PAGEPAGE10目錄致謝 3序言 4SASE概述 6SASE背景 6什么是SASE 7SASE的核心能力概述 9SASE和ZTE的關系 12SASE發展現狀及趨勢 13SASE發展現狀 13SASE發展趨勢 14SASE核心技術 16邊緣計算 16零信任網絡訪問 16為什么需要ZTNA 16ZTNA模型 18網絡即服務 20網絡接入服務 20靈活組網服務 21組網安全服務 22基于應用的服務保障 22統一監控和策略管理服務 23安全即服務 24企業員工安全訪問互聯網或外部應用 24企業外部人員安全訪問企業內部資源 26企業內部人員安全訪問企業內部資源 27SASE應用場景 29連鎖及加盟企業 29跨地域分支機構 31遠程和移動辦公 334.總結 36SASESASE隨著云計算、物聯網、5G等關鍵技術的不斷突破發展，企業數字化轉型節IDC到企業分支用戶、企業合作伙伴、遠程移動辦公終端等。核心的中心輻射型網絡拓撲備受企業青睞。SaaS應用普及和企業員工分散導致企業互聯網流量增多，中心輻射型網絡架構面對高成本的MPLS鏈路、總部集中上網應用訪問體驗差、VPN容量挑戰等問題，不得不順勢改變網絡及安全建設思路SDNNFV技術的發展促使企業在云端部署統一網絡指揮中心成為ICTSaaS、互聯網SASE模型。2019年，Gartner在報告《HypeCycleforEnterpriseNetworking2019》中首SASE（SecureAccessServiceEdge）的概念，并在隨后的一些列報告中SASESASE是企業網絡和業務架構演進至“云化”、“服務化”后的自然而然的安全理念。SASEGartner2019（CASB//信任的服務形式來交付，其中實體的身份可與人員、人員組（分支辦公室）服務、物聯網系統或邊緣計算場地相關聯。SASE可以為企業提供全網流量的可見性，包括本地、云和移動端訪問應用和互聯網的流量，甚至也包括分支之間的流量。SASE可提供一系列豐富的網絡到保障。從架構層面來看，SASE需要包含如下服務組件：SASESASE提供覆蓋全球范圍的分布式云服務，能夠為客戶交付網絡和安全能力。SASE統一策略編排，安全與應用性能分析，實時狀態監控。SASEPoP(PointofSASE接入邊緣：為分支場所，移動用戶提供硬件或軟件的接入客戶SD-WANCPE和移動客戶端。從能力層面來看，SASE需要包含主要的網絡和安全能力：網絡即服務（NetworkasaService）SD-WANQoS高級路由SaaS內容交付或緩存廣域網優化分布式連接安全即服務（SecurityasaService）FWaaSZTNA/VPNWebSSL云沙箱IPSCASBRBISASEIP是否有訪問目標應用的訪問權限來進行控制。云原生：SASEOpEx全邊緣覆蓋：SASE并能提供端到端的路徑或應用優化以確保訪問體驗。PoP者，包含企業本地網絡、企業云資源和遠程辦公用戶。SASE在SASE中，企業數據中心只是用戶和設備需要訪問的眾多互聯網服務中的一個而不再是網絡架構的中心，實體的身份成為訪問決策的新中心。SASE化轉型浪潮下的結構化轉變，簡單來說，SASESaaSIT/IT型進程，SASE一、云原生安全架構SASE的平臺，可以快速適應新興業務需求。二、廣泛覆蓋的邊緣節點SASEDNSWebZTNA全方位覆蓋安全邊界。三、統一控制中心為統一調度不同地理位置上實時都在發生的服務請求，SASESASE獲得全云運行狀況，策略也能下發到所有服務組件。四、持續自適應風險與信任評估中心SASEUEBASASE五、零信任訪問架構SASE并且嚴格防止任何訪問/威脅在網絡中橫向移動/SASE，IT架構上保障安全、可信、便捷與彈性。