1、 前前 言言 随着云计算技术不断发展， 企业上云需求增加， 同时伴随着 4G 和5G 网络技术发展和移动端设备性能的提升，越来越多的用户通过移动端接入企业网络， 基于云计算的新架构理念安全访问服务边缘SASE（Secure Access Service Edge）提出，通过将网络与安全能力利用分布式云进行交付， 为多分支场景下的企业网络互联及安全问题提出了新的解决方案。 本白皮书将重点分析 SASE 产生的背景、发展历程、能力要求、关键技术与架构、应用场景，并对 SASE 进行未来展望，为后续 SASE技术与应用场景发展提供参考。本文结构如下： 第一部分介绍 SASE 发展概况，对 SASE

2、发展背景进行分析，给出SASE 的基本定义，介绍 SASE 的国内外发展历程，并分析 SASE 产业的多个发展机遇。 第二部分对 SASE 的关键技术以及架构进行分析， 归纳 SASE 的能力要求，以及对应的关键技术，最后根据不同需求提出多种 SASE 部署与流量架构模型。 第三部分介绍 SASE 的应用场景，本文总结了四大应用场景，并分别对实际应用案例进行分析。 第四部分展望 SASE 的未来发展，在市场、技术、应用等方面给出了参考观点。 参与编写单位参与编写单位 中国信息通信研究院、中国移动通信集团浙江有限公司、中移（苏州）软件技术有限公司、贵州白山云科技股份有限公司、深信服科技股份有限公

3、司、凌锐蓝信科技（北京）有限公司、北京百度网讯科技有限公司、启明星辰信息技术集团股份有限公司、新华三技术有限公司、北京天融信网络安全技术有限公司、杭州安恒信息技术股份有限公司、北京神州绿盟科技有限公司、中国电信股份有限公司研究院、中国移动通信集团北京有限公司、中国移动通信集团公司信息安全管理与运行中心、奇安信网神信息技术（北京）股份有限公司、中国铁塔股份有限公司、北京上元信安技术有限公司、犀思云（北京）云计算科技有限公司、云闼智网（北京）科技有限公司、观脉科技(北京)有限公司、北京哈希安全科技有限公司、杭州亿格云科技有限公司、北京赛博谛听科技有限公司、信华信技术股份有限公司、江苏易安联网络技术

4、有限公司 主要撰稿人主要撰稿人 栗蔚、马飞、苏越、陈锐豪、袁长卿、陈豪、赵华锋、赵立芬、严仍义、谢佳、王后月、梁树强、张志绍、刘晨、顾玮、刘淳、孙亚生、唐家伟、张征、吕波、曹宪、黄凤贤、张超、欧阳志雄、何明卓、庞慧敏、赵宁、田丽丹、李凯、郑彬、刘国平、钟施仪、司玄、艾敬之、邱勤、徐天妮、王国宇、徐思嘉、王茜、孟祥聃、邓松涛、郑曙光、张博、张君慈、罗新财、王晨、刘香成、宋园园、陈吴栋、金湘宇、陈川、秦益飞、于振伟目目 录录 1.SASE 发展概况发展概况 . 4 1.1 企业流量向云端发展，传统架构难以满足需求变化 . 4 1.2 安全访问服务边缘应运而生，助力产业与技术升级 . 6 1.3 国

5、外 SASE 发展起步较早，国内 SASE 取得阶段性成果 . 7 1.4 SASE 产业发展迅速，数字化转型和安全合规成为驱动力 . 9 2.SASE 关键技术与架构关键技术与架构 . 12 2.1 SASE 构建四大能力域，全面支撑差异化场景服务 . 13 2.2 SASE 实现技术融合，网络、安全和管控技术成为关键 . 21 2.3 SASE 部署架构灵活多样，按需调用不同能力组件 . 31 3.SASE 应用场景应用场景 . 36 3.1 场景一：多分支机构安全组网 . 36 3.2 场景二：企业安全合规建设 . 39 3.3 场景三：企业混合办公 . 41 3.4 场景四：物联网安全

6、防护 . 44 4.SASE 未来展望未来展望 . 46 4.1 SASE 市场进入快速增长期，各方竞争逐渐激烈 . 46 4.2 SASE 具备技术融合优势，AI 和 5G 赋能技术创新 . 47 4.3 SASE 应用领域与场景将向泛在化发展 . 48 云网产业推进方阵 SASE 技术白皮书（2022） 4 1. SASE 发展概况发展概况 1.1 企业流量向云端发展，传统架构难以满足需求变化 传统网络及网络安全架构， 是为企业数据中心即用户和设备访问所需实体中心而设计的。 我国数字经济全面发展需要新的数字基础设施，2020 年随着新基建自上而下的推动，5G 成为数字经济时代的基础设施，5

