Gartner最新的“安全領(lǐng)域新興技術(shù)及趨勢影響雷達”（Emerging Technologies and Trends ImpactRadar: Security）顯示，安全服務(wù)及接入邊緣技術(shù)具有極高重要性，并在未來(lái)一至三年，市場(chǎng)會(huì )落地關(guān)于安全服務(wù)及接入邊緣的融合架構。因此，中國企業(yè)和廠(chǎng)商有必要研究這個(gè)新興市場(chǎng)以及安全服務(wù)的演進(jìn)。

　　傳統企業(yè)的數據中心架構（如圖一所示）大多為從分支機構上行的一個(gè)信息網(wǎng)絡(luò )連接到總部的數據中心，然后從互聯(lián)網(wǎng)區再連接到互聯(lián)網(wǎng)，此外還有“云”上部署的應用。目前，很多中國的數據中心基本為該架構。

　　

　　圖一

　　但為何稱(chēng)這樣一個(gè)從數據中心到互聯(lián)網(wǎng)再到“云”的架構較為傳統？因為企業(yè)的應用大多沒(méi)有“上云”、“上云”的應用基本為互聯(lián)網(wǎng)應用。隨著(zhù)未來(lái)更多的企業(yè)應用“上云”，西方“云優(yōu)先”的市場(chǎng)目前已采用圖二所示的架構——數據中心內存在很多應用，且傳統應用遷移至云、企業(yè)的數據中心愈發(fā)強大。企業(yè)分支機構的員工在訪(fǎng)問(wèn)數據中心應用時(shí)，不僅可以訪(fǎng)問(wèn)數據中心應用，還能訪(fǎng)問(wèn)數據中心以外以及遷至云上的應用。因此，每家分支機構具有兩條線(xiàn)——一條代表通往數據中心，另一條代表通往云上的SaaS類(lèi)應用。

　

　　圖二

　　我們亦可把圖二描繪成另一個(gè)場(chǎng)景——企業(yè)員工或客戶(hù)通過(guò)多種數字化接觸訪(fǎng)問(wèn)不同的數據和應用。數字化接觸可以是手機、物聯(lián)網(wǎng)或觸摸屏。在此情況下，保證“訪(fǎng)問(wèn)安全”對企業(yè)而言至關(guān)重要，因為所有數字化接觸都會(huì )接入互聯(lián)網(wǎng)，但企業(yè)不可能在每一家分支機構或“云”上都部署一套邊緣棧。若用傳統數據中心的方式來(lái)管理目前新型廣域網(wǎng)及應用外遷到“云”的這樣一個(gè)現實(shí)場(chǎng)景的話(huà)，企業(yè)就需要很多套邊緣棧安全設備、防火墻來(lái)管理不同的安全邊界。然而，現在的安全邊界已不在數據中心，而是外擴到各種各樣的邊緣、云場(chǎng)景之中，因此企業(yè)需要新的網(wǎng)絡(luò )安全架構。

　　針對數字化接觸，企業(yè)需要具備基于“策略”（policy-based）的接入方式，即通過(guò)基于策略的接入到各種分布式的邊緣、再到互聯(lián)網(wǎng)邊緣、最后到互聯(lián)網(wǎng)或企業(yè)的核心應用。因此，SaaS其實(shí)是面對分布式邊緣所定義的全新安全及網(wǎng)絡(luò )架構。

　　

　　圖三

　　當前的SD-WAN是非常重要的技術(shù)改進(jìn)推動(dòng)力。其在管理各種各樣下層網(wǎng)絡(luò )的同時(shí)，還可作為軟件被靈活部署在所有硬件之上。這當中的SD-WAN就變?yōu)榱藦V域網(wǎng)的邊緣，若廣域網(wǎng)下層架構發(fā)生改變，很多互聯(lián)網(wǎng)的出口不只在數據中心、會(huì )在眾多分支機構或邊緣的接入應用中，此時(shí)企業(yè)下層的網(wǎng)絡(luò )會(huì )有很多的非信任外部網(wǎng)絡(luò )，因此企業(yè)需要具備針對所有數據化接觸的安全策略來(lái)加以保護。如圖三所示，網(wǎng)絡(luò )安全接入服務(wù)保護所有的網(wǎng)絡(luò )接入，廣域網(wǎng)的邊緣與安全服務(wù)兼容、成為了一個(gè)新的“安全服務(wù)接入邊緣”融合架構。

