SASE白皮书深度解读：零信任与SD-WAN融合实践指南

这份由云安全联盟大中华区（CSA GCR）发布的SASE白皮书，深入探讨了安全访问服务边缘（SASE）的概念、核心技术、应用场景和未来趋势。SASE是Gartner在2019年提出的一种新型服务模式，它将广域网接入和网络安全能力进行深度融合，并以云原生方式交付，帮助企业在数字化转型浪潮中应对动态变化的安全访问需求。文档内容基于多位行业专家的智慧，涵盖了SASE的核心框架、标准化建议及实践案例。

01 SASE核心概念与背景

背景：随着云计算、物联网和5G技术的迅猛发展，企业的业务部署环境变得日益复杂，多云、边缘计算等新形态不断涌现。访问端也从传统的内部员工扩展到分支机构、移动办公人员等，使得传统中心化的安全架构（如VPN、防火墙）面临着成本高昂、用户体验差、安全边界模糊等一系列挑战。

定义：SASE是一种身份驱动的云原生服务，它整合了网络即服务（例如SD-WAN、QoS）和安全即服务（例如FWaaS、ZTNA），基于零信任原则，持续评估风险，实现对全网流量的可见性和精细化控制。

核心特点：

• 身份驱动：以实体（人员、设备等）身份为核心进行访问控制。
• 云原生：具备弹性可扩展能力，以OpEx（运营支出）模式交付服务。
• 全边缘覆盖：支持全球范围的分布式接入点（PoP），确保低延迟访问。
• 统一管理：通过集中的控制中心实现策略的统一编排和实时监控。

02 SASE核心技术详解

1. 边缘计算

边缘计算将计算能力下沉到网络边缘，让数据在靠近源头的地方被处理，从而减少与云端交互的传输延迟，提升响应速度和安全性。SASE正是利用这些边缘节点来提供智能服务，能够很好地适配数据不离开园区等本地化合规要求。

2. 零信任网络访问（ZTNA）

ZTNA彻底颠覆了“内网可信”的传统模型，它基于用户身份和上下文环境进行动态授权。

两种ZTNA模型：

客户端启动模型：由终端上的客户端软件发起连接，这种方式能够采集丰富的终端信息，但需要提前部署客户端。

服务端启动模型：由SDP连接器主动建立出站连接，用户无需安装客户端，但通常只支持HTTP/HTTPS协议。

3. 网络即服务

这部分包括灵活的组网能力（如SD-WAN）、智能路径选择、SaaS应用加速等服务，支持多链路冗余和统一监控。例如，SD-WAN技术能够实现Hub-Spoke或Full-Mesh等多种网络拓扑，有效降低了对昂贵专线的依赖。

4. 安全即服务

安全能力以订阅模式提供，覆盖三大典型场景：

• 员工访问互联网：通过SWG（安全Web网关）、DLP（数据防泄漏）等技术保护上网行为。
• 外部人员访问内部资源：结合应用安全（如漏洞扫描）和数据加密技术。
• 内部人员访问内部资源：基于零信任架构，实现动态且精细的策略控制。

03 SASE应用场景与案例

1. 连锁及加盟企业

需求：降低广域网（WAN）成本、简化运维、满足《网络安全法》等合规要求。例如，酒店集团可以通过SASE来替代昂贵的专线，实现全网冗余和高等级安全防护。他们通过SD-WAN和ZTNA技术，部署多个PoP节点，从而确保业务的连续性和安全性。

方案优势：

1. 网络架构优势：全网采用冗余设计，利用SD-WAN设备双机热备、多链路备份（互联网专线+4G/5G），以及多PoP点接入，实现了设备、线路、节点的三重保障，极大地提升了业务连续性。它还支持智能流量调度，自动将关键业务流量导向最优路径。
2. 运维管理优势：通过集中控制平台实现“零配置”下发，新网点部署无需专业人员到现场，只需邮件或手机即可快速开局。可视化运维功能可实时监控全网状态，快速定位故障，显著降低运维复杂度。
3. 安全合规优势：在云端PoP节点集成了ZTNA、FWaaS等安全能力，为所有网点提供统一的安全策略管理和审计，确保符合《网络安全法》和《数据安全法》等法规要求。同时，通过互联网接入替代传统专线，大幅降低了网络建设和维护成本。

2. 跨地域分支机构

需求：需要无缝、高效地访问总部和云端资源，同时实现低成本的扩展和安全保障。

方案：SASE通过让分支机构就近接入最近的PoP节点，并结合云端化的安全策略，优化了网络链路，减少了本地硬件设备的依赖。

方案优势：

1. 访问体验优化：利用分布式PoP节点，分支机构可以根据地理位置自动选择最优接入点，显著降低网络延迟，提升访问总部及SaaS应用的速度。智能路径选择功能会基于实时网络质量探测，动态调整数据传输路径，保证关键业务的流畅性。
2. 安全能力整合：融合多因素认证、终端安全管理、动态访问控制等零信任能力，为分支机构的访问行为提供持续验证。通过云端安全服务栈（如威胁情报、入侵防御）替代本地安全设备，实现更全面、及时的防护。
3. 成本与扩展性优势：减少分支机构的硬件投入，通过云服务模式按需使用安全能力，降低总体拥有成本。SaaS化的交付模式支持新分支快速接入，无需复杂硬件部署，能适应业务的快速扩展需求。

3. 远程和移动办公

需求：确保远程员工能够稳定访问公司资源、保障终端安全、并降低运维成本。以金融企业为例，传统的VPN不仅切换繁琐，而且体验不佳，SASE通过遍布各地的PoP节点能实现无缝、高效的访问体验。

方案：集成了零信任控制，能够动态管理每位员工的访问权限。

1. 用户体验提升：移动用户能自动连接到最近的一个PoP节点，并通过链路优化技术保障访问质量，解决了传统VPN常见的延迟和抖动问题。用户无需手动切换VPN连接，即可同时访问多个数据中心业务系统，实现“一次认证，全网通行”的无感体验。
2. 安全管理增强：通过轻量级客户端或SDK集成，实现对移动设备的统一管理，包括设备认证、安全状态评估等。基于用户行为、设备状态、环境信息等数据进行实时风险评估，做出自适应的访问控制决策。
3. 运维效率提升：通过SASE Controller统一管理所有移动用户的安全策略，支持批量部署和实时更新，大幅减少运维工作量。这为所有移动办公用户提供了标准化、一致的安全防护水平，避免了因设备差异导致的安全缺口。

04 发展现状与趋势总结

现状：SASE目前正处于“期望膨胀期”，供应商主要通过合作或并购的方式来补齐能力。市场上存在概念理解偏差、标准不统一等挑战。企业的采用是渐进式的，交付形式也多种多样，包括云原生和混合部署等。

趋势：

• 市场将快速增长：Gartner预测，到2024年SASE市场规模将达到110亿美元，届时40%的企业会采用SASE。
• 能力将进一步提升：与5G和IoT融合，会极大丰富应用场景，例如车联网。
• 产业将进一步融合：驱动网络与安全厂商深度合作，企业安全的重心会转向服务订阅模式。

05 结论

SASE清晰地指明了网络与安全融合的未来方向。通过云网安能力的一体化，企业能够构建一个弹性、安全的数字化访问环境。这份白皮书也呼吁行业加快标准化进程，以推动SASE在中国的高质量发展。随着技术的不断成熟，SASE必将深刻改变IT业态，降低运维复杂度，大幅提升业务的敏捷性。更多关于云原生安全与网络融合的技术讨论和深度资源，欢迎访问云栈社区获取。

零信任：SASE安全访问服务边缘