7、G 网络使组织能够在其网络和基础架构中分发大量数据，云端业务计算压力陡增，迫切需要计算能力下沉到边缘。因此，我们很可能会看到由于配置错误， 网络管理不善以及这些网络之间的安全集成而产生的主要安全风险， 这意味着网络安全风险会直接影响业务运营。对于 IT 业务和网络安全管理者来说，实施复杂的策略阻止潜在的网络攻击将变得更加困难， 所以企业需要创建一个更强大的边缘网络。 与此同时，数字化转型的目标是让软件成为企业的核心能力，同时把软件作为数字服务对外输出成为企业的核心业务， 最终实现企业数字化转型。在这个过程中，应用会更多的迁移到云端，基于云的架构设计和开发模式越来越多地采用云原生模式进行，包含了

8、技术（微服务，敏捷基础设施），也包含管理（DevOps，持续交付等），是一系列 Cloud 技术集合，具有速度快，敏捷强等特点。所以安全和业务速度的外在需要变为推动企业数字化转型和业务扩张的内生需求。 在此背景下，企业发展越来越多地呈现门店或分支机构协同的、分散化经营模式，虽然显着提高生产力和效率，但同时伴随着安全和云网产业推进方阵 SASE 技术白皮书（2022） 5 效率挑战。 2020 年初全球新冠疫情的爆发，企业上云、远程移动办公的趋势持续扩大， 而且是常态化， 于此给企业带来的挑战是网络开销，即业务服务质量，用户速度体验，以及安全问题，其表现为: 网络应用感知不足：网络拥塞导致的丢包

9、和无序数据包对应用程序的影响非常大，数据包丢失会严重影响延迟敏感的应用程序（如视频、VoIP 和 Web 会议）。 远程接入性能较低：为了加快业务响应速度，满足移动办公需求， 不得以开放业务端口或者 VPN 通道让用户进行远程接入业务，导致网络暴露面增大，非常容易造成数据泄露或者被破坏；疫情期间很多公司远程办公员工的比例可能接近 50或 70，VPN 并发量斗增，所需的许可证和处理能力需求越多，产生不可预见的成本和额外的网络延迟。 数据安全威胁增加。随着边缘计算应用增加，公有云服务之间的数据驻留和移动扩大了企业安全边界，增加了数据安全风险，容易在安全团队不知情的情况下发生事故。随着面向数据安全

10、的网络攻击方式不断升级，利用云提供商的功能使用合法凭据模仿用户行为的攻击手段出现，对于传统的安全工具来说，检测这些看似合法的行为是极其困难的。 上述挑战说明企业现有的 IT 基础设施不够灵活， 需要构建动态、灵活、弹性的网络和安全基础设施，SASE 在此背景下应运而生，成为企业 IT 架构转型的方向。 云网产业推进方阵 SASE 技术白皮书（2022） 6 1.2 安全访问服务边缘应运而生，助力产业与技术升级 2019 年，知名信息技术研究公司 Gartner 在报告网络安全的未来在云端中首次提出 SASE（Secure Access Service Edge）的概念，并定义为是一种基于实体的

11、身份、实时上下文、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务，行业内普遍将SASE 的中文名译为“安全访问服务边缘”。SASE 概念的提出引起了行业各界巨大关注。中国信息通信研究院率先开展 SASE 能力要求标准化工作，将 SASE 定义进行提炼，认为 SASE 是一种将网络连接能力与安全能力基于云计算统一交付的服务模型，如图 1 所示。 图 1 SASE 服务模型 下面围绕组成 SASE 的四个词语具体阐述 SASE 的内涵。 安全（Secure）： SASE 安全性设计使用户能够直接访问云资源，而无需通过 MLPS 或 VPN 连接，在 SASE 云原生大规模服务边缘中统

12、一向用户提供云访问安全代理， 安全 Web 网关， 远程浏览器隔离，入侵防御等安全能力，抵御复杂的网络攻击和数据丢失，防止基于 云网产业推进方阵 SASE 技术白皮书（2022） 7 Web 的威胁和恶意软件，同时具备低延迟和高可用性。 访问（Access）：身份附加到每个企业资源的访问主体：人员，应用程序，服务或设备。身份决定了资源，而不是其实际位置。身份作为广泛而动态的上下文感知的一部分， 可驱动每个流的风险和网络服务配置文件，以及身份验证方法，威胁检查和数据访问授权的混合结果。安全和网络融合的好处是在整个访问生命周期中注入了身份，从确保服务质量到应用风险驱动的安全控制。 服务（Servi

