Gartner報告明確了基于新網絡和安全模型進行云網絡和安全變革的潛力，該模型稱為安全訪問服務邊緣(SASE)。

隨著企業擁抱數字業務流程、邊緣計算、云服務和混合網絡的興起，傳統網絡和安全架構的整體復雜性帶來了問題，如延遲、網絡盲點、過度管理費用和隨著服務的變化而重新配置的需求。通過降低網絡的復雜性，將安全過程轉移到最有效的網絡邊緣，SASE模型消除了這些問題。

改善性能。

網絡擁塞導致的丟失包和無序數據包對應用程序有很大影響。丟失數據包會嚴重影響延遲敏感應用(如視頻、貴賓和網絡會議)。目前，有一些方案可以最大限度地減少延遲和丟失數據包的影響。

該解決方案具有廣域網優化功能，可應用于不同的應用程序或網站。除WAN優化功能外，還可采用協議和應用加速技術。

除了現有的減少數據包丟失和延遲的技術，我們還可以盡可能私有廣域網。通過使用由PoP組成的全球干線網絡進行私有化，您可以控制最后一公里對應用程序的不利影響。

一旦私有化，可以更好的控制流量路徑、數據包丟失和延遲。私有網絡結構是SASE的主要優勢，可以提高應用的性能。

安全性。

SASE將網絡和安全整合到一個平臺上。這樣就可以將多種安全解決方案整合到云服務中，從而在所有公司的位置、用戶和數據之間實施統一的戰略。

SASE采用零信任原則，首先要確定網絡訪問是基于用戶、設備和應用的身份。不是基于IP地址或者設備的物理位置。

使用者/設備的身份必須反映商業環境，而非與上層完全脫節的二進制結構相關聯。它把身份和網絡世界聯系起來，是實施策略的最好方法。這樣，就可以消除對IP或應用程序的依賴。不管用戶/設備在哪里，這個策略都可以一致地應用。與此同時，用戶/設備/服務的身份也可以納入應用策略。

SASE堆棧基于身份和上下文的動態應用，同時為云中的戰略要點提供零信任。因此，強化以身份為中心的邊界。

云專線（Direct Connect）是搭建在用戶本地數據中心與云上虛擬私有云（Virtual Private Cloud，以下簡稱VPC）之間的高安全、高速度、低延遲、穩定可靠的專屬連接通道。通過云專線可以將用戶的數據中心、辦公網絡、托管區和云相連接。

首選出口點。

我們也可以定義出口點，以退出云應用的流量。這些可能是最接近客戶應用實例的點。最佳全球路由算法決定了從世界任何地方到客戶的云應用實例的最佳路徑。

PoP可以放在數據中心，為訪問AmazonAWS、MicrosoftAzure和Google云服務提供了一個很好的入口。用戶可以在大部分時間內在私有云上保留流量。互聯網只用于為SASE結構提供短跳點。

SASEPoP優化。

基于云的SASE解決方案中的每一個PoP都最合理的地方進行了優化，而不僅僅是WAN邊緣。在主干網絡中，我們進行了全球路由優化，以確定目前哪條路徑是最好的路徑，我們還可以根據所有流量或應用程序改變路徑。

這些路由算法考慮了性能指標，如延遲、數據包丟失和抖動，這有助于為每個網絡數據包選擇最佳路由。網絡中堅網絡不斷分析和試圖提高性能。這不同于互聯網路由，后者更喜歡成本而不是性能。

由于一切都是私有化的，我們擁有所有的信息來創建最大的數據包，并使用基于速度的算法，而不是傳統的基于損失的算法。因此，用戶可以保持端到端的吞吐量，而無需學習任何內容。

因為每一個PoP都是TCP代理服務器，所以TCP客戶端和服務器之間的距離會更近，TCP窗口也會更大，這樣可以在等待確認之前傳輸更多的數據。

復雜性和費用。

傳統機制受客戶網站物理設備硬件容量的限制。這種機制導致硬件更新滯后，這些硬件也是添加新功能所必需的。

基于硬件的網絡和安全解決方案內置于硬件中，這種方法可以加快服務并添加新功能。然而，有些功能只適用于特定的硬件，而不適用于本地硬件。在這種情況下，客戶有繁重的部署工作。

伴隨著環境的發展，我們不該依賴新一代設備帶來的新網絡和安全功能。通常，該模型效率低下且復雜。帶來了高運營費用和管理復雜性。

新功能的設備升級需要大量管理。從過去的經驗來看，更換一張線路卡需要很多團隊的參與。有些線路卡可能沒有端口，或者你可能只需要添加一些額外的功能。這些操作只涉及項目規劃、現場工程師、設計指南、線路卡測試等。為了保證關鍵站點的成功刷新，可能需要更多的維護人員。

SASE-易于管理。

基于云的SASE支持新功能和功能的更新，無需在客戶端部署新設備(物理或虛擬)和軟件版本。這直接影響管理的便利性。

如今，網絡和安全部署可以在不接觸企業網絡的情況下進行。這樣，企業就可以快速地使用新功能。當功能與客戶設備之間的緊密聯系被消除時，可以提高網絡和安全服務部署的靈活性和簡單性。

在SASE平臺上，當我們創建一個對象(例如，網絡域中的策略)時，它也可以用于其他域。因此，無論網絡位置如何，分配給用戶的任何策略都將綁定到用戶身上。這顯著消除了管理多個位置、用戶和設備類型的網絡和安全策略的復雜性。最重要的是，所有這些都可以在一個平臺上完成。

另外，當我們研究安全解決方案時，很多人都會購買個人設備，只關注一項工作。為了排除故障，你需要收集每一個設備的日志等信息。SIEM(安全信息和事件管理)是有用的，但它只能用于某些組織，因為SIEM技術是一種資源密集的工具，需要有經驗的人來實現。對那些資源不足的人來說，這一過程是非常困難的，可能會產生錯誤的結果。

最后，由于所有數據都在公共存儲庫中，SASE更容易排除故障。您不再需要標準化來自不同設備/解決方案的數據，然后將數據導入數據庫以獲得通用視圖。

供應商與技術棧的合并。

安全性是網絡領域的一個重要話題，目前市場上存在的許多安全性解決方案都非常昂貴，而且ASE的出現為安全領域注入了新的力量。通過將服務整合到單個供應商中，用戶設備上的供應商和代理商/客戶數量最終會減少。

總的來說，供應商和技術棧的合并可以降低很多復雜性，將復雜性從本地企業網絡轉移到云，降低成本。

從硬件的角度來看，基于云的SASE可以增加更多的PoP點來實現規模和增加容量。此外，基于SASE的云還負責加密。例如，由于大部分互聯網流量都是加密的，惡意軟件可以使用加密來逃避和隱藏測試。借助SASE，每個PoP都可以對TLS加密的流量進行DPI。

常規防火墻不能檢測加密流量。DPI對TLS加密流量的執行需要額外的模塊或新設備。SASE解決方案可以保證PoP上的解密和檢查。所以在客戶網站上不會影響性能，也不需要新設備。

總結

以上是生活随笔為你收集整理的安全访问服务边缘(SASE)是什么？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。