随着企业纷纷向以云为中心的架构进行迁移，传统网络和安全架构已不足以满足企业现代化业务环境的需求。同时，云服务、移动电子设备、物联网、OT 和混合工作的大范围采用，分布式的动态环境为公司实现任何设备随时随地安全、可靠、高效的访问应用和数据提出更高要求。

  根据 HPE Aruba Networking 在 2023 年度发布的全球研究报告显示，44% 的企业 IT 领导者将网络视为数字化转型的工具，并将 IT 效率、运维效率以及网络安全三大要素视为影响网络和各业务间关联性的核心领域。因此，如何确保网络和业务之间的协同演进，并时刻保障网络安全，成为当前企业关注的重点。

  随着企业技术和业务环境的快速演变，网络安全风险正日益成为企业非常关注的焦点。动态变化的安全态势为企业在多个层面带来严峻挑战。

  传统 VPN 通常会带来糟糕的使用者真实的体验。未采用细粒度控制的 VPN 会带来过度的网络权限，使用户获得超出所需的资源访问权，从而增加安全风险。

  传统网络难以应对云上应用的大规模迁移，导致性能直线下降和数据安全风险。随着 SaaS 应用数据的增加，企业需额外措施来保护敏感信息，以防止不可信的云应用 ( 或影子 IT ) 和不安全链接导致潜在的数据丢失。

  员工浏览互联网或访问电子邮件，极易受到网络钓鱼攻击和勒索软件等网络攻击。同时，物联网设备的激增造成了攻击面的大幅度的增加。然而，物联网设备一般会用简易设计，缺乏复杂的安全机制。

  企业须遵循各地区颁布的隐私数据保护监管规定，如中国的《数据安全法》或欧盟的《通用数据保护条例》 ( GDPR ) 以确保合规。然而，企业通常缺少证明其合规性所需的基本工具和综合报告。

  为解决上述挑战，将网络和安全功能整合至单一平台的 IT 框架——安全接入服务边缘 ( SASE ) 应运而生。这项诞生自 2019 年的全新网络安全概念，通过将 SD-WAN 以及安全服务边缘 ( SSE ) 结合，为采用各种传输方式的用户、设备或服务器提供安全连接，从而帮企业打造安全、可靠、高效的网络环境。

  根据 Gartner 的预测，到 2025 年，全球 50% 的企业将会采购作为单一供应商 SASE 产品一部分的 SD-WAN，而在 2021 年，这一比例还不及 10%。很显然，尽管多供应商架构允许为 SASE 的特定功能选择同类最佳的解决方案，但单一供应商 SASE 解决方案因其简便易部署、提供单点支持和简化许可的优势，开始备受企业青睐。

  单一供应商 SASE 解决方案采用云原生架构设计，以充分的发挥云计算特有的可扩展性和灵活性。这一先进架构，能够使企业根据流量需求动态分配资源，从而构建更高效、适应性更强的网络。

  此外，无论用户位于何处，通过地理分布的网络服务提供点 ( PoPs ) 实现全球网络互联，对确保一致的性能和低延迟至关重要。单一供应商 SASE 简化了对这些网络服务提供点的管理流程，并消除了多供应商 SASE 方法所需的多个网络服务提供点。

  与多供应商 SASE 方法不同，单一供应商 SASE 解决方案将允许 IT 管理员通过单一界面管理所有安全策略，包括 SWG、CASB、数据丢失防护 ( DLP ) ，以及 ZTNA 等相关的策略。该方法可简化操作、降低复杂性，并帮企业有效部署和执行一致的策略。同时，单一供应商 SASE 解决方案有助于企业更快速地响应安全威胁，并在发生安全事件时，实时对整体架构中的安全策略做调整。更重要的是，该方法可支持 IT 管理员按照每个用户、身份和设备实施细粒度访问控制。

  除提供统一的策略管理之外，单一供应商 SASE 解决方案为 IT 团队实现了在集中的用户界面对所有网络和安全操作来管理。这一功能提高了在网络流量、安全事件和策略执行方面的可见性，从而更好地支持威胁检测和事件响应。此外，单一供应商 SASE 解决方案增强了报告功能，为企业满足监督管理要求和行业标准提供证明。

  利用单一供应商 SASE 解决方案，企业便可轻松整合多项 SASE 功能，以增强其安全态势。例如，将 SWG、CASB 与 DLP 结合来监控用户活动，并保护敏感数据不泄漏至互联网和 SaaS 应用。不仅如此，SWG 和 CASB 将利用安全套接字层 ( SSL ) 解密来分析超文本传输安全协议 ( HTTPS ) 流量。利用单一供应商 SASE 解决方案，只需执行一次 SSL 检测，就可以实现提高性能并降低复杂性。此外，通过将 SWG、CASB 与 ZTNA 结合，企业可实现对网络访问实施更细粒度的控制，并按照每个用户身份允许或拒绝访问特定网站或云应用。

  通用零信任访问为网络安全方法带来了根本性转变，它将允许用户和设备实现从任何地点均可安全地访问资源。该方法的核心是最小权限访问原则，即根据身份和角色划分流量，确保用户和设备只能访问其任务所必需的资源，由此减少攻击面。此外，私人资源可屏蔽互联网，并使用户远离网络。第三方承包商也可通过无代理 ZTNA 解决方案轻松访问网络，且无需在设备上安装安全代理。

  当用户连接至企业网络时，网络访问控制 ( NAC ) 与 ZTNA 的集成变得至关重要。NAC 将通过设备健康检查验证安全状况，并在保证安全后方可授权网络访问。同时，对特定设备做健康评估，可确保这些设备遵守企业的防病毒、防间谍软件和防火墙策略，从而使企业可以依据用户和设备的固有风险授予其访问权限。

  在分支机构场景中，SD-WAN 在连接分支机构用户和总部方面发挥着关键作用。其能够智能地将流量引导到云，同时消除流量回程至数据中心的必要性。先进的 SD-WAN 解决方案可提供内置的下一代防火墙功能，包括入侵检测系统 / 入侵防御系统 ( IDS/IPS ) 和微分段，以执行零信任访问。当新用户或设备连接至企业网络并注册时，SD-WAN 将与 NAC 相结合，向整个网络下发安全策略信息，以及与用户、设备类型、角色和安全态势相关的任何更新，从而在局域网和广域网内实施基于角色的分段。此外，由于物联网设备无代理，因此无法在其上运行第三方 VPN 或 ZTNA 客户端。单一供应商 SASE 方法可根据身份与其他流量划分网络，同时确保用户和物联网设备到达与其在业务中角色相符的目的地，从而有助于保护物联网设备安全。

  采用单一供应商 SASE 解决方案为公司可以提供了强大的安全策略，以应对现代网络安全的多重挑战。通过无缝集成 SD-WAN 和 SSE 组件，企业可有效保护网络安全，加快部署速度，简化采用过程，并在一直在变化的数字环境中茁壮成长。