隨著企業(yè)數字化轉型的加速發(fā)展，業(yè)務上云逐漸成為剛需。云網融合的大趨勢下，越來越多的企業(yè)希望找到高效靈活的組網方案，快捷進行總部與分支互聯及上云用云，為數字化轉型打下堅實基礎。在此背景下，SD-WAN成為近年來備受關注的廣域網技術之一。

與此同時，多元的互聯場景、線上線下混合辦公模式的普及，使企業(yè)面臨的數字安全威脅與日俱增。在組網能力之外，如何構建全面的安全防護體系，亦成為千行百業(yè)必須直面的挑戰(zhàn)。SD-WAN與SASE安全架構的融合開始備受矚目。

在日前舉辦的第五屆SD-WAN & SASE峰會上，互聯科技網絡產品事業(yè)部總監(jiān)熊學濤向與會嘉賓分享了第一線在云網安一體化服務方面的技術創(chuàng)新與行業(yè)實踐。

SD-WAN整體的發(fā)展態(tài)勢如何？如何看待SD-WAN與SASE之間的關系？SASE如何解決行業(yè)用戶的痛點？未來第一線將如何推進云網安一體的專業(yè)服務？會后，51CTO采訪了熊學濤，就上述議題進行了充分探討。

MPLS VPN還是SD-WAN？這不是一個問題

在很長一段時間里，MPLS VPN 一直是企業(yè)組織青睞的組網首選。不過自SD-WAN嶄露頭角后，尤其是隨著互聯網最后一公里質量和帶寬的不斷提升，更多企業(yè)開始面臨“MPLS VPN還是SD-WAN”的抉擇。而今，隨著SD-WAN的技術逐步成熟，其在網絡管控方面的優(yōu)勢充分彰顯，用戶對其認可度亦顯著提升。

熊學濤認為：“當前SD-WAN已步入發(fā)展成熟階段，在企業(yè)中具備較高的滲透率。從近幾年來看，其年復合增長率也很可觀，持續(xù)領跑企業(yè)組網服務市場。隨著企業(yè)上云需求不斷增長，遠程辦公場景持續(xù)涌現，SD-WAN的應用將越來越廣泛，幫助企業(yè)實現高效互聯與上云。由此SD-WAN后續(xù)還將迎來更快速的發(fā)展。”

對于MPLS VPN與SD-WAN之爭，熊學濤認為兩者并不是非此即彼的關系。本身兩者各有長處，MPLS VPN具備可靠的數據包傳送能力，可以應用于總部與大型數據中心互聯。SD-WAN具備快速開通、節(jié)約成本、敏捷上云等特點，滿足企業(yè)快速拓展分支門店，并進行統一化管理的需求。企業(yè)需要根據自身情況權衡，是選擇SD-WAN還是MPLS VPN，還是將MPLS VPN與SD-WAN合理結合。

熊學濤介紹，第一線以MPLS VPN起步，同時也是國內首批推出SD-WAN業(yè)務的網絡服務商，目前服務六千多家國內外企業(yè)，提供MPLS VPN+SD-WAN的混合組網解決方案，依托100+城市的200+POP節(jié)點資源，針對企業(yè)總部-分支-云-IDC多種場景，提供一站式組網服務，通過二者相輔相成，充分滿足企業(yè)數字化轉型的多元需求。

云網安融合的演進：SASE=SD-WAN+SSE

固然SD-WAN正在成為企業(yè)組網服務領域的寵兒，但是在具體實踐中，依靠單一的組網能力已經很難切實解決用戶既有痛點。熊學濤指出，越來越多企業(yè)希望網絡融合安全，從而一站式滿足自身轉型進程中的需求。而SASE的出現，在一定程度上為這個問題提供了新的解決方案。

根據Gartner的定義，SASE（Secure Access Service Edge，安全訪問服務邊緣）是一種整合廣域組網網絡功能和網絡安全功能的新興產品，為企業(yè)數字化轉型升級提供可訂閱的安全服務。

“SD-WAN從發(fā)展伊始，并未十分強調安全。但在企業(yè)網絡邊界不斷延展、IT架構日趨復雜、網絡攻擊威脅日盛的新態(tài)勢下，用戶對安全的需求逐步提升。而到了今天，SASE的定義已經比較明確。SASE就是SD-WAN與SSE（Security Service Edge）功能的整合，其本身就是網絡+邊緣云化安全的結合體。”

概括來說，首先，SASE是SD-WAN網絡能力的再演進，也是面向邊緣云網的再創(chuàng)新。再者，SD-WAN網絡是支撐SASE架構落地與發(fā)展的基石。廣布的SD-WAN POP節(jié)點，具備了向邊緣云原生安全SASE POP點演進的基礎。企業(yè)多元化的數字化應用場景又需要SASE的安全保障隨需而至。在兩者的深度融合中，SASE將SD-WAN與網絡安全訪問集成于邊緣云網服務基礎設施中，實現了一種能適應當前企業(yè)網絡流量模型的安全架構。

熊學濤表示：“現在SASE主推的就是將網絡和安全服務一站式交付給企業(yè)，這也是SD-WAN廠商特別關注SASE演進的原因。由于企業(yè)需求越來越綜合，需要盡可能解決所有問題的一體化方案。如果只專注于組網，而不做安全，將無法滿足新要求。”

