網(wǎng)絡(luò)安全的未來在云端

網(wǎng)絡(luò)安全的未來在云端數(shù)字業(yè)務(wù)轉(zhuǎn)型顛覆了網(wǎng)絡(luò)和安全服務(wù)的設(shè)計(jì)模式，將重心轉(zhuǎn)到了用戶和/或設(shè)備的身份上，不再聚焦數(shù)據(jù)中心。安全和風(fēng)險(xiǎn)管理者需要采用融合的云交付“安全訪問服務(wù)邊緣（SASE）”來應(yīng)對這一轉(zhuǎn)變。一、概要傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)將數(shù)據(jù)中心置于連接的核心位置，會抑制數(shù)字業(yè)務(wù)的動(dòng)態(tài)訪問需求。數(shù)字業(yè)務(wù)和邊緣計(jì)算擁有更多企業(yè)外部的用戶、設(shè)備、應(yīng)用、服務(wù)和數(shù)據(jù)，因此有著截然不同的網(wǎng)絡(luò)訪問需求。降低復(fù)雜性、延遲以及一次性解密和檢查加密流量的需求，將推動(dòng)將網(wǎng)絡(luò)和安全即服務(wù)功能（SaaS）整合為云交付“安全訪問服務(wù)邊緣”（SASE）。檢查和理解數(shù)據(jù)的上下文需要采用SASE策略。為了實(shí)現(xiàn)低延遲地隨時(shí)隨地訪問用戶、設(shè)備和云服務(wù)，企業(yè)需要具有全球POP點(diǎn)和對等連接的SASE產(chǎn)品。二、主要建議負(fù)責(zé)網(wǎng)絡(luò)和終端安全的企業(yè)安全和風(fēng)險(xiǎn)管理者應(yīng)考慮采取以下措施：以提升效率和敏捷的名義，將SASE定義為數(shù)字業(yè)務(wù)的賦能者。在架構(gòu)上把檢查引擎移動(dòng)到靠近會話的地方，而不是把會話重新路由到檢查引擎。把安全人員從安全設(shè)備管理轉(zhuǎn)向提供基于策略的安全服務(wù)。現(xiàn)在就開始和網(wǎng)絡(luò)架構(gòu)師一起規(guī)劃SASE能力。用SD-WAN和MPLS分載項(xiàng)目作為評估集成網(wǎng)絡(luò)安全服務(wù)的催化劑?，F(xiàn)在就轉(zhuǎn)向能提供SWG（WEB安全網(wǎng)關(guān)）、CASB（云訪問安全代理）、DNS、ZTNA（零信任網(wǎng)絡(luò)訪問）和RBI（遠(yuǎn)程瀏覽器隔離）的單一廠商遷移，降低網(wǎng)絡(luò)安全的復(fù)雜性。三、趨勢預(yù)測2023年，20%的企業(yè)將從同一廠商采購SWG、CASB、ZTNA和分支機(jī)構(gòu)FWaaS（防火墻即服務(wù)）服務(wù)，2019年這一數(shù)字只有5%。2024年,

40%以上的企業(yè)將會有明確的

SASE

切換策略，2018年末僅為1%。2025年，最少將有一家IaaS領(lǐng)導(dǎo)服務(wù)商會提供有競爭力的SASE服務(wù)套件。四、分析網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)是針對日漸勢微的時(shí)代而設(shè)計(jì)的，無法滿足數(shù)字業(yè)務(wù)的動(dòng)態(tài)安全訪問需求。企業(yè)的數(shù)據(jù)中心不再是用戶與設(shè)備訪問需求的中心。數(shù)字化轉(zhuǎn)型，SaaS等大量基于云計(jì)算服務(wù)的部署，以及新興的邊緣計(jì)算平臺，顛覆了以往的架構(gòu)模式，使企業(yè)網(wǎng)絡(luò)架構(gòu)出現(xiàn)“內(nèi)外翻轉(zhuǎn)”的現(xiàn)象。數(shù)字化企業(yè)的特點(diǎn)是：更多的用戶工作在企業(yè)外網(wǎng)完成，而非企業(yè)內(nèi)網(wǎng)。更多的企業(yè)工作負(fù)荷運(yùn)行在

