_{分析师：Neil MacDonald、Lawrence Orans、Joe Skorupa}

数字化业务转型颠覆了网络和安全服务设计模式，将焦点从数据中心转移到用户和/或设备的身份验证上。安全和风险管理领导者需要融合式的云安全访问服务边界来应对这一变化。

关键发现

■ 网络安全架构将企业数据中心置于连接需求的中心位置，这阻碍了数字业务的动态访问需求。

■ 由于企业外部的用户、设备、应用、服务和数据比企业内部的要多，数字业务和边缘计算也需要反向访问。

■ 复杂性、延迟性以及需要一次性解密和检查加密流量将会增加将网络和安全即服务功能整合到云安全访问服务边界（SASE，发音为“sassy”）的需求。

■ 采用SASE策略需要检查和理解数据上下文。

■ 为了给用户、设备和云服务提供在任何地点的低延迟访问，企业需要具有全球性入网点（POP） 和同级关系结构的SASE产品。

建议

负责网络和终端安全的安全和风险管理负责人应：

■ 采用SASE，凭借其速度和敏捷性将其作为数字化业务的推动者。

■ 架构设计时，将检查引擎移动到会话，而不是将会话重新路由到引擎。

■ 将安全人员从管理安全设备转变为提供基于策略的安全服务。

■ 现在就与网络架构师共同规划实现SASE功能。使用软件定义的WAN和MPLS卸载项目作为催化剂来评估集成的网络安全服务。

■ 现在可以通过选择理想的供应商来实现安全Web网关（SWG）、云访问安全代理（CASB）、DNS、零信任网络访问（ZTNA）和远程浏览器隔离功能，从而降低网络安全方面的复杂性。

战略规划假设

到2023年，将有20％的企业采用同一供应商的SWG、CASB、ZTNA和分支FWaaS功能，而2019年， 这一比例才不到5％。

到2024年，至少40％的企业制定明确的战略来采用SASE，比2018年底不到1％要高出很多。

到2025年，至少一个领先的IaaS提供商将提供一套具有竞争力的SASE功能。

分析

网络和网络安全体系结构所适用的时代正在衰退，它们已无法有效满足数字化业务的动态安全访问要求。企业数据中心不再是用户和设备访问的中心。数字化业务转型、SaaS和其他基于云的服务的采用以及新兴的边缘计算平台将企业网络搅得天翻地覆，彻底颠覆了历史模式。数字化企业的特点在于：

■ 更多用户会使用企业网络以外的网络工作

■ IaaS中运行的工作负载比企业数据中心中运行的工作负载要多

■ 通过SaaS使用的应用比从企业基础结构使用的应用要多

■ 在企业数据中心之外的云服务中存储的敏感数据比存储在企业内部的敏感数据要多

■ 公共云服务的用户流量比企业数据中心的用户流量要多

■ 从分支到公有云的流量比到企业数据中心的流量要多

数字化业务转型需要随时随地访问应用和服务，而且现在很多应用和服务部署是在云端。尽管企业数据中心将在未来几年内会继续存在，但企业数据中心的流量占比将继续减少。

传统的“以数据中心为中心”的网络和网络安全架构已过时，并且已成为数字化业务发展需求的障碍。

随着企业越来越需要分布式边缘计算功能，拉进与系统和设备的距离，降低对本地存储和计算的访问延迟，加之5G将加速边缘计算的采用，使用模式的数字转型将进一步扩大。（请参阅《边界探索：边缘计算的12项前沿技术》。）

需要为数字业务转型提供敏捷的支持，同时保持复杂性处于可控状态以支持访问模式的转型，这将成为新市场的主要推动力。这个市场融合了网络（例如，软件定义的WAN [SD-WAN]）和网络安全服务（例如SWG、CASB和防火墙即服务[FWaaS]）。我们将其称为安全访问服务边界（参见图1和注1）， 并且主要作为基于云的服务提供。

图1. SASE 融合

 SASE产品将从可定制的网络结构中提供基于策略的“软件定义”安全访问，从而让企业安全专业人员可以根据身份和上下文精确指定每个网络会话的性能、可靠性、安全性和成本级别。SASE的出现为安全和风险专业人员创造了一个重大机遇，能够安全地实现数字化转换的动态访问要求，从而为各种分布式用户、位置和基于云的服务提供安全的访问功能。企业对基于云的SASE功能以及市场竞争和整合的需求将重新定义企业网络和网络安全架构，并重塑竞争格局。