13、ce）：将网络能力和安全能力以服务的形式提供给用户。企业运维不再需要学习复杂的网络和安全设备，不再需要面对复杂的网络安全建设进行规划， 按需购买 SASE 厂商提供的服务即可完成建设目的，企业侧轻量化，不再购买硬件资产，服务的切换也将变得更加简单。 边缘（Edge）：经济和技术的演变带来了多种多样的接入方式，每一个需要接入内网的分支机构、移动办公、居家办公、物联网设备等场景都可以看作为企业整张内网的边缘。SASE 需要做到支持所有的终端接入并加以有效的管理能力，形成一张综合可控的企业网络。SASE 将大部分的安全能力集成在 POP 中， 网络边缘除去基础安全能力外，最为重要的就是快速便捷的接入

14、，一旦有分支或个人因为技术原因导致使用传统方式接入， 那么整个 SASE 带来的安全体系就会变得毫无意义。 1.3 国外 SASE 发展起步较早，国内 SASE 取得阶段性成果 云网产业推进方阵 SASE 技术白皮书（2022） 8 阶段一：先于 Gartner，国内外安全厂商已在探索 SASE 理念的解决方案 国外不同领域的厂商选择切入网络安全的角度则有所不同。 着重于网络解决方案的Cato Networks 的云原生架构不断融合 SD-WAN 技术，加强其全球化骨干网络的发展，完善其资源和移动设备的网络安全。主营网络安全的 Fortine 则是不断发展安全 web 网关技术。整体来看， 这

15、一时期国外明确探索且靠拢安全访问服务边缘的厂商比例不足 1%。 国内方面， 以深信服为代表的安全厂商以在探索将现有的安全能力转移到边缘节点上，并提供以身份为核心的访问控制功能。这个阶段 SD-WAN、 网络虚拟化等技术给产业带来新的革命， 使得网络服务不再是“重资产”的项目，云、安全等服务商尝试涉足网络领域。 阶段二：Gartner 提出 SASE 概念，国内外市场较为混乱， 炒作大于实际 2019 年，Gartner 提出 SASE 概念。SASE 理念一经定义，行业与客户的热情不断激增，以至于 SASE 供应商无法满足大量企业需求。与此同时，供应商的炒作也使得 SASE 的市场理念越发复杂

16、。 SASE 在国内市场中则基本处于混乱的概念炒作，部分机构厂商基于自己的理念将网络、 安全做了部分融合， 结合边缘安全推出 SASE解决方案，另一部分厂商更采用“新瓶装旧酒”的策略，将具备优势的产品一并打包推向市场，包装为“SASE”进行宣传。 云网产业推进方阵 SASE 技术白皮书（2022） 9 阶段三：SASE 标准化工作初有成果，行业逐渐达成共识 在企业数字化转型和业务上云的趋势下， 企业需要随时随地访问云端的应用和服务。各机构及厂商便开始讨论研究 SASE 标准化，标准逐渐清晰，即近源部署，分布互联，通过 SD-WAN 将网络和安全整体交付于用户，整体提升访问效率和访问安全。为用户

17、带来统一管控，部署灵活，安全接入等优势。 阶段四：SASE 逐步落地，距离大规模应用仍存在一定距离 新型技术领域包括云计算、大数据、人工智能等技术的发展驱动了企业信息化变革，由此带来的网络结构变化、安全人员数量和素质需求增加让 SASE 以轻便、 简洁、 快速、 安全的优势被国内厂商重视，逐步推出自己的 SASE 产品， 但现阶段企业尚未进入大规模采用阶段，企业在实施 SASE 落地过程中， 如何解决漫长的硬件寿命更换周期和现有的软件合约带来的替换成本过高的问题也迫在眉睫。 1.4 SASE 产业发展迅速，数字化转型和安全合规成为驱动力 1.4.1 企业数字化转型安全挑战 随着“中国制造 20

18、25”全面推进、企业数字化、智能化、网络化加速发展，云计算、大数据、物联网等新技术的应用，网络边界的模糊以及业务资源的整合与再分配都对网络安全架构提出了新的挑战。 传统烟囱式的建设模式， 每个业务系统拥有独立的安全防护设备，业务系统规模较小， 网络结构简单， 各个系统间边界清晰， 资源独立，云网产业推进方阵 SASE 技术白皮书（2022） 10 安全运维也相对简单。在数字化时代，数据大集中带来业务系统规模的激增，云计算技术的大规模应用以及租户的出现，使得网络边界完全被打破，业务资源池化，原有碎片化的安全架构已不能适应业务架构的融合与扩张。海量业务在上线过程中，安全系统的部署会由于访问量和应用

