关于SASE与安全市场的那些事

首先强调一点：本文内容仅代表个人观点，部分观点借鉴各大技术平台大拿文章，如有雷同纯属抄袭。

提到安全大家不难发现，每隔一段时间业界总会蹦出些新技术、新名词。可能前两年还是态势感知盛极一时，没过多久零信任又开始风靡业界。茶余饭后闲聊之际与业界朋友谈及此事，究其原因不过各安全大厂卖货之营销手段。当然这只是玩笑话，安全技术与架构的迭代更新当然少不了厂家的包装推动，但是其根本原因还是安全需求的不断变更导致的。

SASE的提出

虽说对安全的追求没有尽头，但是安全其根本还是用来服务某对象的，这个对象可能是某个机器、某个系统、或者某种政策。业务的上云催生出一些列云安全产品，以及硬件设备的虚拟化、软件化；高级可持续威胁攻击加快了态势感知、APT防护等产品的普及；那我们不禁要问又是什么外部的变化，导致SASE这种号称要颠覆一切现有网络和安全模型的新架构的出现呢？

回答这个问题之前我们不妨先了解下SASE到底是个什么“东西”。SASE（Secure Access Service Edge）翻译过来即安全访问服务边缘。是Gartner于2019年度企业网络技术成熟度曲线报告中提出的一项新的技术，更确切来说是一种新的理念和架构。指的是集下一代广域网、网络安全服务以及边缘计算于一体的云交付网络。实质是安全即服务以及通信即服务的融合。

产生背景

官方解释听起来很抽象，首先 SASE到底是用来解决什么为题呢？我们先看看这个架构的名字“安全访问服务边缘”。从字面意思不难理解安全访问服务的边缘化？那反过来想为什么要边缘化？与边缘相反的是集中，集中化的安全会产生哪些问题？首先说集中这个事情，大家都清楚在云出现之前的业务访问模型都是以数据中心为核心的，可以把数据中心作为业务的一个集中点，甚至云的出现将“集中做到了极致”。

集中有好处比方说资源的复用，统一的管理······但是却拉长了访问的距离。举个栗子我的客户端在天津，服务端从北京转移到了深圳甚至更远的地方，访问效果肯定会有影响。特别是一些对时延带宽比较敏感的应用，这也是边缘计算出现的一个原因。地球村毕竟不真是一个村，现实的距离问题还是要考虑。所以云厂商们需要在各个区域建Region拉进空间的距离，说白了底层架构也是服务于上层应用。边缘计算个人认为是云计算的一个分支，云计算应该是以业务为核心，在我们身边触手可及的范围之内。而不是高高在上遥不可及的天上。

继续说集中的事情，传统IDC业务安全模型其实可以看做一个个点，数据中心的安全个点，客户内网可以看做是一个点。大家各管好自己的点就可以了相安无事了，过去几十年大家也都是这么做的。现在为什么就不行了呢？上文我们提到安全是服务于业务的，如果安全阻碍了业务的发展必将被新的架构替换。

这几年大家听到最多的词是什么：云计算、IOT、区块链、边缘计算、去中心化·····业务架构在变革，之前的两点现在变成了N个点。量变产生质变，如果还是对每个点进行安全防护的话，不仅是成本业务的性能以及架构的灵活性都不再适应这种方案。业务的云化、边缘化、碎片化导致传统的安全架构不再适应，甚至影响到业务本身的效率和安全。所以一种以业务访问为核心，适合去中心边缘化部署，并且能与新型化业务模型很好结合的安全架构的出现成为必然。

SASE是什么？

SASE是一种架构一种理念，但是理念想要落地必须实体化，必须有技术和产品支撑。那SASE到底由哪些核心技术组成呢？Gartner在报告种已经提出了几种核心的现阶段落地的技术：SD-WAN、防火墙即服务（FWaaS）、云访问安全代理（CASB）、安全web网关（SWG）、以及零信任网络访问（ZTNA）、RBI（远程浏览器隔离）、API防护·····。

大家可以发现这些技术不仅仅局限在安全这块，有用来进行互联的SD-WAN，有面向应用访问安全的RBI，还有以身份为核心的零信任。这也从技术方面佐证了SASE不仅仅只是一种安全技术这么简单。SD-WAN解决了业务访问的互联与优化问题，FWaaS降低了底层硬件的制约让安全产品使用场景更灵活，ZTNA解决了多点之间身份验证的复杂性，业务访问与安全防护更具全局化·······

总结SASE所采用的技术我们可以大致推断出该架构具备的特点：

• 以业务访问为核心
• 适应云服务、边缘计算、IOT、去中心化碎片化式业务部署场景
• 结合访问优化、零信任、SDS等新型业务安全技术

所以SASE到底是什么？根据个人的理解下个定义：

SASE是一种以业务访问为核心，依托访问优化、软件定义安全、零信任等多种技术，适应于云服务、边缘计算、去中心等业务部署场景的新型业务互联和安全架构。其根本为了解决传统点到点受地理位置约束解决方案的成本、复杂性和刚性问题。

SASE玩家（国内）

按照Gartner的说法SASE后面很长一段时间是非常有钱途和市场的，可谓下一个安全市场风口。那下一批插了翅膀的猪会是谁呢？回答这个问题之前我们先看看SASE方案需要具备哪些能力。

