什么是SASE

Gartner在2019年9月发表了题为《The Future of Network Security Is in the Cloud》的报告，报告详细描述了安全访问服务边缘的概念（Secure Access Service Edge，SASE）。

在Gartner的定义里，安全访问服务边缘（SASE）是一种新兴的服务，它将广域网与网络安全（如：SWG、CASB、FWaaS、ZTNA）结合起来，从而满足数字化企业的动态安全访问需求。

SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。

SASE的特点​

1. 身份驱动的私有网络

   以身份为中心，通过用户和资源身份决定网络互联体验和访问权限级别。采用身份驱动的网络和安全策略，企业则无需考虑设备或地理位置。

2. 云原生架构

   SASE架构利用云的几个主要功能，包括：弹性、自适应性、自恢复能力和自维护，分摊客户开销以提供最大效率，适应新兴业务需求，而且随处可用。

3. 支持所有边缘

   为企业资源创建一个独立的安全网络，涵盖移动用户、PC用户、云资源、数据中心资源、总部资源、分支资源等。

4. 全球分布 扩展企业网络覆盖面，确保所有网络和安全功能随处可用，并向全部边缘交付尽可能好的体验。

   

信域与SASE的相同点​

1. 融合网络和安全能力

   信域与SASE都认为企业的网络能力与安全能力需要进行融合，安全能力离不开底层网络的支撑，网络能力也需要安全的持续保障。

   尤其是在分布式网络中，终端和业务资源分布在碎片化的网络里，让基于上下文的安全分析越来越困难。

   通过对网络的改造和优化，可以将碎片化的终端和资源重新整合在一起，让企业可以在分布式环境中依然可以以身份为中心进行复杂的行为分析和研判，大幅提升了企业综合安全能力。

2. 全球分布，适应各种环境

   当今绝大多数企业已经逐渐发展成分布式企业，企业员工可能位于全球任何位置，企业业务资源可能部署在多个云、多个数据中心。

   信域与SASE都支持多种企业环境和终端环境，支持移动用户、PC用户在任意地方随时接入并访问授权业务，支持企业将部署在多云环境、数据中心的各类业务资源接入到企业私有的安全网络中。

3. 以身份驱动的私有网络

   信域与SASE都认为基于IP地址的边界防御模型在分布式网络中已经失效，唯有身份是始终不变并贯穿整个安全治理过程的关键要素，企业需要以身份为核心重建安全边界。

   企业应该拥有统一的身份体系，并将统一身份应用到网络的接入、访问控制策略的制定以及安全分析研判当中。

信域与SASE的不同点​

1. 业务访问流量端到端全程加密

   当前业内大多数SASE服务供应商采用的方案是将企业的业务访问流量牵引到供应商提供的安全公有云上，在供应商提供的安全云里进行网络优化和各种安全检测、防御。

   这种方式需要将企业的内部业务访问流量以明文方式在云上进行安全检测，影响到了企业的业务隐私，SASE云本身将成为企业的一个隐含信任漏洞，同时这种将内部业务访问的流量牵引到云上的方式，还会给企业带来了额外的带宽成本。

   信域则采用了更私有化的方式来实现。

   信域为企业提供的是点对点的加密访问网络，在用户终端到部署在客户自有环境中的信域网关之间，所有业务访问流量都是点对点全程加密的，而且两端都在客户自主可控环境中，流量转发中途不进行任何解密，确保了业务流量的保密性，让企业业务数据始终自治可控。

   另外，在信域里业务访问流量在终端与信域网关之间点对点传输，无需经过特定网络转发，企业也因此无需承担额外的带宽成本。

   换个角度说，如果不考虑把安全能力集中在云上执行，而是将与企业业务隐私相关的功能都保留在客户的自治可控环境中，信域也可以理解为是一种客户完全私有的SASE架构。

2. 网络数据包身份化

   虽然SASE和信域都强调以身份驱动，但信域在实现方式上更为彻底。

   大多数SASE和SDP方案都是通过将IP地址与身份进行关联，用身份进行策略编排，实际使用IP地址进行网络管控的方式来实现。

   而信域则是将企业的统一身份直接植入到传输层数据包中，同时使用统一身份对虚拟层数据包进行混淆加密。通过这种方式信域让网络里所有转发的数据包都带上了身份信息，实现了完全实名制的企业网络。

   信域使用分布式访问控制引擎，在每一个终端和信域网关上，基于身份对数据包进行网络转发和网络访问控制。

   同时信域网关实时采集身份化的网络流量日志，实现进行基于身份的跨域上下文分析，让企业的上层业务分析能力和威胁检测能力也能摆脱对IP地址的依赖，能始终聚焦于人和终端。

3. 分布式访问控制模型

   SASE将所有安全管控集中在云服务上，结构上属于以云为中心的访问控制模型。

   信域不信任客户端与网关之间的任何网络，包括互联网、企业内网、分支网络、云服务等。信域客户端与信域网关之间构建的是点对点加密网络，网络数据包在两端之间始终加密传输，不做任何解密检测。

   信域采用分布式访问控制引擎，网络层和应用层的细粒度访问控制规则同步到每一个信域客户端和信域网关上分布式执行。也正因为如此，每一个信域网络都可以承受数千万量级的细粒度访问控制策略同时执行，而无需考虑策略执行点的性能瓶颈问题。