SASE狂飆突進(jìn)，第一線加碼賦能算力時(shí)代_環(huán)球今熱點(diǎn)

（CWW）隨著企業(yè)數(shù)字化轉(zhuǎn)型的加速發(fā)展，業(yè)務(wù)上云逐漸成為剛需。云網(wǎng)融合的大趨勢(shì)下，越來(lái)越多的企業(yè)希望找到高效靈活的組網(wǎng)方案，快捷進(jìn)行總部與分支互聯(lián)及上云用云，為數(shù)字化轉(zhuǎn)型打下堅(jiān)實(shí)基礎(chǔ)。在此背景下，SD-WAN成為近年來(lái)備受關(guān)注的廣域網(wǎng)技術(shù)之一。

與此同時(shí)，多元的互聯(lián)場(chǎng)景、線上線下混合辦公模式的普及，使企業(yè)面臨的數(shù)字安全威脅與日俱增。在組網(wǎng)能力之外，如何構(gòu)建全面的安全防護(hù)體系，亦成為千行百業(yè)必須直面的挑戰(zhàn)。SD-WAN與SASE安全架構(gòu)的融合開(kāi)始備受矚目。

(資料圖片)

在日前舉辦的第五屆SD-WAN & SASE峰會(huì)上，互聯(lián)科技網(wǎng)絡(luò)產(chǎn)品事業(yè)部總監(jiān)熊學(xué)濤向與會(huì)嘉賓分享了第一線在云網(wǎng)安一體化服務(wù)方面的技術(shù)創(chuàng)新與行業(yè)實(shí)踐。

SD-WAN整體的發(fā)展態(tài)勢(shì)如何？如何看待SD-WAN與SASE之間的關(guān)系？SASE如何解決行業(yè)用戶(hù)的痛點(diǎn)？未來(lái)第一線將如何推進(jìn)云網(wǎng)安一體的專(zhuān)業(yè)服務(wù)？會(huì)后，51CTO采訪了熊學(xué)濤，就上述議題進(jìn)行了充分探討。

MPLSVPN還是SD-WAN？這不是一個(gè)問(wèn)題

在很長(zhǎng)一段時(shí)間里，MPLS VPN 一直是企業(yè)組織青睞的組網(wǎng)首選。不過(guò)自SD-WAN嶄露頭角后，尤其是隨著互聯(lián)網(wǎng)最后一公里質(zhì)量和帶寬的不斷提升，更多企業(yè)開(kāi)始面臨“MPLS VPN還是SD-WAN”的抉擇。而今，隨著SD-WAN的技術(shù)逐步成熟，其在網(wǎng)絡(luò)管控方面的優(yōu)勢(shì)充分彰顯，用戶(hù)對(duì)其認(rèn)可度亦顯著提升。

熊學(xué)濤認(rèn)為：“當(dāng)前SD-WAN已步入發(fā)展成熟階段，在企業(yè)中具備較高的滲透率。從近幾年來(lái)看，其年復(fù)合增長(zhǎng)率也很可觀，持續(xù)領(lǐng)跑企業(yè)組網(wǎng)服務(wù)市場(chǎng)。隨著企業(yè)上云需求不斷增長(zhǎng)，遠(yuǎn)程辦公場(chǎng)景持續(xù)涌現(xiàn)，SD-WAN的應(yīng)用將越來(lái)越廣泛，幫助企業(yè)實(shí)現(xiàn)高效互聯(lián)與上云。由此SD-WAN后續(xù)還將迎來(lái)更快速的發(fā)展?！?/p>

對(duì)于MPLSVPN與SD-WAN之爭(zhēng)，熊學(xué)濤認(rèn)為兩者并不是非此即彼的關(guān)系。本身兩者各有長(zhǎng)處，MPLSVPN具備可靠的數(shù)據(jù)包傳送能力，可以應(yīng)用于總部與大型數(shù)據(jù)中心互聯(lián)。SD-WAN具備快速開(kāi)通、節(jié)約成本、敏捷上云等特點(diǎn)，滿(mǎn)足企業(yè)快速拓展分支門(mén)店，并進(jìn)行統(tǒng)一化管理的需求。企業(yè)需要根據(jù)自身情況權(quán)衡，是選擇SD-WAN還是MPLS VPN，還是將MPLS VPN與SD-WAN合理結(jié)合。