IaaS中，而非企業(yè)數(shù)據(jù)中心。企業(yè)采用更多

SaaS應(yīng)用，而非企業(yè)基礎(chǔ)設(shè)施。更多的敏感數(shù)據(jù)存儲在企業(yè)數(shù)據(jù)中心以外的云服務(wù)，而非企業(yè)內(nèi)部。更多的用戶流量流向企業(yè)數(shù)據(jù)中心以外的公共云，而非企業(yè)數(shù)據(jù)中心。更多分支機(jī)構(gòu)流量是流向企業(yè)數(shù)據(jù)中心以外的公共云，而非企業(yè)數(shù)據(jù)中心。數(shù)字業(yè)務(wù)轉(zhuǎn)型需要隨時(shí)隨地訪問應(yīng)用和服務(wù)（很多應(yīng)用與服務(wù)位于云端）。企業(yè)數(shù)據(jù)中心將在未來數(shù)年內(nèi)還將繼續(xù)存在，但進(jìn)出企業(yè)數(shù)據(jù)中心的流量在企業(yè)總流量的占比將持續(xù)下降。這種模式數(shù)字使用模式將進(jìn)一步擴(kuò)展，越來越多的企業(yè)需要分布式的邊緣計(jì)算，邊緣計(jì)算更接近于需要低延遲訪問本地存儲和計(jì)算的系統(tǒng)和設(shè)備，5G技術(shù)還成為加速邊緣計(jì)算應(yīng)用的催化劑。在靈活支持?jǐn)?shù)字業(yè)務(wù)轉(zhuǎn)型的同時(shí)，通過支持反模式的訪問，將系統(tǒng)復(fù)雜度保持在可控狀態(tài)，這是SASE市場的主要驅(qū)動(dòng)因素。它將網(wǎng)絡(luò)即服務(wù)（如，SD-WAN）和網(wǎng)絡(luò)安全即服務(wù)（如，SWG、CASB、FWaaS[防火墻即服務(wù)]）融合在一起。我們將其稱為“安全訪問服務(wù)邊緣”（參見圖1）。它主要是作為基于云的服務(wù)來交付。圖1.SASE融合架構(gòu)SASE產(chǎn)品能為彈性網(wǎng)絡(luò)提供基于策略的“軟件定義”安全訪問，企業(yè)安全專業(yè)人員可以根據(jù)身份和上下文精確地指定每個(gè)網(wǎng)絡(luò)會話的性能、可靠性、安全性和成本水平。SASE的出現(xiàn)將為安全和風(fēng)險(xiǎn)專業(yè)人員提供了一個(gè)重大的機(jī)遇，能夠?yàn)楦鞣N分布式用戶、場所和基于云的服務(wù)提供安全訪問，從而安全地實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型所需要的動(dòng)態(tài)訪問。企業(yè)對基于云的SASE能力的需求、市場競爭與整合，將重新定義企業(yè)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)，并重塑競爭格局。五、SASE定義安全訪問服務(wù)邊緣（SASE）作為一種新興服務(wù)類型，將廣域網(wǎng)與網(wǎng)絡(luò)安全（如：SWG、CASB、FWaaS、ZTNA）結(jié)合起來，可以滿足數(shù)字企業(yè)的動(dòng)態(tài)安全訪問需求。

SASE是一種基于實(shí)體的身份、實(shí)時(shí)上下文、企業(yè)安全/合規(guī)策略，以及在整個(gè)會話中持續(xù)評估風(fēng)險(xiǎn)/信任的服務(wù)。實(shí)體的身份可與人員、人員組（分支辦公室）、設(shè)備、應(yīng)用、服務(wù)、物聯(lián)網(wǎng)系統(tǒng)或邊緣計(jì)算場地相關(guān)聯(lián)。

