从并购案感受SASE的火热

大家好，我是二哥。

先和大家说一个事，我把公众号里面的文章大致分为以下三类，方便大家查看历史文章。

其中闲聊部分的定位是像逛知乎一样阅读，上一篇和本篇都属于闲聊范畴。但闲聊不是八卦，它应该略等于行业话题科普。

DeepDive部分如它名字所言，阅读的时候需要一点时间，也可能需要一点点背景知识，因而这样的文章阅读量不会太高，不会每个人都喜欢里面的主题。二哥有心理预期，但只求“老乡别走”。我正在准备下一篇DeepDive相关的文章，不过因为只有下班和周末才有时间，所以速度有点慢。

1. 前情回顾

上一篇二哥从网络边界在云计算机浪潮下被无情地撕裂、突防的角度聊了聊为什么零信任的出现是一种必然结果，不是我们选择零信任，而是零信任帮助我们渡过了一次危机。当它终于来到我们面前时，业界以它为核心，发展出了SASE这样一种方案来应对无限扩展的企业边界所带来的安全危机。

零信任意味着将网络安全的控制粒度细化到了每个服务层级。二哥想拿手机举一个例子。很早之前，只要输对密码就可以进入手机，畅通无阻地使用所有的APP。而如今，你会发现不单进入手机需要生物识别，当使用一些如银行类APP的时候，还需要再次识别。这便是控制粒度细化的最好体现。

用一句话向正在看这篇文章的同学介绍一下目前企业网络安全面临的现状：无穷的参与者、无限扩展的边界和无尽的云。

让我们首先来梳理一下，涉及到企业网络的参与者有哪些：

• Workforce：在公司工作的员工、在家工作的员工、出差办公的员工、合作伙伴、顾问、供应商等等
• 设备：手机、笔记本、台式机、IoT、BYOD、OT、打印机、POS机等等所有会连接到企业网络和服务的设备
• 企业服务：on-premise服务、PaaS、IaaS、SaaS

新设备、新服务层出不穷，它们会以各种方式接入企业网络。

企业还有明显的网络边界吗？在过去，无论是采用V**还是telco/ISP将企业分散在各处的分支机构和总部连接起来，这些数据在传输的过程中总归是按照预先设定好的路径流动。这对IT管理人员而言，是一个舒服的方式，虽然成本偏高，但胜在安全可控。而云计算，尤其是SaaS的到来，打破了这一沉寂的美好。Blissfully在他们”2020 Annual SaaS Trends“中评估到：一个中等大小的企业平均会用到137个SaaS应用，而一个大型企业会用到288个。每使用一个新的SaaS应用、每申请一个云主机、每使用一个云DB都意味着企业边界会被凿开一道新的口子。

图 1：越来越多的Cloud Services被企业采用

现有网络边界是针对“由外入内”的流量设防的。而如图1所示的“从内向外”的流量则给企业设防带来了重重障碍。如果不采用零信任和SASE方案，图1里每一个孔都是需要设防的地方，而多处设防是兵家大忌。《孙子兵法》有言：故备前则后寡，备后则前寡，备左则右寡，备右则左寡，无所不备，则无所不寡。

2. SASE生态相关并购案

不过我觉得关于SASE概念和来龙去脉讲得再多，估计还是不能激起大家的共鸣。所以这篇我们换个视角。

图 2：基于Zero-Trust的SASE架构图

先来回顾一下上一篇提到的基于Zero-Trust的SASE架构图。这张图中重点涉及到了基于Identity的Secure Access、持续行为观察和分析、基于Service Edge的网络连接控制（SWG/ZTNA/CASB）。

SASE是一个集中式的网络控制平面。所以这张图中还列出了EDR、XDR等可以集成到SASE的各类服务。这些服务为UEBA、访问控制提供了大量用于分析和决策的原始数据。

最近几年SASE实在是太火了，火到什么程度呢？我们看看最近几年与SASE生态相关的部分并购案就能感知一二了。真是市集热闹，人声鼎沸。

注意图3所列的只是部分，不是全部。一眼看过去，好多熟悉的名字，既有如Okta、Elastic这样的新晋宠儿，又有Symantec、McAfee这样的明日黄花。看起来大家都没有闲着，新贵凭着后发优势占据了最有利的赛道，而老杆子们虽疲态尽显，但仍有撸起柚子，奋起直追之势。

Thoma Bravo是一家私募投资机构。投资公司包括proofpoint、solarwinds、barracuda（梭子鱼）等在内的一众科技公司。

图 3：近几年与SASE生态相关的并购案（部分）

对照图2的SASE架构图来仔细查看这些并购案，你会发现大家都在拼命地补齐各自产品的短板。我们来思考一个问题：这些企业为什么要到处收购呢？简单的答案是：为了尽快地完善他们的产品布局，提高竞争力。

这个回答当然没有问题，不过它没有提及一个行业大势：Security-as-a-Service。二哥想从这个层面来思考这个问题。

3. SECaaS

在哲学里，有人曾经严肃研讨过“知识膨胀”的问题，说的是人类科学的前沿在不断拓展，触及前沿所需的基础知识也不断增加，是否会陷入后来者终其一生都无法攒下足够基础，导致人类知识陷入止步不前的危机之中。

摘自周志明《从软件历史看架构的未来：编程不再是精英们的游戏》

当企业网络演变得越来越复杂，膨胀得越来越大，attack vectors越来越多，市面上面向安全的解决方案也越来越丰富多样的时候，我们怎么能期望企业有足够多的训练有素的专家来应对如此复杂的局面呢？退一步讲，即使企业有这样的专家，又该如何让成千上万对安全本无感的普通员工有足够的知识来拿起武器对抗各式各样的网络攻击呢？

当网络安全的复杂程度超出了企业的知识极限以及成本承受能力的时候，"do it yourself" 就变成了无法达成的目标，Security-as-a-Service（SECaaS）也就随之出现。

网络攻防的斗争从来都不是对等的。攻击者之间可以信息共享、买卖，而受害者通常却不会或不能。传统的以企业为主体被动防御因为信息silo的存在，注定无法赢得这场不对等的斗争，而SECaaS的出现则改变了这一切，因为它能打破silo，基于它所服务客户的全局数据，将防御姿势从reactive转变为proactive。

从Security-as-a-Service来讲，ZeroTrust和SASE是多么完美和生动的例子。

聊完了ZeroTrust和SASE，也讲完了SECaaS，与SASE相关的闲聊文章就结束了。敬请期待二哥后面的DeepDive文章。