熊學(xué)濤介紹，第一線以MPLS VPN起步，同時(shí)也是國(guó)內(nèi)首批推出SD-WAN業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)商，目前服務(wù)六千多家國(guó)內(nèi)外企業(yè)，提供MPLS VPN+SD-WAN的混合組網(wǎng)解決方案，依托100+城市的200+POP節(jié)點(diǎn)資源，針對(duì)企業(yè)總部-分支-云-IDC多種場(chǎng)景，提供一站式組網(wǎng)服務(wù)，通過(guò)二者相輔相成，充分滿(mǎn)足企業(yè)數(shù)字化轉(zhuǎn)型的多元需求。

云網(wǎng)安融合的演進(jìn)：SASE=SD-WAN+SSE

固然SD-WAN正在成為企業(yè)組網(wǎng)服務(wù)領(lǐng)域的寵兒，但是在具體實(shí)踐中，依靠單一的組網(wǎng)能力已經(jīng)很難切實(shí)解決用戶(hù)既有痛點(diǎn)。熊學(xué)濤指出，越來(lái)越多企業(yè)希望網(wǎng)絡(luò)融合安全，從而一站式滿(mǎn)足自身轉(zhuǎn)型進(jìn)程中的需求。而SASE的出現(xiàn)，在一定程度上為這個(gè)問(wèn)題提供了新的解決方案。

根據(jù)Gartner的定義，SASE（Secure Access Service Edge，安全訪問(wèn)服務(wù)邊緣）是一種整合廣域組網(wǎng)網(wǎng)絡(luò)功能和網(wǎng)絡(luò)安全功能的新興產(chǎn)品，為企業(yè)數(shù)字化轉(zhuǎn)型升級(jí)提供可訂閱的安全服務(wù)。

“SD-WAN從發(fā)展伊始，并未十分強(qiáng)調(diào)安全。但在企業(yè)網(wǎng)絡(luò)邊界不斷延展、IT架構(gòu)日趨復(fù)雜、網(wǎng)絡(luò)攻擊威脅日盛的新態(tài)勢(shì)下，用戶(hù)對(duì)安全的需求逐步提升。而到了今天，SASE的定義已經(jīng)比較明確。SASE就是SD-WAN與SSE（Security Service Edge）功能的整合，其本身就是網(wǎng)絡(luò)+邊緣云化安全的結(jié)合體?！?/p>

概括來(lái)說(shuō)，首先，SASE是SD-WAN網(wǎng)絡(luò)能力的再演進(jìn)，也是面向邊緣云網(wǎng)的再創(chuàng)新。再者，SD-WAN網(wǎng)絡(luò)是支撐SASE架構(gòu)落地與發(fā)展的基石。廣布的SD-WAN POP節(jié)點(diǎn)，具備了向邊緣云原生安全SASE POP點(diǎn)演進(jìn)的基礎(chǔ)。企業(yè)多元化的數(shù)字化應(yīng)用場(chǎng)景又需要SASE的安全保障隨需而至。在兩者的深度融合中，SASE將SD-WAN與網(wǎng)絡(luò)安全訪問(wèn)集成于邊緣云網(wǎng)服務(wù)基礎(chǔ)設(shè)施中，實(shí)現(xiàn)了一種能適應(yīng)當(dāng)前企業(yè)網(wǎng)絡(luò)流量模型的安全架構(gòu)。

熊學(xué)濤表示：“現(xiàn)在SASE主推的就是將網(wǎng)絡(luò)和安全服務(wù)一站式交付給企業(yè)，這也是SD-WAN廠商特別關(guān)注SASE演進(jìn)的原因。由于企業(yè)需求越來(lái)越綜合，需要盡可能解決所有問(wèn)題的一體化方案。如果只專(zhuān)注于組網(wǎng)，而不做安全，將無(wú)法滿(mǎn)足新要求。”

基于這一認(rèn)知，第一線打造了一站式云網(wǎng)安融合解決方案，推進(jìn)SD-WAN融合SASE安全架構(gòu)，在距企業(yè)最近的POP節(jié)點(diǎn)提供企業(yè)級(jí)安全服務(wù)；打造SD-WAN與SASE一體化管理平臺(tái)，助企業(yè)可視化統(tǒng)管網(wǎng)絡(luò)與安全；推動(dòng)SD-WAN網(wǎng)絡(luò)整合第一線OCD邊緣云、公有云，助力企業(yè)快捷一網(wǎng)入多云，構(gòu)建混合云架構(gòu)。

