闲聊SD-WAN与SASE的前世今生（下）

黎明的曙光

在2010年，一项全新的技术概念SD- WAN（软件定义广域网）使网络边界模糊的困境得以扭转。作为一种基于云的应用程序“调度中枢”，SD-WAN引入一种更智能、高效的广域网组网模型。

根据Frost&Sullivan的数据,仅在2019年全球SD-WAN市场就超过10亿美元的规模，是2018年收入的两倍之多。同期，使用 SD-WAN的站点数量也增长了100%以上。本质上讲，SD-WAN技术理念是在传统的基础设施之上增加了一层智能软件，其摈弃了传统的“静态模式”，使网络回归其本位--服务于应用。在 SD-WAN下，所有链路均被定义为“激活”状态，系统首先识别出应用程序，并根据每个应用程序的业务策略结合网络中的实时条件,自动更改路由决策（路由到企业数据中心、附近的云PoP或直接访Internet），使流量永远运行于当时可用的更佳路径之上。SD-WAN功能可为用户提供更好的应用访问体验，同时降低广域网的整体组网成本。

读到现在，你可能会发现SD-WAN解决方案解决了过时的传统企业广域组网相关的大多数性能和效率问题。但是，一旦涉及到远程办公人员与基于云的应用程序流量的安全问题，SD-WAN显得“有心无力”，诚然它们的设计目的并不是提供企业数据中心内的全功能安全堆栈。

那么是否可以这么设想,如果可以利用SD-WAN的所有优点,并将其与更加动态的、以用户为中心的安全性相结合,结果又会变得怎样?如果企业所需的核心安全功能（加密、防火墙、访问控制等）可以像任何其他云服务一样在全球数百或数千个云PoP中运行，那结果又会怎样？

结果，新一代的SASE（安全访问服务边缘）解决方案出现了。这些解决方案还将企业从多年来基于边界的老旧信任模型中解放出来。使用ZTNA（零信任网络访问），根据用户或应用程序或其他实体的身份，授予可信访问权限，而不再是他们的位置或IP地址。SASE和ZTNA的模型中引入，为企业用户从任何地方进行更安全和更智能的连接奠定了基础。

更智能、更安全的边缘，这就正如Gartner最初定义的那样，SASE将网络和云安全服务紧密地结合在一起，以提供灵活性、敏捷性和可扩展性。SASE为以“云优先”IT战略的企业提供了一种更简单的安全连接模型，将安全功能带到任何其所需要的地方，就像其他云服务一样。SASE提供商建立了覆盖于全国或全球的PoP，并与广大的云服务提供商建立了对接关系。这些PoP充当SaaS应用程序和其他云服务的入口，当用户（或设备或应用程序）连接时，无论是在分支机构中还是通过远程访问，每个PoP都可以应用一整套企业安全功能（包含但不限于安全Web网关、云访问安全代理、基于云的防火墙、用于建立用户上下文和安全状态的身份服务）。同样需要强调的是，SASE提供了许多基于云安全功能的“即服务”能力。企业可以在任何地方应用全套更先进的安全防护堆栈，而无需维护分布于各处区域的单点产品。

写在最后

利用SD-WAN所带来的技术与业务模式的创新，SASE使企业广域组网架构和安全模型与企业的实际工作方式保持一致。企业员工可以在任何地方使用任何传统或基于云的应用程序，同时自动获得正确的安全保护，而不会影响性能。SASE和ZTNA使管理安全性和访问变得更加容易，绝大多数的部署、监控和故障排除任务现在自动执行而无需人为介入。

最后，我们展望未来，企业可以通过流量上下文智能保护自我，根据用户的身份和安全状况自动授予或拒绝访问权限，并将它们通过广泛覆盖的 PoP应用到任何地方。

供稿人：Wallace Huang