19、的多样性为最大的瓶颈。 企业如何差异化实现业务系统的安全快速、便捷开通，也成为数字化转型过程中的重要课题。 SASE 作为云上安全能力的统一节点，贯通企业数字化转型中涉及的全部连接， 可有效降低网络复杂度， 快速打通企业的云端和地端，同时，将安全能力上移到 SASE，通过统一在 SASE 平台订阅网络及安全能力，集中管理与下发，减轻运维压力，解决传统架构带来的安全问题，切实缓解数字化企业 IT 建设之痛，对未来企业的 IT 架构发展具有深远影响。 1.4.2 轻量化服务模式快速发展 2020 年 9 月，工信部关于促进网络安全产业发展的指导意见（征求意见稿）指出“创新网络安全服务模式，提升网络

20、安全专业化服务水平，实现产业发展逐步由产品主导向服务主导转变”，为我国网络安全服务发展奠定了政策基调。 伴随着全球范围内的数字化转型，新技术、新系统对网络安全的诉求变得日益复杂和精细化，安全即服务正在成为新的发展趋势。一方面， 新冠疫情发生以来， 传统的线下组织业态和商业模式受到影响，企业的安全产品采购延迟，现场网络安全支撑和服务阻滞，各行各业云网产业推进方阵 SASE 技术白皮书（2022） 11 面临更加严重的网络安全威胁。在此形势下，安全服务应运而生。安全服务打破了时间、地域的限制，同时也在一定程度上降低了安全企业及其客户的成本，成为网络安全新的服务形式。另一方面，当下企业业务正在加速向

21、云端迁移， 与云服务相配套的安全即服务面临新的发展机遇。云应用时代，本地的安全产品部署不足以应对日益严峻的安全威胁，以高质低价、云端交付、按需付费为主要特点的安全即服务正在成为新的业务布局方向。 SASE 以本地化、轻量化的云服务形式交付网络和安全，利用其云原生架构，可为企业提供全面、敏捷、弹性的安全服务，以应对应用云化带来的挑战，为客户提供成本更低、效率更高、更为全面的平台，快速适应新型业务的需求。 1.4.3 安全合法合规建设要求 从 2017 年 中华人民共和国网络安全法 正式颁布实行， 到 2019年等级保护 2.0 的正式实施，国家已将网络安全领域纳为基本国策、基本制度，需要企业构建

22、事前、事中、事后全流程的合规监控体系。因此，如何在信息化建设过程中，加强安全防御体系建设，实现统一监管，符合政策合规要求，已成为摆在管理者案头的重要课题。 但企业客户往往面临分支数量众多， 分支安全建设水平参差不齐、防护能力差异较大， 分支安全薄弱极可能影响企业总部及整个网络的安全性，但如果各分支均采用传统硬件设备进行网络建设，无疑会带来一次性建设成本高， 多点管理运维难， 无法统一监控等一系列问题。 云网产业推进方阵 SASE 技术白皮书（2022） 12 SASE 利用云服务交付模式，为企业客户提供下一代防火墙、入侵防御、病毒防御、EDR 等安全能力，满足企业网络安全、数据安全等端到端的安

23、全防护需求， 并且企业可采用订阅模式按需使用所需的安全能力，安全能力按量计费，弹性扩容，减少了企业分支由于地理位置分散而需部署多套安全产品的数量，降低安全建设成本。此外SASE 云平台可基于整体网络和安全数据进行分析，避免单点孤立的系统无法联动发现异常，同时基于威胁情报及大数据，可快速发现及更新安全威胁应对方法，及时集中更新至企业全部节点和边缘，快速实现安全能力落地。 1.4.4 国家重视网安前沿技术 2019 年 9 月，工信部发布的关于促进网络安全产业发展的指导意见（征求意见稿），将“零信任安全”列入需要“着力突破的网络安全关键技术”。2020 年 8 月，工信部发布的关于开展 2020年

24、网络安全技术应用试点示范工作的通知中将“零信任”列为具有前沿性、创新性、先导性的重大网络安全技术理念。 零信任作为 SASE 的核心技术能力， 通过实时对访问连接进行动态验证，采用最低权限策略，执行严格的访问控制，根据相关属性控制与资源的交互，包括应用访问、用户和组身份以及被访问数据的敏感性，减少企业网络攻击面，同时 SASE“零信任”的安全决策在云中定义和管理，无需考虑设备或地理位置，从而降低运营开销。 2. SASE 关键技术与架构关键技术与架构 云网产业推进方阵 SASE 技术白皮书（2022） 13 SASE 是目前现有网络与安全技术的集成，因此梳理 SASE 包含的关键技术与架构是至

25、关重要的。本章的组成如图 2 所示，首先对SASE 的能力要求进行梳理，提出 SASE 的能力设计框架，然后，对目前可以支撑 SASE 能力项的关键技术的必要性进行分析， 最后提出符合 SASE 理念与关键技术特点的部署架构。 图 2 SASE 关键技术与架构的逻辑 2.1 SASE 构建四大能力域，全面支撑差异化场景服务 2.1.1 网络能力设计 SASE 应具备基础网络连接能力，实现用户终端、分支、数据中心间数据互通、网络管理与加速等能力。 （1）网络接入能力 接入方式：公网与专有网络的硬件 CPE、软件 vCPE、客户端软件等； 云网产业推进方阵 SASE 技术白皮书（2022） 14

