摘要：企业数字化转型促成了广域网组网与安全技术的深度融合，SASE将SD-WAN与基于数字身份标识的网络安全访问集成于云服务基础设施中，实现了一种能适应当前企业网络流量模型的安全架构，为无处不在的用户、连接、数据和应用提供了便捷、高效、安全的访问服务边缘。本文对SASE的发展背景、关键组件及未来目标进行了梳理、理解和解释。

关键字：SASE，零信任，SD-WAN，ZTNA

一、SASE的诞生背景

伴随云计算、企业数字化转型的加速发展，传统部署于数据中心的数据、应用和服务开始逐渐向云端迁移，远程员工、分支机构、供应商等用户也将业务访问边缘扩散到互联网的各个角落。企业IT网络部署和访问方式的这些变化导致了企业数据流向的变化，从总体上来看，流入互联网（包括公共云服务和分支机构的流量）的数据流量激增，与流回数据中心的流量相比，其比例已经从原来的20:80增加到80:20，呈现出爆发式的增长趋势。

图1 数字化转型对企业网络流量模型的影响

面对网络流量模型的变化，传统面向数据中心的网络及边界安全产品显得力不从心，即便投入更加昂贵的建设成本、更加复杂的操控运维，依然满足不了快速变化的应用环境需要，无法解决流量视图变化所带来的网络运行性能低下、安全服务能力不足等问题。

为了向用户交付一种简单、安全、能够融合组网和安全服务能力的网络产品，网络和安全厂商开始寻求并尝试新的安全架构，以适应这种新的分布式IT计算模型，使员工、客户、供应商和其他人能随时随地、按需安全地访问部署于任何位置（Internet、公有云、私有云、SaaS、数据中心等）的应用、数据和服务。

2019年8月，Gartner在《The Future of Network Security Is in the Cloud》报告中提出了安全访问服务边缘（SASE）的概念，并将其定义为：一种面向访问源（如用户、设备、分支机构、IoT设备，或其他边缘访问实体）而非数据中心，提供广域网组网和安全服务能力的技术框架。该框架基于访问实体的数字身份、实时上下文以及企业合规性政策，将软件定义广域网（SD-WAN）和安全能力集成到云服务中，从而简化网络及安全的部署、运维等环节，并为不同位置的用户提供一致的安全访问体验。

图2 Gartner以身份为中心的SASE架构

SASE一经面世，就凭借其描绘的美好前景得到了众多厂商的追捧，出现了许多与SASE类似的概念术语，典型的如Forrester的零信任边缘（Zero Trust Edge）、IDC的软件定义安全访问（Software-Defined Secure Access）和ESG的弹性云网关（Elastic Cloud Gateway）等。它们的共同之处是都采用了相近的安全理念，将传统围绕数据中心边缘的安全边界，转变为围绕企业数字资产分布的安全边界，即基于策略动态创建的安全访问服务边缘。

二、SASE的关键组件

Gartner认为，SASE是一种网络与安全的发展理念和方向，而不是简单的功能列表。但现阶段需要一些具体的方案来实现概念落地，Gartner将SASE相关技术按重要性划分成了3个级别，其中核心级包括5种关键技术：SD-WAN、防火墙即服务（FWaaS）、云访问安全代理（CASB）、安全Web网关（SWG）和零信任网络访问（ZTNA）；推荐级包括网络沙箱（Sandbox）、远程浏览器隔离（RBI）、WAF、NAC、NGAV/EDR等；可选级则包括WLAN、VPN等技术。下面简要介绍核心级的5种关键技术。

图3 SASE的总体架构与组成

01

软件定义广域网（SD-WAN）

在企业应用上云后，通过企业总部访问企业应用的方式开始变得低效，因为业务流量需要先经过传统广域网链路（包括物理路由器、MPLS、宽带、VPN和专线接入等）回送至企业总部，再由总部数据中心将流量转送给云端的企业应用。为了避免不必要的流量回流，需要采用直接互联网访问的方式为分支机构/用户提供更灵活的接入访问能力。

与传统广域网相比，SD-WAN可以智能地管理多种类型的连接（包括MPLS、宽带、5G等），支持数据中心、公有云/私有云中托管的应用程序，以及SaaS服务，并且能够基于网络性能（如时延、抖动、丢包率和链路可用性等）动态、智能地为应用流量在多条链路中选择最佳路由，实现负载平衡和QoS保障。

图4 复杂多样的企业组网需求

借助SD-WAN技术，SASE能够为多分支的组织和机构提供了强大的组网能力、网络性能和用户体验，主要表现在：

运维管理 弹性组网 用户体验 资源利用

简便的运维管理

采用集中式管理模式的SD-WAN，可以大幅降低资源费用成本和运维复杂性；

敏捷的弹性组网

SD-WAN通过将网络服务的控制与传输分离开来，使得企业通过任何可供使用的互联网连接（如宽带）来安全地访问业务资源，而不再局限于MPLS运营商；

良好的用户体验

通过SD-WAN，减少不必要的流量回送，提高了访问性能和效率，带来更好的用户体验；

高效的资源利用

采用SD-WAN，可以大幅降低企业软/硬件系统、网络带宽、技术支持等方面的费用开支。

02

防火墙即服务（FWaaS）

最初，防火墙用来保护位于企业网络边界以内的网络资源，但随着企业数字化转型，越来越多的企业数据和应用部署于云端，网络中出现了越来越多的移动设备，企业网络的安全边界开始消失，边界上原有的全流量视图也开始丢失。

