了 Cato 薈聚網(wǎng)絡(luò)與網(wǎng)絡(luò)安全的自有云原生架構(gòu)。Cato 軟件是單通云架構(gòu)。所有網(wǎng)絡(luò)優(yōu)化、安全檢查和策略實施都在流量轉(zhuǎn)發(fā)至其目的地址之前以豐富上下文完成。

按 Cato 的說法，各種“邊緣”通過建立通往最近 Cato PoP 的加密隧道連接。該平臺通過 Cato 的 SD-WAN 設(shè)備 Cato Socket 連接各位置；移動用戶通過 Cato 的客戶端和無客戶端訪問連接；云資源通過 Cato 的“無代理”集成連接。甚至第三方設(shè)備也可通過建立通向最近 Cato PoP 的 IPsec 隧道連接起來。

身份和訪問被統(tǒng)一進方便管理的范式。該范式使企業(yè)可專注安全策略而非安全及網(wǎng)絡(luò)組件，還支持轉(zhuǎn)向安全連接所有網(wǎng)絡(luò)邊緣的全球性分布式架構(gòu)。

SASE：遠不止正確做安全

SASE 遠超安全框架，是一個新的網(wǎng)絡(luò)模型，將訪問技術(shù)棧壓進方便管理的連接網(wǎng)絡(luò)，且以安全為核心。這使得 SASE 云更為精悍，因為所有功能都薈聚到了一起。

SASE 處理流量更快，延遲更小，同時比其他網(wǎng)絡(luò)和安全方法納入了更多的上下文。作為軟件定義的平臺，SASE 可快速適應(yīng)變化，比如規(guī)模或敏捷性驅(qū)動的重配置。SASE 還引入了額外的網(wǎng)絡(luò)防護，例如業(yè)務(wù)連續(xù)性、負載分配和正常運行時間改善等概念。