SASE是什么？是进化版的SD-WAN吗?

有人说，SASE将替代SD-WAN成为企业最优网络解决方案？

究竟SASE是什么黑科技？是市场炒作还是新一波热潮？是进化版的SD-WAN吗?本文将一一为您解答。

在了解SASE前，先跟大家谈谈SD-WAN。

什么是SD-WAN?

SD-WAN（software define Wide Area Network）即软件定义广域网，是将SDN技术应用到广域网场景中所形成的一种服务，这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。

SD-WAN不受传输方式限制，能大幅度帮企业节约网络成本，在更短的时间内实现方案交付，优化应用程序的体验和效率。

有兴趣的小伙伴可以去博主的主页，详细了解一下。

言归正传， 什么是SASE?

SASE（Secure Access Service Edge），安全访问服务边缘，是Gartner在2019年8月的报告《云中网络安全的未来》中引入的新的企业网络技术类别。

Gartner对SASE的定义：SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。

SASE作为一种新兴的体系结构，结合了云访问安全代理（CASB）、安全Web网关（SWG）、零信任网络访问（ZTNA）、集成式SD-WAN和防火墙即服务五大技术。将网络和安全解决方案的功能融合为「统一的全球云原生服务」。满足数字企业的动态安全访问需求，真正实现用户对云上业务或数据中心随时随地、低延迟、更安全的动态访问。

SD-WAN vs SASE？

SD-WAN只提供网络连接，需要SASE来提供边缘网络安全？

这样的认识并不正确。

SD-WAN技术的设计本身也提供安全性，可以在任何物理网络链路上可以提供企业级安全性(相当于 MPLS)。

典型的 SD-WAN 安全功能包括：

• 使用 DTLS(使用 AES-GCM 证书交换和身份验证)或 IPSec(使用 IKE 密钥交换)进行链路加密。

• 远程设备 (CPE) 的零接触自动配置，以确保安全的初始设置。

• 支持在链路拓扑中插入虚拟网络服务 (VNF)，例如 NGFW 、内容过滤器。

• 网络微分段使用虚拟网络和防火墙按应用程序、安全级别或其他标准划分广域网流量。微分段还允许 SD-WAN 使用特定于用户、组和应用程序的路由/防火墙规则实施简单的内容控制策略。

SD-WAN 能提供满足企业需求的网络安全基础，并且远远超出了传统客户端或站点虚拟专用网提供的功能。与其把SASE看作是SD-WAN的创新替代品，不如把它看作是在SD-WAN基础之上分层安全性的演进改进。也可以把SASE看作是通过一套网络、数据和用户安全功能来支持SD-WAN。

SASE 为 SD-WAN 添加了四个安全功能：

• 下一代防火墙即服务 (FWaaS) ：目前已经通过NFV和虚拟防火墙设备被许多SD WAN用户所整合。

• SWG (Secure Web Gateway)：用于监控和过滤Web流量。

• 云访问安全代理 (CASB) ：通过提供应用级网络可见性和策略实施来扩展 SWG。

• 零信任网络访问 (ZTNA) ：使用基于发起设备、发起用户和目标应用或服务的细粒度策略，使用特定于应用和会话的身份验证，取代了使用客户端虚拟专用网络的访问安全性。ZTNA 是对传统远程访问安全性的最大改变，它需要提供用户和设备凭据(通常基于证书)、证书颁发机构 (CA)、SSO 服务和设备访问代理。

SD-WAN 和 SASE 不应被视为相互替代的关系，而应该被认为是互补的。

比如，SASE关于网络连接的部分是由SD-WAN实现。但如果企业不注重远程办公并且其远程位置有足够的 MPLS 覆盖，那么没有 SD-WAN 的情况下也是可以应用 SASE 的安全功能。

又比如在以SaaS为中心、有大量居家办公或异地出差员工的企业环境中，将安全性强制集中到数据中心设备上既昂贵又低效。云部署不仅限于 SASE，它也是交付基本SD-WAN服务的一种有效方式。一些NaaS供应商早就通过将控制平面集中在云基础设施上，并使用私有核心网和全球分布的POP，提供SD-WAN即服务。

产品方案 (yun-gu.com)

SASE 不是 SD-WAN 的继任者，而是它的队友，为软件定义的 WAN 基础添加安全功能，它们是互补的且拥有独立部署的功能，都可以部署在任何 VM 或容器环境中，无论是作为云服务 (NaaS)、云 IaaS还是混合部署。

SASE优势在于它为组织提供了一个完整的、集成的安全组合，覆盖了大多数情况，并消除了将单点产品拼凑在一起的问题。对于完整的、集成安全组合的SASE方案，企业其实更愿意逐步地、增量地慢慢引入关于SASE的应用或服务。

在这样的情况下，SD-WAN 更适合企业变更管理，因为它可以无缝衔接，允许企业根据需要在 WAN 中整合NGFW（下一代防火墙）、WAF（Web应用防护系统）和SWG（安全Web网关）等基本功能作为“改造项目”进行网络架构升级，SD-WAN 对 SASE互为补充，可以打造更适合企业的、高度可靠、可扩展、高性能和安全的远程连接解决方案。