當 Gartner 在 2019 年發布“網絡安全的未來在云端”時，他們做了兩件事。首先，他們準確地識別并描述了未來十年企業網絡和安全架構的發展方向。其次，為了描述這種新方法，他們創造了當時最流行的 IT 流行語之一：SASE 是“Secure Access Service Edge”的縮寫。

由于圍繞 SASE 的所有討論，許多“ SASE 供應商”都在營銷具有 SASE 特征的解決方案。然而，在實現 SASE 對整體和融合網絡安全解決方案的承諾時，這些解決方案中的大多數都沒有達到目標。在這里，我們將看看什么不是 SASE，以幫助確定 SASE 供應商應該為企業提供什么價值。

SD-WAN 不是 SASE

在某些情況下，SASE 被視為下一代SD-WAN。從為網絡基礎設施帶來敏捷性和融合的角度來看，進行比較的原因是可以理解的。事實上，優化路由流量和抽象出底層物理介質的能力是 SASE 的重要組成部分。
然而，SD-WAN 本身只是 SASE 供應商應該提供的更廣泛解決方案的一部分。此外，并非所有 SD-WAN 實施都是一樣的。例如，SASE 旨在支持所有網絡邊緣（WAN、邊緣計算、云計算和移動），但對于許多 SD-WAN 設備，移動支持是缺乏或不存在的。

基于云的安全性不是 SASE

與 SD-WAN 一樣，有許多安全功能是 SASE 解決方案的重要組成部分。示例包括 IPS（入侵防御系統）、NGFW（下一代防火墻）和 SWG（安全 Web 網關）。

由于身份驅動的安全性和云原生架構是 SASE 的關鍵特征，因此人們可能很容易接受功能豐富的基于云的防火墻可以作為實現 SASE 的方法的想法。然而，在實踐中，這并不是很好。安全性只是 SASE 架構的一半，僅基于云的防火墻和 IPS 無法幫助在全球范圍內進行路由和 WAN 優化。

同樣，與 SD-WAN 一樣，這些技術的優勢使它們成為 SASE 的重要組成部分，但即使捆綁在一起，它們本身也不屬于 SASE。

多個不同的設備拼接在一起不是 SASE

支持敏捷高效路由的 SD-WAN 功能是 SASE 的重要組成部分。同樣，IPS、SWG 和 NGFW 等安全功能也是 SASE 的重要組成部分。然而，簡單地部署來自“SASE 供應商”的設備和解決方案，這些設備和解決方案勾選了 SASE 功能集的所有復選框，并不能兌現 SASE 的承諾。
這是因為創建拼湊而成的網絡和安全設備以及云解決方案根本無法提供單個融合解決方案可以提供的敏捷性、可見性、簡單性和性能。采購、部署、管理和集成多種產品不僅會增加成本，還會增加網絡的復雜性。因此，在紙面上看起來不錯的拼湊解決方案往往會造成大規模的運營瓶頸和安全疏忽。雖然有些人可能會主張將復雜性轉移給服務提供商，但這并不能解決根本問題，而且通常會導致更高的成本以獲得次優性能。

邊緣設備上的虛擬設備不是 SASE

在邊緣設備上運行虛擬設備可減少硬件占用空間，但對運營成本影響不大。設備仍然需要部署、集成、升級、部署和維護。底層的孤島和復雜性不會消失。真正的 SASE 平臺消除了設備外形因素。功能作為多租戶、云原生平臺交付。SASE 提供商為所有客戶的利益管理和維護底層平臺。企業和供應商都不會承擔管理設備的運營開銷。

SASE 究竟是什么？

SASE 是關于網絡和安全性的融合，以提高性能、簡化操作復雜性并增強全球范圍內的安全態勢。為了滿足這些標準，真正的 SASE 解決方案需要具備以下特征：

• 支持所有邊緣。必須在不犧牲性能或功能的情況下支持移動、云、WAN 和邊緣位置。許多虛擬和物理設備都難以滿足這一標準。這是因為安全設備通常固有地綁定到特定位置。
• 身份驅動的安全性。SASE 安全模型是圍繞資源的粒度識別構建的。SASE 要求每個應用程序、每個人和每個設備都可以被計算在內，并且可以深入分析數據流。這樣做可以實現全網絡可見性和上下文感知，以幫助減輕威脅。
• 云原生架構。為了簡化管理復雜性并提供彈性、彈性和自我維護，使 SASE 為企業提供高性能和可擴展性，多租戶云原生架構是必須的。
• 全球分布式網絡連接。全球分布式云平臺確保無論企業網絡邊緣位于何處，SASE 的所有功能都可用。這意味著 SASE PoP（存在點）需要超越公共云數據中心，并確保所有 WAN 端點的低延遲連接。

真正的 SASE 供應商明白融合是關鍵

這里的基本要點是：SASE 不僅僅是一個強大的網絡和安全功能集，它是關于融合該功能集以提高性能和安全性，同時降低復雜性和成本。