1、概念

2019年，Gartner在报告《Hype Cycle for Enterprise Networking 2019》中首次提出了SASE（Secure Access Service Edge）的概念，如下图：

从图中直观的看，灵活接入的网络+ 按需的安全，就是SASE，实际上大致也是这样，只是SASE包含了比较多的细节内容，需要花点时间来梳理和理解。

这几年，SASE非常火，SASE国外主要厂商有Cato、Zscaler、Paloalto，国内大厂如阿里云、深信服、绿盟，也都正式推出了SASE产品。相比较于单一的安全产品，SASE头绪较多，理解起来不太容易把握住核心。因此，有必要以一个通俗移动的例子，白话的方式来讲清楚SASE的来龙去脉。

要理解SASE，首先要理解SD-WAN。SD-WAN，即软件定义广域网络，是将SDN技术应用到广域网场景中所形成的一种服务。这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务，旨在帮助用户降低广域网的开支和提高网络连接灵活性。

SD-WAN本质上，是网络去中心化的产物。什么叫去中心化？举个例子：

古代有一个钱庄，开展存取放贷的业务。起初规模较小，位于都城且没有分店。于是，全国各地的人来办业务，都需要长途跋涉到都城，前往银号。银号的所有银两和来往钱账，都是集中于一处的，我们可以叫“中心化”的模式。

后来，钱庄信誉良好，越开越大，客户遍布全国各地，且人数众多。于是，位于都城的总店，决定开分店，在全国各地主要的大城市，都开了分店，分别屯放备用银两，分别办业务，总店周期性汇总盘点。这时候，银号的所有银两和来往钱账，开始逐渐集中于多处分店了，我们可以叫去“中心化”的模式。

如果把分店比作网络，那么我们可以认为，这个时候，因为去中心化模式的产生，网络也开始去中心化，遍布各地了。那么，为了便于存钱取钱，总店就需要一种能力：随时随地按照客户所需，在不同的地方开设分店，甚至为大项目开“移动银行”业务。也就是说，一个强大的全国性钱庄，需要具备随时随地按需开通网店的能力。

SD-WAN也是这个道理，因为企业的数据中心去中心化，员工接入方式的去中心化，一个现代的企业，需要具备随时、随地接入不同企业数据中心的网络动态开通和管理能力。因此，SD-WAN技术就应运而生，典型架构见下图：

关于SD-WAN的详细技术细节，因为内容太多，此处暂不详细介绍了。

SD-WAN是好，但是安全怎么保证呢？

还是举上面的例子，钱庄总部，自然安保森严，但是分店呢？为了保护储户的安全，分店也需要建立如坚固的金库、有战斗力的保安、以及能保证路上安全的镖局队伍。这就是SASE在第一幅图中，右侧的部分：安全能力。简要来说，安全部分能力需要和SD-WAN相配称，即网络即服务的同时，要求安全如影随形，做到“安全即服务”。中外的SASE落地方案区别，主要是根据不同实际情况提供的安全服务内容不同，其实本质上是相似的。

2、主要的客户场景

先铺垫一下，对于SASE，客户的需求最核心的就是：在任何场景，任何用户、任何设备、能够方便的访问任何的企业应用，且不降低安全性。简单归纳就是“四个任何”加“安全”。主要场景有三个，国内外这一点其实都比较类似：

1）远程办公场景

这种场景，企业的数据中心位于本地IDC和云上（公有云），移动办公用户，使用VPN/SDP通过互联网连接到企业数据中心或者云上数据中心，访问企业级数据和应用。移动办公，理论上属于企业内网的虚拟延申。风险很容易感受到：用户身份会不会被盗用？移动设备是否带病毒木马？接进来他会不会泄露企业数据？按照数据流向视角看，有四处存在安全风险，见上图红圈标注位置。

现在再回头看SASE定义框图，安全部分，如下：