26、就近接入能力：终端等设备自动连接就近接入点。 （2）流量分析能力 网络识别能力：具备识别流量的 TCP/UDP 协议、源目 IP 地址、Mac 地址、地域信息能力； 应用识别能力：识别流量的应用类型、应用协议信息能力； 身份识别能力：识别登录者的身份、客户端信息、访问时间等能力； SSL 流量分析能力：可对 SSL 加密后的 webmail、web-bbs、imap、smtp 等进行内容识别。 （3）流量 QoS 能力 流量分类能力：针对流量的网络信息包括协议类型、源目的端口、IP 地址、应用类型进行分类； 基础 QoS 能力：包括配置优先级、限速规则、保证带宽； 高级 QoS 能力：包括流量

27、整型、队列丢包机制。 （4）智能选路能力 基础选路能力：根据流量网络信息包括 IP 地址、Mac 地址、TCP/UDP 协议进行选路能力； 智能选路能力：流量传输过程中发生链路质量（时延、抖动、丢包）变化，快速切换到其他链路能力。 云网产业推进方阵 SASE 技术白皮书（2022） 15 （5）网络冗余能力 控制层冗余：控制器具备冗余功能，管控平面具备集群、分布式部署的能力； PoP 点冗余：PoP 点间具备冗余迁移机制，单 PoP 点故障后会自动迁移到其他可用 PoP 点； 接入层冗余：终端支持多线接入，单路故障或改变本地网络时有自动切换连接机制； 链路层冗余： 专有传输网络具有 Overl

28、ay 或 Underlay 的链路冗余。 （6）网络加速能力 应用加速能力： 通过边缘侧针对延时要求敏感业务进行访问加速能力，包括实时音视频、图像、视频优化、网页、web 应用优化加速能力。 2.1.2 安全能力设计 （1）零信任接入能力 动态验证能力： 零信任安全系统应对所有访问请求进行动态验证； 最小权限配置： 零信任安全系统应仅授予各访问请求所需的最小权限； 云网产业推进方阵 SASE 技术白皮书（2022） 16 持续防护能力： 零信任安全系统应对资源进行持续的安全防护，确保进行资源访问的主体处于安全状态，通过安全产品/工具，及时发现安全问题，并采取措施降低安全风险； 动态阻断能力：对

29、动态评估结果进行判定，控制引擎应基于评估结果判定访问过程是否存在风险， 如存在风险应及时进行降权或阻断。 （2）身份安全 身份管理能力：统一的用户身份管理，针对普通应用进行参数代填实现单点登录； 单点登录能力： 有权限用户在约定期内无需为每个应用单独做身份认证，单点登录协议 包括不限于：SAML2，OAuth2,JWT Token、OPEN ID、OIDC 等方式； 多重身份认证能力：进行图形验证、安全令牌、生物识别等。 （3）网络安全 外部威胁防护：对由 IT 架构向外部发起的网络攻击和入侵行为的阻断，包括 DDoS 攻击、ARP 欺骗等； 内部威胁防护：IT 架构内部资源间的网络攻击和入侵

30、防护。 （4）应用安全 应用攻击防护： CC 攻击防护、 网页篡改、 恶意爬虫攻击防护； 云网产业推进方阵 SASE 技术白皮书（2022） 17 漏洞扫描：应用常见安全漏洞扫描、0Day 等高级威胁漏洞扫描； 应用访问控制能力：设置可信任应用列表，仅允许列表中的应用访问相关资源、自定义攻击行为； 应用风险评估：对 SaaS 服务进行发现与风险评估，能够给出评价指标、并对应用安全事件分析、统计。 （5）数据安全 网络数据泄露防护：识别、控制网络传输中的敏感数据，控制或监视通过邮件、WEB、FTP 等网络协议传送敏感数据、正则表达式检测、关键字、文档属性检测等检测方法； 数据加密：对上传到云端的

31、数据进行加密存储或传输，并能够由密文数据解密还原到原始数据； 数据安全审计：对数据资源的访问和使用行为进行审计； 终端数据泄露防护：识别终端的敏感数据违规使用、发送等进行策略控制；对敏感数据的终端使用行为进行监控； 存储敏感数据发现：扫描存储在服务器、数据库、存储库中的数据，根据策略发现、记录敏感数据，支持敏感数据脱敏。 （6）终端安全 终端识别能力：识别主流的终端设备类型，包括个人电脑、平板电脑、手机等； 云网产业推进方阵 SASE 技术白皮书（2022） 18 操作系统识别能力：识别主流的操作系统，包括 Windows、Linux、MacOS、Android、IOS 等； 病毒检测能力：对

