Gartner提出安全存取服務前端(SASE)新概念 SD-WAN可望進化成SASE

安全存取服務前端（Secure Access Service Edge, SASE，念作「sassy」）是Gartner提出企業網路的下一波重大概念。這個領域整合了WAN前端和網路安全成為雲端化服務模式。Gartner說，SASE是在企業客戶對簡化、擴充性、彈性、低延遲性及普及性的安全需求催生的產物。

SASE整合了安全及網路

SASE環境需要廣泛、多樣化技術，市場上能提供的廠商少之又少。這項技術還在剛起步階段，普及率不到1%。目前市場上既有的SD-WAN廠商包括Cato Network、Juniper、Fortinet和Versa等可望搶先進駐SASE市場。但是其他SD-WAN 業者也會跳上樂隊花車，此外我們可望再看到另一波新創浪潮。

當企業買入不同廠牌的網路和安全裝置，結果將是一個複雜的網路架構，需要資料中心作為企業應用的集結點（hub）。但是隨著企業數位化，以及邊緣運算需求所致，企業不再只從資料中心存取app和服務。對已經轉向雲端服務的企業來說，舊模式反而變得效率低落。

既有網路和安全模式恐將落伍？

傳統資料中心為中心的網路和安全模式也必須趕上現代行動化作業的需求。Gartner預測SASE會在未來5到10年快速普及，而使現有網路和安全模式落伍。說落伍可能太誇張，但是網路和安全必須加速整合。由不同團隊來採購和管理網路和安全很沒有效率，且將導致不一致及管理盲點。SD-WAN可支援許多新的設計思維，像是直接導向雲端和直接用戶存取，也帶動SASE的需求。

SASE整合了SD-WAN和網路安全成單一雲端服務，支援各種「邊緣」(edge)，包括WAN、行動和邊緣運算。因此SASE並非分支/分公司連向總公司的概念，而是將個別用戶和裝置車到中央化雲端服務。在此模式下，端點是個別用戶、裝置、應用，而非資料中心。

雲端服務遞送(cloud delivery)的優點

• 雲端遞送對有許多PoP (Points of presence)的雲端供應商有好處。Gartner指出它的好處包括：
  部份端點扮演路由和路徑選擇的角色，其他則由雲端遞送，好比服務。
• 由於軟體堆疊(stack)變得更精簡，就可以由軟體來提供功能，不需要專屬硬體。
• 而新端點像是快閃式店家，也可以很輕易增加。
• SASE利於雲端遞送，廠商就可以更快加入新服務。
• 分公司和個別裝置遵守共同政策，而如此一來政策就能一致化，也就能從雲端控制中心來管理。
• 整體基礎架構變得更簡化，管理成本也可隨之降低。
• 也能支援新式對延遲性敏感的App，如IoT邊緣到邊緣(edge to edge)，即使端點的本機資源很少也不成問題。
• SASE內可執行惡意程式偵測、解密和管理，企業也能依需求擴充或縮減SASE。

敏捷性是SASE最大好處

Gartner列出的上述效益皆所言不假，但卻忽略了最大好處是提升企業營運的敏捷性。SASE使安全內化成網路的一部份，如果架構得宜，企業未來新App和服務的部署就再也無需綁手綁腳，因為安全問題已經釐清了。而且由於安全已經內化，企業也可以可放膽去擴充，而且有信心環境是安全性。速度是企業的新貨幣，SASE可讓企業更快速行動。

SASE是身份而非地點導向

SASE除了雲端原生的本質化，另一個特點是身份導向，而不在乎地點。身份是綁在公司裏個別使用者、應用程式、服務或裝置上。網路和安全整合之下，讓這些身份隨著人或裝置帶著走，也讓他們的連網經驗更為無縫和一致化。

想像以下情境：遠端作業的員工必須以未列管的筆電連到Salesforce上。過去管理員必須要好幾個步驟來驗證使用者，讓他經由VPN連上Salesforce。但利用身份可攜的特性，遠端員工現在可以無縫到Saleforce或其他App，不論他們用什麼裝置、人在何處或那個網路上。

SASE解決了網路面臨的多種安全需求。SASE的核心網路包括多因素驗證，和存取由防火牆政策管理的應用和服務。因此使用者只需存取授權應用，而無需進到一般網路上。SASE也可以偵測到敏感資料移動，並以特定防外洩規則來防堵它離開網路。

Gartner在一項報告中也提及一些業者為滿足客戶需求，正在整合不同產品，或是收購裝置型產品再由雲端代管，這可能造成延遲性提高或效能下降。不過這從舊式方案廠商口中說出也不令人意外，因為這類攻擊在網路市場上從未停歇過。業界稱此為拼裝車(sheet metal)式的整合，即把多種功能拼成貌似整合的單一台裝置，內部卻仍然分崩離析。當然買家必須要留心廠商具有整合並隨需遞送雲端原生服務的能力。隨著WAN的汰舊換新，企業將開始轉向SASE，並逐步淘汰舊時代的網路安全裝置。

來源：Network World