六、分析描述傳統(tǒng)的企業(yè)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)將企業(yè)數(shù)據(jù)中心作為訪問的核心，這樣的架構(gòu)在云和移動(dòng)的環(huán)境中中越來越無效和繁瑣。即使采用了一些基于云的服務(wù)（如，基于云的SWG、CDN[內(nèi)容交付網(wǎng)絡(luò)]、WAF[WEB應(yīng)用防火墻]等），企業(yè)數(shù)據(jù)中心仍然是大多數(shù)企業(yè)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全體系架構(gòu)的核心（見圖2）。圖2：傳統(tǒng)以企業(yè)數(shù)據(jù)中心為核心的星型網(wǎng)絡(luò)及網(wǎng)絡(luò)安全架構(gòu)在以云為中心的數(shù)字企業(yè)，用戶、設(shè)備及其需要安全訪問的網(wǎng)絡(luò)能力無處不在。圖2中以企業(yè)數(shù)據(jù)為中心的模型難以擴(kuò)展。當(dāng)用戶所需的數(shù)據(jù)很少留在企業(yè)數(shù)據(jù)中心時(shí)，將流量引入到企業(yè)數(shù)據(jù)中心是沒有意義的。更糟糕的是，我們會限制用戶訪問SaaS，除非用戶在企業(yè)網(wǎng)絡(luò)上或已使用VPN。這會對生產(chǎn)力、用戶體驗(yàn)和成本帶來負(fù)面影響。數(shù)字業(yè)務(wù)轉(zhuǎn)型企業(yè)的安全和風(fēng)險(xiǎn)專業(yè)人員需要的是一種全球性的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全能力，可以隨時(shí)隨地將實(shí)體連接到所需訪問的網(wǎng)絡(luò)。無論是將用戶連接到內(nèi)部應(yīng)用、基于云的應(yīng)用、SaaS或互聯(lián)網(wǎng)，都面臨相同的安全訪問問題。在數(shù)字化企業(yè)中，安全訪問的決策必須以連接源（包含用戶、設(shè)備、分支機(jī)構(gòu)、物聯(lián)網(wǎng)設(shè)備、邊緣計(jì)算場所等）的實(shí)體身份為中心。如圖3所示，身份是訪問決策的新中心，而不再是企業(yè)數(shù)據(jù)中心。圖3：SASE身份為中心的架構(gòu)用戶、設(shè)備、服務(wù)的身份是策略中最重要的上下文因素之一。但是，還會有其他相關(guān)的上下文來源可以輸入到策略中，這些上下文來源包括：用戶使用的設(shè)備身份、日期、風(fēng)險(xiǎn)/信任評估、場地、正在訪問的應(yīng)用和/或數(shù)據(jù)的靈敏度。企業(yè)數(shù)據(jù)中心仍存在，但不再是網(wǎng)絡(luò)架構(gòu)的中心，只是用戶和設(shè)備需要訪問的眾多互聯(lián)網(wǎng)服務(wù)中的一個(gè)。

這些實(shí)體需要訪問越來越多的基于云的服務(wù)，但是它們的連接方式和應(yīng)用的網(wǎng)絡(luò)安全策略類型將根據(jù)監(jiān)管需求、企業(yè)策略和特定業(yè)務(wù)領(lǐng)導(dǎo)者的風(fēng)險(xiǎn)偏好而有所不同。就像智能交換機(jī)一樣，身份通過SASE供應(yīng)商在全球范圍內(nèi)的安全訪問能力連接到所需的網(wǎng)絡(luò)功能。SASE按需提供所需的服務(wù)和策略執(zhí)行，獨(dú)立于請求服務(wù)的實(shí)體的場所（圖4的左側(cè)）和所訪問能力（圖4的右側(cè)）。

圖4：SASE技術(shù)棧，基于身份和上下文的動(dòng)態(tài)應(yīng)用其結(jié)果是動(dòng)態(tài)創(chuàng)建基于策略的安全訪問服務(wù)邊緣，而不管請求這些能的實(shí)體所處位置以及它們請求訪問的網(wǎng)絡(luò)功能所處的位置。

不再將安全邊界隱藏在企業(yè)數(shù)據(jù)中心邊緣的硬件盒子中，而是在企業(yè)需要它的任何地方——

一個(gè)動(dòng)態(tài)創(chuàng)建的、基于策略的安全訪問服務(wù)邊緣。

企業(yè)邊界不再是一個(gè)位置；它是一組動(dòng)態(tài)的邊緣功能，在需要時(shí)作為云服務(wù)提供。對安全訪問而言，這些都是共同、基本需求的演變。不同的是，采用了實(shí)時(shí)的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全策略。此外，在應(yīng)用策略的情況下，無論實(shí)體正在訪問什么，都會進(jìn)行一致的應(yīng)用檢查功能（例如，檢查所有連接的內(nèi)容，以發(fā)現(xiàn)敏感數(shù)據(jù)和惡意軟件）。為了降低延遲，SASE產(chǎn)品應(yīng)該使用“單次通過”架構(gòu)進(jìn)行檢查。業(yè)務(wù)會話被打開（可能被解密）并使用多個(gè)策略引擎并行地檢查一次，最好是在內(nèi)存中，而不是多個(gè)檢查引擎進(jìn)行串行檢查。最后，SASE的新興廠商將采用“持續(xù)的適應(yīng)性風(fēng)險(xiǎn)和信任評估（CARTA）”戰(zhàn)略方法，確保對會話進(jìn)行持續(xù)的監(jiān)測。通過保留在數(shù)據(jù)路徑中并使用嵌入的UEBA功能，對會話內(nèi)容進(jìn)行分析，以檢測過度風(fēng)險(xiǎn)的指標(biāo)（例如，被竊取的憑證或內(nèi)部威脅）。當(dāng)分析用戶行為發(fā)現(xiàn)風(fēng)險(xiǎn)增加時(shí)，或者當(dāng)設(shè)備可信度降低時(shí)，SASE可以提供自適應(yīng)的響應(yīng)（例如，需要用戶進(jìn)行額外的認(rèn)證)。七、SASE主要特征SASE有四個(gè)主要特征：1.身份驅(qū)動(dòng)不僅僅是IP地址，用戶和資源身份決定網(wǎng)絡(luò)互連體驗(yàn)和訪問權(quán)限級別。服務(wù)質(zhì)量、路由選擇、應(yīng)用的風(fēng)險(xiǎn)安全控制——所有這些都由與每個(gè)網(wǎng)絡(luò)連接相關(guān)聯(lián)的身份所驅(qū)動(dòng)。采用該方法，公司企業(yè)為用戶開發(fā)一套網(wǎng)絡(luò)和安全策略，無需考慮設(shè)備或地理位置，從而降低運(yùn)營開銷。2.云原生架構(gòu)SASE架構(gòu)利用云的幾個(gè)主要功能，包括彈性、自適應(yīng)性、自恢復(fù)能力和自維護(hù)功能，提供一個(gè)可以分?jǐn)偪蛻糸_銷以提供最大效率的平臺，可很方便地適應(yīng)新興業(yè)務(wù)需求，而且隨處可用。3.支持所有邊緣SASE為所有公司資源創(chuàng)建了一個(gè)網(wǎng)絡(luò)——數(shù)據(jù)中心、分公司、云資源和移動(dòng)用戶。舉個(gè)例子，軟件定義廣域網(wǎng)(SD-WAN)設(shè)備支持物理邊緣，而移動(dòng)客戶端和無客戶端瀏覽器訪問連接四處游走的用戶。4.全球分布為確保所有網(wǎng)絡(luò)和安全功能隨處可用，并向全部邊緣交付盡可能好的體驗(yàn)，SASE云必須全球分布。因此，必須擴(kuò)展自身覆蓋面，向企業(yè)邊緣交付低延遲服務(wù)。最終，SASE架構(gòu)的目標(biāo)是要能夠更容易地實(shí)現(xiàn)安全的云環(huán)境。