1、概念
2019年,Gartner在报告《Hype Cycle for Enterprise Networking 2019》中首次提出了SASE(Secure Access Service Edge)的概念,如下图:
从图中直观的看,灵活接入的网络+ 按需的安全,就是SASE,实际上大致也是这样,只是SASE包含了比较多的细节内容,需要花点时间来梳理和理解。
这几年,SASE非常火,SASE国外主要厂商有Cato、Zscaler、Paloalto,国内大厂如阿里云、深信服、绿盟,也都正式推出了SASE产品。相比较于单一的安全产品,SASE头绪较多,理解起来不太容易把握住核心。因此,有必要以一个通俗移动的例子,白话的方式来讲清楚SASE的来龙去脉。
要理解SASE,首先要理解SD-WAN。SD-WAN,即软件定义广域网络,是将SDN技术应用到广域网场景中所形成的一种服务。这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务,旨在帮助用户降低广域网的开支和提高网络连接灵活性。
SD-WAN本质上,是网络去中心化的产物。什么叫去中心化?举个例子:
古代有一个钱庄,开展存取放贷的业务。起初规模较小,位于都城且没有分店。于是,全国各地的人来办业务,都需要长途跋涉到都城,前往银号。银号的所有银两和来往钱账,都是集中于一处的,我们可以叫“中心化”的模式。
后来,钱庄信誉良好,越开越大,客户遍布全国各地,且人数众多。于是,位于都城的总店,决定开分店,在全国各地主要的大城市,都开了分店,分别屯放备用银两,分别办业务,总店周期性汇总盘点。这时候,银号的所有银两和来往钱账,开始逐渐集中于多处分店了,我们可以叫去“中心化”的模式。
如果把分店比作网络,那么我们可以认为,这个时候,因为去中心化模式的产生,网络也开始去中心化,遍布各地了。那么,为了便于存钱取钱,总店就需要一种能力:随时随地按照客户所需,在不同的地方开设分店,甚至为大项目开“移动银行”业务。也就是说,一个强大的全国性钱庄,需要具备随时随地按需开通网店的能力。
SD-WAN也是这个道理,因为企业的数据中心去中心化,员工接入方式的去中心化,一个现代的企业,需要具备随时、随地接入不同企业数据中心的网络动态开通和管理能力。因此,SD-WAN技术就应运而生,典型架构见下图:
关于SD-WAN的详细技术细节,因为内容太多,此处暂不详细介绍了。
SD-WAN是好,但是安全怎么保证呢?
还是举上面的例子,钱庄总部,自然安保森严,但是分店呢?为了保护储户的安全,分店也需要建立如坚固的金库、有战斗力的保安、以及能保证路上安全的镖局队伍。这就是SASE在第一幅图中,右侧的部分:安全能力。简要来说,安全部分能力需要和SD-WAN相配称,即网络即服务的同时,要求安全如影随形,做到“安全即服务”。中外的SASE落地方案区别,主要是根据不同实际情况提供的安全服务内容不同,其实本质上是相似的。
2、主要的客户场景
先铺垫一下,对于SASE,客户的需求最核心的就是:在任何场景,任何用户、任何设备、能够方便的访问任何的企业应用,且不降低安全性。简单归纳就是“四个任何”加“安全”。主要场景有三个,国内外这一点其实都比较类似:
1)远程办公场景
这种场景,企业的数据中心位于本地IDC和云上(公有云),移动办公用户,使用VPN/SDP通过互联网连接到企业数据中心或者云上数据中心,访问企业级数据和应用。移动办公,理论上属于企业内网的虚拟延申。风险很容易感受到:用户身份会不会被盗用?移动设备是否带病毒木马?接进来他会不会泄露企业数据?按照数据流向视角看,有四处存在安全风险,见上图红圈标注位置。
现在再回头看SASE定义框图,安全部分,如下: