安全訪問服務邊緣技術與應用場景2022目錄SASE發展概況 4業量云發，傳架難滿需變化 4全問務緣運而，力業技升級 6外SASE發起早，內SASE取階性成果 7SASE業展速數字轉和全規為驅力 9SASE關鍵技術與架構 12SASE建大力，全支差化景務 13SASE現術合網絡安和控術為關鍵 21SASE署構活樣，需用同力件 31SASE應用場景 36景：分機安全網 36景：業全規建設 39景：業合公 41景：聯安防護 44SASE未來展望 46SASE場入速長期各競逐激烈 46SASE備術合勢，AI和5G能術新 47SASE用域場將向在發展 48云網產業推進方陣SASE技術白皮書（云網產業推進方陣SASE技術白皮書（2022）PAGEPAGE10SASE發展概況企業流量向云端發展，傳統架構難以滿足需求變化IT網絡。微系列Cloud在此背景下，企業發展越來越多地呈現門店或分支機構協同的、分散化經營模式，雖然顯著提高生產力和效率，但同時伴隨著安全和2020:網絡應用感知不足用程序。遠程接入性能較低：為了加快業務響應速度，滿足移動辦公VPN數據安全威脅增加ITSASE為企業IT安全訪問服務邊緣應運而生，助力產業與技術升級2019GartnerAccessService的概念，并定義為是一種基于實體的身份、實時上下文、企業安全/策略，以及在整個會話中持續評估風險/SASESASESASESASESASE1圖1SASE服務模型下面圍繞組成SASE的四個詞語具體闡述SASE的內涵。而無需通過MLPS或VPN連接，在SASEWeb入侵防御等安全能力，抵御復雜的網絡攻擊和數據丟失，防止基于Web的威脅和惡意軟件，同時具備低延遲和高可用性。訪問（Access）：身份附加到每個企業資源的訪問主體：人員，服務（Service）：將網絡能力和安全能力以服務的形式提供給SASE邊緣（Edge）：經濟和技術的演變帶來了多種多樣的接入方式，SASESASEPOPSASE國外SASESASE取得階段性成果GartnerSASE理念的解決方案于網絡解決方案的CatoNetworks的云原生架構不斷融合技Fortineweb1%。SASE2019年，Gartner提出SASE概念。SASE理念一經定義，行業與客戶的熱情不斷激增，以至于SASE供應商無法滿足大量企業需求。與此同時，供應商的炒作也使得SASE的市場理念越發復雜。SASESASESASE階段三：SASE標準化工作初有成果，行業逐漸達成共識SASE階段四：SASE逐步落地，距離大規模應用仍存在一定距離SASESASESASESASESASESASESASEITIT架構發20209（SASE從2017年《中華人民共和國網絡安全法》正式頒布實行，到20192.0SASEEDR位置分散而需部署多套安全產品的數量，降低安全建設成本。此外SASE20199（202082020SASESASESASE關鍵技術與架構云網產業推進方陣SASE云網產業推進方陣SASE技術白皮書（2022）PAGEPAGE13SASESASE包含的關鍵技術與架構是至關重要的。本章的組成如圖2SASESASE目前可以支撐SASE符合SASE圖2SASE關鍵技術與架構的邏輯SASE網絡能力設計SASE應具備基礎網絡連接能力，實現用戶終端、分支、數據中心間數據互通、網絡管理與加速等能力。CPE、軟件vCPE軟件等；云網產業推進方陣SASE技術白皮書（云網產業推進方陣SASE技術白皮書（2022）PAGEPAGE14TCP/UDPIP地址、Mac能力；SSLSSLwebmail、web-bbs、imapsmtpQoS口、IP基礎QoS高級QoSIPMacTCP/UDP協議進行選路能力；智能選路能力：流量傳輸過程中發生鏈路質量（丟包）PoPPoPPoPOverlay或Underlayweb應用安全能力設計證；小權限；/工具，、OPENIDOIDC等方式；多重身份認證能力：進行圖形驗證、安全令牌、生物識別等。ITDDoSARPIT0Day描；SaaSFTP操作系統識別能力：識別主流的操作系統，包括、Linux、MacOS、Android、IOS云能力設計（1）分布式能力：（windowsmaciosandroid、linux）進行部署；云網產業推進方陣SASE云網產業推進方陣SASE技術白皮書（2022）PAGEPAGE19租戶資源管理：允許租戶查看與調用相應所屬的設備與資源；統一管控能力設計（）；云網產業推進方陣SASE技術白皮書（云網產業推進方陣SASE技術白皮書（2022）PAGEPAGE20IT（IP地址范圍、特定身份范圍）。ZTP載；資產識別能力：自動識別獲取網絡中的設備以及他們間關系信息；MacLinus列表。SASESASESASE（ZTNA）網絡關鍵技術全稱SoftwareDefinedAreaNetwork,中文名稱SDNSDN與的-N考慮到企業很多實際場景，而SDN3圖3SD-WAN組網示意圖SASESASESASESD-WANSASESASE服務；SASESD-WANIDCSD-WAN依托SDN軟件定SASE（CDN）技術CDN4SaaS圖4內容分發網絡原理圖CDNSASESaaSCDN升SASESaaSSASE的抗DDoSCDN安全關鍵技術（ZTNA）技術IT零信任的基本原則歸納如下：5圖5零信任訪問邏輯架構圖零信任訪問技術為SASE架構的資源訪問安全問題提供了解決零SASESASE防火墻即服務（FWaaS）是將下一代防火墻云化部署的，提供靈活交付的防火墻服務，主要面向分支機構和移動用戶的保護。FWaaS為SASESASESWG安全網關(SWG)主要功能是阻止惡意內容訪問端點以URL、AppSWGSASERBIDLPDataLossProtection/DataLeakProtection（DLPDLPWEB網關網關DLPSASE圖6DLP能力框架圖CASB（CloudAccessSecurityBroker，CASB）CASB可以識別CASB在SASESASE中必不可少的關鍵組件。RBIRBIZTNA統一管控技術SASESASEDevOpsSASEK8SSASE服務微SASESASESR-IOV、DPDK底層平臺網卡性能，滿足SASE通過控制器下發流表，將客戶的流量牽引到SASE的POP點。針對POP點的安全能力如防火墻、WAF、IPS等進行流量編排圖7SASE流量編排架構圖入口節點和出口節點，并在服務鏈管理模塊中進行創建。SASESASE部署架構SASESASEPoP點的SASE架構SASE架構基于PoPSASE架構PoPSASESASEPoPPoP點的SASE架構的升級，目前SD-PoP點的SASE8PoP點的SASE基于PoP點的SASE架構有以下幾個部分組成：PoPSASESASEPoP點SASEPoP進運維操作入口，提供可視化界面以及APIPoPSASE架構SASEPoPPoPPoPPoP圖9基于接入網關的SASE架構SASEPoP進運維操作入口，提供可視化界面以及APIPoPSASE訪問流量架構量模型。Gartner在《TheFutureofNetworkSecurityIsintheCloud》一文中建議企業重新審視企業的出流量場景和入流量場景。（1）企業出流量架構WPS這類的Internet10所示。$βffi$?