FWaaS是一种以云服务交付的防火墙，具备下一代防火墙的功能特性。在SASE中引入FWaaS，企业组织可以在云端聚合来自所有访问源（企业数据中心、分支机构、移动用户、云基础设施）的流量，重获全流量视图；为所有位置所有用户实施全局一致的安全策略。

03

云访问安全代理（CASB）

用户在享用SaaS应用（如Office 365）带来的极大便利时，同时也面临着巨大的数据安全风险。越来越多的敏感数据在SaaS云中传输、存储和分享，用户也不停地从不同的物理位置、设备、操作系统和应用访问他们所需的数据，各种不可预见的安全问题层出不穷，主要表现在：

▶ 对云中不可见的数据缺乏足够的保护；

▶ 用户可能通过非受管设备（BYOD）从任何地点（如咖啡店）直接访问应用和数据；

▶ 员工可能通过影子IT（Shadow IT，指未经企业批准而私自使用的IT软件或服务）来访问完成工作所需的数据，引入安全风险并暴露企业敏感数据。

CASB是用户访问SaaS应用的网关，通过使用CASB服务，企业可以获得SaaS应用的可见性（包括已批准的和影子IT），了解敏感数据的存储位置，为每个用户实施统一的数据安全策略。传统CASB一般使用独立代理的形式，通过SAML代理、API自检等部署模式，提供一些内联检查能力。在SASE方案中，CASB应融合在线和基于API的SaaS控制，提供一种多模式的云化CASB，以便实施对SaaS用户的安全访问管理、访问控制和数据保护。

04

安全Web网关（SWG）

与防火墙检查的流量范围不同，SWG主要检查来自浏览器的流量，以便阻断对恶意站点和内容的访问，也可以在对用户授权访问互联网之前，实施适当的安全策略，因此SWG并非防火墙的替代品。

在当今的企业网络中，网络流量很少局限于预先限制的访问范围，用户工作负载通常需要访问外部资源，但是可能出于合规性原因不允许员工访问某些站点。此外，公司还希望阻止对网络钓鱼站点、僵尸网络命令、控制服务器的访问，SGW可以保护用户免受这些威胁。

在SASE中实现SWG，可以在云上检查加密流量，并与其他网络安全服务捆绑，提高可管理性，并允许统一的安全策略执行。

05

零信任网络访问（ZTNA）

零信任网络访问（ZTNA）是零信任架构的核心组成部分，遵循“永不信任，持续验证”的安全理念。ZNTA要求在用户被授权访问云端应用之前，需要对用户进行身份认证，并通过OSI 7层网关对用户流量进行检查。

基于微边界的ZTNA产品一般不执行内容安全检查，导致对不同应用的保护能力出现了一些差异，企业组织需要基于ZTNA模型增补新的检查机制，以满足对所有应用所有流量进行检查的要求。

基于ZTNA理念的SASE服务，将复杂的零信任网关融入云基础设施中，通过标识用户、设备和应用，为他们创建和管理统一的安全访问策略，同时提供应用保护能力，如数据防泄漏和威胁预防策略。

除了上述五种核心功能外，Gartner还推荐了SASE供应商提供的其他一些技术，如网络沙箱、远程浏览器隔离、Web应用防火墙等。可选功能包括Wi-Fi热点保护、对旧版VPN的支持，以及对脱机边缘计算设备或系统的保护。此外，还建议使用网络隐私保护和流量分散，使攻击者难以通过跟踪IP地址或窃听流量来发现企业资产。

三、SASE的技术特点

SASE将网络和安全服务融合为统一的全球云原生服务，是企业网络和安全的架构转型，使IT能够为数字业务提供全面且适应性强的服务。在尝试通过点式方案解决新兴业务挑战时，通常会导致技术孤岛，管理复杂且成本高昂，降低IT及其对业务需求的响应速度。SASE通过网络和安全平台化改变了这种模式，该平台由身份驱动，具有云原生、全球分布且安全连接到所有边缘等基本特点。

01

以身份标识为基石

SASE所提供的网络与安全功能全部依赖于访问实体的数字化身份，包括服务质量QoS、路由选择、信任评估、权限划分、访问控制等，所有与访问活动相关的服务均由身份驱动，企业组织只需专注用户身份管理及安全策略配置，以此达到降低运营开销的目的。

02

以云原生为起点

SASE认为未来网络安全集中在云服务上，以云服务形式交付的SASE框架天然具备云原生特性：基于软件-硬件中立的架构、弹性、自适应性、自恢复能力、自维护能力，以此提供一个分摊客户开销、并提供最大效率的平台，可很方便地适应新兴业务需求，而且随处可用。

