SASE 由两种核心技术组合或融合而成：软件定义的广域网 (SD-WAN) 和安全服务边缘 (SSE)。如果先了解这两项技术各自的用途，则能更轻松地理解 SASE 的工作原理。

SD-WAN

SD-WAN 是一种虚拟化的广域网，其虚拟化方式与服务器的虚拟化方式大致相同。它将网络功能与底层硬件（连接器、交换机、路由器、网关）分离开来，创建一个网络连接功能和网络安全功能池，可通过软件控制分割和聚合这些功能以将其应用于流量。

传统广域网 (WAN) 的设计理念是，让企业分支机构的用户连接到企业中央数据中心内的应用程序，通常通过专用、私有且成本高昂的租用网络线路进行连接。每个分支机构安装的路由器负责控制流量并确定流量优先级，以确保最重要的应用程序实现最佳性能。数据包检查和数据加密等安全功能则在中央数据中心应用。

SD-WAN 的开发初衷是，帮助组织在更成本更低、更具可扩展性的互联网基础架构上复现其 WAN 功能。但是，随着越来越多的企业在未准备好信赖互联网安全的情况下就开始采用云服务，这推动了对 SD-WAN 的需求加速增长。WAN 安全模型面临严峻挑战：随着通过企业数据中心路由到互联网的流量不断增多，不仅造成了代价高昂的安全瓶颈，而且网络性能和用户体验都有所下降。

SD-WAN 通过在连接点将安全功能应用于流量，而不是通过强制路由流量来应用安全功能，因此有助于消除这一瓶颈。有了它，组织能够直接在用户与他们所需的一切 SaaS（软件即服务）应用程序、云资源或公共互联网服务之间建立经过优化的安全连接。

SSE

Gartner 还创造了另一个术语 SSE，用于表示“SASE 的安全部分”。根据 Gartner 给出的定义，SSE 由三种关键云原生安全技术组合而成：

安全 Web 网关 (SWG)。SWG 是一种双向的互联网流量监管技术。它利用流量过滤、域名系统 (DNS) 查询检查等方式来识别并阻止 恶意软件、勒索软件和其他网络威胁，从而防止恶意流量进入网络资源。它还可以阻止授权用户连接到可疑网站：用户和端点不是直接连接到互联网，而是连接到 SWG，而且只能通过 SWG 访问获得批准的资源（例如本地部署的数据中心、业务应用程序、云应用程序和服务等）。

云访问安全代理 (CASB)。CASB 位于用户与云应用程序和资源之间。无论用户位于何处或如何连接，只要用户访问云，CASB 即会执行企业安全策略，例如加密、访问控制和恶意软件检测。而且，无需在端点设备上安装软件，CASB 也可做到这一点，这使得 CASB 成为保护 BYOD（自带设备）和确保其他员工队伍转型用例成功实现的理想选择。在用户连接到未知的云资产时，CASB 也可以实施安全策略。

零信任网络访问 (ZTNA)。零信任是一种网络访问策略，要求对网络内外的所有用户和实体进行从不信任到信任的持续验证。经过验证的用户和实体将获得完成其任务所需的最低特权访问权限。每当上下文发生变化时，所有用户和实体都必须接受重新验证，并且每次进行数据交互时，都要进行逐包验证，直到连接会话结束为止。

ZTNA 并非一种安全产品，而是一种网络安全策略。要实现此策略，需要使用一系列技术，包括身份和访问管理 (IAM)、多因素身份验证 (MFA)、用户和实体行为分析 (UEBA)，以及各种威胁检测和响应解决方案。

供应商的 SASE 平台可能提供其他威胁防范和安全功能，包括防火墙即服务 (FWaaS)、数据丢失预防 (DLP)、网络访问控制 (NAC) 及端点保护平台 (EPP) 等。

全面整合

通过使用 SD-WAN，SASE 解决方案直接在网络边缘的连接点或靠近连接点之处向用户、设备和其他端点提供 SSE 安全服务。

具体而言，SASE 架构不会将所有流量传送回中央数据中心进行检查和加密，而是将流量定向到位于最终用户或端点附近的分布式接入点 (PoP)。（PoP 要么由 SASE 服务提供商所拥有，要么在第三方供应商的数据中心建立。）PoP 使用通过云交付的 SSE 服务保护流量，然后用户或端点可安全连接到公有云和私有云、软件即服务 (SaaS) 应用程序、公共互联网或任何其他资源。

