隨著企業(yè)數(shù)字化轉(zhuǎn)型的加速發(fā)展，業(yè)務(wù)上云逐漸成為剛需。云網(wǎng)融合的大趨勢下，越來越多的企業(yè)希望找到高效靈活的組網(wǎng)方案，快捷進行總部與分支互聯(lián)及上云用云，為數(shù)字化轉(zhuǎn)型打下堅實基礎(chǔ)。在此背景下，SD-WAN成為近年來備受關(guān)注的廣域網(wǎng)技術(shù)之一。

與此同時，多元的互聯(lián)場景、線上線下混合辦公模式的普及，使企業(yè)面臨的數(shù)字安全威脅與日俱增。在組網(wǎng)能力之外，如何構(gòu)建全面的安全防護體系，亦成為千行百業(yè)必須直面的挑戰(zhàn)。SD-WAN與SASE安全架構(gòu)的融合開始備受矚目。

在日前舉辦的第五屆SD-WAN & SASE峰會上，互聯(lián)科技網(wǎng)絡(luò)產(chǎn)品事業(yè)部總監(jiān)熊學濤向與會嘉賓分享了第一線在云網(wǎng)安一體化服務(wù)方面的技術(shù)創(chuàng)新與行業(yè)實踐。

SD-WAN整體的發(fā)展態(tài)勢如何？如何看待SD-WAN與SASE之間的關(guān)系？SASE如何解決行業(yè)用戶的痛點？未來第一線將如何推進云網(wǎng)安一體的專業(yè)服務(wù)？會后，51CTO采訪了熊學濤，就上述議題進行了充分探討。

MPLS VPN還是SD-WAN？這不是一個問題

在很長一段時間里，MPLS VPN 一直是企業(yè)組織青睞的組網(wǎng)首選。不過自SD-WAN嶄露頭角后，尤其是隨著互聯(lián)網(wǎng)最后一公里質(zhì)量和帶寬的不斷提升，更多企業(yè)開始面臨“MPLS VPN還是SD-WAN”的抉擇。而今，隨著SD-WAN的技術(shù)逐步成熟，其在網(wǎng)絡(luò)管控方面的優(yōu)勢充分彰顯，用戶對其認可度亦顯著提升。

熊學濤認為：“當前SD-WAN已步入發(fā)展成熟階段，在企業(yè)中具備較高的滲透率。從近幾年來看，其年復(fù)合增長率也很可觀，持續(xù)領(lǐng)跑企業(yè)組網(wǎng)服務(wù)市場。隨著企業(yè)上云需求不斷增長，遠程辦公場景持續(xù)涌現(xiàn)，SD-WAN的應(yīng)用將越來越廣泛，幫助企業(yè)實現(xiàn)高效互聯(lián)與上云。由此SD-WAN后續(xù)還將迎來更快速的發(fā)展。”

對于MPLS VPN與SD-WAN之爭，熊學濤認為兩者并不是非此即彼的關(guān)系。本身兩者各有長處，MPLS VPN具備可靠的數(shù)據(jù)包傳送能力，可以應(yīng)用于總部與大型數(shù)據(jù)中心互聯(lián)。SD-WAN具備快速開通、節(jié)約成本、敏捷上云等特點，滿足企業(yè)快速拓展分支門店，并進行統(tǒng)一化管理的需求。企業(yè)需要根據(jù)自身情況權(quán)衡，是選擇SD-WAN還是MPLS VPN，還是將MPLS VPN與SD-WAN合理結(jié)合。

熊學濤介紹，第一線以MPLS VPN起步，同時也是國內(nèi)首批推出SD-WAN業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)商，目前服務(wù)六千多家國內(nèi)外企業(yè)，提供MPLS VPN+SD-WAN的混合組網(wǎng)解決方案，依托100+城市的200+POP節(jié)點資源，針對企業(yè)總部-分支-云-IDC多種場景，提供一站式組網(wǎng)服務(wù)，通過二者相輔相成，充分滿足企業(yè)數(shù)字化轉(zhuǎn)型的多元需求。

云網(wǎng)安融合的演進：SASE=SD-WAN+SSE

固然SD-WAN正在成為企業(yè)組網(wǎng)服務(wù)領(lǐng)域的寵兒，但是在具體實踐中，依靠單一的組網(wǎng)能力已經(jīng)很難切實解決用戶既有痛點。熊學濤指出，越來越多企業(yè)希望網(wǎng)絡(luò)融合安全，從而一站式滿足自身轉(zhuǎn)型進程中的需求。而SASE的出現(xiàn)，在一定程度上為這個問題提供了新的解決方案。

