信息化觀察網(wǎng)

雖然安全訪問服務邊緣（SASE）模型有著清晰且明確的定義，但是一些變通的方法也可以達到同樣的效果，這給企業(yè)實現(xiàn)更高目標帶來了更大的靈活性。

正在評估安全訪問服務邊緣（SASE）模型的企業(yè)需要了解的是，部署方法多種多樣，企業(yè)可以根據(jù)未來需求和遺留網(wǎng)絡的實際情況進行定制。

Gartner的定義指出，SASE應將安全性內(nèi)置為網(wǎng)絡的一部分，并以云服務的方式提供，但是這可能并不適合所有企業(yè)。

根據(jù)企業(yè)的需求，將SASE作為托管服務包或是內(nèi)置在云托管的私有安全基礎設施架構(gòu)中交付可能更有意義。這兩種方案都可以實現(xiàn)同樣的目的。

了解SASE選項設置

在過去的40年時間里，WAN架構(gòu)基本上沒有什么大的變化。SD-WAN雖然向前邁進了一大步，提高了網(wǎng)絡效率，但是并未從根本上發(fā)生改變。作為廣域網(wǎng)（WAN）轉(zhuǎn)型的下一形態(tài)，SASE針對云計算、移動性等發(fā)展趨勢進行了專門的優(yōu)化。

SD-WAN的出現(xiàn)也帶來了新的安全挑戰(zhàn)。例如，SD-WAN簡化了為分支機構(gòu)配置分離隧道的工作，員工不必通過公司W(wǎng)AN和數(shù)據(jù)中心就可以直接訪問云端。這樣雖然可以改善用戶體驗并提升網(wǎng)絡效率，但是同時也形成了嚴重的安全漏洞。

要想解決這一問題，一個解決辦法是在每個分支機構(gòu)中都安裝防火墻，但是這種辦法費用較高，并且運維起來也很麻煩，因為讓數(shù)十個甚至數(shù)百個防火墻保持同步非常困難。

SASE解決這個問題的辦法是將安全功能集成到網(wǎng)絡上，讓其成為一種網(wǎng)絡服務。由于安全性和網(wǎng)絡管理是通過云完成的，因此管理員只需要修改一次就可以將其一次性推送到所有地方。

將安全性和網(wǎng)絡功能集成到網(wǎng)絡上不僅升級了網(wǎng)絡，還可以實現(xiàn)對WAN的改造。包括SD-WAN在內(nèi)的傳統(tǒng)WAN可連接并保護分支機構(gòu)和公司。SASE還可以讓企業(yè)連接遠程辦公人員、物聯(lián)網(wǎng)終端以及所有需要連接的設備。

對于企業(yè)來說，重要的是要了解SASE的使用方法。

云原生SASE

根據(jù)Gartner的定義，所有網(wǎng)絡和安全服務均可通過云端獲得是云原生SASE的一個重點特征。唯一的本地基礎設施也是類似于家用路由器這樣的輕量級硬件設備，其作用是將連接定向至云節(jié)點。

部分SASE供應商近期發(fā)布了一些能夠讓計算機和物聯(lián)網(wǎng)終端直接連接至云端的客戶端，用戶不需要購買額外的硬件。

這種方法的優(yōu)點是，在任何地方，哪怕只有一臺設備也都具有企業(yè)級安全性和網(wǎng)絡服務。缺點是如果某個地方設備較多，那么SASE就會生成大量網(wǎng)絡流量，原因在于所有的安全檢查都是在云端完成的。云原生SASE最適合的應用場景是高度分布式的企業(yè)，例如保險公司和零售商。

可從云端管理的本地SASE

盡管目前云浪潮已經(jīng)席卷全球，但是本地基礎設施仍然扮演著重要角色。由于是通過云端對SASE進行管理，因此每個地方都將擁有自己的路由器、防火墻、統(tǒng)一威脅管理（UTM）等安全設備。從云端管理對于成功至關重要，而云原生SASE恰好提供了易用性。

其最大的優(yōu)勢是所有安全檢查都在本地完成，這大大提高了大型站點的性能。明顯的不足是公司要為所有的地方都提供硬件，從而導致成本大幅增長。

這種方法的另一個優(yōu)勢是可以讓原來的一些投資不至于浪費。如果公司最近才購買了一些本地基礎設施，那么公司顯然不會輕易閑置這些設施。云托管可讓公司繼續(xù)使用那些相對較新的路由器、防火墻等設備。