网络安全的未来发展在云端

定义

安全访问服务边界是一种新兴产品，整合了全面的WAN功能与全面的网络安全功能（例如SWG、CASB、FWaaS和ZTNA），可满足数字化企业的动态安全访问需求。

SASE功能根据实体的身份、实时上下文、企业安全性/合规性策略以及在整个会话过程中对风险/信任的持续评估，作为一项服务来提供的。实体的身份与人员、团体（分支）、设备、应用、服务、IoT系统或边缘计算的位置相关（请参阅《零信任是实现CARTA路线图的第一步》）。 

详细介绍

在云和移动领域，传统企业网络和网络安全体系结构将企业数据中心作为访问中心，现在越来越无效且麻烦。即使采用了某些基于云的服务（例如，基于云的SWG、内容分发网络[CDN]、Web应用防火墙[WAF]等），数据中心仍然是大多数企业网络和网络安全架构的中心（请参见图2）。

图2.传统的以数据中心为中心的“辐射式”网络和网络安全架构

在现代的以云为中心的数字化业务中，需要进行安全访问的用户、设备和联网功能无处不在。结果， 安全访问服务也必须无处不在。图1中所示的以数据为中心的模型无法扩展。当用户很少需要将数据存储在数据中心时，将流量路由到企业数据中心或从企业数据中心路由出去，这种网络运行就没有什么意义了。更糟糕的是，只有在用户在企业网络上或使用VPN时才能访问SaaS，或者要求使用不同的SWG、CASB和VPN agents，这会导致agent架构臃肿，给用户造成困惑，从而影响用户生产力、用户体验和成本。在其他情况下，当用户访问任何基于云的资源时，分支机构流量也必须要通过数据中心来进行检查，这就增加了延迟和与专用MPLS线路相关的成本。

数字化企业中的安全和风险专业人员需要的是全球范围的网络和网络安全功能结构/网格，可以随时随地应用这些功能，以将实体连接到他们需要访问的网络功能。

与其强制（通过“转接”）将各种实体流量发送到数据中心框架中的检查引擎，不如让我们转换思维，让检查引擎和算法 尽量靠近实体所在的位置。

无论我们是将用户连接到内部应用、基于云的应用、SaaS还是一般的Internet，这些都面临着各种各样的安全访问问题。简单来说，一个分支就是指存在多个用户的地方。同样，一个在汽车中访问Salesforce的销售人员可能也是一个分支。IoT边界位置是设备的分支。所有这些都是终端身份，需要访问遍布整个Internet的联网功能。在数字化业务中，安全访问决策必须以连接源（用户、设备、分支、IoT设备、边缘计算位置等）处实体的身份为中心。如图3所示，身份是访问决策的新中心，而不是数 据中心。

图3：SASE以身份为核心的架构

用户/设备/服务的身份是所应用的策略中需要考虑的一项最重要的上下文信息。但是，还有一些其他相关的上下文来源，可用于策略应用的输入信息。这包括身份所在的位置、一天中的访问时间、用户正在访问的设备的风险/信任评估以及正在访问的应用和/或数据的敏感性。企业数据中心仍然存在，但它不是体系结构的中心。它只是用户和设备需要访问的许多基于Internet的服务之一。

这些实体需要访问数量不断增长的基于云的服务，但是它们的连接方式以及所应用的网络安全策略的类型将根据法规要求、企业策略和特定的业务领导者的风险偏好而有所不同。就像智能化开关柜一样，身份通过SASE供应商的全球安全访问功能结构连接到网络功能。

请考虑以下情形： 

■ 销售人员Sue在使用机场Wi-Fi几个小时后，需要通过托管设备（受管理的设备）访问Salesforce CRM，同时还要浏览Internet。（SASE通过DLP、恶意软件检查、UEBA和Wi-Fi保护向Salesforce 提供了品质服务[QoS]——优化的SaaS加速连接。对于Internet浏览，SASE提供了具有DLP的SWG 保护。）

