英文原文：https://www.gartner.com/doc/reprints?id=1-6QW0Z4A&ct=190528

數字化轉型將顛覆網絡和安全服務設計模式，將焦點移動到用戶和/或設備的身份，而不再是聚焦于數據中心。安全和風險管理領導者需要采用融合的云交付“安全訪問服務邊緣（SASE）”來應對這一轉變。

一、概述

1.1 要點

• 把企業數據中心置于連接需求的核心位置的網絡安全體系架構會對數字化轉型的動態訪問需求產生抑制。

• 正因為位于企業外部的用戶、設備、應用程序、服務和數據的數量多于企業內部，具有這些特點的數字化業務和邊緣計算有著截然不同的網絡訪問需求。

• 降低復雜度的需求、低延遲的需求，以及一旦涉及流量加密就會產生的對加密流量進行解密和檢查的需求，都將增加將網絡和安全即服務（Security-as-a-Service）整合為基于云交付的“安全訪問服務邊緣（縮寫為：SASE，可以讀作 “sassy” ）”的需求。

• 監測并理解數據的上下文是采用 SASE 策略的前提。

• 為了提供與地點無關的用戶、設備和云服務的低延遲訪問能力，企業需要具有全球 POP 點和對等連接能力的 SASE 產品。

1.2 建議

負責網絡和端點安全領域的安全和風險管理領導者應該考慮：

• 從立場上而言，SASE 是從速度、敏捷角度助力數字化業務的推動者。

• 從架構上來說，是把檢查引擎移動到靠近會話的地方，而不是把會話重新路由到檢查引擎。

• 把安全人員從管理安全設備轉向到提供基于策略的安全服務。

• 從現在開始，就應該和網絡架構師一起規劃 SASE 能力。把 SD-WAN 和 MPLS 卸載項目作為評估集成化網絡安全服務的催化劑。

• 現在就應該向單一供應商提供 SWG（WEB 安全網關）、CASB（云訪問安全代理）、DNS、ZTNA（零信任網絡訪問）和 RBI（遠程瀏覽器隔離）的理想狀態遷移，降低網絡安全復雜度。

二、戰略規劃假設

• 到 2023 年，20% 的企業將從單一供應商采購 SWG、CASB、ZTNA 和分支機構的 FWaaS（防火墻即服務）服務，而這一比例在 2019 年只有 5% 。

• 到 2024 年, 最少將有 40% 的企業將有明確的切換到 SASE 的策略，而這一比例在 2018 年末僅為 1% 。

• 到 2025 年，最少將有一家 IaaS 服務商的領導者會提供有競爭力的 SASE 套裝。

三、分析

歷史的網絡和網絡安全體系架構是針對一個正在淘汰的時代而設計的。它們無法有效地滿足數字化業務對動態安全訪問需求。企業數據中心不再是用戶和設備訪問需求的中心。數字化轉型業務采用了 SaaS 等大量基于云計算的服務和新興的邊緣計算平臺，這使得企業網絡架構出現了“內外翻轉”的現象，顛覆了以往的架構模式。數字化企業的特點是：

• 相比企業內網而言，更多的用戶使用企業網絡之外的網絡環境來完成工作。

• 相比數據中心的工作負載而言，企業更多使用在 IaaS 中運行的工作負載。

• 相比企業基礎設施中的應用而言，企業更多使用 SaaS 模式的應用。

• 相比內部而言，更多的敏感數據存儲在企業數據中心以外的云服務中。

• 相對企業數據中心而言，更多的用戶流量是流向企業數據中心以外的公共云。

• 相對企業數據中心而言，更多的分支機構流量是流向企業數據中心以外的公共云。

數字化轉型需要隨時隨地訪問應用和服務（這些應用與服務許多現在位于云中）。雖然企業數據中心將在未來幾年內還將繼續存在，但進出企業數據中心的流量在企業總的流量的占比將持續下降。

“以數據中心為宇宙中心”的傳統網絡和網絡安全體系架構已經過時，已經成為對數字化業務需求的阻礙。

這種反模式數字化將進一步擴展，因為越來越多的企業需要邊緣計算能力，這些邊緣計算能力是分布式的，并更接近于需要低延遲訪問本地存儲和計算的系統和設備。5G 技術將充當加速邊緣計算應用的催化劑（請參見 “Exploring the Edge: 12 Frontiers of Edge Computing”）。

在靈活地支持數字化轉型的同時，通過支持反模式的訪問從而保持系統復雜度處于可控狀態，這是 SASE 新市場的主要驅動因素。這個市場將網絡即服務（如，SD-WAN [軟件定義的廣域網]）和網絡安全即服務（如，SWG、CASB、FWaaS [防火墻即服務]）融合在一起。我們將其稱為“安全訪問服務邊緣”（參見圖 1 和注 1）。它主要是作為基于云的服務交付的。