云托管的本地SASE非常適合那些大量員工集中某一處的企業(yè)，例如制造企業(yè)和醫(yī)療機構(gòu)。此外，那些喜歡DIY模式的公司可能會更偏好這種方法。

托管SASE

盡管SASE具有許多優(yōu)勢，但是它們也確實增加了WAN的復雜性。例如，網(wǎng)絡工程師需要考慮在何處使用分離隧道，辦公室之間的網(wǎng)絡層級，如何設置安全性，創(chuàng)建用戶配置文件等諸多因素。老的WAN雖然效率不高，但是勝在網(wǎng)絡工程師需要考慮的東西也不多。

盡管SASE可使得公司能夠通過網(wǎng)絡做更多的工作，但是同時也將復雜性提高到一個新的高度，許多公司根本無法解決。托管SASE的優(yōu)勢是允許經(jīng)驗豐富的第三方配置和運行網(wǎng)絡。

缺點是公司會失去控制權。托管服務提供商的一個新趨勢是提供聯(lián)合托管服務，即公司可以只執(zhí)行自己擅長的任務，將其他的任務交給托管服務提供商。對于那些希望快速遷移至SASE同時風險承受能力強的公司來說，他們可以考慮一下托管服務。

混合部署也是一種選項

大多數(shù)的大型企業(yè)都可能會選擇混合部署，即混合使用云原生SASE和本地SASE。一家全球性律師事務所就是一個很好的例子，這家事務所會在每個國家設立一、二個辦事處，每個辦事處都有數(shù)百名員工。事務所可以在實體辦公室使用本地基礎設施，同時又通過云原生服務將在家遠程辦公的員工連接在一起。另一個例子是制造企業(yè)，其將本地基礎設施用于大型設備，將云服務用于連接自動化機器人。

SASE的部署策略

快速轉(zhuǎn)向SASE的一條捷徑是將目前的基礎設施交由設備廠商的云托管工具進行托管。早些年前的產(chǎn)品可能會提供這種選項，即便現(xiàn)在的客戶可能已經(jīng)不再使用了。這些工具可以確保將策略和配置參數(shù)能夠便捷地從傳統(tǒng)WAN遷移到SASE上。

如果選擇云原生SASE，那么公司應查看一下供應商是否提供了云托管的本地基礎設施選項。隨著公司辦公地點的不斷增加，這一點變得尤為重要。

在剛開始部署時，公司可能會因為有許多小的辦公地點，更偏向于選擇云解決方案。但是隨著時間的發(fā)展，辦公地點的規(guī)?？赡軙霈F(xiàn)增長，網(wǎng)絡負載的增加可能會引發(fā)許多問題。為此公司會希望改用云托管的本地基礎設施。理想狀態(tài)下，供應商會提供一個過渡計劃，以便在不中斷運營的情況下實現(xiàn)調(diào)整。

另一個關鍵考慮因素是安全性。盡管一些小型的SASE供應商也會擁有自己的安全堆棧，但是客戶可能更愿意選擇知名的供應商。目前許多SD-WAN供應商已開始與頂級安全公司合作，以完善其SASE功能。對此，客戶在做出選擇前了解清楚安全供應商的情況，以確保他們選擇的SASE安全供應商能夠與自己順利融合。

此外，盡管Gartner的定義中沒有提到，但是企業(yè)還應確保所選定的SASE提供商能夠提供帶有可見性和分析功能的多功能儀表板。網(wǎng)絡不是靜態(tài)的，它們也會隨著公司發(fā)展而不斷演進。這就要求它們在網(wǎng)絡流量模式、用戶密度、安全策略等方面具有端到端可見性。

SASE供應商需要提供這些信息，方便客戶被及時通知以及在需要時進行調(diào)整。即便用戶選擇了托管服務，托管服務提供商也需要提供關于環(huán)境方面的可見性。像俗話說的那樣，我們將無法管理或保護看不見的內(nèi)容，但用戶在使用SASE時能夠了解全面的信息至關重要。

作者：本文作者Zeus Kerravala為市場研究公司ZK Research的創(chuàng)始人兼首席分析師。

編譯：陳琳華

原文網(wǎng)址：https://www.networkworld.com/article/3568630/

how-to-tailor-sase-to-your-enterprise.html