■ 承包商Jorge需要从非托管（不受管理的设备）访问托管在本地数据中心中的企业Web应用。（SASE提供ZTNA，限制对特定位置的访问，通过WAAP服务保护启用Web的应用免受攻击，并通过检查加密的流量来监视敏感数据的丢失。）

■ 一台风力发电机需要访问基于边缘计算的网络及传感器数据进行数据分析计算，然后需要将结果流式传输到AWS，但会隐藏涡轮机的位置。（SASE低延迟的ZTNA访问，让发电机可以访问边缘计算资源，混淆其IP地址，并通过API保护与AWS建立对延迟的敏感性较低的加密连接。通过SASE提供的FWaaS功能保护边缘计算位置不受入站攻击。）

SASE按需提供所需的服务和策略实施，而与请求服务的实体的位置（图4左图）和对功能的访问权限（图4右图）无关。

图4.基于身份和上下文动态应用的SASE堆栈

其结果是动态创建基于策略的安全访问服务边界，而与请求服务功能的实体的位置无关，也与它们请求访问的联网功能的位置无关。 

现在，安全边界已不再位于数据中心边缘的框架中，而是企业需要的任何地方——动态创建基于策略的安全访问服务边界。

此外，给定实体将需要同时进行多个安全连接。例如，用户可能需要同时：

■ 连接Facebook，连接中检查了聊天会话中的敏感数据，但延迟不是主要因素

■ 连接Salesforce，连接中将监视会话中的敏感数据和恶意软件

■ 连接受监控的数据中心中的企业专用应用

■ 连接未经检查的用户的个人互联网银行应用

企业边界不再是一个位置；它是在需要时作为云服务提供的一组动态边界功能。 

同样，这些都是安全访问的相同基础需求。区别在于所应用的实时网络和网络安全策略。此外，在应用了策略的情况下，无论实体访问什么内容，检查功能都不会发生变化。例如，检查所有连接中的内容是否包含敏感数据和恶意软件。为了减少延迟，SASE产品应使用“单通道”体系结构进行检查，该体系结构将打开（可能解密）流量流，并使用多个策略引擎进行一次并行检查（理想情况是在内存中进行检查），这就无需实施多项检查服务了。

 最后，SASE的新兴领导者将会采用持续的自适应风险和信任评估（CARTA）战略方法（请参阅《采用CARTA战略方法的七个必要条件》和注2），以确保对会议进行持续监控。通过将会话保留在数据通路中，可以使用嵌入式UEBA功能分析会话中是否存在较高风险（例如，凭据泄露或内部威胁）。当分析用户的行为并且后续风险增加，或者随着设备信任度降低（例如，要求用户进行额外的身份验证）时，SASE产品应该能够做出自适应响应。 

效益和用途

SASE将让安全团队能够以统一、集成的方式提供丰富的安全网络安全服务，以支持数字化业务转型、边缘计算和员工移动性办公的需求。采用SASE将会带来以下效益：

■ 降低复杂性和成本。通过整合同一个提供商提供的安全访问服务，将减少供应商的总数，减少分支机构中的物理和/或虚拟设备的数量，并减少最终用户设备上所需的agent数量。随着采用更多的SASE服务，从长远来看，还会降低成本；可以通过整合供应商和技术堆栈来节约成本。

■ 支持新的数字化业务场景。SASE服务将确保企业能够让合作伙伴和承包商安全地访问其应用、服务、API和数据，而不会面临传统VPN和传统隔离区（DMZ）架构带来的大量风险。

■ 性能/延迟方面的改进。领先的SASE供应商将通过遍布全球的入网点提供延迟优化路由。这对于延迟敏感型应用（例如协作、视频、VoIP和网络会议）尤为重要。根据策略，可以通过SASE提供商的高带宽主干网（及其同类产品）路由给用户。

■ 用户的易用性/透明性。如果正确实施，SASE将会把一个设备上所需的大量agents（或分支机构的客户端设备[CPE]的数量）减少到一个agent或减少到一个设备上。它减少了agent和设备的臃肿架构，并应自动应用访问策略，而无需用户交互。这就为用户提供了一致的访问体验，而不受用户所在位置、访问内容以及访问位置的影响。

■ 安全性改进。对于支持内容检查（识别敏感数据和恶意软件）的SASE供应商，可以检查任何访问会话并应用相同的策略集。一个示例是使用统一的策略扫描Salesforce、Facebook和云托管的应用中的敏感数据，无论用户/设备位于何处，都将统一应用该策略。