SASE提供了一種摒棄傳統(tǒng)方法的設(shè)計(jì)哲學(xué)，拋棄了將SD-WAN設(shè)備、防火墻、IPS設(shè)備和各種其他網(wǎng)絡(luò)及安全解決方案拼湊到一起的做法。SASE以一個(gè)安全的全球SD-WAN服務(wù)代替了難以管理的技術(shù)大雜燴。八、效益和用途1、SASE效益使安全團(tuán)隊(duì)能夠以一致和集成的方式，提供一組豐富的安全網(wǎng)絡(luò)安全服務(wù)，從而支持?jǐn)?shù)字化轉(zhuǎn)型、邊緣計(jì)算和員工移動(dòng)性的需求。通過SASE將獲得以下的效益：降低復(fù)雜度和成本。集成來自單個(gè)提供商的安全訪問服務(wù)，將減少供應(yīng)商的總數(shù)量，減少分支中的物理和/或虛擬設(shè)備的數(shù)量，并且減少用戶終端設(shè)備上所需代理的數(shù)量。激活新的數(shù)字化業(yè)務(wù)場景。SASE服務(wù)將使企業(yè)的合作伙伴和承包商可以安全地訪問其應(yīng)用、服務(wù)、API和數(shù)據(jù)，而無需擔(dān)心暴露傳統(tǒng)架構(gòu)中的VPN和DMZ（非軍事區(qū)）而帶來的大量風(fēng)險(xiǎn)。改善性能/延時(shí)。SASE的領(lǐng)導(dǎo)廠家會通過全球部署的POP提供基于延時(shí)優(yōu)化的路由。這對于延時(shí)敏感的業(yè)務(wù)非常關(guān)鍵。用戶的易用性/透明度。如果正確實(shí)現(xiàn)，SASE會把設(shè)備上所需代理的數(shù)量（或一個(gè)分支的客戶場所的CPE設(shè)備的數(shù)量）減少到單個(gè)代理或設(shè)備。改善的安全性。對于支持內(nèi)容檢查（識別敏感數(shù)據(jù)和惡意軟件）的SASE供應(yīng)商，可以檢查任何訪問會話并應(yīng)用相同的策略集。較低的運(yùn)營費(fèi)用。隨著威脅的發(fā)展和新的檢查機(jī)制的需要，企業(yè)不再受到硬件容量和多年硬件刷新速率的限制，可以隨時(shí)增加新的功能。啟用零信任網(wǎng)絡(luò)訪問。零信任網(wǎng)絡(luò)方法的原理之一是，網(wǎng)絡(luò)訪問基于用戶、設(shè)備和應(yīng)用的身份，而不僅僅基于設(shè)備的IP地址或物理位置。提高網(wǎng)絡(luò)和網(wǎng)絡(luò)安全人員的效能。安全專業(yè)人員可以專注于理解業(yè)務(wù)、法規(guī)和應(yīng)用的訪問需求，并將這些需求映射到SASE功能，而不是陷入到基礎(chǔ)設(shè)施的常規(guī)配置任務(wù)中。集中管理、本地生效的策略。SASE具有基于云的集中管理策略，以及臨近實(shí)體的分布式執(zhí)行點(diǎn)，還包括在需要時(shí)可用的本地決策點(diǎn)。2、采用率SASE還處于發(fā)展的早期階段。正因?yàn)閿?shù)字化轉(zhuǎn)型、SaaS和其他云服務(wù)的驅(qū)動(dòng)，越來越多辦公人員產(chǎn)生了分布式和移動(dòng)的訪問需求，由此推動(dòng)了相關(guān)的變革和需求。SASE早期的主流形態(tài)會表現(xiàn)為SD-WAN供應(yīng)商增加越來越多的網(wǎng)絡(luò)安全能力，以及云安全服務(wù)商增加SWG、ZTNA、CASB服務(wù)這些形式。正如在“HypeCycleforCloudSecurity,2019,”中所體現(xiàn)的，目前SASE還在HypeCycle左側(cè)20%的位置（InnovationTrigger），還需要5～10年的時(shí)間發(fā)展為主流。