圖1： SASE 融合

SASE 產品能夠為一個可無限可調節的彈性網絡提供基于策略的“軟件定義”安全訪問。在這個彈性網絡中，企業安全專業人員可以根據身份和上下文精確地指定每個網絡會話的性能、可靠性、安全性和成本水平。SASE 的出現將為安全和風險專業人員提供了一個重大的機遇，使他們能夠為各種分布式用戶、場所和基于云的服務提供安全訪問，從而安全地實現數字化轉型所需要的動態訪問。企業對基于云的 SASE 能力的需求、市場競爭與整合，將重新定義企業網絡和網絡安全體系架構，并重塑競爭格局。

網絡安全的未來在云端。

四、定義

安全訪問服務邊緣（SASE）是一種新興的服務，它將廣域網與網絡安全（如：SWG、CASB、FWaaS、ZTNA）結合起來，從而滿足數字化企業的動態安全訪問需求。

SASE 是一種基于實體的身份、實時上下文、企業安全/合規策略，以及在整個會話中持續評估風險/信任的服務。實體的身份可與人員、人員組（分支辦公室）、設備、應用、服務、物聯網系統或邊緣計算場地相關聯（查閱 “Zero Trust Is an Initial Step on the Roadmap to CARTA”）

五、描述

傳統的企業網絡和網絡安全體系架構將企業數據中心作為訪問的核心，這樣的架構在云和移動的環境中中越來越無效和繁瑣。即使采用了一些基于云的服務（如，基于云的 SWG、CDN [內容交付網絡]、WAF [WEB 應用防火墻] 等），企業數據中心仍然是大多數企業網絡和網絡安全體系架構的核心（見圖 2）。

圖2：傳統以企業數據中心為核心的星型網絡及網絡安全架構

在以云為中心的現代數字化業務中，用戶、設備和他們需要安全訪問的網絡能力無處不在。由此導致對“安全訪問服務邊緣”需求也將無處不在。圖 2 中以企業數據為中心的模型難以擴展。當用戶所需的東西很少留在企業數據中心時，將流量路由到企業數據中心是沒有意義的。更糟糕的是，我們往往會限制用戶訪問 SaaS，除非用戶在企業網絡上或已經使用虛擬專用網絡 ，或者需要不同的代理軟件來實現 SWG、CASB 和虛擬專用網絡 （這就造成了代理軟件的膨脹和用戶混亂）。而這種限制將對用戶的生產力、用戶體驗和成本產生負面影響。而在其他情況下，當用戶訪問任何基于云的資源時，分支機構的流量會被強制通過企業數據中心進行檢查，從而增加延遲和與專用 MPLS 專線相關的成本。

數字化轉型企業中的安全和風險專業人員需要的是一種全球性的網絡和網絡安全能力，這種能力可以隨時隨地將實體連接到他們需要訪問的網絡。

我們不需要強制不同實體的流量流經企業數據中心的硬件設備內嵌的檢查引擎（通過“調度”實現）。我們需要顛覆原來的想法，讓檢查引擎和算法盡可能靠近實體所在的位置。

無論我們是將用戶連接到內部應用、基于云的應用、SaaS 或互聯網，這些都存在相同的安全訪問問題。分支辦公室只是多個用戶集中的地方。同樣，在一輛載有正訪問 salesforce 的銷售人員的汽車也是一個分支辦公室；IoT 邊緣場地對設備而言也是分支辦公室。所有需要訪問網絡能力的端點的身份分布于整個互聯網。在數字化轉型業務中，安全訪問的決策必須以連接源（包含用戶、設備、分支機構、物聯網設備、邊緣計算場所等）的實體身份為中心。如圖 3 所示，身份是訪問決策的新中心，而不是企業數據中心。

圖 3：SASE 身份為中心的架構

用戶/設備/服務的身份是策略中最重要的上下文因素之一。但是，還會有其他相關的上下文來源可以輸入到策略中，這些上下文來源包括：用戶正在使用的設備的身份、日期、風險/信任評估、場地、正在訪問的應用和/或數據的靈敏度。企業數據中心仍然存在，但它不再是架構的中心。它只是用戶和設備需要訪問的許多基于互聯網的服務中的一個。

這些實體需要訪問越來越多的基于云的服務，但是它們的連接方式和應用的網絡安全策略類型將根據監管需求、企業策略和特定業務領導者的風險偏好而有所不同。就像智能交換機一樣，身份通過 SASE 供應商在全球范圍內的安全訪問能力連接到所需的網絡功能。

考慮這些場景：

• Sue，一個銷售人員，需要通過她所持有的設備通過機場 Wi-Fi 網絡在訪問互聯網的同時訪問 saleseforce 提供的 CRM。SASE 通過提供 QoS（服務質量優化）和 SaaS 加速連接到 salesforce，并提供了 DLP、惡意軟件檢查、UEBA 和 Wi-Fi 保護。同時為瀏覽互聯網提供了內嵌 DLP 的 SWG 保護。

