可乐与汉堡是绝配，那SASE与零信任呢？

在生活中，我们经常会遇到几种物质混合的情况。有的就是绝配，比如可乐与汉堡组成的美味让人回味无穷，而有的则是水火不相容。SASE（安全访问服务边缘）与零信任碰到一起，会是哪种情况呢？天衣无缝还是矛盾重重？

Gartner的一组预测数据十分耐人寻味：到2025年，将有超过60%的组织围绕零信任实施安全，同样也有至少60%的企业将制定明确的SASE采用战略和时间表。两个60%，难道只是巧合？在这60%中，SASE与零信任的重合度到底有多高呢？

同样是Gartner的预测，在实施零信任的组织中，超过一半会失败。究其原因，因为很多人对什么是零信任只是一知半解，很大程度上是“跟风”而动。这种情况是不是也会发生在SASE身上？SASE与零信任是同病相怜，还是相互成就？

当前，从SASE与零信任的落地来看，问题虽然很多，但期待更多！

SASE+零信任=安全的应用访问

早在2019年，Gartner便率先定义了SASE：它是一种新兴的服务，将广域网与网络安全（如SWG、CASB、FWaaS、ZTNA）相结合，能够更好地满足数字化企业的动态安全访问需求。

SASE的诞生有其深刻的背景，是网络安全突破数据中心边界的必然。传统上，不管是分支机构、承包商或是合作伙伴，都要通过数据中心才能对应用程序进行访问。此种访问连接有一个非常清楚的边界，那就是数据中心。从安全的角度来看，只要对数据中心内部进行有效的保护，就基本能够确保应用程序访问的安全。但是今天，这个边界变得模糊甚至可以说正逐渐消亡，因为云计算、边缘计算、泛在网络连接等的出现，应用和访问已经无处不在。用户希望在任何地方、任何时间，使用任何设备去访问应用程序。数据中心不再是唯一的中心。

用户无论在办公室、咖啡厅或是在高铁、机杨，都要保证连接和访问的安全。怎么办？这就是SASE要解决的主要问题。Gartner高级研究总监高峰概括说，SASE主要有两大支柱：一是广域网边缘服务，二是安全服务边缘SSE。

提到广域网边缘服务，SD-WAN是近几年非常热门的技术，它能让用户以低成本且敏捷的方式进行连接。而SSE包含的像安全网络网关（SWG）、云访问服务代理（CASB）、零信任网络访问（ZTNA/VPN）等，几乎都是人们耳熟能详的安全技术。它们各自保护着企业不同的访问场景，比如SWG主要保护的是用户对互联网的访问，而CASB保护的是SaaS访问的安全，ZTNA/VPN更多应用于远程办公的场景。“过去这些技术都是独立部署的，现在随着安全形势和需求的变化，融合是大势所趋。越来越多的厂商希望将这些产品和功能整合起来，变成一个管理界面，甚至是一个产品。”高峰举例说，比如ZTNA厂商也会加入SWG的功能，而一些CASB的厂商也会在其方案中融入SWG的能力，以凸显其产品的差异化。”

基于上述分析，SASE其实就是SWG、CASB、ZTNA/VPN再加上SD-WAN，它们奠定了SASE的技术基础。需求特别指出的一点，SASE要确保一致的用户体验，零信任访问是基本的保障。Gartner认为，SASE实现的前提就是一定要做到零信任访问。

从标准定义来说，零信任架构是一种将基于隐性信任的访问替换为基于不断更新的身份和上下文的访问的体系结构。简而言之，零信任就是一种安全架构，可根据计算的风险提供对资源的访问。那么，什么是可计算的风险呢？所谓可计算的风险，即我们对于用户的每一次访问去进行风险计算，如果这个风险是可以接受的，那么就放行此访问；如果风险超出了企业的接受度，就拒绝此次访问。

当我们对SASE和零信任有了一定了解之后，很多用户经常会问相同的问题：“SASE和零信任之间的关系是什么？如何去部署一个零信任的架构？“SASE与零信任的组合能否达到1+1大于2的效果，从而进一步提升应用程序访问的安全性呢？

从业务出发 由小到大 分步实施

“保证应用访问的安全，SASE告诉我们要‘做什么’，零信任则告诉我们‘怎么做’。”高峰如是说。

策略执行点（Policy Enforcement Point，PEP）是来帮助我们控制访问的允许与否的；而策略决策点（Policy Decision Point，PDP）则像是“大脑”，由它来决定是否允许访问。SASE包含或者说代替了PDP、PEP的工作，这也从某种程度上展现了SASE与零信任架构之间的关系。

