Gartner的定義指出，SASE應將安全性內置為網絡的一部分，并以云服務的方式提供，但是這可能并不適合所有企業。

根據企業的需求，將SASE作為托管服務包或是內置在云托管的私有安全基礎設施架構中交付可能更有意義。這兩種方案都可以實現同樣的目的。

了解SASE選項設置

在過去的40年時間里，WAN架構基本上沒有什么大的變化。SD-WAN雖然向前邁進了一大步，提高了網絡效率，但是并未從根本上發生改變。作為廣域網（WAN）轉型的下一形態，SASE針對云計算、移動性等發展趨勢進行了專門的優化。

SD-WAN的出現也帶來了新的安全挑戰。例如，SD-WAN簡化了為分支機構配置分離隧道的工作，員工不必通過公司WAN和數據中心就可以直接訪問云端。這樣雖然可以改善用戶體驗并提升網絡效率，但是同時也形成了嚴重的安全漏洞。

要想解決這一問題，一個解決辦法是在每個分支機構中都安裝防火墻，但是這種辦法費用較高，并且運維起來也很麻煩，因為讓數十個甚至數百個防火墻保持同步非常困難。

SASE解決這個問題的辦法是將安全功能集成到網絡上，讓其成為一種網絡服務。由于安全性和網絡管理是通過云完成的，因此管理員只需要修改一次就可以將其一次性推送到所有地方。

將安全性和網絡功能集成到網絡上不僅升級了網絡，還可以實現對WAN的改造。包括SD-WAN在內的傳統WAN可連接并保護分支機構和公司。SASE還可以讓企業連接遠程辦公人員、物聯網終端以及所有需要連接的設備。

對于企業來說，重要的是要了解SASE的使用方法。

云原生SASE

根據Gartner的定義，所有網絡和安全服務均可通過云端獲得是云原生SASE的一個重點特征。唯一的本地基礎設施也是類似于家用路由器這樣的輕量級硬件設備，其作用是將連接定向至云節點。

部分SASE供應商近期發布了一些能夠讓計算機和物聯網終端直接連接至云端的客戶端，用戶不需要購買額外的硬件。

這種方法的優點是，在任何地方，哪怕只有一臺設備也都具有企業級安全性和網絡服務。缺點是如果某個地方設備較多，那么SASE就會生成大量網絡流量，原因在于所有的安全檢查都是在云端完成的。云原生SASE最適合的應用場景是高度分布式的企業，例如保險公司和零售商。

可從云端管理的本地SASE

盡管目前云浪潮已經席卷全球，但是本地基礎設施仍然扮演著重要角色。由于是通過云端對SASE進行管理，因此每個地方都將擁有自己的路由器、防火墻、統一威脅管理（UTM）等安全設備。從云端管理對于成功至關重要，而云原生SASE恰好提供了易用性。

其最大的優勢是所有安全檢查都在本地完成，這大大提高了大型站點的性能。明顯的不足是公司要為所有的地方都提供硬件，從而導致成本大幅增長。

這種方法的另一個優勢是可以讓原來的一些投資不至于浪費。如果公司最近才購買了一些本地基礎設施，那么公司顯然不會輕易閑置這些設施。云托管可讓公司繼續使用那些相對較新的路由器、防火墻等設備。

云托管的本地SASE非常適合那些大量員工集中某一處的企業，例如制造企業和醫療機構。此外，那些喜歡DIY模式的公司可能會更偏好這種方法。

托管SASE

盡管SASE具有許多優勢，但是它們也確實增加了WAN的復雜性。例如，網絡工程師需要考慮在何處使用分離隧道，辦公室之間的網絡層級，如何設置安全性，創建用戶配置文件等諸多因素。老的WAN雖然效率不高，但是勝在網絡工程師需要考慮的東西也不多。

盡管SASE可使得公司能夠通過網絡做更多的工作，但是同時也將復雜性提高到一個新的高度，許多公司根本無法解決。托管SASE的優勢是允許經驗豐富的第三方配置和運行網絡。

缺點是公司會失去控制權。托管服務提供商的一個新趨勢是提供聯合托管服務，即公司可以只執行自己擅長的任務，將其他的任務交給托管服務提供商。對于那些希望快速遷移至SASE同時風險承受能力強的公司來說，他們可以考慮一下托管服務。

混合部署也是一種選項

大多數的大型企業都可能會選擇混合部署，即混合使用云原生SASE和本地SASE。一家全球性律師事務所就是一個很好的例子，這家事務所會在每個國家設立一、二個辦事處，每個辦事處都有數百名員工。事務所可以在實體辦公室使用本地基礎設施，同時又通過云原生服務將在家遠程辦公的員工連接在一起。另一個例子是制造企業，其將本地基礎設施用于大型設備，將云服務用于連接自動化機器人。

SASE的部署策略

快速轉向SASE的一條捷徑是將目前的基礎設施交由設備廠商的云托管工具進行托管。早些年前的產品可能會提供這種選項，即便現在的客戶可能已經不再使用了。這些工具可以確保將策略和配置參數能夠便捷地從傳統WAN遷移到SASE上。

如果選擇云原生SASE，那么公司應查看一下供應商是否提供了云托管的本地基礎設施選項。隨著公司辦公地點的不斷增加，這一點變得尤為重要。

在剛開始部署時，公司可能會因為有許多小的辦公地點，更偏向于選擇云解決方案。但是隨著時間的發展，辦公地點的規模可能會出現增長，網絡負載的增加可能會引發許多問題。為此公司會希望改用云托管的本地基礎設施。理想狀態下，供應商會提供一個過渡計劃，以便在不中斷運營的情況下實現調整。

另一個關鍵考慮因素是安全性。盡管一些小型的SASE供應商也會擁有自己的安全堆棧，但是客戶可能更愿意選擇知名的供應商。目前許多SD-WAN供應商已開始與頂級安全公司合作，以完善其SASE功能。對此，客戶在做出選擇前了解清楚安全供應商的情況，以確保他們選擇的SASE安全供應商能夠與自己順利融合。

此外，盡管Gartner的定義中沒有提到，但是企業還應確保所選定的SASE提供商能夠提供帶有可見性和分析功能的多功能儀表板。網絡不是靜態的，它們也會隨著公司發展而不斷演進。這就要求它們在網絡流量模式、用戶密度、安全策略等方面具有端到端可見性。

SASE供應商需要提供這些信息，方便客戶被及時通知以及在需要時進行調整。即便用戶選擇了托管服務，托管服務提供商也需要提供關于環境方面的可見性。像俗話說的那樣，我們將無法管理或保護看不見的內容，但用戶在使用SASE時能夠了解全面的信息至關重要。

本文作者Zeus Kerravala為市場研究公司ZK Research的創始人兼首席分析師。

編譯：陳琳華

原文網址 https://www.networkworld.com/article/3568630/how-to-tailor-sase-to-your-enterprise.html