隨著數(shù)字化轉型進程推進，云網(wǎng)融合加速發(fā)展，企業(yè)對于網(wǎng)絡信息安全提出了更高要求。如何將靈活的云網(wǎng)基礎能力和全面的安全防護能力更好地融合，逐漸成為市場關注的焦點。

“當下，我們發(fā)現(xiàn)客戶除了擁有靈活組網(wǎng)需求，也更加關注安全服務訂閱需求，需要簡化網(wǎng)絡安全能力部署和運維、降低Capex投資，彈性升降速，這些需求在招標項目中日益體現(xiàn)。”互聯(lián)科技第一線產(chǎn)品總監(jiān)徐頡在接受51CTO采訪時談到了他的觀察。

SASE正是為了回應這種期待而生。它并非單一技術的代稱，而更多地代表了一種融合“網(wǎng)絡+邊緣云化安全”的理念。作為近年來網(wǎng)絡安全領域的熱詞，SASE已經(jīng)從概念熱捧趨于冷靜，用戶接受度也日漸提高，開始尋求服務廠商交流相關解決方案。

而入局SASE賽道的玩家，既有網(wǎng)絡服務商、云廠商，也有專業(yè)安全廠商。其中，互聯(lián)科技第一線正憑借其云網(wǎng)安一體化交付方案在多方競逐中崛起為一股不可忽視的力量。

為何選擇SASE

過去企業(yè)數(shù)據(jù)存放在自建或托管的數(shù)據(jù)中心，因此傳統(tǒng)網(wǎng)絡安全架構的設計通常將數(shù)據(jù)中心作為訪問需求的焦點，架構復雜且存在延遲性問題。

更重要的是，當前企業(yè)的網(wǎng)絡環(huán)境和數(shù)據(jù)安全面臨著更多不確定性。首先，隨著業(yè)務全面上云，分布式部署、多云架構帶來的運維難度和安全風險也同步提高；再者，遠程辦公、移動辦公的普及，傳統(tǒng)網(wǎng)絡安全邊界被打破；最后，網(wǎng)絡建設和安全建設的割裂導致的成本和效率問題愈發(fā)突出，企業(yè)更傾向于由云網(wǎng)安一體化服務商統(tǒng)一納管。

正是在這一背景下，SASE出現(xiàn)了，并作為一種顛覆傳統(tǒng)架構的新范式受到廣泛關注。

作為Gartner在2019年提出的概念，SASE代表了一種新架構，整合廣域組網(wǎng)網(wǎng)絡功能和安全功能，從而滿足企業(yè)的動態(tài)安全訪問需求。后來Gartner又從SASE內(nèi)部劃分出一個“子集”SSE（安全服務邊緣）。

簡單來說，SSE是SASE的組成部分，專注于安全服務部分，而SSE之外的另一半則專注于網(wǎng)絡服務部分。Gartner預測，到2025年，80%的企業(yè)將采取利用單一廠商的SSE平臺訪問網(wǎng)絡、云服務和專用應用的策略。

可見SASE的發(fā)展后勁毋庸置疑，企業(yè)對網(wǎng)絡安全訂閱服務的需求也是時之所驅。為滿足不斷提升的用戶需求，此前專注于企業(yè)網(wǎng)絡服務的第一線，開啟了向SASE服務架構的升級之路。

架構升級：目標劍指“融合、簡化、彈性”

Gartner曾評估，SASE 市場處在不斷變化中，沒有哪家供應商可以提供全部SASE功能組合。有的供應商可以提供部分安全即服務，但缺乏SASE要求的SD-WAN功能。有的供應商能提供安全即設備，但并未在云原生全球網(wǎng)絡中，不具備邊緣節(jié)點部署SASE服務的條件。綜合來說，能力單一，POP點過少，嚴重限制了SASE的落地，云網(wǎng)安的一體化融合才是推進SASE服務的要義。

為此，第一線將過去積累的云網(wǎng)建設資源作為依托，自研的SD-WAN架構作為基礎支持，在產(chǎn)品、架構、團隊建設、交付模式等方面做了重定義與再升級。徐頡對此做了進一步介紹：

第一，推進POP節(jié)點支持SASE安全服務鏈功能，升級為SASE POP，提供如零信任網(wǎng)絡訪問(ZTNA)、防火墻即服務(FWaaS)、安全Web網(wǎng)關(SWG)、數(shù)據(jù)防泄露（DLP）與防入侵（IPS）等SASE安全服務。企業(yè)可根據(jù)不同場景需求進行靈活訂閱。據(jù)了解，第一線在100+城市建設了200+POP節(jié)點，服務能力覆蓋全球700+城市。目前，第一線已完成核心城市POP節(jié)點升級為SASE POP。