• Jorge，一個承包商，需要從不受控的設備訪問托管在企業數據中心的企業網站應用。SASE 提供 ZTNA，只允許對特定地址的訪問，通過 WAPP 服務保護開啟了 WEB 的應用程序免受攻擊，并通過流量加密來避免遭受流量監聽帶來的敏感數據丟失。

• 一組風力發電機需要基于邊緣計算的網絡和對傳感器數據進行數據分析的計算，然后需要將結果傳輸到 AWS，同時隱藏風力發電機組的位置。SASE 為風力發電機組提供低延遲 ZTNA 來訪問邊緣計算資源、隱藏風力發電機組的 IP 地址、并建立一個低延遲敏感的加密連接到 AWS API。同時，邊緣計算場地被 SASE 提供的 FWaaS 保護，避免遭受針對風力發電機組的入站攻擊。

SASE 按需提供所需的服務和策略執行，獨立于請求服務的實體的場所（圖 4 的左側）和所訪問能力（圖 4 的右側）。

圖 4：SASE 技術棧，基于身份和上下文的動態應用

其結果是動態創建基于策略的安全訪問服務邊緣，而不管請求這些能的實體所處位置以及它們請求訪問的網絡功能所處的位置。

不再將安全邊界隱藏在企業數據中心邊緣的硬件盒子中，而是在企業需要它的任何地方 —— 一個動態創建的、基于策略的安全訪問服務邊緣。

此外，給定的實體將同時需要多個安全的連接。例如，用戶可能同時擁有：

• 到 Office 365 的連接無需被深度檢查，但會選擇延遲最低的的線路。

• 到 Facebook 的連接，會對其中的聊天會話進行敏感數據的安全檢查，但延時不是衡量的因素之一。

• 到 Salesfore 的會話，會對其進行敏感數據和惡意軟件的檢查。

• 到數據中心的企業私有應用的連接，會對其進行監控。

• 到用戶的個人網上銀行應用的連接，不會進行任何監控。

企業邊界不再是一個位置；它是一組動態的邊緣功能，在需要時作為云服務提供。

對安全訪問而言，這些都是共同的基本需求的演變。不同的是，采用了實時網絡和實時的網絡安全策略。此外，在應用策略的情況下，無論實體正在訪問什么都會進行一致的應用的檢查功能（例如，檢查所有連接的內容來查找敏感數據和惡意軟件）。為了減少延遲，SASE 產品應該使用“單次通過”架構進行檢查。業務會話被打開（可能被解密）并使用多個策略引擎并行地檢查一次，最好是在內存中，而不是多個檢查引擎進行串行檢查。

最后，SASE 的新興領導者將采用“持續的適應性風險和信任評估（CARTA）”戰略方法（詳見 “Seven Imperatives to Adopt a CARTA Strategic Approach” 和注 2），確保對會話進行持續監測。通過保留在數據路徑中并使用嵌入的 UEBA 功能對該會話進行分析，以檢測過度風險的指標（例如，被竊取的憑證或內部威脅）。當分析用戶行為發現風險增加時，或者當設備可信度降低時，SASE 應該能提供自適應的響應（例如，需要用戶進行額外的認證)。

六、效益和用途

SASE 將使安全團隊能夠以一致和集成的方式提供一組豐富的安全網絡安全服務，從而支持數字化轉型、邊緣計算和員工移動性的需求。通過 SASE 將獲得以下的效益：

• 降低復雜度和成本。通過集成來自單個提供商的安全訪問服務，將減少供應商的總數量，減少分支中的物理和/或虛擬設備的數量，并且減少用戶終端設備上所需代理的數量。隨著更多的 SASE 服務被啟用，長期來看成本會降低。同時通過縮減供應商和技術堆棧也會節省費用。

• 激活新的數字化業務場景。SASE 服務將使企業的合作伙伴和承包商可以安全地訪問其應用、服務、API 和數據，而無需擔心暴露傳統架構中的虛擬專用網絡和 DMZ（非軍事區）而帶來的大量風險。

• 改善性能/延時。SASE 的領導廠家會通過全球部署的 POP 提供基于延時優化的路由。這對于延時敏感的業務非常關鍵，例如：協同、視頻、VoIP 和 WEB 會議。基于策略，用戶可以通過 SASE 提供商（及其對等連接合作伙伴）的高帶寬骨干路由。

• 用戶的易用性/透明度。如果正確實現，SASE 會把設備上所需代理的數量（或一個分支的客戶場所的 CPE 設備的數量）減少到單個代理或設備。它減少了代理和設備膨脹，應該自動應用訪問策略而不需要用戶交互。這為用戶提供了一致的訪問體驗，無論用戶在哪里、在訪問什么、以及位于何處。

