SASE ，全称是Secure Access Service Edge（安全访问服务边缘），是一种基于云的 IT 模型，它将软件定义的网络与网络安全功能捆绑在一起，并由单一服务提供商提供。

Gartner在2019年首次提出该概念，定义是将全面的WAN功能与网络安全功能相结合，以云的方式统一交付。

SASE 方法可以更好地控制和查看访问公司网络的用户、流量和数据——这对于现代的全球分布式组织来说至关重要。使用 SASE 构建的网络灵活且可扩展，能够通过任何设备连接全球分布的员工和办公室。

01.SASE框架有哪些优点？

与传统的、基于数据中心的网络安全模型相比，SASE 具有多项优势：

● 基于身份的零信任网络访问

SASE 在很大程度上依赖于零信任安全模型，该模型不会授予用户访问应用程序和数据的权限，直到他们的身份得到验证——即使他们已经在专用网络的边界内。在建立访问策略时，SASE 方法不仅仅考虑实体的身份；它还考虑了用户位置、一天中的时间、企业安全标准、合规策略以及对风险/信任的持续评估等因素。

● 阻止对网络基础设施的攻击

SASE 的防火墙和 CASB 组件有助于防止外部攻击（如DDoS 攻击和漏洞利用）进入并破坏内部资源。SASE 方法可以保护本地网络和基于云的网络。

● 防止恶意活动

通过过滤 URL、DNS 查询和其他传出和传入的网络流量，SASE 有助于防止基于恶意软件的攻击、数据泄露和对公司数据的其他威胁。

● 简化实施和管理

SASE 将单点安全解决方案合并到一个基于云的服务中，使企业能够与更少的供应商交互，并花费更少的时间、金钱和内部资源来配置物理基础设施。

● 简化策略管理

SASE 不是为单独的解决方案处理多个策略，而是允许组织从单个门户跨所有位置、用户、设备和应用程序设置、调整和实施访问策略。

● 延迟优化的路由

SASE 通过在全球边缘网络中路由网络流量来帮助减少延迟，在该网络中，流量在尽可能靠近用户的地方进行处理。路由优化可以帮助根据网络拥塞和其他因素确定最快的网络路径。

02.SASE 与传统网络相比如何？

在传统的网络模型中，数据和应用程序位于核心数据中心。为了访问这些资源，用户、分支机构和应用程序从本地专用网络或辅助网络连接到数据中心，辅助网络通常通过安全租用线路或VPN连接到主要网络。

事实证明，这种模式不足以应对由软件即服务 (SaaS)等基于云的服务和分布式劳动力的兴起带来的复杂性。如果应用程序和数据托管在云中，则通过集中式数据中心重新路由所有流量不再可行。

相比之下，SASE 将网络控制置于云边缘——而不是企业数据中心。SASE 不是需要单独配置和管理的分层云服务，而是简化网络和安全服务以创建安全的网络边缘。在边缘网络上实施基于身份的零信任访问策略允许企业将其网络边界扩展到任何远程用户、分支机构、设备或应用程序。