六、網絡即服務PoPSD-WANVPNQoS互通、網絡管理與加速等需求。七、安全即服務PoPDNSWebZTNA等，用戶可以按需獲取所需的安全能力并且根據實際八、云網安融合管理能力SASEITITSASEZTEForrester20212DavidHolmesAndreKindness（ZeroTrustEdgeSASEForrester ZTE“AZeroTrustedgesolutionsecurelyconnectsandtransportstraffic,usingZeroTrustaccessprinciples,inandoutofremotesitesleveragingmostlycloud-basedsecurityandnetworkingservicesZTE舉例說明，對于企業上網訪問搜索引擎、新聞網站等這類流向互聯網的流量，SASEERPCRMSASE歸根結底，ZTESASESASESASESASESASESASESASESASESASESASESASE二、供應商持續投入，企業逐步應用GarnterHypeCycleforEmergingTechnologies,2021》（2021新興技術成熟度曲線SASESASEZscalerEdgewiseNeworksCASBPaloAltoNetworksSD-WANCloudGenixSASESASE跨區域互聯等場景得到了一定的應用。三、企業網絡和安全能力建設步伐不一，本土化發展仍需探索SASESASE業特征以及政策發展要求。例如國內企業級SaaSCASBSASE四、SASE供應商技術積累不足SASESASESASESASESASE五、企業尚未進入大規模采用階段SASE軟件合約帶來的替換成本過高的問題也迫在眉睫。SASESASE諸多因素，SASE未來的發展趨勢主要有以下五個：一、SASE服務落地建設循序漸進企業的替換成本、SASE，SASE二、未來一段時間交付形式持續多樣化SASESASE私有化部署、混合部署等形式。三、多種方式完善SASE服務能力SASESASESASESASE四、各項服務能力大幅提升一方面隨著行業標準的統一、產品能力的成熟，SASE對遠程員工、云端數據SASESASESASE全托管服務行業的發展。五、應用場景不斷豐富SASEIOT、車聯網等場景，隨著5GSASESASE邊緣計算20165邊緣計算的智能互聯服務可以很好地滿足不同行業在數字化變革過程中對業務實時、數據融合、安全與隱私保護等多方面的關鍵需求。零信任網絡訪問ZTNA零信任（ZeroTrust）最早是由約翰·金德瓦格（JohnKindervag）擔任ForresterResearch副總裁兼首席分析師期間創建的。這是一次對傳統安全模型假設的徹底顛覆。絡，用戶（露他們權限之外的任何數據。這顯然是個很大的漏洞。零信任網絡訪問(Zero-TrustNetworkAccess，ZTNA)證技術保護數據。來看一組Gartner統計的企業辦公&應用管理場景數據：25%40%的員工遠程辦公67%的員工使用他們自己的設備辦公80%的自帶設備(BYOD)均為完全非托管設備50%的時間都在運行基于云的應用程序10%的組織表示他們完全了解哪些設備訪問了他們的網絡VPN)威脅。企業邊界本身也在云業務場景下瓦解。此，ZTNAZTNAZTNAZTNAZTNAZTNAZTNA。ZTNA，1規范流程：安裝在授權設備上的客戶端將有關其安全環境的信息發送到控制器。控制器提示用戶進行身份驗證，并返回允許的應用程序列表。（攻擊。）ZTNA的連接，有些不保持。優勢：沒有網絡協議的限制，可以采集豐富客戶端信息作為風險和威脅評估的數據源，如：終端安全，安全補丁，網絡信息等。