■ 低运营开销。随着威胁的发展和需要新的检查机制，企业不再受限于硬件容量和多年一次的硬件更新频率，才能添加新功能。借助基于云的SASE产品，针对新威胁和策略进行更新无需企业部署新的硬件或软件，而且还可以更快速地采用新功能。

■ 启用零信任网络访问。零信任网络方法的原理之一是，网络访问基于用户、设备和应用的身份， 而不是基于设备的IP地址或物理位置。（请参阅《零信任是实现CARTA路线图的第一步》。）这种向逻辑上定义的策略的转变大大简化了策略管理。SASE可以始终对企业网络内部和外部提供无缝的实体会话保护。此外，假设网络有危险，SASE产品将对整个会话进行端到端的加密以及可选的Web应用和API防护（WAAP）服务（请参阅《云Web应用和API保护服务定义》）。领先的SASE供应商将通过隧道传输到最近的POP，将其扩展到具有公共Wi-Fi网络保护的端点设备（咖啡店、机场等）。

■ 提高网络和网络安全人员的效率。网络安全专业人员可以将精力集中在理解业务、法规和应用访问需求并将其映射到SASE功能上，而不是建立基础结构的日常任务。

■ 本地执行的集中策略。SASE将通过在逻辑上靠近实体的分布式实施点，并纳入所需的本地决策， 从而允许对策略进行基于云的集中管理；例如，使用CPE设备在分支机构本地进行管理。另一个示例是使用托管设备上用于的本地agent进行本地决策。

采用率 

SASE目前还处于开发的早期阶段。由于采用SaaS，越来越多的分布式和移动办公员工访问其他基于云的服务，以及采用边缘计算，因此，数字化业务转型的需求推动了SASE的发展和需求。SASE的早期表现为SD-WAN供应商增加了网络安全功能，而基于云的安全供应商则提供了SWG、ZTNA和CASB 服务。

在《2019年云安全的技术成熟度曲线》中，SASE被置于技术成熟度曲线的最左侧，处于触发后20％的位置，五到十年后，该技术方法将成为主流。

综合性SASE产品才刚刚出现，采用率不到1％。但是，未来三年，企业安全和风险管理领导者将迎来简化其网络安全架构的大量机遇。

随着未来几年内SASE的采用，未来三年之内很容易成就成功的供应商，而现有几家供应商则存在无相关业务的风险。

风险

随着SASE的出现和采用，安全和风险管理专业人员应考虑以下风险：

■ 孤立的团队、文化和策略。网络和网络安全体系结构通常是不同的孤立团队。即使在信息安全方面，SWG、CASB和网络安全的甲方也可能各有不同。为了保护地盘，不同的团队可能会反对采用SASE，或者一个团队可能为了控制SASE产品而阻止其他团队的参与。为了解决这个问题， CISO和CIO级别的管理者必须打着速度、敏捷性和降低复杂性的旗号，打破孤岛，实现SASE的变革性价值主张。

■ 足够好可能还不够好。某些SASE产品将由新加入安全保护市场的、以网络为中心的提供商开发和提供。同样，以安全为中心的提供商可能没有领先的WAN边缘解决方案所期望的完整SD-WAN功能。在这一方面，独立测试将发挥关键作用，ICSA Labs和NSS Labs等组织会将评估范围扩展到基于云的服务。

■ 复杂性。对于试图通过不同的供应商和云产品中构建自己的SASE堆栈的企业，将这些供应商和云产品组合在一起将导致管理和执行不统一、性能低下以及部署成本高昂等问题。如果供应商通过多次收购和/或合作将SASE产品缝合在一起，则会发生类似的问题。

■ 传统供应商没有云原生的心态。以硬件为中心的网络和网络安全供应商将很难适应云原生和基于云的服务交付。业务模式以及销售人员和渠道补偿将发生变化。先前出售本地专用硬件的供应商可能会寻找一条阻力最小的路径，并基于单租户架构（针对每个客户的虚拟设备）提供初始的SASE产品。

