随着云端SaaS应用普及和企业员工分散导致企业互联网流量增多，传统以企业自建数据中心为核心的中心辐射型网络架构面临着高成本的MPLS链路、总部集中上网应用访问体验差、安全边界绕行及总部VPN容量挑战等难题，企业不得不顺势改变网络及安全建设思路。SASE应运而生，并逐渐受到国内众多厂商和用户的关注。

01.访问云上SaaS应用办公

由于SaaS应用的便捷和高效的特性，越来越多的中小企业从传统的软硬件部署方式转向使用SaaS应用办公，其中不乏财务、人力资源、OA等核心系统，可以有效提升企业工作效率。

SaaS安全访问及数据外泄安全一直是中小企业关注的重点，但是由于SaaS服务已经摆脱地域和网络环境的限制，传统的硬件安全产品部署方式已经不再有效，同时传统的安全设备价格昂贵、未能服务化交付。业务系统SaaS化以后，网络缺少安全边界，用户可以通过办公电脑，个人笔记本，任何终端访问业务系统，一旦账号密码被泄露，黑客或者竞争对手可以直接访问平台获取数据，内部员工更是随意拿到相关数据。

SASE的应用可将企业内部应用全部收敛起来，无需暴露外部访问地址，员工只有通过SASE的接入节点才能访问到自身权限允许的应用，保证内部应用在简单高效访问的同时又不会暴露在外，实现更安全、更隐私、更稳定的访问体验。

无论企业的内部应用部署在私有云、公有云还是本地的数据中心，都会收纳到SASE云平台统一管理，可以做到轻资产、高效访问等优点。

02.远程接入办公

传统的企业外部接入都是经由总部数据中心将员工连接到互联网，并在企业内网放置应用。但是，随着应用程序迁移到云的趋势不断上升，以及新冠疫情等外部因素促使企业推进居家办公模式，使得通过传统的VPN连接总部数据中心的解决方案不再满足当前企业的远程接入需求。员工居家办公、合作伙伴远程接入内网，终端环境不可控，存在安全风险，容易被钓鱼攻击成为跳板；VPN不能最小化访问权限，无法触及云上业务；终端多种环境接入入口不统一等。

基于SASE 架构的远程接入，不需要对终端进行复杂安全部署，只需部署轻量级引流插件，将流量引流到SASE云平台的边缘接入POP节点，即可体验远程访问内部应用。

SASE云平台对所有员工都支持下发认证策略，只有通过认证的员工才能访问内部应用。无论企业的内部应用部署在私有云、共有云还是本地的数据中心，都由SASE云平台统一管理；企业整体的内部应用访问权限完全托管到SASE平台管理，保证内部应用按需访问，降低威胁入侵、数据泄露的可能性。同时可实现内部应用访问活动可视化，如发现越权访问，立即调整访问权限，保证内部应用的安全。

实现保护企业内部应用的目标，减轻远程访问复杂度，基于实体身份进行权限管理，并通过云平台集中管理内部应用。

03.多分支接入办公

对于有多个分支机构的企业，由于地理位置分散，分支机构无法通过内网直接访问到总部，安全保护较弱。

传统的“总部-分支”安全模式不适用于当下的企业内外部环境，而分支机构独立采购安全设备并使用MPLS专线进行通信的模式成本高、使用体验差；分支机构和总部统一进行网络和安全建设，对设备性能要求高，成本高，分支网络、安全策略变化需要经由总部进行处理，运维复杂。

SASE架构通过在分支机构出口部署引流设备，将上网流量引流到SASE服务边缘接入节点，按需开通安全模块，统一实现分支上网安全、组网和集中管理功能，无需购买传统安全设备。

使用统一安全管理平台，可实现多分支集中管理，多分支流量可视，分支安全事件分析统一展示，提供实时告警推送。对企业终端上网行为进行管理，对上网流量进行监控与分析，保障企业信息安全。同时对终端侧进行安全威胁检测与响应，提供基于零信任的内网应用资源接入，通过身份认证、权限控制等模块，确保企业员工、合作伙伴在全球任何地方都能更安全、更隐私地访问业务。

企业可实现轻资产、简运维、统一管理的目标，节省采购设备成本，减轻运维压力，统一管理多分支安全。