缺點：客戶端部署會增加企業管理員的工作，同時需要考慮各種終端的兼容性。圖1客戶端啟動的ZTNA概念模型ZTNA，2SDPSDPSDPSDPSDP但是，供應商的網絡成為另一個必須評估的網絡安全性的要素。很有吸引力的方法。HTTP/HTTPSWeb分協議的訪問方式。圖2服務器啟動的ZTNA概念模型網絡即服務安全訪問服務邊緣（SASE）是一種新興的服務，它將廣域網組網與網絡安全結合起來，從而滿足數字化業的動態安全訪問需求。SASE4G/5GSD-WAN分支機構、企業總部、數據中心間數據互通、網絡管理與應用加速等能力。網絡接入服務支持不同辦公場地環境的接入需求，包括固定地址機構接入，頻繁變更地址的機構接入，移動工作組或個人辦公環境接入小微企業共享辦公環境接入；支持不同網絡接入技術，包括運營商專線（MPLSVPN），互聯網撥號接入，互聯網專線接以及4G/5G移動網絡接入；SD-WAN置模板上線；SD-WAN認證，基于用戶的接入認證方式；支持多種SD-WAN網關形式，包硬件網關、虛擬化網關、客戶端接入；SD-WANSD-WANHA靈活組網服務支持多種靈活組網的拓撲結構，包括hub-spokefullmeshIPsecVPNGREL2TPL2TPoverIPSec、IPSecoverGRE。L2TPoverIPSec；支持基于不同拓撲結構的組網調整能力，包括用戶能按需添加或刪減SD-WANSD-WANSD-WAN間的路徑選擇；支持組網高可靠服務，包括鏈路冗余（如專線和互聯網冗余）、PoP點冗余，以及故障時跨PoP點的路徑切換；SD-WAN網隧道的帶寬調整、基于應用的帶寬靈活分配；SD-WAN接，創建一個安全低延遲的多云環境。組網安全服務SD-WAN完整性和可用性，使用的密碼算法包括非對稱密碼算法、對稱密碼算法、密碼雜湊算法。SD-WAN相關要求。SD-WAN擊、惡意件識別阻斷、終端接入驗證和授權、威脅情報和行為分析等。SD-WANSD-WANSD-WANHTTPS以防止信令通道被控制或者造成數據泄露。基于應用的服務保障TCP/UDPIP地址、地域信息等能力。支持應用識別能力，包括識別流量的應用類型、應用協議信息能力。支持基于應用對網絡服務質量的要求為應用選擇轉發路徑的能力，包括基QoS優先級動態選路，基于SLA探測動態選路，基于帶寬選路等。支持通過網絡邊緣節點針對延時要求敏感業務進行訪問加速能力包括網頁、web應用的緩存加速服務，音視頻等文件壓縮傳輸加速服務，及支持實時音視頻流的優化服務。統一監控和策略管理服務支持統一網絡和流量編排。支持統一管控平臺的可視化的服務界面，展示大屏等通用能力，包括物理設備的可視化、網絡狀態的可視化、應用狀態的可視化、基于地圖的網絡拓撲可視化等。支持統一管控平臺的多租戶服能力，應支持租戶之間的網絡隔離、數據訪問隔離，不允許跨租戶的數據訪問。SD-WAN的網絡流量信息、鏈路狀態與性能（時延、丟包等參數）。SD-WANSD-WAN組網接口配置、組網策略配置、安全策略配置以及告警信息配置等。SD-WAN規則分析。支持一管控平臺的高可靠部署，支持主備部署方式或者集群部署方式。安全即服務SASESASESASE從用戶角度來看，SASE的安全即服務目前有三個主要應用場景。首先是企業員工終端設備訪問互聯網或訪問外部應用其次是企業外部人員訪問企業內部資源最后是企業內部人員訪問企業內部資源企業員工安全訪問互聯網或外部應用企業管理員工終端設備（如：電腦、手機或平板電腦）SASE網絡安全：SASE量安全檢測能力。支持網絡訪問控制的能力。支持檢測和防護從企業內到外部的網絡攻擊行為。UEBA0dayNdayDNS斷。內容安全：SASE網行為管控。