■ 网络和防火墙供应商缺乏代理专业知识。SASE的许多功能都将使用代理模型来获取数据路径并确保访问安全。传统的串联网络和企业防火墙供应商缺乏专业知识，无法大规模构建分布式串联代理，这会导致SASE采用者成本高昂，而性能较差。

■ POP和同级关系需要投资。需要在端点身份所在的任何地方实现SASE策略决策和执行功能。对于支持移动办公和分布式数字生态系统的大型组织，这意味着可以在全球范围内访问。较小的SASE

提供商无法维持竞争所需的投资，从而导致性能下降。SASE产品仅使用IaaS的互联网主干网功能， 而没有本地POP/边缘功能，从而面临着延迟、性能问题以及最终用户不满意等风险。

■ 切换供应商。对于某些企业而言，转而采用SASE将需要更换供应商，并对员工进行再培训，开发新技能并学习新的管理和策略定义控制台。

■ 缺少数据上下文。无论内容是敏感数据还是恶意数据，许多以网络为中心的供应商解决方案都无法理解数据的上下文。数据上下文对于设置访问策略，理解风险并确定优先级以及相应地调整访问策略至关重要。没有此上下文的供应商在做出基于丰富上下文的自适应SASE决策方面，能力将会受到限制。

■ 对领先云提供商的API检查进行。由于许多用户端点访问决策将连接到SaaS，因此，SASE供应商将需要了解数据上下文。此数据上下文不能完全基于在线检查。在线检查会遗漏合作伙伴的上传/ 共享和云到云的内容交换。API检查是一项至关重要的功能，因此成为了每个CASB魔力象限中的最低要求（请参阅“云访问安全代理魔力象限”）。但是，某些SWG和以网络为中心的提供商尚不具备此专业知识。

■ 领先的SASE产品将需要agent。为了与基于转发代理的体系结构集成并处理某些传统应用协议， 将需要本地agent（例如，SWG、用于传统应用的ZTNA、本地Wi-Fi保护和本地设备安全态势评 估）。此外，SASE供应商使用本地agent获得更多的设备上下文。但是，如果必须使用多个代理来支持访问，则代理会增加企业SASE部署的复杂性问题。上下文需要与现有端点保护平台（EPP） 和统一端点管理（UEM）agent集成。（请参阅《端点的长期演进将重塑企业安全性》。）此外， 如果SASE供应商在开发最终用户设备agents方面的专业知识有限，则稳定性和可管理性可能会成为问题，或者平台支持可能会受到限制。

■ 费用过高和SASE市场动荡。未来五年，SASE市场将发生重大变化，并有望进一步合并和收购。由于这个市场尚处于起步阶段，因此我们建议仅签署一年至两年的合同，且附有适当的购买保护条款。随着市场的整合及市场开始偏爱大型供应商的规模经济，整个SASE市场将承受价格下滑的压力。此外，它将从基于带宽的WAN边缘/ SD-WAN模型转变为基于实体的订购模型，并根据所应用的检查类型定价。

评估因素

在评估特定的SASE功能（SD-WAN、SWG、CASB、FW等）时，我们在“Gartner推荐阅读”部分提供了指向相应市场指南和魔力象限的链接。在本研究中，我们将重点关注针对SASE的评估标准：

■ 提供SASE服务的范围。并非每个供应商都能提供所有功能。一些供应商将从以网络中心的功能着手，其他供应商将从以安全为中心的功能着手。SASE的新兴领导者应该提供图3中的大部分或全部服务。

■ SASE策略决策点的位置。使用基于云的交付和管理模型时，大多数SASE决策可以并且应该基于云。但也应该在终端做出某些本地决策——在基于策略访问的agent中（对于设备）或在物理/虚拟设备中（对于在分支机构的CPE中进行QoS和路径选择的情况下）。但是，这些应该从基于云的服务中进行集中管理。领先的SASE体系结构将使用基于云的策略决策引擎，该引擎可使用CPE轻量级分支/重量级SASE云模型，应用于基于云的策略或本地策略执行点（请参见图5）

图5. 从传统重量级分支转向以云为中心的轻量分支/SASE模型

■ SASE管理/控制平面的位置。即使采用agent和CPE形式的本地执行点，SASE管理控制台也应作为基于云的服务交付。策略应该由云托管，并分发到本地执行点。

■ 体系结构。SASE体系结构很重要。理想情况下，SASE应该是云原生产品，建立在微服务上， 并具有按需扩展的能力。为了最大程度地减少延迟，应将数据包拷贝到内存中，并对其进行操作并转发/拦截，而不是将其从虚拟机（VM）传递到VM或从云传递到云。该软件堆栈应该不会对特定硬件具有依赖性，并应在需要的时间和地点进行实例化，以将风险优化和基于策略的功能传递给端点标识。

■ 本地CPE部署方案。虽然承认并接受仍然需要本地设备（物理机或虚拟机），但其会使用基于云的管理和部署模型。设计模式应为“交钥匙”黑匣子——打开后就不用再管了。在评估过程中， 请评估供应商的体系结构，以确保CPE从诞生到消亡这一生命周期内的安全配置更新和退役。一 些企业会更喜欢将硬件用作SASE   CPE。硬件应该是商品，其应具有安全启动和秘密保护（例如加密密钥和证书）的体系结构，而虚拟设备形状因数则无法实现。

■ 租户模式。原生云SASE架构几乎总是多租户状态，有多个客户共享基础数据平面。某些供应商将改为为每个客户使用专用实例。企业客户可能不知道或不在乎使用的是哪种方式，但是体系结构可能会影响SASE供应商的扩展能力。单一租户通常会导致密度降低，而成本会升高，这些成本会转嫁给企业。但是，一些企业更喜欢单租户模式，这种模式隔离效果更好。

■ POP的位置/数量和同级关系。使用SASE，延迟对于某些应用程序很重要。SASE解决方案应提供分布式的入网点和一系列流量同级关系，以符合数字企业的访问延迟和数据驻留要求。这对于本地化的最终用户体验也至关重要。企业流量很少穿越公共互联网。相反，互联网会用于面向SASE 架构的短距离传输，然后根据策略对其进行检查，并使用快速路径路由和对等协议对其进行优化以实现最佳性能。此外，SASE供应商必须能够展示处理分布式拒绝服务（DDoS）攻击的能力， 因为攻击面已转移到SASE供应商。

■ 将IaaS通用计算用于对延迟不敏感的操作。一些SASE供应商将使用具有Internet边缘/POP的混合模型进行低延迟的在线检查，并使用供应商提供的商品计算（CPU/GPU）和存储进行对延迟不太敏感的操作，例如网络沙箱、远程浏览器隔离，并审核日志存储和分析。

■ 大规模的加密流量检查。SASE产品必须能够大规模地进行在线加密流量检查（解密和随后的重新加密），理想情况下是从云中交付的，并且无需使用专有硬件。这必须支持最新版本的TLS。

■ 单式扫描。给定会话的流量和嵌入内容应打开并检查一次。解密后，多个扫描和策略引擎可以以横向扩展方式并行运行，理想情况下无需服务链检查服务。例如，应该通过单程扫描，一次性检查内容中是否包含敏感数据和恶意软件。

■ 流量重定向、检查和记录方案。全球范围内对数据隐私的法规要求不断增加，例如通用数据保护法规（GDPR），将促使企业需要使用基于SASE策略的流量处理来检查、路由和记录特定地理管辖区的需求。

■ 支持物联网/边缘计算用例。物联网边缘计算平台只是SASE支持的另一种终端。关键区别在于， 假设边缘计算位置将具有间歇连接性，并且存在对系统进行物理攻击的风险。因此，SASE体系结构应支持对数据和机密进行本地保护的离线决策（例如，缓存访问策略）。由于物联网和边缘设备可能不支持 agent，因此可能需要本地SASE网关/CPE。远程设备的网络访问控制是一项增值服务。

■ 用户隐私。SASE供应商提供的解决方案应该不再基于策略检查流量（例如，GDPR、《健康保险隐私及责任法案》（HIPAA）及类似的个人隐私保护法规）。这种非检查策略可以与远程浏览器隔离结合使用，以进一步将会话与企业系统和日志隔离开来。

■ 支持Agent。面向终端用户的端点设备将会综合Windows、Mac和特定Linux发行版。还必须支持基于Android和iOS的设备。此外，通过使用SASE供应商的 agent或与UEM供应商集成， SASE产品应能够收集设备上下文信息（例如，健康状况、状态、异常行为等），以改善安全访问决策（请参阅《统一端点管理工具魔力象限》）。