SASE的本質(zhì)：動(dòng)態(tài)重構(gòu)企業(yè)的邏輯安全邊界

從SASE本身的定義來(lái)看，它包含SWG安全Web網(wǎng)關(guān)、CASB云訪問(wèn)安全代理、FWaaS防火墻即服務(wù)、ZTNA零信任網(wǎng)絡(luò)等等，其功能幾乎覆蓋了企業(yè)組網(wǎng)的全場(chǎng)景。

熊學(xué)濤談到：“細(xì)究SASE的細(xì)節(jié)，可以發(fā)現(xiàn)它的初衷就是以全面的防護(hù)能力，覆蓋所有安全挑戰(zhàn)。當(dāng)然并非所有企業(yè)都需要其全部功能，如針對(duì)遠(yuǎn)程辦公的安全訪問(wèn)，僅需訂閱零信任服務(wù)即可?！?/p>

在熊學(xué)濤看來(lái)，采用過(guò)云服務(wù)的客戶(hù)，對(duì)SASE服務(wù)接受度會(huì)相對(duì)較高。因?yàn)樗c云上應(yīng)用，按需訂閱、彈性擴(kuò)縮容的特性相同。具體而言，SASE基于邊緣云化部署，客戶(hù)在新增某些安全能力需求時(shí)，無(wú)需增加任何硬件設(shè)施，直接訂閱，即開(kāi)即用。

那么SASE到底是如何發(fā)揮其作用的呢？熊學(xué)濤以ZTNA零信任網(wǎng)絡(luò)訪問(wèn)這一應(yīng)用場(chǎng)景進(jìn)行了說(shuō)明。

以某制造業(yè)企業(yè)為例，該企業(yè)在中國(guó)及東南亞國(guó)家建有工廠。經(jīng)常出差的業(yè)務(wù)人員會(huì)在Internet、4G/5G等多元網(wǎng)絡(luò)環(huán)境下，接入企業(yè)私有云，進(jìn)行訪問(wèn)設(shè)計(jì)圖紙、調(diào)用OA系統(tǒng)等操作。在安全方面，該企業(yè)希望工廠、業(yè)務(wù)人員采用安全的方式訪問(wèn)企業(yè)關(guān)鍵資源與應(yīng)用。

第一線SASE的ZTNA解決方案，會(huì)從接入前到接入后，全程對(duì)工廠、移動(dòng)辦公人員進(jìn)行一系列系統(tǒng)的安全監(jiān)測(cè)與限制，保護(hù)客戶(hù)關(guān)鍵資源與應(yīng)用安全可控。落實(shí)到具體場(chǎng)景，表現(xiàn)為：

●人員登錄和終端的接入認(rèn)證（遠(yuǎn)程和移動(dòng)辦公場(chǎng)景）。ZTNA會(huì)對(duì)訪問(wèn)的人員/設(shè)備進(jìn)行多因素的身份與終端安全認(rèn)證。安裝于授權(quán)設(shè)備上的ZTNA 代理客戶(hù)端會(huì)將當(dāng)前安全環(huán)境、身份等多元信息，發(fā)送到云端控制系統(tǒng)進(jìn)行驗(yàn)證，通過(guò)之后，才允許連接至安全網(wǎng)關(guān)，進(jìn)行下一步操作。

●企業(yè)應(yīng)用與數(shù)據(jù)的安全訪問(wèn)。人員/設(shè)備接入后，無(wú)論是訪問(wèn)內(nèi)網(wǎng)應(yīng)用與數(shù)據(jù)，或者訪問(wèn)云上應(yīng)用與數(shù)據(jù)，ZTNA都能提供良好保護(hù)。基于ZTNA微分段的特性，企業(yè)總部、工廠、移動(dòng)工作人員/設(shè)備在通過(guò)身份驗(yàn)證后，將被授予對(duì)特定設(shè)備、應(yīng)用程序或資源的最低訪問(wèn)權(quán)限，如需訪問(wèn)其他設(shè)備、資源或數(shù)據(jù)，需要再次進(jìn)行權(quán)限認(rèn)證或權(quán)限升級(jí)，而該人員無(wú)法看到、訪問(wèn)、拷貝其它未授權(quán)的應(yīng)用程序或資源。同時(shí)該人員此次訪問(wèn)完畢后，權(quán)限就此注銷(xiāo)。此外，ZTNA還會(huì)持續(xù)對(duì)接入網(wǎng)絡(luò)的人員/設(shè)備操作檢查驗(yàn)證，并進(jìn)行動(dòng)態(tài)策略調(diào)整。如果檢測(cè)到不合規(guī)操作，ZTNA可以立即對(duì)相應(yīng)的人員和終端的權(quán)限進(jìn)行降級(jí)，切斷進(jìn)一步的非法訪問(wèn)。