• 得到改善的安全性。對于支持內容檢查（識別敏感數據和惡意軟件）的 SASE 供應商，可以檢查任何訪問會話并應用相同的策略集。舉例而言，無論是 salesforce、facebook，還是云托管應用中的敏感數據，無論用戶/設備位于何處，所應用的策略都是一致的。

• 較低的運營費用。隨著威脅的發展和新的檢查機制的需要，企業不再受到硬件容量和多年硬件刷新速率的限制，可以隨時增加新的功能。在基于云的 SASE 產品中，更新威脅和策略不需要在企業部署新的硬件或軟件，這樣會更快享受到新的服務。

• 啟用零信任網絡訪問。零信任網絡方法的原理之一是，網絡訪問基于用戶、設備和應用的身份，而不僅僅基于設備的 IP 地址或物理位置（詳見 “Zero Trust Is an Initial Step on the Roadmap to CARTA.”）。這種邏輯層面定義策略的轉換極大地簡化了策略管理。此外，假設網絡環境是惡意的，SASE 產品會提供整個會話端到端的加密和可選的 WAAP（WEB 應用和 API 保護）服務（詳見 “Defining Cloud Web Application and API Protection Services”）。SASE 供應商中的領導者會通過建立端點設備到最近 POP 節點的隧道，從而為用戶提供公共 Wi-Fi 網絡保護（咖啡店、機場等）。

• 提高網絡和網絡安全人員的效能。網絡安全專業人員可以專注于理解業務、法規和應用的訪問需求，并將這些需求映射到 SASE 功能，而不是陷入到基礎設施的常規配置任務中。

• 集中管理、本地生效的策略。SASE 具有基于云的集中管理策略，以及臨近實體的分布式執行點，還包括在需要時可用的本地決策點。例如，使用本地分支機構的 CPE 設備；使用托管設備上的本地代理軟件進行本地決策。

6.1 采用率

SASE 還處于發展的早期階段。正因為數字化轉型、SaaS 和其他云服務的驅動，越來越多辦公人員產生了分布式和移動的訪問需求，由此推動了相關的變革和需求。SASE 早期的主流形態會表現為 SD-WAN 供應商增加越來越多的網絡安全能力，以及云安全服務商增加 SWG、ZTNA、CASB 服務這些形式。

正如在 “Hype Cycle for Cloud Security, 2019,” 中所體現的，目前 SASE 還在 Hype Cycle 左側 20% 的位置（Innovation Trigger），還需要 5～10 年的時間發展為主流。

全面的 SASE 服務才剛剛出現，其采用率還不到 1%。然而，未來三年將為企業安全和風險管理領導者簡化其網絡安全架構提供重要的機會。

雖然 SASE 的大范圍采用將在今后幾年才會發生，但在將來的三年內將很快出現領導廠商，當前廠商都各自面臨不同挑戰。

七、風險

隨著 SASE 的出現和采用，安全和風險管理專業人員應考慮以下風險：

• 穩定的團隊、文化和政治。網絡和網絡安全體系架構通常是由不同的獨立團隊負責。即使在信息安全方面，SWG、CASB 和網絡安全設備的購買者也可能有所不同。不同的團隊可能會將 SASE 的采購視為“領地之爭”問題，或者一個團隊可能試圖控制 SASE 的采購并阻止其他團隊的參與。要解決這一問題，SASE 必須以速度、敏捷性和降低復雜度的名義，并成為 CISO 和 CIO 級別提供跨領域價值的命題。

• 足夠好可能不夠好。一些 SASE 產品是由以網絡為中心的供應商開發和交付，這些供應商是安全領域的新進入者。同樣，以安全為中心的提供商可能沒有領先的 WAN 邊緣解決方案所期望的完整的 SD-WAN 功能。因此這是一個獨立測試將發揮關鍵作用的領域，像 ICSA 實驗室和 NSS 實驗室這樣的組織需要將其評估對象擴展到云服務。

• 復雜度。對于試圖從不同的供應商和云產品中構建自己的 SASE 技術棧的企業來說，將其拼接在一起將導致管理和執行的不一致、性能低下和部署成本高昂。如果 SASE 產品由多個收購和/或合作伙伴的供應商組合在一起，也會出現類似的問題。

• 傳統的供應商沒有云原生的心態。以硬件為中心的網絡和網絡安全供應商將難以調整為云原生和基于云服務的交付模式。業務模式將會變得和 salesforce 類似，渠道激勵也將發生變化。以前銷售專用硬件的供應商可能會沿著阻力最小的商業路徑發展，并基于單租戶架構（每個客戶專用的虛擬設備）提供初級的 SASE 選項。

• 網絡和防火墻廠商缺乏代理服務器的經驗。SASE 的許多功能將使用代理模型來獲取介入數據路徑并為訪問提供保護。網絡和企業防火墻供應商缺乏在大規模分布式代理領域的相關專業知識，這可能會給 SASE 服務采購者帶來更高的成本和/或糟糕的性能。

