SASE 是通往零信任的康庄大道吗？

零信任作为网络无边界化趋势下的新一代安全理念，受数字化转型和新冠疫情的进一步催化，逐渐成为全球网络安全发展的重要趋势。在目前由技术理念、产品概念向方案落地的早期阶段，各类产品竞相涌现，安全419观察到，自 2021 年起，一批零信任厂商开始纷纷宣布推出或正在布局 SASE 相关解决方案。

作为网络安全领域的又一大热词，SASE 为何总是与零信任相伴出现？他们之间有什么关系和区别？又是什么原因，在驱动众多厂商锁定 SASE ，甚至大有开辟出一条新细分赛道之势？

Forrester 在 2010 年正式提出零信任概念，经Google BeyondCorp项目实施落地引发普遍认同和效仿，也是零信任在中国真正的起源。后来 Forrester 将这一概念丰富为零信任扩展生态系统 ZTX，包含网络安全、设备安全、用户安全、应用安全、数据安全、可见性和分析、自动化和编排七大维度。

在近十年的发展中，其解决的核心问题是，在无边界网络环境下，确保所有的业务访问都是由可信的人、可信的终端或可信的系统，使用可信的方式来访问可信的资源和数据。

这改变了传统安全框架下的一些底层逻辑，内外网的概念不再适用，曾经默认的内网隐式信任转变为一视同仁的持续鉴权评估，无论是谁、在哪里、要访问什么，都必须先通过认证，再按最小授权原则接入。因此，原本部署在边界处的安全设备会失效，安全能力将边缘化，每一个需要接入内网的分支机构、远程办公、物联网设备等场景都可以看作为企业整张网的边缘，所构建起的是一个可端到端管控的业务网络。

在实践上，这种业务访问方式无论是会话数还是安全策略数，都要比传统边界安全模型多得多，一个完整、成熟的零信任网络架构涵盖非常多的安全能力，比如集中认证、策略管控、终端可信分析、业务行为分析、持续动态授权、自适应安全治理闭环，几乎没有多少企业能够像 Google 实施 BeyondCorp 项目一样，花上几年时间对现有网络全链路进行大规模改造。目前，国内的落地应用更多是从企业的某一业务、某一场景切入进行建设，以 SDP 或 IAM 等技术路线来逐步实现零信任。

或许是意识到零信任的前瞻重要性，Gartner 在 2017 年发布 CARTA（持续自适应风险与信任评估）模型，并将零信作为初始步骤，随后又提出零信任网络访问 ZTNA（Zero Trust Network Access）。2019 年，Gartner 在报告《网络安全的未来在云端》中首次提出安全访问服务边缘SASE（Secure Access Service Edge）的概念，将广域网功能与综合网络安全功能融合起来，以满足数字化转型企业的动态安全访问接入需求。

在 Gartner 的愿景中，SASE 的核心组件包括软件定义广域网 SD-WAN、安全 Web 网关 SWG、零信任网络访问 ZTNA、云访问安全代理 CASB 以及防火墙即服务 FWaaS 等，提供整个组织网络和应用程序中每个用户访问的完全控制权和可见性。集成的、持续的流量检查、分析以及动态的安全策略执行功能，使 SASE 成为通往零信任架构的理想载体和路径。

围绕SASE的四个单词，我们可以根据《SASE 技术与应用场景白皮书》的阐述进一步加深对这个概念的理解，以及其中的零信任思维原则：

安全（Secure）：SASE 安全性设计使用户能够直接访问云资源，而无需通过 MLPS 或 VPN 连接，在 SASE 云原生大规模服务边缘中统一向用户提供云访问安全代理、安全Web网关、远程浏览器隔离、入侵防御等安全能力，抵御复杂的网络攻击和数据丢失，防止基于Web的威胁和恶意软件，同时具备低延迟和高可用性。

访问（Access）：身份附加到每个企业资源的访问主体，人员、应用程序、服务或设备。身份决定了资源，而不是其实际位置。身份作为广泛而动态的上下文感知的一部分，可驱动每个流的风险和网络服务配置文件，以及身份验证方法，威胁检查和数据访问授权的混合结果。安全和网络融合的好处是在整个访问生命周期中注入了身份，从确保服务质量到应用风险驱动的安全控制。

零信任默认不信任任何人，总是检查，Secure Access 基于零信任来实现访问控制。

服务（Service）：将网络能力和安全能力以服务的形式提供给用户。企业运维不再需要学习复杂的网络和安全设备，不再需要面对复杂的网络安全建设进行规划，按需购买 SASE 厂商提供的服务即可完成建设目的，企业侧轻量化，不再购买硬件资产，服务的切换也将变得更加简单。

边缘（Edge）：SASE 需要做到支持所有的终端接入并加以有效的管理能力，形成一张综合可控的企业网络。SASE 将大部分的安全能力集成在 POP 中，网络边缘除去基础安全能力外，最为重要的就是快速便捷的接入。

完成认证之后，第二步需要决定是否授权这个请求，Service Edge 基于零信任判断是否允许将这个请求接入到这个控制平面所管理的企业服务。

得益于 Gartner 的大力推广和企业业务上云、数字化转型的深化，SASE 正获得越来越多的认可。企业用户能够从繁重的安全设备、运维管理中脱身出来转向按需订阅，获得一致、全面的保护，而且还简化了管理，减本增效的价值是显而易见的。

转过头来讲，这非常考验供应商的资源和能力，足够的安全技术积累和实践运营经验只是其一，完全的云原生架构、海量的 POP 节点更是落地的必备条件。因此，虽然传统安全厂商或零信任厂商在积极跟进，但在更广阔的范围内， IT 厂商、CDN 厂商、云计算厂商、运营商等诸多玩家都是这块大蛋糕的有力角逐者。

《SASE安全访问边缘白皮书》在今年3月作出预测，SASE 将极大地改变产业业态，促使网络厂商和安全厂商的融合。当安全成为刚需，无处不在，云网运营商将向云网安运营商转型。而专业安全厂商研发重点从设备研发转向 VNF 的研发和专业服务，推出以安全为主的 SASE 服务，同时网络能力为以和云网运营商共建和合作的模式。对企业安全从业者的能力要求大大降低，工作重心从设备采购配置向安全服务订阅管理转移，更多关注业务或应用安全。

网络和安全从来就不是孤立的，安全架构的变革离不开网络架构的升级，一个好的底层网络可以让安全变得更简单、更可靠，安全419会持续关注零信任的发展演进以及可落地的 SASE 方案带来的价值。