全面的SASE服務(wù)才剛剛出現(xiàn)，其采用率還不到1%。然而，未來三年將為企業(yè)安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者簡化其網(wǎng)絡(luò)安全架構(gòu)提供重要的機(jī)會。雖然SASE的廣泛采用在今后幾年才會發(fā)生，但在未來三年內(nèi)將很快出現(xiàn)領(lǐng)導(dǎo)廠商，當(dāng)前廠商都各自面臨不同挑戰(zhàn)。九、評價(jià)因素在評估SASE功能（SD-WAN、SWG、CASB、FW等）時(shí)，我們提供Gartner的推薦閱讀材料中會包含相關(guān)的市場指南和魔力象限材料的鏈接。為了本研究的目的，我們將重點(diǎn)研究SASE特定的評價(jià)標(biāo)準(zhǔn)：提供的SASE服務(wù)的廣度。并不是每個(gè)供應(yīng)商都能力提供所有的功能。一些供應(yīng)商將從以網(wǎng)絡(luò)為中心的功能開始，另一些將從以安全為中心的功能開始。新興的SASE的領(lǐng)導(dǎo)者應(yīng)當(dāng)提供圖3中大部分或全部服務(wù)。SASE策略決策點(diǎn)的位置。大多數(shù)SASE的決策都可以且應(yīng)該是基于云的交付和管理模型的。領(lǐng)先的SASE架構(gòu)需要基于云的策略決策引擎，該引擎可以使用CPE輕分支/重SASE的云模型應(yīng)用于基于云或本地策略執(zhí)行點(diǎn)（參見圖5）。圖5：從傳統(tǒng)的重分支遷移到云為核心的輕分支/重SASE模型SASE管理/控制平面的位置。即使使用代理和CPE形式的本地執(zhí)行點(diǎn)，SASE管理控制臺也應(yīng)該以基于云的服務(wù)方式來交付。應(yīng)該對策略進(jìn)行云管理，并將其分發(fā)到本地的執(zhí)行點(diǎn)。架構(gòu)。SASE架構(gòu)非常重要。理想情況下，該產(chǎn)品是基于云的內(nèi)置微服務(wù)，可根據(jù)需要擴(kuò)展。用戶側(cè)CPE部署選項(xiàng)?，F(xiàn)場（物理或虛擬）CPE設(shè)備仍然是需要的，但應(yīng)該使用基于云的管理和配置模型。這類CPE設(shè)備的設(shè)計(jì)模式應(yīng)該是交鑰匙的黑盒子，開機(jī)然后就可以把它給忘了。租賃模式。云原生的SASE架構(gòu)總是會使用多租戶和多客戶共享的底層數(shù)據(jù)平面。有一些供應(yīng)商會堅(jiān)持使用每個(gè)用戶使用獨(dú)立的實(shí)例。企業(yè)用戶也許不會也不感興趣知道自己使用的是哪個(gè)實(shí)例，但架構(gòu)會影響到SASE供應(yīng)商的擴(kuò)展能力。POP節(jié)點(diǎn)和對等連接的地點(diǎn)和數(shù)量。在SASE場景中，對于某些應(yīng)用來說延遲是重要的。SASE解決方案應(yīng)提供POP與數(shù)字化企業(yè)的訪問延遲和數(shù)據(jù)駐留要求相一致的業(yè)務(wù)對等連接的組合。使用IaaS的通用計(jì)算進(jìn)行非延遲敏感操作。一些SASE供應(yīng)商將使用帶有互聯(lián)網(wǎng)邊緣和POP節(jié)點(diǎn)的混合模型進(jìn)行低延遲的在線檢查，并使用商業(yè)化的計(jì)算資源（CPU/GPU）和IaaS供應(yīng)商提供的存儲進(jìn)行低延遲敏感操作，例如：網(wǎng)絡(luò)沙箱、遠(yuǎn)程瀏覽器隔離、審計(jì)日志存儲和分析。