　　當企業(yè)不清楚訪(fǎng)問(wèn)流量是否存在風(fēng)險時(shí)，應當考慮CASB——CASB是云接入服務(wù)的中介。企業(yè)數據可能存放在數據中心或云上，當公有云上的SaaS服務(wù)要訪(fǎng)問(wèn)數據時(shí)，企業(yè)可以用CASB來(lái)管理風(fēng)險，即所有訪(fǎng)問(wèn)先經(jīng)過(guò)CASB“大門(mén)”、SaaS應用與訪(fǎng)問(wèn)相互集成，讀取的數據返至CASB應用、再返至授權數據，通過(guò)全程監控保護數據安全。若用戶(hù)訪(fǎng)問(wèn)企業(yè)專(zhuān)用應用，亦可用同樣方式進(jìn)行保護。企業(yè)可以用CDN進(jìn)行加速、SD-WAN進(jìn)行連接，同時(shí)使用CASB、SWG等保護訪(fǎng)問(wèn)安全。從這個(gè)角度來(lái)看，將網(wǎng)絡(luò )模塊與安全模塊融合成一個(gè)安全接入服務(wù)平臺即是SASE。SASE包含五個(gè)核心模塊：SD-WAN、Firewall as aservice（FWaaS）、SWG、CASB和零信任網(wǎng)絡(luò )接入。現在不少安全廠(chǎng)商具備兩至三個(gè)模塊，但鮮有具備全模塊者。

　

　　圖四

　　圖四展示了SASE中的各種技術(shù)，Gartner認為這些技術(shù)在未來(lái)十年會(huì )相互融合至SASE模塊中。目前，安全產(chǎn)品非常碎片化，不同產(chǎn)品具有自己的管理和控制界面，對企業(yè)使用而言不夠友好，所以這時(shí)就需要出現一個(gè)把這些碎片化的安全接入服務(wù)融合成一個(gè)安全接入服務(wù)的平臺。其實(shí)，SASE接入不單是基于公有云的互聯(lián)網(wǎng)接入方式，也會(huì )有很多接入到企業(yè)級私有數據中心。

　　Gartner預測，至2023年，20%的企業(yè)會(huì )部署來(lái)自同一家廠(chǎng)商的SWG、CASB、零信任網(wǎng)絡(luò )接入及分支機構防火墻能力。2019年，Gartner觀(guān)察到該領(lǐng)域的用戶(hù)低于5%。這代表安全廠(chǎng)商可以通過(guò)SASE來(lái)擴展自己的市場(chǎng)份額，SASE是一個(gè)非常重要的營(yíng)收增長(cháng)機會(huì )。

　　

　　圖五

　　從終端用戶(hù)角度來(lái)看，SASE目前具有三個(gè)場(chǎng)景。首先是企業(yè)管理員工IT設備（見(jiàn)圖五），員工使用自己的電腦或手機接入云上的應用。此時(shí)企業(yè)可以通過(guò)SWG實(shí)現DNS保護、敏感信息保護等，即員工的訪(fǎng)問(wèn)是通過(guò)相關(guān)SASE工具接入到SASE接入點(diǎn)，然后從SASE接入點(diǎn)代理再訪(fǎng)問(wèn)互聯(lián)網(wǎng)應用以及企業(yè)內部資源。

　　

　　圖六

　　第二個(gè)場(chǎng)景（見(jiàn)圖六）是企業(yè)外部人員訪(fǎng)問(wèn)內部資源。企業(yè)外部人員的設備是非管理設備，因為其設備中沒(méi)有訪(fǎng)問(wèn)工具，所以只能實(shí)現從SASE接入點(diǎn)到其它地方QoS的網(wǎng)絡(luò )功能。另外，因為需要接入到SASE代理接入點(diǎn)，相關(guān)的DLP等功能會(huì )就緒。一旦外部人員接入SASE時(shí)，SASE就會(huì )提供安全接入保護，而網(wǎng)絡(luò )功能也是在接入SASE后才能提供。

　　

　　圖七

　　第三個(gè)場(chǎng)景（見(jiàn)圖七）關(guān)于物聯(lián)網(wǎng)。風(fēng)電物聯(lián)網(wǎng)存在一個(gè)匯聚點(diǎn)，即物聯(lián)網(wǎng)邊緣的匯聚點(diǎn)，在這之中可以收集、分析數據。邊緣的匯聚點(diǎn)可以部署SASE，如SD-WAN，所以接入到邊緣的SASE可以延伸到風(fēng)電廠(chǎng)、延伸到各個(gè)物聯(lián)網(wǎng)和邊緣計算，接入到企業(yè)的內部應用。

　　一些目前使用SASE的企業(yè)也在考慮是否需要把自己的數據中心連接到SASE中，或是把自己的數據中心與公有云托管的VPC進(jìn)行打通以及打通后用戶(hù)的訪(fǎng)問(wèn)路徑。用戶(hù)可以是合作伙伴、員工或客戶(hù)，他們的訪(fǎng)問(wèn)可以通過(guò)SASE進(jìn)行，因為零信任網(wǎng)絡(luò )接入的安全是先授權認證、再分派訪(fǎng)問(wèn)權限。SASE接入點(diǎn)一定是廣泛分布性的，若接入點(diǎn)在上海或者廣州、相距較遠時(shí)，網(wǎng)絡(luò )時(shí)延就變成大問(wèn)題，所以低時(shí)延在國內非常重要，需要更多的分布式接入點(diǎn)加以保證。