9p@SASEAg@μ$p@

SD-YANOY@yly

SASECDN?JSD-YANp@9DNSFYSSYGZTNA

IP$@c

[$g$圖10企業出流量架構企業在出流量場景下的建設步驟為：第一步是利用ZTNA的身份認證服務，發現企業的影子IT（指不被企業IT管理的一些業務自己啟用的外部應用，如業務部門自己啟用的Github、外部HR應用、云網盤等等），審計工作人員的SaaS應用使用行為，防止敏感數據泄露；第二步，放行通過信任檢測的企業出流量；第三步通過FWaaS、SWG等防火墻限制不可靠訪問服務流量的通行；第四步將可放行的域名解析地址反饋給終端；第五步實現正常的應用加密訪問。（2）企業入流量架構（訪問內部應用）SASEJ9CDNJ??SASEJ9CDNJ??¤11AM,TN$fl}SD-YAN33.$$p@9SD-YANOY@yly?¤2.ZTNA2$flYAF/YAAPCloydFyg$UEBAZTNAIAM$βfip@ffiZTNAAg@μ$$?p@圖11企業入流量架構企業在入流量場景下的建設步驟為：第一步通過IAM認證授權，ZTNA控制器允許用戶接入；第二步ZTNA通過零信任網關實時控制用戶的連接；第三步安全訪問數據中心應用。SASE應用場景場景一：多分支機構安全組網應用場景需求分析全國甚至全球性企業，有分布在多地的分支機構，分支機構無法通過內網直接訪問到總部，大多企業分支直接訪問互聯網或者SaaS服務，分支結構安全保護較弱。MPLSSASE優勢SASE架構通過在分支機構出口部署SD-WAN設備將上網流量引流到SASE服務邊緣接入節點，主要有以下幾個優勢：SASE務；SASE架構某生鮮連鎖有限公司是一個農副產品市場品牌，目前已在上海、70某生鮮連鎖有限公司主要的需求一是無網絡冗余，每個門店和總VPN實依托于SASE4/5G鏈路進POP能云網，為客戶提供安全服務，項目SASE圖12某生鮮連鎖公司SASE架構圖場景二：企業安全合規建設應用場景需求分析SaaS服IT軟三是SASE優勢SASE6案例：某大型國企集團公司數字化轉型實踐某大型國企集團公司的數字化轉型主要有以下幾個需求：一是要建設統一業務系統云平臺，以“安全為先”，采用“公有云服務SASE一方面POP13SASE架構場景三：企業混合辦公應用場景需求分析以及不斷演變的安全威脅和新的潛在漏洞逐日遞增這些因素的影響SASE

圖14SASE混合辦公場景通過輕量級SASE/PC端；SASE加固為了走在教育信息化的前端、發展更好承載教育業務，某市教育SASEIT圖15某市教育局城域網SASE加固場景四：物聯網安全防護應用場景需求分析（AI能力終端的應用鑒權等進行評估，創建“終端可信-身份可信-行為可信”的完整信任鏈。總結上述智能終端上云需求：APISASE優勢SASE在物聯網安全防護場景中主要解決以下幾個問題:AISASE（/FW）/SASE安全網絡行為管理AISASE（人小腦”數據/業務安全SASERemoteAccessPOPMCS（Mobile-intranetCloudService）VPNvFWPOPSDNControllerSASEPOP（SASE16圖16某云端機器人運營商SASE安全網絡行為管理SASE未來展望SASEICTSASESASESASESASE2022-2025企業IT等技術帶來的新的計算、網絡、安