熊學(xué)濤總結(jié)道，采用SASE架構(gòu)，企業(yè)邊界不再是一個(gè)位置，而是一組動(dòng)態(tài)創(chuàng)建的、基于策略的安全訪問(wèn)服務(wù)邊緣。依托安全策略集中編排分散執(zhí)行的特性，SASE將圍繞每一個(gè)邊緣云網(wǎng)POP點(diǎn)，為企業(yè)遠(yuǎn)程辦公、多云、混合云等復(fù)雜場(chǎng)景提供所需的安全保障，預(yù)防出現(xiàn)安全威脅盲點(diǎn)。同時(shí)，企業(yè)可通過(guò)統(tǒng)一控制平臺(tái)對(duì)網(wǎng)絡(luò)進(jìn)行全局集中化管理與威脅分析，進(jìn)而更加精準(zhǔn)且敏捷的響應(yīng)處置安全問(wèn)題。所以整體上來(lái)看，SASE就是一個(gè)非常完善的安全解決方案。

愿景：加速云網(wǎng)融合，筑基算力網(wǎng)絡(luò)

SASE目前仍是新興概念，但熊學(xué)濤認(rèn)為，SD-WAN與SASE的融合必然是大勢(shì)所趨。SASE概念的出現(xiàn)，不僅推動(dòng)網(wǎng)絡(luò)服務(wù)提供商關(guān)注安全能力的演進(jìn)，也撬動(dòng)了安全服務(wù)提供商開(kāi)始注重自身的網(wǎng)絡(luò)能力建設(shè)。

熊學(xué)濤表示，“第一線希望以自身的網(wǎng)絡(luò)能力為基礎(chǔ)，進(jìn)一步發(fā)展安全能力，為客戶(hù)提供簡(jiǎn)便而全面的服務(wù)。簡(jiǎn)便，意味著輕量化、便于開(kāi)通、便于運(yùn)維。全面，意味著第一線希望盡可能做的全面，能有機(jī)會(huì)去覆蓋更多場(chǎng)景和功能。第一線的愿景是成為‘網(wǎng)絡(luò)+云+安全+算力’的整體解決方案服務(wù)提供商。”

未來(lái)，第一線的整體演進(jìn)策略，一是追求SD-WAN組網(wǎng)能力不斷外延，能力不斷提升。二是以二十多年積累的網(wǎng)絡(luò)能力和云網(wǎng)融合能力為基礎(chǔ)，將邊緣網(wǎng)絡(luò)POP全面升級(jí)為SASEPOP，提供網(wǎng)絡(luò)+安全的解決方案。三是緊跟算力網(wǎng)絡(luò)建設(shè)及發(fā)展的趨勢(shì)，不斷探索SD-WAN+SASE+算力的融合。

寫(xiě)在最后

根據(jù)Gartner預(yù)測(cè)，到2024年，SASE市場(chǎng)規(guī)模將從2019年的19億美元攀升至110億美元。SASE賽道必將迎來(lái)傳統(tǒng)IT廠商、云廠商、安全廠商等多方勢(shì)力的競(jìng)逐。第一線不斷探索實(shí)踐SD-WAN與SASE的融合，正是這一大勢(shì)下廠商努力布局，筑基算力網(wǎng)絡(luò)時(shí)代的縮影。未來(lái)如何從產(chǎn)品、資源、服務(wù)等多維度升級(jí)，幫助企業(yè)快速獲得高品質(zhì)的網(wǎng)絡(luò)+安全+算力服務(wù)，我們拭目以待。

關(guān)鍵詞：