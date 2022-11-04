SASE 由两种核心技术组合或融合而成：软件定义的广域网 (SD-WAN) 和安全服务边缘 (SSE)。如果先了解这两项技术各自的用途，则能更轻松地理解 SASE 的工作原理。

SD-WAN

SD-WAN 是一种虚拟化的广域网，其虚拟化方式与服务器的虚拟化方式大致相同。它将网络功能与底层硬件（连接器、交换机、路由器、网关）分离开来，创建一个网络连接功能和网络安全功能池，可通过软件控制分割和聚合这些功能以将其应用于流量。

传统广域网 (WAN) 的设计理念是，让企业分支机构的用户连接到企业中央数据中心内的应用程序，通常通过专用、私有且成本高昂的租用网络线路进行连接。每个分支机构安装的路由器负责控制流量并确定流量优先级，以确保最重要的应用程序实现最佳性能。数据包检查和数据加密等安全功能则在中央数据中心应用。

SD-WAN 的开发初衷是，帮助组织在更成本更低、更具可扩展性的互联网基础架构上复现其 WAN 功能。但是，随着越来越多的企业在未准备好信赖互联网安全的情况下就开始采用云服务，这推动了对 SD-WAN 的需求加速增长。WAN 安全模型面临严峻挑战：随着通过企业数据中心路由到互联网的流量不断增多，不仅造成了代价高昂的安全瓶颈，而且网络性能和用户体验都有所下降。

SD-WAN 通过在连接点将安全功能应用于流量，而不是通过强制路由流量来应用安全功能，因此有助于消除这一瓶颈。有了它，组织能够直接在用户与他们所需的一切 SaaS（软件即服务）应用程序、云资源或公共互联网服务之间建立经过优化的安全连接。

SSE

Gartner 还创造了另一个术语 SSE，用于表示“SASE 的安全部分”。根据 Gartner 给出的定义，SSE 由三种关键云原生安全技术组合而成：

安全 Web 网关 (SWG)。SWG 是一种双向的互联网流量监管技术。它利用流量过滤、域名系统 (DNS) 查询检查等方式来识别并阻止 恶意软件、勒索软件和其他网络威胁，从而防止恶意流量进入网络资源。它还可以阻止授权用户连接到可疑网站：用户和端点不是直接连接到互联网，而是连接到 SWG，而且只能通过 SWG 访问获得批准的资源（例如本地部署的数据中心、业务应用程序、云应用程序和服务等）。

云访问安全代理 (CASB)。CASB 位于用户与云应用程序和资源之间。无论用户位于何处或如何连接，只要用户访问云，CASB 即会执行企业安全策略，例如加密、访问控制和恶意软件检测。而且，无需在端点设备上安装软件，CASB 也可做到这一点，这使得 CASB 成为保护 BYOD（自带设备）和确保其他员工队伍转型用例成功实现的理想选择。在用户连接到未知的云资产时，CASB 也可以实施安全策略。

零信任网络访问 (ZTNA)。零信任是一种网络访问策略，要求对网络内外的所有用户和实体进行从不信任到信任的持续验证。经过验证的用户和实体将获得完成其任务所需的最低特权访问权限。每当上下文发生变化时，所有用户和实体都必须接受重新验证，并且每次进行数据交互时，都要进行逐包验证，直到连接会话结束为止。

ZTNA 并非一种安全产品，而是一种网络安全策略。要实现此策略，需要使用一系列技术，包括身份和访问管理 (IAM)、多因素身份验证 (MFA)、用户和实体行为分析 (UEBA)，以及各种威胁检测和响应解决方案。

供应商的 SASE 平台可能提供其他威胁防范和安全功能，包括防火墙即服务 (FWaaS)、数据丢失预防 (DLP)、网络访问控制 (NAC) 及端点保护平台 (EPP) 等。

全面整合

通过使用 SD-WAN，SASE 解决方案直接在网络边缘的连接点或靠近连接点之处向用户、设备和其他端点提供 SSE 安全服务。

具体而言，SASE 架构不会将所有流量传送回中央数据中心进行检查和加密，而是将流量定向到位于最终用户或端点附近的分布式接入点 (PoP)。（PoP 要么由 SASE 服务提供商所拥有，要么在第三方供应商的数据中心建立。）PoP 使用通过云交付的 SSE 服务保护流量，然后用户或端点可安全连接到公有云和私有云、软件即服务 (SaaS) 应用程序、公共互联网或任何其他资源。