• 需要投資來維持 POP 節點和網絡對等交換資源。SASE 的策略決策和執行需要在任何端點可能出現地方都提供支持。對于需要支撐員工移動辦公和分布式數字化生態的大型組織來說，這意味著需要提供世界范圍內的訪問。較小的 SASE 供應商將無法獲得維持足夠競爭力所需的投資，從而導致性能下降。SASE 產品如果只使用 IaaS 的因特網骨干能力但沒有本地 POP 和邊緣功能，會有延遲、性能風險，將導致最終用戶的不滿。

• 更換供應商。對一些企業來說，向 SASE 轉型將需要更換供應商，從而對工作人員進行再培訓，發展新技能，并學習新的管理和政策定義控制臺。

• 缺乏數據上下文。許多以網絡為中心的供應商的解決方案對數據的上下文理解不足，無法判斷內容是敏感的還是惡意的。數據上下文對于制定訪問策略、理解風險和確定風險優先級以及相應地調整訪問策略至關重要。不具備上下文感知能力的供應商在做出豐富的上下文感知自適應 SASE 決策的能力方面將受到限制。

• 投資領先的云提供商 API 檢查能力。因為很多用戶終端都需要連接到 SaaS 的訪問，SASE 供應商需要理解其數據上下文。這種上下文的檢測不能完全基于在線的流量監測。因為這種對用戶終端的在線流量監測將無法覆蓋合作伙伴上傳/分享的數據，以及云之間的數據交換。API 監測是一項非常關鍵的能力，這項能力在 CASB 的魔力象限中是最基礎的能力要求（詳見 “Magic Quadrant for Cloud Access Security Brokers”）。然而，有一些 SWG 供應商、聚焦于網絡的供應商還不具備這方面的專業知識。

• SASE 領導廠商的要求部署代理。為了與基于前向代理的體系架構集成，并處理一些遺留的應用程序協議，將需要一個本地代理（例如，SWG、用于舊應用程序的 ZTNA、本地 Wi-Fi 保護和本地設備安全態勢評估）。此外，SASE 供應商使用本地代理獲得更多的設備上下文。但是，如果必須使用多個代理來支持訪問，則代理會增加企業 SASE 部署的復雜度。本地代理需要與現有端點保護平臺（EPP）和統一端點管理（UEM）代理集成。（詳見 “The Long-Term Evolution of Endpoints Will Reshape Enterprise Security.”）更近一步來說，如果 SASE 供應商在開發最終用戶設備代理方面專業知識有限，則穩定性和可管理性可能是問題或平臺支持可能受到限制。

• 費用過高和 SASE 市場震蕩。SASE 市場在未來五年將經歷重大變化，預計將進一步整合和收購。由于這個市場還在早期階段，我們推薦簽署 1～2 年的合同，并且在合同中包含適當的收購保護條款。隨著市場的鞏固并開始有利于大型供應商的規模經濟，整個 SASE 市場將會面臨下調定價的壓力。此外，它還將從基于帶寬的 WAN 邊緣/ SD-WAN 模型轉向基于訂閱的模型，并根據所應用的檢查類型進行定價。

八、評價因素

在評估特定的 SASE 功能（SD-WAN、SWG、CASB、FW 等）時，我們提供 Gartner 的推薦閱讀材料中會包含相關的市場指南和魔力象限材料的鏈接。為了本研究的目的，我們將重點研究 SASE 特定的評價標準：

• 提供的 SASE 服務的廣度。并不是每個供應商都能力提供所有的功能。一些供應商將從以網絡為中心的功能開始，另一些將從以安全為中心的功能開始。新興的 SASE 的領導者應當提供圖 3 中大部分或全部服務。

• SASE 策略決策點的位置。大多數 SASE 的決策都可以且應該是基于云的交付和管理模型的。然而，還是會有一些決策是需要依賴端點本地 —— 為實現（設備）基于策略的訪問需要本地代理，在 QoS 和分支機構路徑選擇場景需要物理/虛擬化硬件。但是，這些都應該被基于云的服務集中管理。領先的 SASE 架構需要基于云的策略決策引擎，該引擎可以使用 CPE 輕分支/重 SASE 的云模型應用于基于云或本地策略執行點（參見圖 5）。

圖 5：從傳統的重分支遷移到云為核心的輕分支/重 SASE 模型

• SASE 管理/控制平面的位置。即使使用代理和 CPE 形式的本地執行點，SASE 管理控制臺也應該以基于云的服務方式來交付。應該對策略進行云管理，并將其分發到本地的執行點。