　　關(guān)于分支機構應用的優(yōu)化。目前中國很多企業(yè)分支機構的應用基本放在分支機構的小型數據中心內。SASE會(huì )使分支機構架構得到改變，越來(lái)越多的分支機構會(huì )從“重分支”變成“輕分支”，同時(shí)在“云”上會(huì )更多部署分支機構的應用。“輕分支”基本上是SD-WAN，因為很多的SD-WAN自帶防火墻、一個(gè)SD-WAN就能解決問(wèn)題。通過(guò)SD-WAN連接到最近的公有云VPC，分支機構公有云直接部署在VPC上。用戶(hù)直接訪(fǎng)問(wèn)VPC應用時(shí)需要授權驗證，所以企業(yè)需要SASE。SASE對于分支機構的用戶(hù)來(lái)講，先訪(fǎng)問(wèn)就近的SASE接入點(diǎn)，通過(guò)SD-WAN訪(fǎng)問(wèn)再接入到相關(guān)的公有云、VPC辦公室。

　　Gartner預計全球SASE市場(chǎng)將在2024年達到110億美元，大中華地區市場(chǎng)規模大約為7億6千9百萬(wàn)美元（見(jiàn)圖八）。SASE的核心功能包含SD-WAN、SWG、CASB、ZTNA、FWaaS，Line rate operation，但對中國來(lái)講，略有不同。

　

　　圖八

　　如圖九所示，中國目前CASB的需求很少，因為中國的SaaS應用大部分是消費者級別的應用，真正的企業(yè)級SaaS應用目前在中國仍有不足。很多企業(yè)級SaaS應用存在很多安全漏洞、沒(méi)有CASB保護，因此很多大型企業(yè)不敢把自己的數據直接放至其中。正因為這些企業(yè)用戶(hù)不是很多，所以CASB目前在中國是一個(gè)未被開(kāi)發(fā)的市場(chǎng)。從SASE服務(wù)的起步階段來(lái)講，CASB在中國并不是核心模塊，更多的是SWG、零信任網(wǎng)絡(luò )安全、SD-WAN等。隨著(zhù)企業(yè)級PaaS及SaaS應用的增多，CASB在中國的趨勢會(huì )逐漸與全球同步。

　　

　　圖九

　　Gartner認為云原生架構對廠(chǎng)商實(shí)現SASE服務(wù)非常重要。對于很多企業(yè)用戶(hù)來(lái)講，SASE接入點(diǎn)的部署最好離自己要近、同時(shí)要延伸到自己的數據中心之內。企業(yè)在部署SaaS接入點(diǎn)時(shí)需要采用更加靈活的方式以便同時(shí)部署在云上和第三方數據中心內。云原生架構可以為企業(yè)部署SaaS服務(wù)提供更加靈活的方式和更靈活的交付。分布式的多邊云部署對北上廣深這類(lèi)核心城市或各省省會(huì )城市的接入點(diǎn)非常重要。因為時(shí)延的優(yōu)化在中國是非常重要的“賣(mài)點(diǎn)”。SASE產(chǎn)品會(huì )變得更加容器化、微服務(wù)化，以此更好部署在其他的硬件平臺或自己提供的硬件平臺之上。

　　總結而言，終端用戶(hù)需考慮、研究SASE架構和整體廣域網(wǎng)及網(wǎng)絡(luò )安全方面的架構轉型。雖然中國疫情控制很好，但是物聯(lián)網(wǎng)、5G帶來(lái)的數字化轉型非常巨大，所以將來(lái)需考慮能否將數字化接觸反映到企業(yè)應用上。很多企業(yè)應用及企業(yè)數據很可能都放到“云”上，雖然目前傳統方式是主流，但越來(lái)越多的企業(yè)進(jìn)行IT規劃時(shí)，已在考慮部分的數據外遷，所以SASE是企業(yè)敏感數據外遷后的重要保護手段。另一方面，SASE需要整個(gè)廣域網(wǎng)的架構做出改變，如建立分支機構的本地接入互聯(lián)網(wǎng)、考慮SD-WAN廠(chǎng)商是否有SD-WAN防火墻等。廠(chǎng)商越多，企業(yè)的管理復雜度越高，所以企業(yè)需要做出戰略性變化。企業(yè)級的SaaS應用一定要考慮SASE保護。公有云上的數據如沒(méi)有安全工具保護，會(huì )存在數據泄漏或丟失的風(fēng)險，而CASB這類(lèi)工具可以把未知風(fēng)險降低。“SASE保護”不一定需要全部五個(gè)模塊，企業(yè)在設計SASE部署戰略時(shí)，需要明晰用到哪些模塊，如此，在選擇安全廠(chǎng)商時(shí)才能更得心應手。同時(shí)，廠(chǎng)商需清楚自己是何種廠(chǎng)商。管理服務(wù)提供商需考慮如何快速切入SASE市場(chǎng)，因為切入SASE市場(chǎng)能夠為其快速提供新的業(yè)務(wù)增長(cháng)，如幫助海外SASE廠(chǎng)商進(jìn)入中國，或幫助國內SASE服務(wù)廠(chǎng)商建立接入點(diǎn)、提供相關(guān)的服務(wù)。技術(shù)提供商需考慮SASE的產(chǎn)品戰略，還要考慮如何做到云原生的SASE。