03

覆盖所有访问边缘

SASE是边缘云服务，为确保所有网络和安全功能随处可用，并向全部边缘交付尽可能好的体验，SASE云需要全球分布，每个PoP节点提供相同的安全网络能力，用户可就近接入PoP节点，使企业流量在不绕行的同时拥有最好的安全防护。单纯依靠互联网来提供WAN的区域联通性，可能会导致不可预料的性能、可靠性、安全和隐私问题。

SASE通过瘦边缘（Thin-edge）组件将不同的边缘连接到距离最近的可用PoP（Point of Presence），为企业所有数字资源和访问（包括数据中心、分支机构、云资源、移动用户和IoT设备等）提供了接入能力，并由PoP向用户提供一致的网络与安全能力，而无需依赖任何客户设备。换句话说，即SASE能够通过PoP向用户交付与边缘无关的网络与安全服务。

四、SASE的未来目标

Gartner在《2021 Strategic Roadmap for SASE Convergence》报告中给出了对SASE的细节描述，其中涵盖了SASE相关技术的未来目标和应用前景（图5）。

图5 SASE架构的核心理念与目标

遍布互联网各个角落的用户和边缘设备期望通过公共网络安全地访问分布于互联网任意位置的数据和应用，而SASE通过整合网络和安全服务能力，为用户提供相应的服务交付和安全保障。与传统的烟囱式的组网和安全模型相比，SASE具有典型的平台化优势能力，包括：

01

统一一致的策略部署

SASE是一个“基于软件且硬件中立”的分布式架构，通过PoP来提供用户接入并确保策略实施，客户可以根据业务策略或合规要求，选择对流量执行检查，还是将其转发给特定的PoP。云架构使得SASE的策略执行遍布整个云端和边缘，用户本地甚至可以针对某些间歇性、时延敏感的访问场景进行独立的访问决策。

SASE通过管理控制平面与策略执行点解耦，使用统一的管理控制台入口，对网络与安全策略进行集中管控，实现全局一致（与用户、数据和应用的位置无关）的策略部署。未来可通过人工智能（AI）和机器学习（ML）实现策略自动创建，并利用全套开放的API实现对现有程序和工具的自动化和集成。

SASE将以往从属于不同业务、分散于不同PEP（如SD-WAN、SWG、CASB和ZTNA）的策略功能，整合为基于云的统一交付框架，在所有接入点上实施一致的访问策略，实现了对所有访问的全覆盖，通过SD-WAN（主要针对分支机构）、客户端（针对托管或非托管设备）、VPN（针对无端设备）等方式实现对所有边缘的全覆盖。

02

全局高效的流量检查

SASE对所有连接、所有边缘的全覆盖能力，使其获得了数据流量的全视图，也具备了进行全面流量分析的基础。

发现、识别敏感数据并进行有效管控是SASE的关键能力，包括对恶意内容和网络攻击的识别和阻断，主要通过本地客户端、内联流量检查、基于API的云服务检查来实现。

借助云服务能力，SASE能够以线速对加密流量（SSL/TLS）进行解密，并同时执行多项检查（如恶意代码/敏感数据检查），实现一次解密多项检查，而在传统的方案中，需要使用多个引擎分别实施多次解密和检查。

03

高可用低时延的服务能力

SASE通过建立一个具有多租户弹性伸缩的微服务架构，来满足不同用户的高性能服务需求，多点分散的PoP能够保障SASE提供商交付满足SLA的高可用低时延服务。

04

动态自适应的零信任安全

SASE采用零信任安全理念，将传统网络模型中的隐式信任，替换成基于身份和上下文、持续自适应的风险和信任评估。按照Gartner提出的持续自适应风险与信任评估（CARTA）框架，访问连接一旦建立，访问实体、设备、会话和相关行为均会被记录、监控和分析，以便发现异常或风险行为，并按照相应的策略配置，自适应地调整响应动作（如修改权限）。

05

简单透明的用户体验

SASE产品为用户提供了位置无关的访问体验，通过使用一个统一的终端Agent为用户隐藏复杂的接入细节（如转发代理、隧道创建、设备安全态势等），并集成典型的用户体验（在端到端时延和性能方面）监控。

06

集中归口的接入管理

在SASE方案中，需要由一个独立的IT团队负责接入方案的设计、选型、实施和运营，涵盖对网络、安全、随时随地的访问及各种实体的管理。从整体上来看，在SASE中，网络工程和网络安全工程实质上已经融合成了一种组合型“接入工程（Access Engineering）”。

SASE通过在云端融合网络和安全技术，通过瘦终端重云端、边缘化去中心的服务架构为企业提供了一体化的IT建设方案，改变了传统应用访问和安全防护模式，可以解决云时代下企业面临的实际问题。随着边缘场景快速发展、传统安全产品加速云化、用户对新安全理念的认知和服务商SASE产品落地，SASE也将演变成为更丰富、更高效、更强大的IT安全生态。

本文由易安联红岸实验室写作，专注网安行业发展方向，解读热门产品技术趋势，欢迎技术大咖学习交流。