大范圍進(jìn)行加密流量的監(jiān)測。SASE廠商必須具備提供大范圍在線加密流量監(jiān)測的能力（解密及后續(xù)再加密），理想情況下應(yīng)該是云交付，而不使用專有硬件。必須支持TLS的最新版本。一次通過掃描。應(yīng)該打開給定會話的流量并對嵌入的內(nèi)容進(jìn)行一次且僅一次的并檢查。一旦解密，多個(gè)掃描和策略引擎可以以擴(kuò)展的方式并行運(yùn)行，理想情況下無需通過服務(wù)鏈串接檢查服務(wù)?？蛇x的流量重定向、檢查和日志記錄能力。全球范圍內(nèi)對數(shù)據(jù)隱私的監(jiān)管要求（例如，通用數(shù)據(jù)保護(hù)法規(guī)GDPR）的增加，將為SASE帶來基于策略進(jìn)行流量處理的企業(yè)需求，這將用于檢查、路由和記錄特定地理轄區(qū)的流量。支持IoT/邊緣計(jì)算的場景。對于SASE而言，IoT邊緣計(jì)算平臺只是需要支持的另一個(gè)端點(diǎn)身份。關(guān)鍵的區(qū)別將是假設(shè)邊緣計(jì)算位置將具有間歇性連通性和對系統(tǒng)的物理攻擊的風(fēng)險(xiǎn)。威脅防護(hù)。這方面的例子包括使用惡意軟件和內(nèi)容的沙箱來檢測會話上下文。在公共的Wi-Fi網(wǎng)絡(luò)中，SASE解決方案需要提供基于DNS的保護(hù)服務(wù)，建立到本地POP節(jié)點(diǎn)的加密會話，避免被監(jiān)聽。能夠識別敏感數(shù)據(jù)并適應(yīng)。SASE產(chǎn)品應(yīng)理解正在訪問的數(shù)據(jù)/應(yīng)用程序的上下文，并且當(dāng)檢測到過度風(fēng)險(xiǎn)時(shí)，能夠采取自適應(yīng)操作（例如，阻止敏感數(shù)據(jù)的上載/下載）。用戶隱私。SASE供應(yīng)商應(yīng)根據(jù)政策提供不檢查流量的選項(xiàng)（例如，GDPR、HIPAA和類似的個(gè)人隱私保護(hù)條例）。此非檢查策略可以與遠(yuǎn)程瀏覽器隔離相結(jié)合，以進(jìn)一步將會話與企業(yè)系統(tǒng)和日志隔離開來。支持代理。需要支持最終用戶使用的終端設(shè)備包括Windows、Mac和特定版本的Linux發(fā)行版。Android和iOS為基礎(chǔ)的設(shè)備未來也需要能夠支持。管理不受控的設(shè)備。企業(yè)往往很難做到100%強(qiáng)制使用代理，特別是在他們不擁有或無法控制的系統(tǒng)上。輕量級移動(dòng)應(yīng)用程序或?yàn)g覽器插件可以用于增加可見性?？蛇x的精細(xì)的可見性和詳細(xì)的日志記錄。SASE交付應(yīng)在訪問應(yīng)用程序和服務(wù)時(shí)提供對用戶進(jìn)行細(xì)顆粒的活動(dòng)監(jiān)控（最好在使用ZTNA保護(hù)時(shí)將此可見性應(yīng)用于企業(yè)應(yīng)用程序）。在會話中監(jiān)測行為。在Gartner的CARTA戰(zhàn)略方法指引下，SASE會話代理應(yīng)該使用內(nèi)嵌的UEBA進(jìn)行過度的風(fēng)險(xiǎn)和異常的持續(xù)監(jiān)測。如果檢測到過度風(fēng)險(xiǎn)，應(yīng)至少提供提高警報(bào)的能力。基于角色管理控制臺和面板。最終，安全架構(gòu)師、網(wǎng)絡(luò)運(yùn)營經(jīng)理或CISO可能希望獲得所有安全訪問會話的快照視圖。收費(fèi)模型。