32、终端防病毒软件检查与危险进程监测； 进程检测能力：对终端威胁进程等进行检测与处理。 2.1.3 云能力设计 （1）分布式能力： 策略下发：在边缘节点执行安全管控平台下发的安全策略； 分布式部署：在边缘接入节点部署安全与网络组件，在边缘侧即可实现安全检查能力。 （2）编排部署能力 兼容能力： 客户端在多种终端平台 （windows、 mac、 ios、 android、linux）进行部署； 版本控制：可以单独对每个服务进行版本控制和升级； 流量编排能力： 支持管理员与用户自定义迁移与编排流量经过特定安全组件组合的能力。 （3）弹性伸缩能力 网络资源：基于并发连接数、网络流入流出速率、网络流入流

33、出数据包数监控进行网络资源弹性伸缩； 服务资源：根据服务并发量动态调整服务模块等资源。 云网产业推进方阵 SASE 技术白皮书（2022） 19 （4）多租户能力 租户网络隔离：租户间网络非互通，其中租户的网络变化不影响其他租户； 租户账号管理：账号管理区分系统账号与租户账号； 租户资源管理：允许租户查看与调用相应所属的设备与资源； 租户授权管理：不允许跨租户对用户进行授权； 2.1.4 统一管控能力设计 （1）网络管理能力 全网监控能力：支持管理员与用户查看全网流量信息、链路状态与性能（时延、丢包等参数）； 网络拓扑呈现：展示节点、接入终端的状态分布，应用流量分布，异常分支与终端的概要信息；

34、 自定义组网能力：增加、修改、删除接入的分支节点。 （2）安全管理能力 账号授权： 用户授权、 角色授权、 属性授权等相结合授权方式；支持分权分域管理； 统一管理分析能力：接收其它组件上报的日志、告警等数据，结合威胁情报，对数据进一步综合分析，对组件生成的、安全管理组件分析得出的安全事件进行统一管理； 云网产业推进方阵 SASE 技术白皮书（2022） 20 安全态势：展示，通过时间、空间等多种维度展示 IT 架构总体安全情况； 策略生效管理：自定义安全策略配置生效的范围（全局、特定IP 地址范围、特定身份范围）。 （3）配置管理能力 在线配置：创建自定义配置模板、动态修改在线设备配置； 配置

35、纠错能力：对错误与风险高配置进行告警； 配置自动下发：实现接入设备 ZTP 零配置自动部署。 （4）运维管理能力 日志管理：网络日志、安全日志等日志查看，支持历史日志下载； 告警管理：网络告警与安全事件实时上报与呈现，支持告警级别、阈值配置； 外部通知：邮件或短信通知告警能力。 （5）资产管理能力 资产识别能力：自动识别获取网络中的设备以及他们间关系信息； 终端设备管理能力：按照 Windows、Mac、Linus、手机、平板、无线接入点、 防火墙等类型进行分类； 查看所有接入网络的终端云网产业推进方阵 SASE 技术白皮书（2022） 21 列表。 2.2 SASE 实现技术融合，网络、安全

36、和管控技术成为关键 SASE 解决方案提供的需求主要是提供由身份驱动的网络接入控制以及下沉到边缘的安全防护能力。 由此可将 SASE 关键技术归纳为以下三大类： 网络关键技术：软件定义广域网（SD-WAN）技术、内容分发网络（CDN）技术； 安全关键技术：零信任访问（ZTNA）技术、安全即服务； 统一管控技术：云化部署技术、流量编排技术。 2.2.1 网络关键技术 （1）软件定义广域网（SD-WAN）技术 SD-WAN 全称 Software Defined Wide Area Network, 中文名称为软件定义广域网。SD-WAN 是一种结合 SDN 技术理念、以业务与应用为导向的新型广域

37、网接入解决方案。 下表对 SDN 与 SD-WAN 的差异做了一个总结。 可以看出， SD-WAN 更是一个商用化的成熟产品，考虑到企业很多实际场景，而 SDN 更是一种技术架构。 云网产业推进方阵 SASE 技术白皮书（2022） 22 SD-WAN 虚拟网络技术理念是将网络层的控制与转发平面分离，并利用统一控制器进行集中管控。如图 3 所示，相比传统网络架构，SD-WAN 可以实现更加灵活的组网， 通过虚拟化方式将底层网络连接方式透明化，最大限度开发线路与硬件资源，提高整体使用效率，降低组网成本。 图 3 SD-WAN 组网示意图 SD-WAN 是 SASE 平台的基础组件， 为 SASE