■ 支持非托管设备。企业不能总是规定使用agent，尤其是在不归他们所有或控制的系统上。轻量级的移动应用或浏览器插件可提高可见性（请参阅《移动威胁防御市场指南》）。或者，应通过反向代理或通过远程浏览器隔离服务重定向非托管设备来支持非托管设备（本质上是创建一个托管会话，从而能够在非托管端点内应用策略）。

■ 粒度可见性和详细的日志记录方案。当访问应用和服务时，SASE产品应提供对用户的细粒度活动监视（并在采用ZTNA进行保护时，最好也能够实现企业应用的可见性）。会话中的所有活动都应记录下来，要求SASE产品能够大规模创建和管理分布式日志，并根据策略将用户和设备的日志保留在客户首选的地理位置。

■ 监视会话期间的行为。按照Gartner的CARTA战略方针，应该使用嵌入式UEBA持续监控SASE 代理会话的过高风险和异常情况。如果检测到过高风险，则应至少提供发出警报的能力。与企业安全信息和事件管理（SIEM）工具集成应该成为一种标准。

■ 基于角色的管理控制台和仪表板。最终，安全架构师、网络运营经理或CISO可能希望获取所有 安全访问会话的快照视图。SASE供应商应为特定角色提供基于角色的可自定义风险仪表板/热图， 以了解整体网络性能（针对网络运营）以及云风险和安全状况（针对安全运营）。

■ 许可模式。WAN边缘/ SD-WAN产品通常按带宽授予许可。但是，CASB、SWG和远程浏览器隔 离之类的产品都是按每个用户/每年许可的。由于SASE融合了两种模式，因此，随着基于带宽的 定价方式正在逐渐淘汰，SASE供应商正在试用许可模型。大多数模型将根据受保护实体的数量 （即单个实体（设备、用户、应用、系统）或实体的集合（分支机构/ IoT和边缘位置））进行订阅。

SASE 备选方案

■ 基于硬件的分支的现状。由于访问模式不断变化，而以硬件为中心的设备刚性大、成本高，为了实现特定网络安全功能而带有插件式硬件叶片，因此，当今大多数企业都发现了这种模型很有局限性。检查受到本地计算能力的限制，并且硬件刷新周期和基于硬件的形状因数不能有效地支持数字企业的流量模式。

■ 基于软件的分支。通过对本地分支CPE使用基于软件的刀片方法（software-based blade approach）， 供应商就可以和合作伙伴共同提供图3中的许多服务。或者，CPE可以在需要的时间和地点调用基 于云的服务（例如用于安全检查）。尽管由云管理和云交付的分支可以交付SASE，但这种分支只 是要解决的一种边缘服务交付问题。此外，这种方法仍然存在将多个服务、控制台和策略整合在一起以构建完整组合的问题。

■ 通过服务链自行构建SASE。一些企业将通过服务链将来自多个不同提供商的产品和使用多个端点代理来尝试将自己的类似于SASE的功能集合在一起。这种方法存在的风险是复杂性不可控、成本高、延迟高。采用较新的加密标准（例如TLS 1.3）将加大服务链检查的难度。

■ 一家供应商提供的SD-WAN，将融合另一家供应商的网络安全服务。一些企业将采用的另一种方法是将图1所示的“连接”基础结构与“安全”基础结构分开，但是将两者都转移到基于云的服务上。这种方法的优势在于解决组织策略问题，但是与使用单个SASE供应商相比，复杂性和成本更高。

■ 供应商精心设计的服务链。企业的另一种选择方案是采用网络、网络安全性或运营商领域的主导提供商，并让供应商代表客户执行所需的服务链。使用服务链和网络功能虚拟化，主要提供商可以成为负责将不同服务组合在一起的经纪人或总承包商。管理和控制这些控制台的多个供应商的管理控制台以及不同的策略框架使此策略变得复杂

建议

与IaaS之于数据中心设计架构一样，SASE对网络和网络安全架构同样具有颠覆作用。SASE为安全和风险管理专业人士提供了在接下来的十年中完全重新考虑和重新设计网络和网络安全体系结构的机会。 数字化业务转型、采用云原生计算以及越来越多地采用边缘计算平台将需要SASE。即使SASE刚刚兴起，安全和风险管理专业人员今天仍可以采取一些具体措施：

