白皮书由云安全联盟大中华区(CSA GCR)发布,旨在系统阐述SASE(安全访问服务边缘)的概念、技术、应用场景及发展趋势。SASE是Gartner于2019年提出的新兴服务模式,将广域网接入与网络安全能力融合,以云原生方式交付,帮助企业应对数字化转型中的动态安全访问需求。文档基于行业专家贡献,涵盖了SASE的核心框架、标准化建议及实践案例。
背景:随着云计算、物联网和5G技术的发展,企业业务部署环境多样化(如多云、边缘计算),访问端从内部用户扩展到分支、移动办公等,传统中心化安全架构(如VPN、防火墙)面临成本高、体验差、安全边界模糊等挑战。
定义:SASE是一种身份驱动的云原生服务,整合网络即服务(如SD-WAN、QoS)和安全即服务(如FWaaS、ZTNA),基于零信任原则,持续评估风险,实现全网流量的可见性和控制。
核心特点:
身份驱动:以实体(人员、设备等)身份为中心进行访问控制。
云原生:弹性可扩展,以OpEx模式交付。
全边缘覆盖:支持全球分布式接入点(PoP),确保低延迟。
统一管理:通过控制中心实现策略编排和监控。
边缘计算将计算能力下沉到网络边缘,就近处理数据,减少云端传输延迟,提升响应速度和安全性。SASE利用边缘节点提供智能服务,适配数据不出园区等合规要求。
ZTNA颠覆“内部可信”的传统模型,基于身份和上下文动态授权访问。
两种ZTNA模型:
客户端启动模型:由终端客户端发起连接,支持丰富终端信息采集,但需部署客户端。
服务端启动模型:由SDP连接器建立出站连接,无需客户端,但限于HTTP/HTTPS协议。
包括灵活组网(如SD-WAN)、智能选路、SaaS加速等服务,支持多链路冗余和统一监控。例如,SD-WAN可实现Hub-Spoke或Full-Mesh拓扑,降低专线成本。
安全能力以订阅模式提供,覆盖三大场景:
员工访问互联网:通过SWG、DLP等保护上网行为。
外部人员访问内部资源:结合应用安全(如漏洞扫描)和数据加密。
内部人员访问内部资源:基于零信任架构,实现动态策略控制。
需求:降低WAN成本、简化运维、满足合规(如《网络安全法》)。例如,酒店集团通过SASE替换专线,实现全网冗余和安全加固。
解决方案:利用SD-WAN和ZTNA,部署多PoP节点,确保业务连续性。
方案优势:
1. 网络架构优势
全网冗余设计:通过SD-WAN设备双机热备、多链路备份(互联网专线+4G/5G移动链路)以及多PoP点接入,实现设备、线路、节点的三重冗余保障,极大提升业务连续性。
智能流量调度:基于应用优先级和链路质量探测,自动将关键业务流量调度到最优路径,既保证用户体验,又有效利用互联网链路降低专线依赖。
2. 运维管理优势
集中控制平台:通过统一控制器实现"零配置"下发,支持邮件、手机等快捷开局方式,新网点部署无需专业技术人员现场支持,极大简化分支扩展流程。
可视化运维:提供全网状态监控、故障快速定位等功能,通过集中管理界面实时掌握各网点运行状态,显著降低运维复杂度。
3. 安全合规优势
统一安全策略:在云端PoP节点集成ZTNA、FWaaS等安全能力,实现所有网点的统一安全策略管理和审计,确保符合《网络安全法》《数据安全法》等法规要求。
成本优化优势:通过互联网接入替代传统专线,避免"最后一公里"线路铺设,大幅降低网络建设和维护成本,同时加快新业务上线速度。
需求:无缝访问总部和云资源、低成本扩展、安全保障。
方案:SASE通过就近接入和云化安全策略,优化链路并减少设备依赖。
方案优势
1. 访问体验优化
就近接入保障:利用分布式PoP节点,分支机构可根据地理位置选择最优接入点,显著降低网络延迟,提升访问总部资源及SaaS应用的响应速度。
智能路径选择:基于实时网络质量探测,动态调整数据传输路径,确保关键业务获得最优网络质量。
2. 安全能力整合
零信任架构集成:融合多因素认证、终端安全管理、动态访问控制等零信任安全能力,为分支机构的访问行为提供持续验证和保护。
统一威胁防护:通过云端安全服务栈(如威胁情报、入侵防御等)替代分支本地安全设备,实现更全面、及时的安全防护。
3. 成本与扩展性优势
轻量化分支架构:减少分支机构的硬件设备投入,通过云服务模式按需使用安全能力,降低总体拥有成本。
弹性扩展能力:SaaS化交付模式支持新分支的快速接入,无需复杂硬件部署,适应企业业务快速发展需求。
需求:稳定访问、终端安全、低运维成本。以金融企业为例,传统VPN切换繁琐,SASE通过PoP节点实现无缝体验。
方案:集成零信任控制,动态管理访问权限。
1. 用户体验提升
智能接入优化:移动用户自动连接至最近PoP节点,通过链路优化技术保障访问质量,解决传统VPN的延迟和抖动问题。
无缝业务访问:支持同时连接多个数据中心业务系统,用户无需手动切换VPN连接,实现"一次认证,全网通行"的无感体验。
2. 安全管理增强
终端全面管控:通过轻量级客户端或SDK集成,实现移动设备的统一安全策略管理,包括设备认证、安全状态评估等。
动态风险防控:基于用户行为、设备状态、环境信息等多维度数据进行实时风险评估,实现自适应的访问控制策略。
3. 运维效率提升
集中策略管理:通过SASE Controller统一管理所有移动用户的安全策略,支持批量部署和实时更新,大幅减少运维工作量。
标准化安全防护:为所有移动办公用户提供一致的安全防护水平,避免因设备差异导致的安全防护缺口。
现状:SASE处于期望膨胀期,供应商通过合作或并购完善能力,但存在概念偏差、标准不统一、本土化适配挑战等问题。企业采用渐进式,交付形式多样(云原生、混合部署)。
趋势:
市场快速增长:Gartner预测2024年规模达110亿美元,40%企业将采用SASE。
能力提升:融合5G和IoT,丰富应用场景(如车联网)。
产业融合:推动网络与安全厂商合作,企业安全重心转向服务订阅。
SASE代表了网络与安全融合的未来方向,通过云网安一体化,帮助企业实现弹性、安全的数字化访问。文档呼吁行业标准化,以促进SASE在中国的高质量发展。随着技术成熟,SASE将深刻改变IT业态,降低运维复杂度,提升业务敏捷性。
