SASE的規范定義包括五個功能，其中四個提供安全性，第五個提供網絡連接，這里的網絡部分通常使用SD-WAN實現，但并不一定就是SD-WAN。例如，如果企業不注重遠程辦公并且其遠程位置有足夠的 MPLS 覆蓋，那么就可以在沒有 SD-WAN 的情況下應用 SASE 的安全功能。Forrester的SASE替代方案零信任邊緣模型的一個優勢就是它沒有將遠程安全與SD-WAN合并，而是強調SASE的安全元素。

[[439688]]

SD-WAN 和 SASE 不應被視為相互替代的關系，而應該被認為是互補的，且在很大程度上擁有獨立的功能，這些功能結合起來可以創建高度可靠、可擴展、高性能和安全的遠程連接解決方案。SD-WAN通過網絡、內容和身份安全服務為SASE的構建提供了網絡基礎。

SD-WAN是將SDN技術應用到廣域網中，將網絡控制從傳輸數據中分離出來。通過在物理和邏輯網絡之間插入抽象層，SD-WAN 平臺可以將多個物理鏈路組合成一個虛擬網絡，并對每個虛擬網絡上的數據包流進行微管理，以提高聚合和應用性能、可用性和安全性。

SD-WAN能夠交付SDP架構，將underlay和overlay結合到一個基于云的解決方案中。 SD-WAN 適用于任何類型的有線或無線 Internet 連接，并根據網絡擁塞和質量提供信道綁定、冗余、負載平衡和動態路徑選擇。 并且，SD-WAN也提供安全性(SASE的簇擁者常常以安全性來抬高自己)。實際上，SD-WAN 最初的賣點是它在任何物理網絡鏈路上提供企業級安全性(相當于 MPLS)。SD-WAN 的另一個優勢是控制面與數據面分離，能夠集中管理網絡和端點配置、管理、流量策略和監控。

典型的 SD-WAN 安全功能包括：

1) 使用 DTLS(使用 AES-GCM 證書交換和身份驗證)或 IPSec(使用 IKE 密鑰交換)進行鏈路加密。

2) 遠程設備 (CPE) 的零接觸自動配置，以確保安全的初始設置。

3) 支持在鏈路拓撲中插入虛擬網絡服務 (VNF)，例如 NGFW 、內容過濾器。

4) 網絡微分段使用虛擬網絡和防火墻按應用程序、安全級別或其他標準劃分廣域網流量。微分段還允許 SD-WAN 使用特定于用戶、組和應用程序的路由/防火墻規則實施簡單的內容控制策略。

資料來源：Palo Alto Networks; The CloudBlades Platform

總之，SD-WAN 提供了滿足企業需求的網絡安全基礎，并且遠遠超出了傳統客戶端或站點虛擬專用網提供的功能。

SASE建立在網絡基礎上，如果SD-WAN實現了遠程工作和WFH的擴散，那么SASE可以被看作是通過一套網絡、數據和用戶安全功能來支持它。與其把SASE看作是SD-WAN的創新替代品，不如把它看作是在SD-WAN基礎之上分層安全性的演進改進。有的供應商聲稱SD-WAN只提供網絡連接，需要SASE來提供邊緣網絡安全，這要么是故意過度簡化，要么就是一味地為了營銷SASE。

SASE 為 SD-WAN 添加了四個安全功能：

1) 下一代防火墻即服務 (FWaaS) ：目前已經通過NFV和虛擬防火墻設備被許多SD WAN用戶所整合。

2) SWG (Secure Web Gateway)：用于監控和過濾Web流量。

3) 云訪問安全代理 (CASB) ：通過提供應用級網絡可見性和策略實施來擴展 SWG。

4) 零信任網絡訪問 (ZTNA) ：使用基于發起設備、發起用戶和目標應用或服務的細粒度策略，使用特定于應用和會話的身份驗證，取代了使用客戶端虛擬專用網絡的訪問安全性。ZTNA 是對傳統遠程訪問安全性的最大改變，它需要提供用戶和設備憑據(通?；谧C書)、證書頒發機構 (CA)、SSO 服務和設備訪問代理。

盡管打包云服務可能是大多數情況下最好的 SASE 交付工具，但這不是必需的。一些組織可能會選擇運營私有 SASE 基礎設施，或與提供SASE作為其網絡基礎設施一部分的MSP簽訂合同。事實上，創造了“SASE”一詞的 Gartner 認為，基于云的 SASE 的采用正在緩慢增長。

Gartner 表示，到2024年，30%的企業將采用來自同一供應商的云交付SWG、CASB、ZTNA和分支機構防火墻即服務(FWaaS)能力，而2020年這一比例不到5%。為了滿足用戶對安全的要求，越來越多地采用SASE組件。

云交付并非 SASE 獨有

一些供應商將 SASE 與云交付混為一談，從而來宣揚所謂的“獨特優勢”，以及營造一種SD-WAN已經“過時 ”的假象。

當供應商錯誤地宣稱SASE是唯一的基于云的網絡服務時，問題就來了。盡管云托管是我們首選的 SASE 運營模式，但它不是必需的，并且一些產品支持云、本地或混合部署。

邊緣網絡和安全的云服務交付在大多數企業SaaS使用爆炸式增長的時代最有意義，在線應用程序取代了本地軟件，但云交付不是唯一的選擇。舉例來看，在以SaaS為中心、有大量WFH員工的企業環境中，將安全性強制集中到數據中心設備上既昂貴又低效。

云部署不僅限于 SASE，它也是交付基本SD-WAN服務的一種有效方式。事實上，像Aryaka、Adaptiv Networks(前身為TeloIP)、Masergy等NaaS供應商早就通過將控制平面集中在云基礎設施上，并使用私有核心網和全球分布的POP，提供SD-WAN即服務。

這又帶來了另一個問題，有供應商宣稱SASE是“基于設備的架構”，需要“專有設備來增加安全性和遠程支持”。實際情況是，任何基于 SD-WAN 的遠程訪問解決方案都需要某種形式的 CPE 來終止兩條或多條物理鏈路，為遠程 LAN 提供 L2/L3 連接，并執行控制平面決策，將流量引導至最佳物理鏈路。將 SD-WAN CPE(通常是小型低功耗設備)與功能齊全的分支機構路由器(如Cisco ISR或Juniper SRX)混為一談是完全錯誤的。

競爭 vs. 互補

SASE 不是 SD-WAN 的繼任者，而是它的隊友，為軟件定義的 WAN 基礎添加安全功能。同時每個也都可以獨立使用：SD-WAN 不需要 SASE，SASE 功能也可以在傳統網絡上使用。同樣的，SD-WAN 和 SASE 都可以部署在任何 VM 或容器環境中，無論是作為云服務 (NaaS)、云 IaaS還是混合部署。

SASE優勢在于它為組織提供了一個完整的、集成的安全組合，覆蓋了大多數情況，并消除了將單點產品拼湊在一起的問題。不過也有很多組織更愿意逐步地、增量地引入新的應用或服務。在這樣的情況下，SD-WAN 更適合企業變更管理，因為它允許根據需要在 WAN 中整合NGFW、WAF和SWG等基本功能。

SASE的大部分重要安全性改進(即零信任身份驗證模型)需要時間來引入。因此，大部分組織傾向于將更容易部署的NGFW、SWG等 SASE 功能作為 SD-WAN 的增量添加，同時有選擇地為高風險/高價值應用和用戶引入 ZTNA。

與其讓 SASE 和 SD-WAN 相互競爭，不如將它們視為互補功能。