• 架構。SASE 的架構非常重要。理想情況下，該產品是基于云的，內置微服務，可根據需要進行擴展。為了最大限度地減少延遲，數據包應復制到內存中，并對其進行處理并轉發/阻止，而不是從虛擬機（VM）傳遞到虛擬機（VM），也不應該是從云傳遞到云。軟件技術棧應該沒有特定的硬件依賴性，并且在需要時實例化，以將基于風險的和基于策略的能力傳遞給端點身份。

• 用戶側 CPE 部署選項。現場（物理或虛擬） CPE 設備仍然是需要的，但應該使用基于云的管理和配置模型。這類 CPE 設備的設計模式應該是交鑰匙的黑盒子，開機然后就可以把它給忘了。作為評估的一部分，會評估供應商的架構，以確保 CPE 的生命周期內可以提供更新和報廢。一些企業將更喜歡使用 SASE 的 CPE 硬件。硬件應該是具有用于安全引導和秘密保護（例如加密密鑰和證書）的體系架構的商品，其不可能具有虛擬設備形式因素。

• 租賃模式。云原生的 SASE 架構總是會使用多租戶和多客戶共享的底層數據平面。有一些供應商會堅持使用每個用戶使用獨立的實例。企業用戶也許不會也不感興趣知道自己使用的是哪個實例，但架構會影響到 SASE 供應商的擴展能力。單一租賃通常會導致更低的密度，而成本可能會給企業帶來更高的成本。然而，也有一些企業更傾向于對單一租賃模式進行更強的隔離。

• POP 節點和對等連接的地點和數量。在 SASE 場景中，對于某些應用來說延遲是重要的。SASE 解決方案應提供 POP 與數字化企業的訪問延遲和數據駐留要求相一致的業務對等連接的組合。這對于本地化最終用戶體驗也是至關重要的。企業流量很少穿越公共互聯網。相反，互聯網被用于縮短連接 SASE 網絡的條數。在 SASE 網絡中進行基于策略的檢查，并且通過使用快速路徑路由和對等連接來優化以獲得最佳性能。此外，SASE 供應商必須能夠顯示處理分布式拒絕服務（DDoS）攻擊的能力，因為攻擊平面會移動到 SASE 供應商。

• 使用 IaaS 的通用計算進行非延遲敏感操作。一些 SASE 供應商將使用帶有互聯網邊緣和 POP 節點的混合模型進行低延遲的在線檢查，并使用商業化的計算資源（CPU/GPU）和 IaaS 供應商提供的存儲進行低延遲敏感操作，例如：網絡沙箱、遠程瀏覽器隔離、審計日志存儲和分析。

• 大范圍進行加密流量的監測。SASE 廠商必須具備提供大范圍在線加密流量監測的能力（解密及后續再加密），理想情況下應該是云交付，而不使用專有硬件。必須支持 TLS 的最新版本。

• 一次通過掃描。應該打開給定會話的流量并對嵌入的內容進行一次且僅一次的并檢查。一旦解密，多個掃描和策略引擎可以以擴展的方式并行運行，理想情況下無需通過服務鏈串接檢查服務。例如，應該一次內容檢查就完成對敏感數據和惡意軟件的檢查。

• 可選的流量重定向、檢查和日志記錄能力。全球范圍內對數據隱私的監管要求（例如，通用數據保護法規 GDPR）的增加，將為 SASE 帶來基于策略進行流量處理的企業需求，這將用于檢查、路由和記錄特定地理轄區的流量。

• 支持 IoT/邊緣計算的場景。對于 SASE 而言，IoT 邊緣計算平臺只是需要支持的另一個端點身份。關鍵的區別將是假設邊緣計算位置將具有間歇性連通性和對系統的物理攻擊的風險。因此，SASE 的架構應支持離線決策（例如，緩存訪問策略），并對數據和秘密進行本地保護。由于 IoT 和邊緣設備可能不支持代理，所以可能需要本地 SASE 網關或 CPE 設備。遠程設備的網絡訪問控制是一項增值服務。

• 威脅防護。這方面的例子包括使用惡意軟件和內容的沙箱來檢測會話上下文。在公共的 Wi-Fi 網絡中，SASE 解決方案需要提供基于 DNS 的保護服務，建立到本地 POP 節點的加密會話，避免被監聽。如果用戶正在處理的內容表示風險，則可以采取自適應行動（例如，隔離內容或阻止下載）。更多的高級威脅防護服務往往需要額外的費用（見注 3）。

• 能夠識別敏感數據并適應。SASE 產品應理解正在訪問的數據/應用程序的上下文，并且當檢測到過度風險時，能夠采取自適應操作（例如，阻止敏感數據的上載/下載）。關鍵的評價標準將是如何定義敏感數據的策略豐富度。為了了解云的敏感數據，使用 API 來檢查數據對于理解數據上下文至關重要，并在數據離開云之前應用有用的策略（例如：加密或水印）。