对于安全团队、IT 员工乃至整个组织和最终用户，SASE 都可以带来显著优势。

节约成本，特别是减少资本支出。SASE 本质上是一种 SaaS 安全解决方案：客户只需购买设置和控制 SASE 所需软件的访问权限，即可充分利用云服务提供商的硬件。SASE 客户可从最近的互联网连接点将流量路由到云端，而无需为了安全将流量从分支机构路由器路由到本地数据中心硬件。

公司还可以将 SASE 用作跨公有云和组织本地基础设施交付的混合解决方案，以将物理网络硬件、安全设备和数据中心与相应的虚拟化云原生设备集成在一起。

简化管理和运营。SASE 框架提供了一个统一的解决方案，可用于保护连接到或尝试连接到网络的任何项目，不仅包括用户，还包括物联网 (IoT) 设备、API、容器化微服务或无服务器型应用程序，甚至是按需启动的虚拟机 (VM)。使用该框架，便无需在每个连接点分别管理由路由器、防火墙等构成的安全解决方案组合。与之相反，IT 或安全团队可以制定一个统一的集中管理策略，来保护网络上的所有连接和资源，并且可以从单个控制点管理所有项目。

增强网络安全。如果实施得当，SASE 可从多个层面增强安全。通过简化管理，可降低出现错误或配置不当的可能性，从而强化安全。为保护来自远程用户的流量，SASE 摒弃了虚拟专用网络 (VPN) 访问权限统一授权方式，改为采用 ZTNA 基于身份和上下文的精细访问控制来更好地管理应用程序、目录、数据集和工作负载。 

提供更出色、更一致的用户体验。借助 SASE，无论是在现场、分支机构、家中还是在路上办公，也无论是连接到托管在云端还是本地的应用程序和资源，用户都能以相同方式连接到网络。SD-WAN 服务会自动将流量路由到距离最近的接入点，并在应用安全策略后优化连接以实现最佳性能。

如果组织计划逐步脱离基于中央数据中心的应用程序交付模式，则 SASE 可提供显著优势。但是，目前只有少数特定用例在推动 SASE 的采用。

为混合员工队伍保驾护航，同时避免 VPN 瓶颈。近二十年来，VPN 一直是保障远程或移动用户安全的主要方式。但是，扩展 VPN 难度较大而且成本较高。在新冠疫情导致全体员工不得不远程办公时，许多组织对这一点都深有体会。相比之下，SASE 可以灵活地动态扩展，不仅能够满足远程办公人员的特定安全需求，还能够满足不断变化的员工队伍的总体安全需求。

混合云采用和云迁移。混合云是指将公有云、私有云和本地基础架构整合到一个灵活的计算环境，在该环境中，工作负载可以随着情况变化在基础架构之间自由迁移。WAN 安全解决方案无法有效适应这种工作负载迁移需求，但是 SASE 是从底层基础架构中抽象出安全功能，因此无论流量移动到何处，都可以提供安全保障。SASE 还为组织带来了灵活性，使组织能够根据需要以任意速度将工作负载迁移到云端。

边缘计算和 IoT/OT 设备激增。边缘计算是一种分布式计算模型，它将应用程序和计算资源从中央数据中心移至更靠近数据源的地方，例如手机、IoT 或运营技术 (OT) 设备和数据服务器等。这种距离上的缩短可以提高应用程序响应速度并加快生成洞察分析，对于需要实时处理大量流数据的人工智能 (AI) 和机器学习应用程序而言，这一点特别重要。

为了能够充分利用这些应用程序，多个组织或解决方案供应商已部署数千个 IoT 传感器或 OT 设备，而且很多设备几乎未配置任何安全功能。这使得这些设备成为黑客的主要攻击目标，黑客可以通过劫持这些设备来访问敏感数据源、中断运营或发起 DDoS（分布式拒绝服务）攻击。使用 SASE，可以在这些设备连接到网络时对其应用安全策略，并通过中央仪表板查看和管理所有已连接的设备。