第二，推動SD-WAN與SASE平臺管理能力的融合，在現(xiàn)有SD-WAN平臺集成支持SASE安全服務鏈各項功能，通過API靈活調(diào)用安全組件的配置和狀態(tài)，幫助企業(yè)通過網(wǎng)安一體化平臺精細地把控網(wǎng)絡和安全態(tài)勢。

第三，推動整個服務交付團隊能力升級，培養(yǎng)安全工程師技術能力，通過相關安全認證機構以及安全廠商的技術認證，提升 “云網(wǎng)安”一站式解決方案交付能力，以整體業(yè)務視角保障SASE項目交付。

第四，從提供一站式網(wǎng)絡解決方案，升級為提供“網(wǎng)絡+安全規(guī)劃+項目落地實施+后期運營響應”的一站式網(wǎng)安解決方案。建設NOC（網(wǎng)絡運營中心）+SOC（安全運營中心）雙運營響應體系，為各類網(wǎng)絡故障和安全事件的解決提供敏捷高效的支撐保障。

徐頡談到，在SASE服務升級的過程中，第一線主要關注的就是三點——“融合、簡化、彈性”。

“一是要融合，本身我們有SD-WAN，在此基礎上怎么將安全服務能力與之進行融合；二是要簡化，網(wǎng)絡服務可以訂閱，安全服務同樣可以訂閱，用戶不需要再自己去部署和維護，這對用戶來說是做減法，對服務商來說就是如何實現(xiàn)統(tǒng)一交付；三是彈性，安全服務要像網(wǎng)絡服務一樣具備彈性，客戶在其簽約的生命周期內(nèi)可以實現(xiàn)靈活縮容或擴容?！?/p>

在這一目標的驅使下，第一線在云網(wǎng)服務基礎上加碼“安全”，形成了集SSE、SD-WAN組網(wǎng)、網(wǎng)絡與安全統(tǒng)一可視化管理于一體的一站式融合解決方案，逐漸完成從云網(wǎng)服務商到云網(wǎng)安服務商的蛻變。

場景適配：對癥下藥，為遠程辦公鑄就零信任防護

對于自身定位的升級，第一線有著清醒的認識。徐頡提到，同樣是提供網(wǎng)安服務，轉型到云網(wǎng)安服務商的第一線，和專業(yè)安全廠商之間還是有著明顯的差異。

“對于安全廠商來講，擅長的是安全技術加安全解決方案，通常賣的都是一次性的軟硬件打包的解決方案。而第一線的優(yōu)勢是為客戶提供專業(yè)一站式服務。所以，未來在SASE服務中，第一線會與頭部安全廠商合作，集成其安全功能，提供全生命周期的服務。雙方各自發(fā)揮所長。”

“服務”是第一線SASE的核心。而要提供貼近用戶需求的SASE服務，第一線從一開始就意識到要扎根場景，提煉出最基本的場景需求再進行設計、研發(fā)和迭代。

“第一線大量的存量客戶都是組網(wǎng)類型客戶，這類客戶的訪問需求通常是訪問分支機構、訪問總部/數(shù)據(jù)中心，還有疫情以來，遠程辦公用戶有所增多，遠程訪問需求量提升。”

因此，第一線SASE面向的三類基本場景分別為企業(yè)內(nèi)網(wǎng)安全、互聯(lián)網(wǎng)訪問、遠程安全接入。

針對總部/數(shù)據(jù)中心到分支的內(nèi)網(wǎng)安全，企業(yè)可通過SASE POP敏捷組建企業(yè)安全內(nèi)網(wǎng)，結合IPS實現(xiàn)對內(nèi)網(wǎng)威脅流量的把控與攔截，結合DLP防止關鍵文件被非法拷貝下載；針對企業(yè)訪問互聯(lián)網(wǎng)與SaaS服務，企業(yè)可基于SASE POP作為統(tǒng)一訪問出口，以收斂攻擊面，減小入侵與惡意攻擊威脅。結合SWG能力可提供網(wǎng)站動態(tài)分類，自動屏蔽對有安全威脅網(wǎng)站的訪問行為；針對分散的遠程辦公人員接入企業(yè)，第一線零信任圍繞訪問者身份，賦予其對應用的最小操作權限，通過微隔離和動態(tài)身份驗證，進而實現(xiàn)對企業(yè)數(shù)據(jù)訪問的“貼身”保護。

就遠程辦公場景來說，零信任模型的引入可以基于不同用戶實現(xiàn)差異化應用授權，提升用戶接入安全性控制。因為零信任強調(diào)“永不相信，始終驗證”。但是近年來關于“零信任”的議題也屢屢引起爭議，比如零信任改造的成本問題，零信任是否有“過度防御”之嫌。