• 用戶隱私。SASE 供應商應根據政策提供不檢查流量的選項（例如，GDPR、HIPAA 和類似的個人隱私保護條例）。此非檢查策略可以與遠程瀏覽器隔離相結合，以進一步將會話與企業系統和日志隔離開來。

• 支持代理。需要支持最終用戶使用的終端設備包括 Windows、Mac 和特定版本的 Linux 發行版。Android 和 iOS 為基礎的設備未來也需要能夠支持。近一步來說，無論是使用 SASE 供應商還是使用 UEM 供應商的終端代理，SASE 交付都必須能夠收集設備的上下文（例如：健康度、狀態、行為等這類信息）來改善安全訪問的決策（詳見 “Magic Quadrant for Unified Endpoint Management Tools”）。

• 管理不受控的設備。企業往往很難做到 100% 強制使用代理，特別是在他們不擁有或無法控制的系統上。輕量級移動應用程序或瀏覽器插件可以用于增加可見性（詳見 “Market Guide for Mobile Threat Defense”）。或者，不受控的設備應該支持反向代理或被重定向到遠程瀏覽器隔離服務（實質上創建托管會話，其中策略可在非受控端點上應用）。

• 可選的精細的可見性和詳細的日志記錄。SASE 交付應在訪問應用程序和服務時提供對用戶進行細顆粒的活動監控（最好在使用 ZTNA 保護時將此可見性應用于企業應用程序）。會話中的所有活動都應該記錄下來，這就要求 SASE 產品能夠按比例創建和管理分布式日志，并根據策略將用戶和設備的日志保存在客戶的首選地理位置。

• 在會話中監測行為。在 Gartner 的 CARTA 戰略方法指引下，SASE 會話代理應該使用內嵌的 UEBA 進行過度的風險和異常的持續監測。如果檢測到過度風險，應至少提供提高警報的能力。與企業安全信息和事件管理（SIEM）工具的集成應該是標準功能。

• 基于角色管理控制臺和面板。最終，安全架構師、網絡運營經理或 CISO 可能希望獲得所有安全訪問會話的快照視圖。SASE 提供商應提供基于角色的、可定制的風險控制面板/熱圖，以了解特定角色，以獲得整體網絡性能（對于網絡運行）的可見性和云風險及安全態勢（用于安全運行）的可見性。

• 收費模型。 WAN 邊緣/ SD-WAN 產品通常根據帶寬計費。然而，CASB、SWG 和遠程瀏覽器隔離往往是按照每用戶、每年來計費。由于 SASE 同時包含了多種服務，SASE 供應商將在逐步淘汰基于帶寬的定價模式。大多數模型將基于受保護的實體數量進行計費 —— 不論是獨立實體（設備、用戶、應用程序、系統）還是聚合實體（分支辦公室/IoT 和邊緣位置）。

九、SASE 替代品

當前使用硬件為基礎的分支解決方案。這是當今大多數企業采用的一種受限的模型，這是由于訪問模式的改變以及硬件為中心的設備的剛性和高成本所造成的，這些設備都帶有插件硬件刀片，用于特定的網絡安全功能。檢查受到本地計算能力和硬件刷新周期的限制，基于硬件的形式因素，使得在支持數字化企業的流量模式方面效率低下。基于軟件的分支機構。通過使用基于軟件的刀片方法到內部分支 CPE，具有一組合作伙伴的供應商可以提供圖 3 中的許多服務。或者，當需要時（例如：為了安全檢查），CPE 可以調用基于云的服務。雖然云管理和云交付的分支機構可以提供 SASE，但分支機構只是一個要解決的邊緣服務交付問題。此外，該方法仍然存在多個服務、控制臺和策略的問題，這些服務、控制臺和策略被縫合在一起，以構建完整的產品組合。通過服務鏈自己構建 SASE 。一些企業將嘗試通過服務鏈接多個不同提供商的產品并使用多個端點代理，并把將 SASE 相關的功能集合在一起，構建自己的 SASE。這種方法具有難以管理的復雜性、高成本和高延遲。采用較新的加密標準，如 TLS1.3 將使服務鏈接檢查變得困難。SD-WAN 來自一個服務商，而網絡安全服務來自于另一個廠商。一些企業將采用的另一種方法是將“連接”的基礎設施與圖 1 所示的“安全”的基礎設施分開，但兩者都轉移到基于云的服務。這具有解決組織政治的優勢，但與使用單一的 SASE 提供商相比，具有更高的復雜性和成本。運營商編排的服務鏈。企業的另一種選擇將是轉向在網絡、網絡安全或運營商方面占主導地位的運營商，并讓供應商代表客戶執行所需的服務鏈接。使用服務鏈接和網絡功能虛擬化，主要的運營商可以成為代理或總承包商，負責將不同的服務拼接在一起。多個供應商的管理控制臺（誰管理和控制這些控制臺）和不同的策略框架的問題使這一戰略復雜化。