如上文所述，SD-WAN、SWG、CASB与ZTNA可以称之为SASE的四大核心能力。现在，大部分的厂商其实都在做SD-WAN。Gartner预计，在未来两年内，SWG、CASB、ZTNA厂商都会在其产品加入SD-WAN的功能。高峰表示：“用户无法直接买到零信任，但可以自己去构建零信任。SASE就是构建基于零信任架构的应用程序安全访问的基石。”

Gartner认为，SASE可以成为构建零信任的很好的起点。SASE可以将用户安全地连接到应用程序，但前提是需要十分了解应用程序。现在，一家中型规模的企业可能拥有数百个应用程序，国内一家商业银行的应用程序就超过了2000个。只有对应用程序的状况和需求痛点了如指掌，SASE的建设才可能有的放矢。再者，SASE的部署只能根据已知的策略执行，所以用户必须掌握基本的策略。或许用户不需要在第一天就了解所有的策略，但是一定要了解迁移到SASE应用的策略，这样才能事半功倍。另外，构建SASE必须“从小做起”，按部就班。比如，谷歌就是花了五年时间逐步进行应用迁移，才构建起零信任架构。“企业最好一个应用一个应用地迁移，不能贪多求快，否则很容易导致迁移的失败。”高峰建议说。

现实情况时，很多用户对零信任架构只知其然，却不知其所以然，认为别人都构建了零信任架构并取得了良好的效果，所以我也要建设。从市场的角度看，零信任本身有被过度营销的情况，导致很多用户对零信任有误读，没有从自身业务的角度出发考虑，如何将SASE、零信任这样的先进技术转化为业务目标。高峰提示说：“零信任比我们想象的要复杂得多，绝对不是像从前那样只要部署一个安全工具，就万事大吉了。”

目前在中国，SASE的成熟度远远落后于国外。究其原因有以下几个方面：一是在国内，本地化部署比较流行，很多企业并不太信任基于SaaS的云厂商，而SASE基本上都是基于SaaS模式的，用户享受不到SaaS模式的SASE带来的红利，因此动力不足；二是SASE本身是多种能力的集成，单一厂商可能不能提供全部能力，因此SASE的成熟和应用在很大程度上依赖一个完善的生态，而国内相关厂商在产品的对接、集成方面还有欠缺；三是国内SASE厂商在几大关键能力方面还有待进一步提升和完善，其中最大的产品短板在CASB（云访问服务代理）。

高峰认为：“目前国内能够提供完整SASE解决方案的厂商还非常少，可能要再过两三年，这一局面才能得到改善。”

零信任在国内的接受程度还是比较高的，这主要是零信任访问网络的功劳。“零信任访问网络实际上是SASE中的一个主要功能或者说是一个产品。”高峰解释说，“疫情的出现，使得很多企业不得不接受远程办公，这在客观上推动了国内零信任网络访问的部署。由于移动办公、远程办公的普及，VPN的一些安全隐患大量暴露出来。所以，很多企业加快了ZTNA的部署。整体来看，零信任在国内的接受度比SASE要高，但我们也要清楚地认识到，零信任架构的建设也是有门槛的，并不像想象中那样容易。”

构筑数智化时代新的安全护城河

今天，当“多云”成为一种常态，应用无处不在，连接无处不在，访问无处不在，SASE与零信任的结合能够为我们访问任意一朵云提供最好的安全保护，这正是SASE与零信任为用户带来的真正价值所在。  

像谷歌这样没有历史包袱，同时拥有大量技术人员、应用标准化程度很高的互联网企业，都需要若干年才能完成零信任架构的建设，对于制造等拥有老旧IT架构和应用架构的传统行业企业来说，实施的难度可能会更大。因此，高峰建议，无论是构建零信任架构，还是部署SASE时，都要格外小心谨慎，尽力而为，做到统一规划、分布实施，一步一个脚印逐步迁移和完善。

谈到生成式AI可能给SASE和零信任的部署带来的挑战和影响，高峰表示，生成式AI能够提高企业的效率，更有效地进行用户行为分析，发现更多未知的漏洞和威胁，并减少误报，这样才能让用户建立起更完善的防护网。现在很多SASE厂商都已经采用了AI和机器学习技术。AI并不是新东西，只是在工程化方面做得比以前更好。

SASE与零信任就像是汉堡和可乐，相得益彰，相互促进与成就，从而构筑起数智化时代新的安全防御护城河。