根據(jù)Gartner的定義，SASE（Secure Access Service Edge，安全訪問服務(wù)邊緣）是一種整合廣域組網(wǎng)網(wǎng)絡(luò)功能和網(wǎng)絡(luò)安全功能的新興產(chǎn)品，為企業(yè)數(shù)字化轉(zhuǎn)型升級提供可訂閱的安全服務(wù)。

“SD-WAN從發(fā)展伊始，并未十分強調(diào)安全。但在企業(yè)網(wǎng)絡(luò)邊界不斷延展、IT架構(gòu)日趨復(fù)雜、網(wǎng)絡(luò)攻擊威脅日盛的新態(tài)勢下，用戶對安全的需求逐步提升。而到了今天，SASE的定義已經(jīng)比較明確。SASE就是SD-WAN與SSE（Security Service Edge）功能的整合，其本身就是網(wǎng)絡(luò)+邊緣云化安全的結(jié)合體。”

概括來說，首先，SASE是SD-WAN網(wǎng)絡(luò)能力的再演進，也是面向邊緣云網(wǎng)的再創(chuàng)新。再者，SD-WAN網(wǎng)絡(luò)是支撐SASE架構(gòu)落地與發(fā)展的基石。廣布的SD-WAN POP節(jié)點，具備了向邊緣云原生安全SASE POP點演進的基礎(chǔ)。企業(yè)多元化的數(shù)字化應(yīng)用場景又需要SASE的安全保障隨需而至。在兩者的深度融合中，SASE將SD-WAN與網(wǎng)絡(luò)安全訪問集成于邊緣云網(wǎng)服務(wù)基礎(chǔ)設(shè)施中，實現(xiàn)了一種能適應(yīng)當前企業(yè)網(wǎng)絡(luò)流量模型的安全架構(gòu)。

熊學濤表示：“現(xiàn)在SASE主推的就是將網(wǎng)絡(luò)和安全服務(wù)一站式交付給企業(yè)，這也是SD-WAN廠商特別關(guān)注SASE演進的原因。由于企業(yè)需求越來越綜合，需要盡可能解決所有問題的一體化方案。如果只專注于組網(wǎng)，而不做安全，將無法滿足新要求。”

基于這一認知，第一線打造了一站式云網(wǎng)安融合解決方案，推進SD-WAN融合SASE安全架構(gòu)，在距企業(yè)最近的POP節(jié)點提供企業(yè)級安全服務(wù)；打造SD-WAN與SASE一體化管理平臺，助企業(yè)可視化統(tǒng)管網(wǎng)絡(luò)與安全；推動SD-WAN網(wǎng)絡(luò)整合第一線OCD邊緣云、公有云，助力企業(yè)快捷一網(wǎng)入多云，構(gòu)建混合云架構(gòu)。

SASE的本質(zhì)：動態(tài)重構(gòu)企業(yè)的邏輯安全邊界

從SASE本身的定義來看，它包含SWG安全Web網(wǎng)關(guān)、CASB云訪問安全代理、FWaaS防火墻即服務(wù)、ZTNA零信任網(wǎng)絡(luò)等等，其功能幾乎覆蓋了企業(yè)組網(wǎng)的全場景。

熊學濤談到：“細究SASE的細節(jié)，可以發(fā)現(xiàn)它的初衷就是以全面的防護能力，覆蓋所有安全挑戰(zhàn)。當然并非所有企業(yè)都需要其全部功能，如針對遠程辦公的安全訪問，僅需訂閱零信任服務(wù)即可。”

在熊學濤看來，采用過云服務(wù)的客戶，對SASE服務(wù)接受度會相對較高。因為它與云上應(yīng)用，按需訂閱、彈性擴縮容的特性相同。具體而言，SASE基于邊緣云化部署，客戶在新增某些安全能力需求時，無需增加任何硬件設(shè)施，直接訂閱，即開即用。

那么SASE到底是如何發(fā)揮其作用的呢？熊學濤以ZTNA零信任網(wǎng)絡(luò)訪問這一應(yīng)用場景進行了說明。

以某制造業(yè)企業(yè)為例，該企業(yè)在中國及東南亞國家建有工廠。經(jīng)常出差的業(yè)務(wù)人員會在Internet、4G/5G等多元網(wǎng)絡(luò)環(huán)境下，接入企業(yè)私有云，進行訪問設(shè)計圖紙、調(diào)用OA系統(tǒng)等操作。在安全方面，該企業(yè)希望工廠、業(yè)務(wù)人員采用安全的方式訪問企業(yè)關(guān)鍵資源與應(yīng)用。

第一線SASE的ZTNA解決方案，會從接入前到接入后，全程對工廠、移動辦公人員進行一系列系統(tǒng)的安全監(jiān)測與限制，保護客戶關(guān)鍵資源與應(yīng)用安全可控。落實到具體場景，表現(xiàn)為：