38、 提供网络资源与整体架构支撑，SD-WAN 在 SASE 中作用有以下几点：一是 SD-WAN 为云网产业推进方阵 SASE 技术白皮书（2022） 23 SASE 的网络接入能力提供支撑，SD-WAN 支持多种终端类型以及接入方式，可以将线下企业分支、总部、移动端和数据中心无障碍连接到 SASE 服务；二是 SASE 借助 SD-WAN 的接入节点下沉多种服务能力， SASE 将数据处理和安全能力下沉到 SD-WAN 边缘， 包括私有数据中心、 公有云或 IDC 托管设施等作为边缘节点， 实现低延时的就近访问； 三是 SD-WAN 保障用户流量可靠性， SD-WAN 依托 SDN 软件定义技

39、术能够感知用户 SASE 网络中的业务， 实现基于业务意图的最优选路，确定流量到达其端点时使用最佳路径。 （2）内容分发网络（CDN）技术 内容分发网络（CDN）是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。CDN 的基本原理如图 4 所示，通过采用各种缓存服务器， 将这些缓存服务器分布到用户访问相对集中的地区或网络中，在用户访问网站、视频、SaaS 服务时，利用全局负载技术将用户的访问指向就近的优质缓存服务器上， 由缓存服务器直接响应用户请求。 云网产业推进方阵

40、 SASE 技术白皮书（2022） 24 图 4 内容分发网络原理图 CDN 在 SASE 架构中主要起到两点作用：一是优化基于公有云的 SaaS 服务访问性能，利用 CDN 节点的位置、数量与缓存内容，提升 SASE 架构内用户访问基于 Web 的 SaaS 服务，从而实现业务与访问的加速；二是为 SASE 的抗 DDoS 能力提供支撑，通过将攻击源站的流量类攻击引流到 CDN 节点，实现对源站节点的隐藏防护。 2.2.2 安全关键技术 （1）零信任访问（ZTNA）技术 目前，以零信任为代表的新一代网络安全理念不断衍生和应用，该理念打破了网络位置和信任间的潜在默认关系， 致力于降低企业资源访

41、问过程中的安全风险。为最大限度保证资源被可信访问，提升企业 IT 架构安全性，零信任的核心思想是：默认情况下，企业内外部的任何人、事、物均不可信，应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。 云网产业推进方阵 SASE 技术白皮书（2022） 25 零信任的基本原则归纳如下： 默认一切参与因素不受信：零信任以身份为基石，不为任何参与因素预制信任条件，所处位置无法决定信任关系。 最小权限原则：零信任强调资源按需分配，仅授予各行为所需的最小权限。 持续信任评估：在一次端到端的资源访问全生命周期中，持续对动态变化的多源信息进行评估并获取授权策略。 动态访问控制： 对资源的访问由动

42、态策略决定， 一旦不符合策略，立即执行阻断。 基于零信任理念的逻辑架构如图 5 所示， 由零信任核心逻辑组件和内部或外部数据源组成， 零信任核心部分分为控制平面和数据平面。 图 5 零信任访问逻辑架构图 零信任访问技术为 SASE 架构的资源访问安全问题提供了解决方案。一是实现横向流量安全防护。零信任将一切视为资源，任意粒度、任意位置的访问主体对资源的访问都需要进行认证和授权，企业云网产业推进方阵 SASE 技术白皮书（2022） 26 内部资源间的互相访问也需要进行身份验证和权限判定， 能够有效抵御威胁横向移动带来的安全风险。 二是屏蔽安全策略预分配带来的威胁。零信任能够对物理设备、云服务、

43、接口等所有层级的资源进行防护，在访问主体身份验证和权限判定成功后，仅为其提供满足需要的最小粒度的资源， 细化安全策略至资源层面。 三是实现资源对外隐身。利用端口隐藏等技术手段，在访问主体通过验证之前，受访资源对其隐身，大大降低了资源的可见性和攻击暴露面，减少不可控、不可见的安全威胁所带来的攻击。四是以身份为核心执行动态安全防护。零信任强调通过身份信息与多源数据对每一个访问行为进行信任评估，动态授予相应权限，能够对内部访问、远程访问和数据交互的人员、设备、环境等进行有效的安全把控，缓解凭据盗用、高风险误操作等带来的安全威胁。 （2）安全即服务 SASE 相比传统架构的一大优势是轻量服务化，将重资

44、产的安全功能搬到边缘或云端为用户提供安全即服务能力， 并且集成多类安全能力，实现用户根据不同的 SASE 应用场景安全需求，按需组合安全组件的能力。 本节将对在多种场景广泛应用的几种关键安全组件进行分析： FWaaS 防火墙即服务（FWaaS）是将下一代防火墙云化部署的，提供灵活交付的防火墙服务，主要面向分支机构和移动用户的保护。FWaaS云网产业推进方阵 SASE 技术白皮书（2022） 27 主要作为多租户基础结构交付， 在多个企业之间共享。 FWaaS 可以利用集中式策略管理， 多种企业防火墙功能和流量隧道将安全检查部分或全部移至云基础架构， 从而提供更简单， 更灵活的体系结构。 FWa

