零信任和SASE有什么不一样？答案其实并不重要

​Gartner预计，零信到2024年，任和至少40%的不样并企业将有明确的策略采用SASE，高于2018年底的答案不到1%。而且由于企业公有云流量的其实增多 ，导致安全边界逐渐模糊，零信将加速SASE的任和普及 。

在Gartner的不样并定义中，SASE是答案“一种新兴的体系结构，高防服务器它结合了全面的其实广域网功能和全面的网络安全功能（如SWG、CASB、零信FWaaS和ZTNA） ，任和以支持数字化企业的不样并动态安全访问需求。”

Gartner认为
，答案ZTNA（零信任网络访问）无论是其实端点启动模式亦或是服务启动模式，无论是独立部署模式或者是软件即服务模式，都属于入口类的SASE
。源码库

所以 ，零信任是SASE的一部分吗？但这正是市场概念混淆的开始。

很多企业和安全主管都提出了类似的问题 ，比如：SASE和零信任之间的区别是什么
？哪种模式最适合我的业务 ？我是否需要改变安全策略来达到同样的结果？

下面就来聊聊零信任和SASE之间有何关联？

首先，零信任是亿华云由Forrester提出的，SASE是由Gartner提出的。

零信任概念是由Forrester首席分析师John Kindervag于2010年提出的。

后来 ，其继任者（即现任）Forrester首席分析师Chase Cunningham，将零信任丰富为“零信任扩展（ZTX）生态系统” 。包含零信任用户、零信任设备
、零信任网络 、零信任应用 、零信任数据 、服务器租用零信任分析 、零信任自动化等七大领域。

当Gartner认识到零信任的重要性后，其副总裁分析师Neil MacDonald在2018年12月发布的报告《零信任是CARTA路线图上的第一步》中提出，将零信任项目作为CARTA（持续自适应风险与信任评估）路线图的初始步骤 ，试图将零信任纳入CARTA框架。

随后，在2019年4月又提出ZTNA（零信任网络访问）概念，它相当于SDP技术路线。

接着 ，Gartner分析师Neil MacDonald再次于2019年8月放出大招——在《网络安全的免费模板未来在云端》报告中，提出面向未来的SASE（安全访问服务边缘，Security Access Service Edge）概念 ，开辟了边缘安全的新天地
。

此后 ，Gartner大力推广SASE概念，在不到两年的时间里，获得了很大共识  。

Forrester很快认识到“边缘安全”这个概念的前瞻性，于是在2021年1月发布的《为安全和网络服务引入零信任边缘（ZTE）模型》报告中，源码下载正式提出ZTE（零信任边缘，Zero Trust Edge） 。

Forrester在该报告中指出，零信任主要有两类概念 ：一是数据中心零信任：即资源侧的零信任；二是边缘零信任：即边缘侧的零信任访问安全，而这正是ZTE（零信任边缘）。

2021年2月，Forrester在《将安全带到零信任边缘》报告中解释说 ：Forrester的零信任边缘（ZTE）模型与Gartner的SASE模型是相似的，主要区别在于：零信任边缘模型的重点在零信任。

从零信任和SASE概念的演变过程中，可以看到两者是在不断相互融合的，且有共同的目标，即保护企业的业务、上下文关系和基于身份的策略配置 。

上文所提到
，Gartner认为ZTNA（零信任网络访问）属于入口类的SASE，很多人就认为零信任属于SASE的一部分
，这其实是一种误读。

因为ZTNA（零信任网络访问）是一种网络安全架构，其本质是一种以数据为中心的全新边界，通过强身份验证保护数据的技术。

而零信任作为一种安全理念 ，是基于“永不信任、持续验证”的原则 ，进行身份验证和数据访问授权，并没有明确规定任何类型的安全服务
、技术
，或者任何一种体系结构。

相较之下，SASE指的是部署在边缘的云安全交付服务 ，可为任何地方的数据提供广泛的保护。SASE明确了企业应该如何部署和使用一些网络和安全服务。

在对SASE模型的介绍中，Gartner列出了SASE的核心组件包括 ：SD-WAN、安全网关（SWG） 、零信任网络访问（ZTNA）、防火墙即服务（FWaaS）和云应用程序安全代理（CASB）等 
。

上述SASE核心组件为实现零信任原则“永不信任、持续验证”提供了技术支撑 ，而ZTNA（零信任网络访问）是整个SASE体系结构中的主要技术之一。

总的来说 ，如果零信任是企业想做的事情，那么SASE可以被认为是实现的一种方式。如果企业想部署SASE产品 ，遵循零信任框架也是至关重要的 。     

那么 ，SASE到底应如何实现零信任安全模型的方法？

在Gartner的愿景中，SASE的各个核心组件需整合到一个集成的
 、易于使用的云交付平台中 。通过将网络基础结构功能与网络安全功能集成在一起 ，SASE可以在所有网络连接点和端点上实施安全控制 。

这种集成的 
、持续的流量检查和分析以及动态的安全策略执行功能
，使SASE成为改变数字化转型计划的推动者 ，同时也是零信任架构的理想载体和路径。

目前，SASE的各个组件在市面上都有对应的产品，并且在不同程度上已为很多企业所使用。但由于SASE涵盖的技术较多 ，如何整合组件、重构网络
，都使得SASE的落地成为很大的挑战
。

中国信通院云计算与大数据研究所云计算部副主任马飞表示 ，随着网络与安全功能的逐步完善 ，服务商SASE解决方案的统一管控能力成为SASE落地实践的最大挑战 。

由于SASE是网络安全能力的整合，SASE平台需要兼备网络、安全  、配置 、运维、资产 、API管理能力，因此打通各功能组件的底层连接实现交互，并且为用户提供统一界面对资源进行管理编排，成为SASE落地的主要难点之一，也将会是接下来几年各厂商努力的方向。

对此 ，Forrester在2021年的《将安全带到零信任边缘》报告中，针对ZTE/SASE提出了一条颇具可行性的推进路线 ：ZTE要先解决战术性“远程访问”问题，最后再解决战略性“网络重构”问题。

原因在于
，要重构企业网络结构
，是个极大挑战，最好把这个硬骨头放到最后再解决。

具体而言 ，Forrester的“先战术、再战略”的推进思路如下 ：

第1步 ：先用ZTNA技术，解决远程访问问题；

第2步 ：再逐步追加其它的安全控制（如SWG 、CASB、DLP）；

第3步 ：最后使用SD-WAN技术
，解决网络重构问题。

同样是2021年，Gartner也发布了采用SASE的战略路线图，其目标是帮助企业从传统安全架构转向SASE 。

在Gartner的推进路线中，流程分解为可管理的步骤 ，并制定了短期和中长期的目标 ，以帮助组织完成流程。

其中
 ，短期目标包括
：

除了这些短期目标之外，Gartner还概述了组织应该追求的一些长期目标。这些主要集中在利用SASE的安全集成和ZTNA功能来集中和简化整个企业的安全操作。

大多数公司将需要制定一项多年战略以迁移到 SASE。虽然这一战略因公司而异，但Gartner 提出了一条适用于所有公司的建议：立即开始这一过程。

不难发现，无论是Forrester还是Gartner，都将SASE的落地分为了多个步骤，并建议从ZTNA（零信任网络访问）技术替代入手，之后再持续不断地淘汰和完善安全和网络功能 ，这表明实现SASE或零信任 ，从来不是一蹴而就的事 。

回到开头的问题，零信任和SASE模式是什么关系？哪种模式更适合自己的业务 ？相信看完本文就能明白 ，答案在很大程度上无关紧要 ，因为答案不会影响任何人的业务或安全策略 。​

最新评论