基于這一認知，第一線打造了一站式云網安融合解決方案，推進SD-WAN融合SASE安全架構，在距企業(yè)最近的POP節(jié)點提供企業(yè)級安全服務；打造SD-WAN與SASE一體化管理平臺，助企業(yè)可視化統管網絡與安全；推動SD-WAN網絡整合第一線OCD邊緣云、公有云，助力企業(yè)快捷一網入多云，構建混合云架構。

SASE的本質：動態(tài)重構企業(yè)的邏輯安全邊界

從SASE本身的定義來看，它包含SWG安全Web網關、CASB云訪問安全代理、FWaaS防火墻即服務、ZTNA零信任網絡等等，其功能幾乎覆蓋了企業(yè)組網的全場景。

熊學濤談到：“細究SASE的細節(jié)，可以發(fā)現它的初衷就是以全面的防護能力，覆蓋所有安全挑戰(zhàn)。當然并非所有企業(yè)都需要其全部功能，如針對遠程辦公的安全訪問，僅需訂閱零信任服務即可。”

在熊學濤看來，采用過云服務的客戶，對SASE服務接受度會相對較高。因為它與云上應用，按需訂閱、彈性擴縮容的特性相同。具體而言，SASE基于邊緣云化部署，客戶在新增某些安全能力需求時，無需增加任何硬件設施，直接訂閱，即開即用。

那么SASE到底是如何發(fā)揮其作用的呢？熊學濤以ZTNA零信任網絡訪問這一應用場景進行了說明。

以某制造業(yè)企業(yè)為例，該企業(yè)在中國及東南亞國家建有工廠。經常出差的業(yè)務人員會在Internet、4G/5G等多元網絡環(huán)境下，接入企業(yè)私有云，進行訪問設計圖紙、調用OA系統等操作。在安全方面，該企業(yè)希望工廠、業(yè)務人員采用安全的方式訪問企業(yè)關鍵資源與應用。

第一線SASE的ZTNA解決方案，會從接入前到接入后，全程對工廠、移動辦公人員進行一系列系統的安全監(jiān)測與限制，保護客戶關鍵資源與應用安全可控。落實到具體場景，表現為：

人員登錄和終端的接入認證（遠程和移動辦公場景）。

ZTNA會對訪問的人員/設備進行多因素的身份與終端安全認證。安裝于授權設備上的ZTNA 代理客戶端會將當前安全環(huán)境、身份等多元信息，發(fā)送到云端控制系統進行驗證，通過之后，才允許連接至安全網關，進行下一步操作。

企業(yè)應用與數據的安全訪問。

人員/設備接入后，無論是訪問內網應用與數據，或者訪問云上應用與數據，ZTNA都能提供良好保護。基于ZTNA微分段的特性，企業(yè)總部、工廠、移動工作人員/設備在通過身份驗證后，將被授予對特定設備、應用程序或資源的最低訪問權限，如需訪問其他設備、資源或數據，需要再次進行權限認證或權限升級，而該人員無法看到、訪問、拷貝其它未授權的應用程序或資源。同時該人員此次訪問完畢后，權限就此注銷。此外，ZTNA還會持續(xù)對接入網絡的人員/設備操作檢查驗證，并進行動態(tài)策略調整。如果檢測到不合規(guī)操作，ZTNA可以立即對相應的人員和終端的權限進行降級，切斷進一步的非法訪問。

熊學濤總結道，采用SASE架構，企業(yè)邊界不再是一個位置，而是一組動態(tài)創(chuàng)建的、基于策略的安全訪問服務邊緣。依托安全策略集中編排分散執(zhí)行的特性，SASE將圍繞每一個邊緣云網POP點，為企業(yè)遠程辦公、多云、混合云等復雜場景提供所需的安全保障，預防出現安全威脅盲點。同時，企業(yè)可通過統一控制平臺對網絡進行全局集中化管理與威脅分析，進而更加精準且敏捷的響應處置安全問題。所以整體上來看，SASE就是一個非常完善的安全解決方案。

愿景：加速云網融合，筑基算力網絡

SASE目前仍是新興概念，但熊學濤認為，SD-WAN與SASE的融合必然是大勢所趨。SASE概念的出現，不僅推動網絡服務提供商關注安全能力的演進，也撬動了安全服務提供商開始注重自身的網絡能力建設。

熊學濤表示，“第一線希望以自身的網絡能力為基礎，進一步發(fā)展安全能力，為客戶提供簡便而全面的服務。簡便，意味著輕量化、便于開通、便于運維。全面，意味著第一線希望盡可能做的全面，能有機會去覆蓋更多場景和功能。第一線的愿景是成為‘網絡+云+安全+算力’的整體解決方案服務提供商。”

未來，第一線的整體演進策略，一是追求SD-WAN組網能力不斷外延，能力不斷提升。二是以二十多年積累的網絡能力和云網融合能力為基礎，將邊緣網絡POP全面升級為SASE POP，提供網絡+安全的解決方案。三是緊跟算力網絡建設及發(fā)展的趨勢，不斷探索SD-WAN+SASE+算力的融合。

寫在最后

根據Gartner預測，到2024年，SASE市場規(guī)模將從2019年的19億美元攀升至110億美元。SASE賽道必將迎來傳統IT廠商、云廠商、安全廠商等多方勢力的競逐。第一線不斷探索實踐SD-WAN與SASE的融合，正是這一大勢下廠商努力布局，筑基算力網絡時代的縮影。未來如何從產品、資源、服務等多維度升級，幫助企業(yè)快速獲得高品質的網絡+安全+算力服務，我們拭目以待。

審核編輯 ：李倩