45、aS为 SASE 提供防火墙功能按需随取， 是 SASE 用户简化网络架构的关键部分之一。 SWG 安全 Web 网关 (SWG) 主要功能是阻止恶意内容访问端点以实现保护用户免受公网上基于 Web 的威胁。通过企业网络安全团队设置的访问控制策略，提供 URL、Web App 访问控制以及 Web 恶意代码的检测。SWG 在 SASE 的架构下与 RBI 等组件进行联动，构成SASE 架构抵御内外部威胁的强大防御关口。 DLP DLP 的全称是 Data Loss Protection/Data Leak Protection（数据防泄露），DLP 主要指通过一定的技术手段，防止企业的指定数据

46、或信息以违反安全策略规定的形式流出企业。其核心能力是内容识别，在识别的基础上按照安全策略规定对敏感数据加以防护。 DLP 技术主要分为两类：一是企业级 DLP，主要包括面向终端的监控软件、 面向网络和邮件流量的监控软件以及用于数据发现的软件，能够从“终端、数据发现、邮件、网络边界和云端“为用户提供全方位的安全防护； 二是集成式 DLP， 是指将敏感数据识别与管控以功能组件的形式集成在像 SWG（安全 WEB 网关）、SEG（安全邮件云网产业推进方阵 SASE 技术白皮书（2022） 28 网关） 、 邮件加密产品、 企业内容管理平台、 数据分类分级产品等中，对流经这些产品的敏感数据进行识别与管

47、控。 DLP 在 SASE 中的作用是通过对网络中传输的以及用户业务中的敏感数据进行识别，分析敏感数据的分布状况，找到敏感数据的风险点；监控并审计用户的敏感数据操作行为，发现各类违规操作；通过脱敏、水印、拦截、告警、阻断等方式对各类违规操作进行记录与防护，保护敏感数据；实现对企业核心机密数据的保护和管理。 图 6 DLP 能力框架图 CASB 云访问安全代理（Cloud Access Security Broker，CASB）主要功能防护企业访问云服务全流程可能出现的安全风险。 CASB 可以识别企业内云服务类型以及云服务使用者身份的监控信息， 识别各项云服务使用情况，以及特定云服务存在的安全

48、风险，强制执行数据中心安全策略，通过对访问权限进行控制和用户敏感信息泄漏追踪等，来降低企业访问内外网云服务的安全风险。CASB 在 SASE 架构中为云服务安全防护提供了补充，在企业业务持续上云的趋势下，将逐步成为云网产业推进方阵 SASE 技术白皮书（2022） 29 SASE 中必不可少的关键组件。 RBI 远程浏览器隔离是一种网络安全模型， 旨在将用户的浏览活动与本地网络和基础架构物理隔离，有效地隔离 Web 浏览器和用户的浏览活动，以此保护 Web 浏览器免受基于浏览器的安全漏洞以及诸如勒索软件、恶意软件之类的威胁，远程浏览器隔离在概念上类似于虚拟桌面基础架构（VDI），每个浏览器会话

49、都从远程浏览器服务器远程呈现， 并将网站的图像或文档对象模型 （DOM） 发送到用户的本地浏览器，同时起到隔离恶意软件的威胁作用，即便远程浏览器服务器受到威胁后，不会影响用户终端环境。RBI 与 ZTNA 等技术集成在SASE 架构下，将防护来自 Web 浏览器或电子邮件访问的恶意威胁，并阻止勒索软件攻击。 2.2.3 统一管控技术 （1）云化部署 SASE 云化部署架构通过云原生控制器、底层平台容器化和高性能容器网络三部分构成。通过云原生技术能力，SASE 将支持包括微服务、高可用、弹性伸缩、故障自愈、DevOps 持续开发和集成等能力支撑 SASE 业务的快速发展和快速部署。 云原生控制器

50、，通过利用成熟的 K8S 软件作为控制器，实现控制面自动化编排和调度能力；底层平台容器化，通过将 SASE 服务微服务拆分，实现各个核心能力包括网络、安全和接入微服务改造，按云网产业推进方阵 SASE 技术白皮书（2022） 30 需部署对应的微服务，实现 SASE 底层平台在各类环境中按需使用，按需部署；高性能容器网络，SASE 作为网络接入的承载平台，有较高的网络性能要求， 为了实现高性能的容器网络， 需要结合硬件加速，网卡虚拟技术、网卡 SR-IOV、DPDK 等技术，充分发挥接入网络或PoP 底层平台网卡性能，满足 SASE 云原生架构中网络性能要求。 （2）流量编排 通过控制器下发流