人員登錄和終端的接入認證（遠程和移動辦公場景）。

ZTNA會對訪問的人員/設(shè)備進行多因素的身份與終端安全認證。安裝于授權(quán)設(shè)備上的ZTNA 代理客戶端會將當前安全環(huán)境、身份等多元信息，發(fā)送到云端控制系統(tǒng)進行驗證，通過之后，才允許連接至安全網(wǎng)關(guān)，進行下一步操作。

企業(yè)應(yīng)用與數(shù)據(jù)的安全訪問。

人員/設(shè)備接入后，無論是訪問內(nèi)網(wǎng)應(yīng)用與數(shù)據(jù)，或者訪問云上應(yīng)用與數(shù)據(jù)，ZTNA都能提供良好保護。基于ZTNA微分段的特性，企業(yè)總部、工廠、移動工作人員/設(shè)備在通過身份驗證后，將被授予對特定設(shè)備、應(yīng)用程序或資源的最低訪問權(quán)限，如需訪問其他設(shè)備、資源或數(shù)據(jù)，需要再次進行權(quán)限認證或權(quán)限升級，而該人員無法看到、訪問、拷貝其它未授權(quán)的應(yīng)用程序或資源。同時該人員此次訪問完畢后，權(quán)限就此注銷。此外，ZTNA還會持續(xù)對接入網(wǎng)絡(luò)的人員/設(shè)備操作檢查驗證，并進行動態(tài)策略調(diào)整。如果檢測到不合規(guī)操作，ZTNA可以立即對相應(yīng)的人員和終端的權(quán)限進行降級，切斷進一步的非法訪問。

熊學濤總結(jié)道，采用SASE架構(gòu)，企業(yè)邊界不再是一個位置，而是一組動態(tài)創(chuàng)建的、基于策略的安全訪問服務(wù)邊緣。依托安全策略集中編排分散執(zhí)行的特性，SASE將圍繞每一個邊緣云網(wǎng)POP點，為企業(yè)遠程辦公、多云、混合云等復(fù)雜場景提供所需的安全保障，預(yù)防出現(xiàn)安全威脅盲點。同時，企業(yè)可通過統(tǒng)一控制平臺對網(wǎng)絡(luò)進行全局集中化管理與威脅分析，進而更加精準且敏捷的響應(yīng)處置安全問題。所以整體上來看，SASE就是一個非常完善的安全解決方案。

愿景：加速云網(wǎng)融合，筑基算力網(wǎng)絡(luò)

SASE目前仍是新興概念，但熊學濤認為，SD-WAN與SASE的融合必然是大勢所趨。SASE概念的出現(xiàn)，不僅推動網(wǎng)絡(luò)服務(wù)提供商關(guān)注安全能力的演進，也撬動了安全服務(wù)提供商開始注重自身的網(wǎng)絡(luò)能力建設(shè)。

熊學濤表示，“第一線希望以自身的網(wǎng)絡(luò)能力為基礎(chǔ)，進一步發(fā)展安全能力，為客戶提供簡便而全面的服務(wù)。簡便，意味著輕量化、便于開通、便于運維。全面，意味著第一線希望盡可能做的全面，能有機會去覆蓋更多場景和功能。第一線的愿景是成為‘網(wǎng)絡(luò)+云+安全+算力’的整體解決方案服務(wù)提供商。”

未來，第一線的整體演進策略，一是追求SD-WAN組網(wǎng)能力不斷外延，能力不斷提升。二是以二十多年積累的網(wǎng)絡(luò)能力和云網(wǎng)融合能力為基礎(chǔ)，將邊緣網(wǎng)絡(luò)POP全面升級為SASE POP，提供網(wǎng)絡(luò)+安全的解決方案。三是緊跟算力網(wǎng)絡(luò)建設(shè)及發(fā)展的趨勢，不斷探索SD-WAN+SASE+算力的融合。

寫在最后

根據(jù)Gartner預(yù)測，到2024年，SASE市場規(guī)模將從2019年的19億美元攀升至110億美元。SASE賽道必將迎來傳統(tǒng)IT廠商、云廠商、安全廠商等多方勢力的競逐。第一線不斷探索實踐SD-WAN與SASE的融合，正是這一大勢下廠商努力布局，筑基算力網(wǎng)絡(luò)時代的縮影。未來如何從產(chǎn)品、資源、服務(wù)等多維度升級，幫助企業(yè)快速獲得高品質(zhì)的網(wǎng)絡(luò)+安全+算力服務(wù)，我們拭目以待。

審核編輯 ：李倩