如何走上有效的SASE之路

作者：硅谷技术联盟首席顾问Paul Kohler时间：2021-03-09来源：电子产品世界收藏

SASE（安全访问服务边缘）：是市场炒作还是下一波热潮？对于快速变化的企业IT环境，这是一个可行的安全性答案？作为SASE的解决方案如今是否在销售真正的SASE产品？还是他们大多在进行中？什么是“真正的SASE”？

本文引用地址：http://www.eepw.com.cn/article/202103/423277.htm

在此博客中，您将找到所有这些问题的答案以及更多内容！我将解释SASE实际上是什么，是什么驱动了SASE迁移，大多数供应商仍然有什么工作，以及为什么如果您希望SASE有效地工作并履行其许多承诺，就必须有一个组件。

什么是SASE？

首先，SASE不是一种技术，甚至不是一种特定的体系结构。是一个概念模型。这个模型有一个引人注目的简单性：SASE是集成安全和广域网(WAN)作为云服务交付的承诺。这种云服务是通过世界各地的接入点提供的，使工人和他们需要的IT资源之间能够进行尽可能快的连接。

SASE是炒作还是真实？

好吧，首先，使SASE更具吸引力的企业IT环境的两个主要变化是非常真实的：

1.应用程序和数据已转移到云中，并且

2.工人正在从总部办公室搬到当地的分支机构，共同工作空间，家庭办公室和咖啡店。

企业网络架构随时间的演变

随着新冠病毒的到来，从现场解决方案的转移已经加快，公司流量的大部分完全转移到分公司、校园和企业网络之外。金融、保险、科学、技术、电信、销售和服务等部门的许多公司已承诺将其雇员永久转移到远程工作。这些公司目前没有足够的安全或网络解决方案来解决这样的环境，因此我们可以期望SASE的激增来满足这一需求。

然而，其他部门，如医疗保健、零售、制造业、交通、农业、政府和公用事业，都有其员工必须继续在办公室工作的商业模式。对于这些企业，SD-WAN将继续满足他们的主要需求。由于SD-WAN已经存在了大约8年，这些公司基本上已经部署了它。

但是，他们仍将需要SASE来填补连接性和安全漏洞。与所有其他行业一样，在这些行业中，包括工业物联网网络在内的边缘网络的数量正在增加，并且需要以满足其特殊带宽，延迟和安全性要求的方式进行集成。因此，我们可以预计，所有行业的增长，解决方案投资和部署将主要在SASE领域进行。换句话说，对SASE解决方案的需求和随之而来的投资确实是非常现实的。

什么是“真实的SASE”，我们今天在哪里？

在最初的SASE论文中，Gartner认识到基于安全设备堆栈，多供应商服务链以及通过解密和重新加密进行流量检查的网络和安全架构无法扩展。因此，需要具有以下功能的新解决方案：

● 单一的统一云安全服务，策略决策引擎，管理，配置和用户界面（UI）

● 识别敏感数据/恶意软件的能力

● 优化了内容的加密和解密（例如，选择性地使用解密，并在多个服务之间使深度数据包检查（DPI）的结果相互关联–即单遍DPI）

● 超可扩展的线速数据处理

● 持续的适应性风险和信任评估

● 分布式全局互联网接入点(Pops)用于横向扩展

目前，有一些供应商的解决方案确实与SASE概念一致，他们确实提供了像上面这样的核心能力，最重要的是，他们提供了SASE模型固有的客户利益。

其中一些是本地的SASE初创公司，一些是添加了SD-WAN功能的云安全供应商，另一些是SD-WAN供应商，他们已经搬到云上，并完成了他们提供的安全服务。无论选择何种开发路径，大多数人在路线图中仍然有开放集成或架构目标。

此外，就Gartner对“真实”SASE定义中的一些细节而言，大多数供应商都在采取务实的方法，支持特定的客户需求，如维护混合环境，具有预先准备的SD-WAN功能，以保护投资或增强关键网络的安全性。一些人也在采取一种有度量的方法来处理像单通DPI这样的处方，这需要特定的工程来以最佳的方式解决它。简而言之，决定SASE最终外观的将是客户需求和供应商创新。

实时应用意识：有效的SASE必备功能

无论供应商采用哪种方法来开发SASE产品，都必须具备一项功能：实时应用程序感知。这对于驱动安全，网络策略和自动化的关键SASE功能至关重要。

Qosmos ixEngine^® 是Enea基于DPI的交通情报引擎，它使用高级分析功能以非介入方式从交通流中提取有关应用程序、服务、内容、用户、设备、交易和安全性的实时信息。它是专为集成到第三方应用程序而开发的，它提供了精确，精细的应用程序意识，对于从网络访问到流量控制到防火墙的每个核心SASE网络和安全功能都至关重要。它可以灵活地部署在Edge，数据中心或云中。

下表总结了SASE中如何使用应用分类，以及Enea Qosmos DPI引擎映射到这些用例的哪些特性。