WAN邊緣/SD-WAN產(chǎn)品通常根據(jù)帶寬計(jì)費(fèi)。然而，CASB、SWG和遠(yuǎn)程瀏覽器隔離往往是按照每用戶、每年來計(jì)費(fèi)。由于SASE同時(shí)包含了多種服務(wù)，SASE供應(yīng)商將在逐步淘汰基于帶寬的定價(jià)模式。十、替代SASE的主要選擇使用基于硬件的分支機(jī)構(gòu)維持現(xiàn)狀。這是當(dāng)今大多數(shù)企業(yè)采用的模式，由于訪問模式的改變以及硬件為中心的設(shè)備的剛性和高成本造成受限。設(shè)備都帶有插件硬件刀片，用于特定的網(wǎng)絡(luò)安全功能?；谲浖姆种C(jī)構(gòu)。通過使用基于軟件的刀片方法，向內(nèi)部分支機(jī)構(gòu)部署客戶本地設(shè)備（CPE），具有一組合作伙伴的供應(yīng)商可以提供圖3中的許多服務(wù)。或在需要時(shí)（例如：為了安全檢查），CPE可以調(diào)用基于云端服務(wù)。

通過服務(wù)鏈自己構(gòu)建SASE。一些企業(yè)將嘗試通過服務(wù)鏈接不同廠商的產(chǎn)品并使用多個(gè)終端代理，將SASE相關(guān)的功能集合在一起，構(gòu)建自己的SASE。這種方法具有高復(fù)雜性、高成本和高延遲的問題。SD-WAN來自一家廠商，網(wǎng)絡(luò)安全服務(wù)來自于一家。一些企業(yè)將采用的方法是將“連接”的基礎(chǔ)設(shè)施與圖1所示的“安全”的基礎(chǔ)設(shè)施分開，但兩者都轉(zhuǎn)移到基于云的服務(wù)。這具有解決組織政治問題的優(yōu)勢，但與單一的SASE供應(yīng)商相比，復(fù)雜性和成本更高。運(yùn)營商編排的服務(wù)鏈。另一種選擇是轉(zhuǎn)向在網(wǎng)絡(luò)、網(wǎng)絡(luò)安全或運(yùn)營商方面占主導(dǎo)地位的廠商，讓其代表客戶執(zhí)行所需的服務(wù)鏈接。使用服務(wù)鏈接和網(wǎng)絡(luò)功能虛擬化，主導(dǎo)的廠商可以成為代理或總承包商，負(fù)責(zé)將不同的服務(wù)拼接在一起。十一、潛在安全風(fēng)險(xiǎn)隨著SASE的出現(xiàn)和采用，安全和風(fēng)險(xiǎn)管理專業(yè)人員應(yīng)考慮以下風(fēng)險(xiǎn)：穩(wěn)定的團(tuán)隊(duì)、文化和政治。網(wǎng)絡(luò)和網(wǎng)絡(luò)安全架構(gòu)通常是由不同的團(tuán)隊(duì)單獨(dú)負(fù)責(zé)。即使在信息安全方面，SWG、CASB和網(wǎng)絡(luò)安全設(shè)備的購買負(fù)責(zé)人員也可能不同。不同的團(tuán)隊(duì)可能會將SASE的采購視為“領(lǐng)地之爭”。足夠好可能不夠好。一些SASE產(chǎn)品是由以網(wǎng)絡(luò)為中心的廠商開發(fā)和交付對，是安全領(lǐng)域的新進(jìn)入者。同樣，以安全為中心的提供商可能沒有領(lǐng)先的WAN邊緣解決方案所期望的完整SD-WAN功能。復(fù)雜度。對試圖從不同的廠商和云產(chǎn)品中構(gòu)建SASE技術(shù)棧的企業(yè)來說，將其拼接在一起將導(dǎo)致管理和執(zhí)行的不一致、性能低下和成本高昂。傳統(tǒng)的供應(yīng)商沒有云原生的心態(tài)。以硬件為中心的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全供應(yīng)商將難以調(diào)整成為云原生和基于云服務(wù)的交付模式。網(wǎng)絡(luò)和防火墻廠商缺乏代理服務(wù)器的經(jīng)驗(yàn)。SASE的許多功能將使用代理模型來獲取介入數(shù)據(jù)路徑并為訪問提供保護(hù)。需要投資來維持POP節(jié)點(diǎn)和網(wǎng)絡(luò)對等交換資源。SASE的策略決策和執(zhí)行需要在任何端點(diǎn)可能出現(xiàn)地方都提供支持。更換供應(yīng)商。對一些企業(yè)來說，向SASE轉(zhuǎn)型將需要更換供應(yīng)商，從而對工作人員進(jìn)行再培訓(xùn)，發(fā)展新技能，并學(xué)習(xí)新的管理和政策定義控制臺。缺乏數(shù)據(jù)上下文。許多以網(wǎng)絡(luò)為中心的供應(yīng)商的解決方案對數(shù)據(jù)的上下文理解不足，無法判斷內(nèi)容是敏感的還是惡意的。數(shù)據(jù)上下文對于制定訪問策略、理解風(fēng)險(xiǎn)和確定風(fēng)險(xiǎn)優(yōu)先級以及相應(yīng)地調(diào)整訪問策略至關(guān)重要。投資領(lǐng)先的云提供商API檢查能力。因?yàn)楹芏嘤脩艚K端都需要連接到SaaS的訪問，SASE供應(yīng)商需要理解其數(shù)據(jù)上下文。SASE領(lǐng)導(dǎo)廠商的要求部署代理。為了與基于前向代理的體系架構(gòu)集成，并處理一些遺留的應(yīng)用程序協(xié)議，將需要一個(gè)本地代理（例如，SWG、用于舊應(yīng)用程序的ZTNA、本地Wi-Fi保護(hù)和本地設(shè)備安全態(tài)勢評估）。費(fèi)用過高和SASE市場震蕩。SASE市場在未來五年將經(jīng)歷重大變化，預(yù)計(jì)將進(jìn)一步整合和收購。由于這個(gè)市場還在早