2021 年 SASE 融合战略路线图（一）

Gartner 发布的《2021 年 SASE 融合战略路线图》，概述了向安全访问服务边缘架构（SASE）转变的主要挑战。本文就带大家一起来看看这份路线图。

数字化、随处工作和基于云的计算加速了云交付的 SASE 产品，以支持从任何设备随时随地访问。安全和风险管理领导者应制定从传统边界和基于硬件的产品到 SASE 模型的迁移计划。

概述

重要发现

• 为了在任何时间、任何地点保护对数字能力的访问，安全性必须由软件定义和云计算交付，这迫使安全性架构和供应商选择发生变化。

• 采用基于边界的方法来保护任何地点、任何时间的访问，导致了供应商、策略和控制台的拼凑，为安全管理员和用户带来了复杂性。

• 将现有技能集、供应商和产品以及硬件更新周期时间作为迁移因素的企业会将其安全访问服务边缘 (SASE) 的采用时间缩短一半。

• 分支机构改造项目（包括软件定义的广域网 SD-WAN、MPLS 卸载、仅限互联网的分支机构和相关的成本节约）越来越成为 SASE 项目范围的一部分。

• SASE 是一个实用的和引人注目的模型，今天可以部分或完全实现。

建议

负责基础设施安全的安全和风险管理领导应该为采用 SASE 功能和产品制定路线图：

短期

• 部署零信任网络访问 (ZTNA) 以增强或替换远程用户的传统 VPN，尤其是对于高风险用例。

• 清点设备和合同，以实现对本地边界和分支机构使用多年的硬件逐步淘汰，以支持基于云的 SASE 功能交付。

• 随着安全 Web 网关 (SWG)、云访问安全代理 (CASB) 和 VPN 的合同续签，整合供应商并降低复杂性和成本。利用结合这些安全边缘服务而出现的融合市场。

• 积极参与分支机构转型和 MPLS 卸载的举措，以便将基于云的安全边缘服务集成到项目规划范围内。

长期

• 将 SASE 产品整合到一个或两个明确合作的供应商。

• 为所有用户实现 ZTNA，无论在哪里，包括在办公室或分支机构。

• 选择允许控制检查发生在哪里、流量如何路由、记录什么以及日志存储在哪里的 SASE 产品，以满足隐私和遵从性需求。

• 创建一个由安全和网络专家组成的专门团队，共同负责安全接入工程，跨越现场、远程工作人员、分支机构和边缘位置。

战略规划构想

到 2024 年，30%的企业将采用来自同一供应商的云交付 SWG、CASB、ZTNA 和分支机构防火墙服务（FWaaS）能力，而 2020 年这一比例还不到 5%。

到 2025 年，至少 60%的企业将有明确的战略和时间表采用 SASE，包括用户、分支机构和边缘接入，而 2020 年只有 10%。

到 2023 年，为了提供灵活、经济、可扩展的带宽，30%的企业地点将只有 internet WAN 连接，而 2020 年这一比例约为 15%。

介绍

目前的网络安全体系结构都是以企业数据中心作为访问需求的焦点来设计的。数字业务推动了新的 IT 架构，如云计算和边缘计算，以及在任何地方工作的倡议，这些反过来又逆转了访问需求，更多的用户、设备、应用程序、服务和数据位于企业外部，而不是企业内部。COVID-19 大流行加速了这些趋势。

基于使用一组安全设备的数据中心周边安全的网络安全模型不适合满足现代数字业务及其分布式数字劳动力的动态需求。

传统边界必须转变为一组基于云的融合功能，可在企业需要的时间和地点创建，即动态创建的、基于策略的安全访问服务边缘。

与此同时，企业越来越多地追求零信任战略，但零信任原则的有效实施却面临挑战。提供零信任的安全态势是新兴的 SASE 产品的一个组成部分。零信任网络模型用持续评估的风险/信任级别取代隐式信任（零信任是目标）。当围绕交互的上下文发生变化时，它们调整授予交互的显式信任的数量。

在保持复杂性可管理的同时，敏捷地支持数字化业务转型努力的需求是新兴的 SASE 市场的一个重要驱动力，该市场主要以基于云的服务形式交付。这个市场融合了网络（如 SD-WAN）和网络安全服务（如 SWG、CASB、ZTNA 和 FWaaS），如下图所示：

自 2019 年 7 月定义新兴的 SASE 市场以来，行业和客户对 SASE 的兴趣呈爆炸式增长，这主要是由于现有供应商无法满足现有企业的需求。但供应商的炒作让人们对上证综指市场的理解变得更加复杂。自发布最初的研究以来，与 2019 年至 2020 年同期相比，在相关安全主题的终端用户对话总数中，提到 SASE 的终端用户查询的百分比从 3% 增长到 2021 年 1 月的 15%，该兴趣继续增长，17%的终端用户来电提到同一组相关市场的 SASE。重大的供应商整合、收购和公告，以建立一个完整的 SASE 投资组合已经增加，预计在未来 12 至 24 个月将有更多。

然而，企业过渡到一个完整的 SASE 模型需要时间。现实情况是，企业在硬件上的现有投资没有完全摊销，在软件合同上还有剩余的时间。分支机构的硬件刷新周期平均为 5 到 7 年。与现有供应商的关系和员工专业知识是另一个因素。使 SASE 采用更加复杂的是，大多数大型企业都有独立的网络安全和网络运营团队。最后，并不是每个声称提供 SASE 产品的供应商目前都提供了所有必需的和推荐的 SASE 功能(见注释 1)。即使这样，并不是所有的 SASE 供应商的功能都处于相同的功能和成熟度水平。通过分析 SASE 产品未来和当前状态之间的差距，我们为 SASE 在未来几年的采用提供了一个战略路线图、迁移计划和实现建议。如下图：