P2P、網盤、網絡購物、股票、游戲、即時通訊等主流應用協議。P2P即時通訊等應用進行阻斷或者限速。URL過濾。支持上網行為審計，對員工訪問的網站、應用、郵件等進行審計。支持上網行為分析，幫助企業以泄密風險、工作效率、離職傾向等維度幫助企業降低風險。數據安全：SASE和終端數據泄露防護。過郵件、WEB、FTP制；對敏感數據的終端使用行為進行監控。企業外部人員安全訪問企業內部資源SASESASE網絡安全支持網絡訪問控制的能力。支持檢測和防護從企業外部到內部的網絡攻擊行為。0dayNdayUEBA支持內置惡意域名庫，針對DNS流量進行分析、檢測與阻斷。應用安全支持應用常見安全漏洞掃描。支持0Day等高級威脅漏洞掃描。HTTPHTTPSCC支持網頁篡改、惡意爬蟲攻擊防護。數據安全過郵件、WEB、FTP支持傳輸加密：外部與內部資源的交互都采用加密協議。支持數據加密：內部資源的關鍵數據采取加密方式存儲。支持數據安全審計：對數據資源的訪問和使用行為進行審計。支持存儲敏感數據發現：支持發現存儲在服務器和數據庫中的敏感數據。企業內部人員安全訪問企業內部資源從用戶角度來看，SASE（Agent）SASESDPWebDLPSASE訪問模式能力B/SC/SAgent支持多種終端設備接入能力，如PC、手機、Pad等設備。身份安全能力支持雙因子認證的安全能力，如賬戶密碼+短信認證，賬戶密碼+動態口令等。支持對接AD，LDAP等第三方認證服務的能力。支持生物認證能力，如人臉識別、指望識別等。零信任安全評估能力零信任評估支持動態評估算法，具有基于身份、基于終端安全狀況、基于行為、基于環境動態進行綜合分析與評估的能力，為安全訪問的策略判定提供依據。支持接收、分析、處理內部或外部安全分析系統所收集的信息的能力，進行更精準的風險識別和信任評估，收集的信息如用戶賬戶信息、安全分析信息、日志信息等；支持數據處理能力，支持數據清洗、歸并、格式化等，滿足算法的數據格式要求；支持人工智能等技術建設算法模型，并支持人工方式配置安全評估規則。零信任安全控制策略能力的決策。其他安全能力能力WebDLPAgentEDRAgent全訪問易用性。SASE安全訪問內部資源的需求和內部人員安全訪問內部資源的需求。SASE連鎖及加盟企業166900店網點遍布中國40010諸如客房預訂、旅客入住登記涉及公民隱私的敏感數據。4MIT用戶需求用戶希望采用基于SD-WANSASEWANWANWANWAN數據泄露等安全風險。解決方案SD-WANSASE3圖3連鎖類SASE整體解決方案2SD-WANABPOPSD-WAN，采用雙機熱備方式，避免單點故障，4G/5GHASD-WANvPOPvPOPABvHUBBGP功能，實現全網路徑感知。hub、popSD-WAN鎖或加盟網點設備、線路故障，都具備冗余，確保業務連續性。vPOPZTNAFWSaaS網點與集團數據中心的安全互訪，并避免遭受網絡攻擊和數據泄露。方案優勢全網冗余、確保業務連續性：所有設備、線路、PoP計，避免單點故障。SD-WAN解決傳統設備開局慢，需要專業運維人員的問題。網點上線無需專業運維人員，通過郵件、手機開局等方式，讓控制器自動獲取完整配置。通過控制器實現是設備自動組網，最大程度規避人工配置出現失誤。等合規性要求。PoP戶的需求，加速分支業務的開通。跨地域分支機構VPN網上的SaaS和公有云服務。用戶需求：分支機構用戶能夠訪問到總部的資源支持新分支的無縫擴展對分支機構用戶終端設備的安全管理夠充分歷利用訪問總部或公有云資源時保護通信數據的安全全球性集團企業還需要考慮全球網絡的訪問延遲問題解決方案：IDCSaaS4SASESASE支機構部署多套安全設備也能節省