十、建議

SASE 將對網絡和網絡安全體系結構造成破壞，就像 IaaS 對數據中心設計的體系架構的影響一樣。SASE 為安全和風險管理專業人員提供了在未來十年內徹底重新思考和重新設計網絡和網絡安全體系架構的機會。業務數字化轉型、采用云計算和越來越多地采用邊緣計算平臺這都將需要 SASE。盡管 SASE 剛剛出現，但今天安全和風險管理專業人員可以采取一些具體措施：

• 現在參與 SD-WAN 架構和規劃會議。在可能的情況下，利用將網絡安全服務作為架構的一部分的機會：

  • 在企業 SD-WAN 評估中包括網絡安全提供者。例如，Barracuda、Cisco、Forcepoint 和 Fortinet 都是著名的安全供應商，它們都提供有競爭力的 SD-WAN 服務（詳見 “Magic Quadrant for WAN Edge Infrastructure”）。

  • 要求 SASE 供應商提供第三方測試 SD-WAN 能力和安全功能的證據，理想情況下使用已知的信譽良好且獨立的測試公司。

• 評估 ZTNA 作為一個立即采取 SASE 解決方案和應用零信任概念的機會（詳見 “Market Guide for Zero Trust Network Access”）。可從特定的支持數字化業務的項目開始，例如對合作伙伴或承包商使用的非托管設備的精確標識和應用程序感知訪問。

• 現在評估 SASE 服務合并降低復雜度的短期機會；例如，隨著這些合同的續簽，CASB、SWG、ZTNA、虛擬專用網絡 和遠程瀏覽器隔離功能之間的部分或完全合并。

• 避免將 SASE 產品拼接在一起。一個大供應商可能擁有收購或合作伙伴中所有的 SASE 元素。但是，要仔細評估服務的集成及其作為單個控制臺和設置策略的單一方法進行編排的能力。

• 讓您的 CISO 和首席網絡架構師參與評估現有供應商和新興供應商的產品和路線圖，因為向 SASE 的技術過渡跨越了傳統的組織邊界，設備部署可能會帶來團隊成員抵制。

• 和 SASE 供應商簽訂最長期限為 1～2 年的短期合同，因為許可模式還在不斷調整。SASE 供應商最好能在在所有產品中提供基于身份/實體的訂閱許可（而不是基于帶寬）。

十一、代表性的供應商

由于 SASE 市場還正在出現，盡管有幾個供應商擁有大多數必需的功能，但目前沒有單一供應商提供整個 SASE 的產品組合。到2020年年底，我們預計幾個供應商將提供完整的產品組合。因為這個市場跨越了以前不同的市場，涉及到能力交付方式的轉變，所以不可能包括一個全面的列表。因此，這個列表包括了不同類別的具有代表性的供應商，我們預計這些供應商將競爭提供 SASE：

• Akamai

• Cato Networks

• Cisco

• Cloudflare

• Forcepoint

• Fortinet

• McAfee

• Netskope

• Palo Alto Networks

• Proofpoint

• Symantec

• Versa

• VMware

• Zscaler

在 SASE 市場中，主要的 IaaS 提供商（AWS、Azure和GCP）還沒有競爭力。我們期望在未來五年中，至少有一個將移動到圖3所示的Sase的大多數市場要求，因為它們都擴展了它們的邊緣-網絡存在和安全能力。

注 1：SASE 組件

• 核心組件： SD-WAN、SWG、CASB、ZTNA、FWaaS所有這些都具有識別敏感數據/惡意軟件的能力，并且能夠以在線速度對內容進行加密/解密，同時持續監控風險/信任級別的會話。

• 推薦能力：WEB 應用程序和 API 保護、遠程瀏覽器隔離、遞歸 DNS、網絡沙箱、基于 API 的數據上下文訪問 SaaS，以及對托管和非托管設備的支持。

• 可選能力：Wi-Fi 熱點保護、網絡混淆/分散、傳統虛擬專用網絡和邊緣計算防護（脫機/緩存保護）。

注 2：CARTA

持續適應性風險和信任評估是信息安全演變的戰略框架，組織的網絡安全態勢不斷調整，風險優化到預期水平。這是通過持續評估所有數字實體、它們的屬性、它們的配置、它們的環境和它們的行為來實現的，以確定開發和生產中的相對風險和信任水平。當風險太高，或者信任太低時，安全基礎設施（以及由此產生的安全態勢）就會適應以達到預期的風險水平。

注 3：高級威脅防護

預計 SASE 供應商將提供高級威脅防護解決方案。一個例子是遠程瀏覽器隔離，另一個例子是網絡隱私保護（也稱為網絡隱私作為服務）和流量分散。這樣做的目的是通過隱藏底層 IP 地址和可選地將流量分散到多個不同加密的流中，從而很難找到企業系統，從而使攻擊者更難竊聽。