對此，徐頡認為，零信任的實施首先要關注用戶需求?！耙獙嵤┝阈湃?，需要企業(yè)用戶提前規(guī)劃好各類應用定義以及不同用戶的授權策略，以實施精細化的管理，安全管控效果肯定是增強的，但這需要理念的轉變和花費相當?shù)臅r間。如果一個客戶沒有特別復雜的應用，訴求也比較簡單，硬要實施零信任會導致成本的提升?！?/p>

在徐頡看來，零信任對傳統(tǒng)安全策略來說更像是一種替代升級?！八皇峭耆嵏布韧募夹g，整體而言，零信任是對傳統(tǒng)安全策略的一次迭代升級。零信任和傳統(tǒng)安全策略可以融合共生，兩者在能力上相輔相成，共同為企業(yè)提供更加完善的安全防護?！?/p>

落地：打造差異化優(yōu)勢，向云網(wǎng)安一體化時代邁進

縱觀國內(nèi)外SASE市場，入局者眾多，但市場競爭格局尚不穩(wěn)定。第一線要脫穎而出，打造差異化優(yōu)勢是必然路徑。徐頡談到，第一線將圍繞以下四個方面發(fā)力。

其一，敏捷交付。“第一線有標準的網(wǎng)絡節(jié)點，但有些客戶還是希望能有就近的接入點。如何把安全服務鏈的能力下沉到更多POP點是我們一直在考慮的問題。目前，第一線SASE可實現(xiàn)最快一小時內(nèi)搭建SASE POP，滿足客戶就近獲取安全的要求?！?/p>

其二，彈性伸縮。“SASE要作為SaaS服務的一種形態(tài)，必須保證彈性伸縮落到實處?？蛻粝聠魏鬅o需等待，馬上可依據(jù)自身發(fā)展需求，對安全與網(wǎng)絡服務進行按需訂閱，實現(xiàn)最優(yōu)的成本投入?！?/p>

其三，一站式管理。“我們提供服務是在SD-WAN平臺上把相應的SSE功能集成支持進去，讓客戶通過第一線SD-WAN & SASE管理平臺，對全局網(wǎng)安態(tài)勢進行可視化監(jiān)控與分析，以精準處置問題。”

其四，精細化管控。除了統(tǒng)一配置之外，管理平臺還要支持編排安全與網(wǎng)絡策略，基于策略驅動，以便各應用可以獲得最佳的網(wǎng)絡資源與安全防護支撐。

如何以差異化優(yōu)勢推進SASE落地？徐頡以某消費電子客戶為例進行了介紹，該客戶希望能為各分支機構提供統(tǒng)一安全互聯(lián)網(wǎng)出口訪問Internet和SaaS，避免外部入侵和惡意攻擊。同時，客戶還比較注重內(nèi)網(wǎng)的數(shù)據(jù)資產(chǎn)安全，但不想過多參與安全的部署中，希望簡化客戶側的運維管理。最終，第一線基于SASE POP向客戶提供統(tǒng)一的互聯(lián)網(wǎng)出口，并按需開啟“防火墻、入侵檢測、數(shù)據(jù)防泄漏、URL過濾、防病毒、反爬蟲”等互聯(lián)網(wǎng)出口安全訂閱功能。總體來說，客戶對交付的方案比較滿意。第一，安全策略基于云端統(tǒng)一管理，網(wǎng)絡安全一站式編排，簡化了客戶側運維管理。第二，客戶可基于各個分支機構實際的業(yè)務規(guī)模和流量，訂閱不同階梯的SASE服務，且在合約期內(nèi)可支持彈性擴縮容，有效節(jié)約了成本。

在云網(wǎng)安一體化的構建之路上，第一線邁出了堅實的一步。展望未來的征程，面向云網(wǎng)安融合的時代，立足云網(wǎng)安服務商的定位，第一線有著更多的藍圖需要實現(xiàn)：繼續(xù)升級擴建SASE服務接入能力；與頭部安全廠商加深合作，打造定制網(wǎng)安方案；引入AI功能，對網(wǎng)絡故障和安全事件預判、檢測、告警，增強網(wǎng)安智能化運維……

“道阻且長，行則將至；行而不輟，未來可期?！币粚崝?shù)字經(jīng)濟底座，推動數(shù)字基礎設施的互聯(lián)互通與創(chuàng)新發(fā)展，離不開產(chǎn)業(yè)鏈上下游企業(yè)的攜手共進。徐頡表示，第一線會以SASE產(chǎn)品發(fā)布為契機，未來將與更多合作伙伴及企業(yè)用戶攜手同行，打造產(chǎn)業(yè)共贏新生態(tài)。