SASE（什么是SASE）

SASE（Secure Access Service Edge），安全访问服务边缘

SASE是做什么的？

SASE用于从分布式云服务交付聚合的企业网络和安全服务。SASE克服了分散集成和地理位置约束解决方案的成本、复杂性和刚性。当SASE与全球私有骨干网相结合时，还可以解决WAN和云连接方面的挑战。

SD-WAN和SASE的区别？

SD-WAN是SASE平台的关键组件，它将分支位置和数据中心连接到SASE云服务。SASE扩展了SD-WAN，以解决包括全球范围内的安全性、云计算和移动性在内的整个WAN的转换过程。

SASE比SD-WAN更好么？

SD-WAN只是广域网转型的第一步。它缺乏关键的安全功能、全球连接能力以及对云资源和移动用户的支持。一个完整的SASE平台可以支持整个WAN转换过程，因为它使IT能够以敏捷和经济有效的方式提供业务需求的网络和安全功能。

SASE是否安全？

SASE是端到端安全。SASE平台上的所有通信都是加密的。包括解密、防火墙、URL过滤、反恶意软件和IP在内的威胁预防功能都被集成到SASE中，并且对所有连接的边缘都可用。

虽然是很耀眼的技术，但毕竟刚刚被提出来，发展和成熟需要时间，而且这种规模的架构也不是一般组织能够承建的，报告中在概要中就说明了：为了实现低延迟地随时随地访问用户、设备和云服务，企业需要具有全球 POP 点和对等连接的 SASE 产品。因此，追新是好事，但不能盲目。

Gartner对SASE的定义：SASE 是一种基于实体的身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组（分支办公室）、设备、应用、服务、物联网系统或边缘计算场地相关联。

SASE的核心是身份，即身份是访问决策的中心，而不再是企业数据中心。这也与零信任架构和CARTA理念相一致，基于身份的访问决策。

用户、设备、服务的身份是策略中最重要的上下文因素之一。但是，还会有其他相关的上下文来源可以输入到策略中，这些上下文来源包括：用户使用的设备身份、日期、风险/信任评估、场地、正在访问的应用或数据的灵敏度。企业数据中心仍存在，但不再是网络架构的中心，只是用户和设备需要访问的众多互联网服务中的一个。

这些实体需要访问越来越多的基于云的服务，但是它们的连接方式和应用的网络安全策略类型将根据监管需求、企业策略和特定业务领导者的风险偏好而有所不同。就像智能交换机一样，身份通过 SASE 供应商在全球范围内的安全访问能力连接到所需的网络功能。

SASE 按需提供所需的服务和策略执行，独立于请求服务的实体的场所（如下图所示）和所访问能力。

SASE云服务的主要特点

SASE详细介绍了企业网络和安全的体系结构转换，这将使它能够为数字业务提供全面、敏捷和可适应的服务。SASE云服务有4个主要特点：身份驱动、云原生、支持所有边缘(WAN、云、移动、边缘计算)、全球分布。

身份驱动

不仅仅是 IP 地址，用户和资源身份决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由与每个网络连接相关联的身份所驱动。采用该方法，公司企业为用户开发一套网络和安全策略，无需考虑设备或地理位置，从而降低运营开销。

云原生

SASE 架构利用云的几个主要功能，包括弹性、自适应性、自恢复能力和自维护功能，提供一个可以分摊客户开销以提供最大效率的平台，可很方便地适应新兴业务需求，而且随处可用。

支持所有边缘

SASE 为所有公司资源创建了一个网络——数据中心、分公司、云资源和移动用户。举个例子，软件定义广域网 (SD-WAN) 设备支持物理边缘，而移动客户端和无客户端浏览器访问连接四处游走的用户。

全球分布

为确保所有网络和安全功能随处可用，并向全部边缘交付尽可能好的体验，SASE 云必须全球分布。因此，必须扩展自身覆盖面，向企业边缘交付低延迟服务。

最终，SASE 架构的目标是要能够更容易地实现安全的云环境。SASE 提供了一种摒弃传统方法的设计理念，抛弃了将 SD-WAN 设备、防火墙、IPS 设备和各种其他网络及安全解决方案拼凑到一起的做法。SASE以一个安全的全球SD-WAN服务代替了难以管理的技术大杂烩。

SASE的理念就是借助SD-WAN搭建起来的虚拟化架构去集中化，将核心能力附加到边缘，使数据处理和安全能力都在边缘进行，以满足当前和未来云上和移动业务的动态需求。