安全

先说安全，这个是基础的能力。无论是国内老牌厂商、新兴安全势力还是各大云厂商，安全能力都不是壁垒，毕竟有钱能使鬼推磨。当然安全能力也需要产品的沉淀时间的累积，没有一家安全厂商能做到全产品线的碾压。能在某一领域做到极致便可在安全市场占据一席之地了，比方说某盟的WAF、某数的BOT、某藤的HIDS。

云

再说云,毋庸置疑云很长时间内云都会是SASE架构甚至整个IT行业的市场制高点，为什么各大资本挤破头也要挤进这个圈子？为什么各种政策各种优惠吸引客户把业务迁到云上去？对客户来说业务是核心很重要，对云厂商来说业务是什么不重要，业务运行在哪很重要！掌握了核心其他什么安全、互联、运维不都手到擒来！什么叫挟天子以令诸侯！什么叫羊毛出在羊身上！什么叫上云容易下云难······当然也不是所有的业务都适合上云，但是业务的云化是趋势更是现实。

通道

这里的通道主要是指广域网的一些业务访问途径，条条大路通罗马，罗马有了没有路也是不行的。这里有cdn、有专线、有SD-WAN但是具体走那条路还是要看需求。要想富先修路，可见路是种非常重要的资源！在SASE架构中也是如此。所以像是某宿、Akamai这种老牌CDN厂商以及各大运营商凭借全球的“道路”资源以及多年的行业积累也会在SASE的市场中占据一席之地。

服务

服务这个东西在各行各业都很重要，尤其是IT行业。做过售后的小伙伴们应该深有体会，即使是同样的软件同样的场景出现的问题也是千奇百怪。何况各种场景、各种需求、各种甲方爸爸的各种定制。2021年国内做安全厂家有4000多家，提供安全服务的占据了80%之上，可见安全服务需求之大。业界一直流传着这样一句话“大厂开发靠外包，交付靠代理，售后靠工单”当然这种说法比较夸张，但不可否认符合大部分实情。毕竟人家工资成本在那边，不可能为你三瓜两枣成立个专职服务小组。所以大厂的服务在某些时候还真不如小微公司。

讲了这么多我们总结下SASE市场的核心能力，可和合并为三部分：产品技术、平台资源、服务。如果要论三大能力哪个更重要？做个排序的话个人愚见平台＞服务＞产品。由此可以大概得出以下结论

1. 面向业务的SASE架构市场下，平台类厂家（云、CDN、SD-WAN）仍占据行业制高点成为新架构的最大收益者。
2. SASE架构更着重于面向业务的整体安全方案，而非某个独立的产品或技术。方案依赖于基础平台，会导致传统安全设备厂商的市场份额会进一步被蚕食。传统安全厂商会加速产品SAAS化以及与平台类服务商的产品合作。

3 服务能力将作为SASE方案能力的重要部分，更加受到到用户重视。

SASE提出后的这两年，我们并没看到传统安全厂商的大肆宣传，这和前几年什么态势感知 APT防护等概念提出后的反映可不太一样。反而是一些做公有云、云安全、CDN的厂商开始陆续推出各自的产品方案，由此也可见一斑。

恰饭时间

下面我们以某宿科技为例看看该公司在SASE架构方面的布局（材料来自某宿官网）

首先是资源

CDN

CDN不必多说全球数千的POP点数量是老牌CDN厂家的底蕴，毕竟这块做了十几年也一直是国内商业CDN的龙头。结合了安全的CDN可作为SASE架构种业务访问优化的重要一环

SD-WAN

同样是依托全球的资源节点，该公司推出的SD-WAN产品可实现SASE架构下的各种的互联接入场景

云平台

云之前一直是某宿的短板，虽然有自己的私有云、公有云、边缘计算等产品但是起步太晚。这也是该公司CDN业务被云大厂蚕食的一个原因。为了弥补该短板某宿开始发力公有云业务的突破，先后与AWS、谷歌、华为的云厂商实现了业务的合作。

安全

这是某宿官网上展出的部分安全产品与服务，可以发现和传统安全厂商不同。其安全产品主要以业务为核心可以与其CDN平台资源有机结合，实现全局的安全防护。这就很符合SASE的理念。

服务

据了解某宿的客户包括：某鱼、某奇艺、某讯、某易、某站、某浪、某博·····都是国内各行业头部公司。参加过春晚、阅兵、奥运等各种国家级重保活动，服务能力应该不会差的到哪里。而且据说无论客户大小都会成立专门的服务团队，这点应该比一些靠提工单和依靠代理商服务的大厂好上不好。可惜股价这几年跌的太厉害伤了不少股民的心·······

最后感叹下：一叶知秋，从该公司在SASE方面的布局，可见传统资源类厂家也开始向安全市场进军并希望占领一席之地。而随着更多企业的逐鹿中原，安全市场迎来更多的挑战与机遇。但愿在这一波新的安全浪潮下多一些开拓少一些内卷。

原文链接：https://blog.csdn.net/Sunccie36615/article/details/123848671?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165934458816782184618617%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165934458816782184618617&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~times_rank-28-123848671-null-null.nonecase&utm_term=%E8%87%AA%E5%BB%BAcdn