■ 立即参与SD-WAN体系结构和规划会议。尽可能利用此机会将网络安全服务纳入体系结构中：

^■ 将网络安全提供商纳入企业SD-WAN评估中。 例如，Barracuda、Cisco、Forcepoint和 Fortinet 是知名的安全厂商，都有竞争性很强的SD-WAN产品（请参阅《WAN边缘基础架构魔力象限》）。

^■ 要求SASE供应商提供对SD-WAN功能和安全功能进行第三方测试的证据，最好是使用知名的独立测试公司进行。

■ 眼前的机会就是评估一下ZTNA，以便采用SASE解决方案（请参阅《零信任网络访问市场指南》）。首先从支持数字业务的特定项目开始，例如对合作伙伴或承包商使用的非托管设备进行精确身份识别和应用感知访问。

■ 现在就评估在短期内将SASE服务合并的可能性及其复杂性；例如，在续签这些合同时，CASB、SWG、ZTNA、VPN和远程浏览器隔离功能会进行部分或全部合并。

■ 开始要求网络安全供应商介绍SASE功能（包括SD-WAN）的路线图。同样，要求SD-WAN供应商开始添加网络安全服务。要求同时展示对POP和同级关系的现有和规划投资情况。

■ 避免将SASE产品拼凑在一起。大型供应商可能通过收购或合作伙伴关系而获得很多个SASE的单个要素。但是，请仔细评估服务的集成情况及其是否能够设计成为设置策略的单一控制台和单一方法。

■ 评估现有和新兴供应商的产品和路线图时，要请您的CISO和首席网络架构师参与进来，因为向SASE的技术过渡跨越了传统的组织边界。预计这会收到哪些投身于应用部署的团队成员的抵制。

■ 随着许可模式的不断变化，签订最长为一到两年的短期SASE合同。支持那些能够在所有产品中进行简单的身份/实体的订阅许可（不基于带宽）的SASE供应商。

■ Cisco

■ Cloudflare

■ Forcepoint

■ Fortinet

■ McAfee

■ Netskope

■ Palo Alto Networks

■ Proofpoint

■ Symantec

■ Versa

■ VMware

■ Zscaler

主要的IaaS提供商（AWS、Azure和GCP）还没有在SASE市场进行竞争。我们预计，在未来五年中， 随着这些供应商都将扩大其边缘网络的影响力和安全功能，至少有一个供应商能够满足图3所示的SASE的大部分市场需求。

Gartner 推荐阅读

《市场趋势：如何在WAN边界和安全融合形成安全访问服务边界中取胜》

《WAN基础设施魔力象限》

《为云原生的DevSecOps领域重构安全性和IT弹性》

《零信任是CARTA路线图的第一步》

《竞争格局：物联网平台供应商》

注1 SASE组成

核心要素：SD-WAN、SWG、CASB、ZTNA和FWaaS，均具有识别敏感数据/恶意软件的能力，并具有按线速、大规模地对内容进行连续加密/解密的能力，并可以持续监控会话的风险/信任水平。

推荐功能：Web应用和API保护、远程浏览器隔离、递归DNS、网络沙箱、基于API访问SaaS以获取数据上下文、以及对托管和非托管设备的支持。

可选功能：Wi-Fi热点保护、网络混淆/分散、传统VPN和边缘计算保护（离线/缓存保护）

注2 CARTA

持续的自适应风险和信任评估是信息安全发展的战略框架，在该框架中，组织机构的网络安全态势不断调整并针对所需的风险进行了风险优化。这是通过对所有数字实体、其属性、配置、环境和行为进

行持续评估，以了解其在开发和生产中的相对风险和信任水平而实现的。当风险太高或信任度太低时， 安全基础结构（以及由此产生的安全状态）将进行适应调整，以达到所需的风险水平。

注3 高级威胁防护

SASE供应商有望提供更多的高级威胁防护解决方案。一个示例是远程浏览器隔离。另一个示例是网络隐私保护（也称为网络隐私即服务）和流量分散。目的是通过隐藏底层IP地址并有选择地将流量分散到多个差异加密的流中，从而使查找企业系统难度增大，大大提高攻击者窃听的难度。