Gartner最新的“安全領域新興技術及趨勢影響雷達”（Emerging Technologies and Trends Impact Radar: Security）顯示，安全服務及接入邊緣技術具有極高重要性，并在未來一至三年，市場會落地關于安全服務及接入邊緣的融合架構。因此，中國企業和廠商有必要研究這個新興市場以及安全服務的演進。

為何市場會產生安全服務演進

傳統企業的數據中心架構（如圖一所示）大多為從分支機構上行的一個信息網絡連接到總部的數據中心，然后從互聯網區再連接到互聯網，此外還有“云”上部署的應用。目前，很多中國的數據中心基本為該架構。

圖一

但為何稱這樣一個從數據中心到互聯網再到“云”的架構較為傳統？因為企業的應用大多沒有“上云”、“上云”的應用基本為互聯網應用。隨著未來更多的企業應用“上云”，西方“云優先”的市場目前已采用圖二所示的架構——數據中心內存在很多應用，且傳統應用遷移至云、企業的數據中心愈發強大。企業分支機構的員工在訪問數據中心應用時，不僅可以訪問數據中心應用，還能訪問數據中心以外以及遷至云上的應用。因此，directadmin授權，每家分支機構具有兩條線——一條代表通往數據中心，另一條代表通往云上的SaaS類應用。

圖二

我們亦可把圖二描繪成另一個場景——企業員工或客戶通過多種數字化接觸訪問不同的數據和應用。數字化接觸可以是手機、物聯網或觸摸屏。在此情況下，保證“訪問安全”對企業而言至關重要，因為所有數字化接觸都會接入互聯網，但企業不可能在每一家分支機構或“云”上都部署一套邊緣棧。若用傳統數據中心的方式來管理目前新型廣域網及應用外遷到“云”的這樣一個現實場景的話，企業就需要很多套邊緣棧安全設備、防火墻來管理不同的安全邊界。然而，現在的安全邊界已不在數據中心，而是外擴到各種各樣的邊緣、云場景之中，因此企業需要新的網絡安全架構。

針對數字化接觸，企業需要具備基于“策略”（policy-based）的接入方式，即通過基于策略的接入到各種分布式的邊緣、再到互聯網邊緣、最后到互聯網或企業的核心應用。因此，SaaS其實是面對分布式邊緣所定義的全新安全及網絡架構。

圖三

當前的SD-WAN是非常重要的技術改進推動力。其在管理各種各樣下層網絡的同時，還可作為軟件被靈活部署在所有硬件之上。這當中的SD-WAN就變為了廣域網的邊緣，若廣域網下層架構發生改變，很多互聯網的出口不只在數據中心、會在眾多分支機構或邊緣的接入應用中，此時企業下層的網絡會有很多的非信任外部網絡，因此企業需要具備針對所有數據化接觸的安全策略來加以保護。如圖三所示，站群服務器，網絡安全接入服務保護所有的網絡接入，廣域網的邊緣與安全服務兼容、成為了一個新的“安全服務接入邊緣”融合架構。

當企業不清楚訪問流量是否存在風險時，應當考慮CASB——CASB是云接入服務的中介。企業數據可能存放在數據中心或云上，當公有云上的SaaS服務要訪問數據時，企業可以用CASB來管理風險，即所有訪問先經過CASB“大門”、SaaS應用與訪問相互集成，讀取的數據返至CASB應用、再返至授權數據，通過全程監控保護數據安全。若用戶訪問企業專用應用，亦可用同樣方式進行保護。企業可以用CDN進行加速、SD-WAN進行連接，同時使用CASB、SWG等保護訪問安全。從這個角度來看，將網絡模塊與安全模塊融合成一個安全接入服務平臺即是SASE。SASE包含五個核心模塊：SD-WAN、Firewall as a service（FWaaS）、SWG、CASB和零信任網絡接入?，F在不少安全廠商具備兩至三個模塊，但鮮有具備全模塊者。

圖四

圖四展示了SASE中的各種技術，Gartner認為這些技術在未來十年會相互融合至SASE模塊中。目前，安全產品非常碎片化，不同產品具有自己的管理和控制界面，對企業使用而言不夠友好，所以這時就需要出現一個把這些碎片化的安全接入服務融合成一個安全接入服務的平臺。其實，SASE接入不單是基于公有云的互聯網接入方式，也會有很多接入到企業級私有數據中心。

企業如何部署安全服務架構