2022全球网络趋势报告 专题研究:SASE最新动态和网络即服务 (NaaS)的兴起 专题研究:SASE最新动态 目录 2022全球网络趋势报告 SASE简介04 IT面临的挑战05 SD-WAN和SASE之间的关系07 SASE功能需求09 整合的重要性12 SASE采用趋势15 SASE消费模式17 SASE结论18 采用安全访问服务边缘(SASE)战略 混合办公模式需要部署一个整体性的SASE战略,以便随时随地提供始终如一的卓越用户体验。 为了解决围绕安全访问服务边缘(SASE)引发的市场热情和疑问,我们展开了这项专题研究,作为《2022全球网络趋势报告:网络即服务(NaaS)的兴起》的补充和完善。 在采用率激增的远程办公和混合云的推动下,SASE(发音为“sassy”)可以通过任何网络、从任何位置或设备为任何应用提供安全且无缝的连接。 SASE将网络和安全功能整合为一个统一的云原生解决方案或服务。 与传统的安全解决方案相比,它的安全策略和实施过程更贴近分布日趋分散的终端用户和应用。它对零信任策略进行扩展,消除了不断向数据中心回传数据的需要,有效地减少了网络负载和瓶颈问题,提供了卓越的用户体验。 作为传统安全堆栈的替代方案,它提供了从边缘到边缘的安全接入,全面覆盖数据中心、远程办公室、漫游用户,乃至更广的范围。 本专题研究重点关注SASE的最新趋势和洞见,相关数据来自多项市场调查,相关观点源于知名行业分析师和专家。我们希望这些信息能帮助您更好地理解SASE的优势和作用,制定行之有效的网络、安全和云战略。 —OmriGuelfand,思科网络服务副总裁 “关于什么是SASE,市场尚无定论。然而,业界正在形成的共识与我们的一贯观点不谋而合,即SASE不是一项全新的技术,而是将现有的网络(如软件定义广域网[SD-WAN])和安全技术 (如安全Web网关[SWG])整合到一个基于云的安全连接解决方案。” —Dell’OroGroup¹ IT面临的挑战:提供安全、云优先的混合办公体验 不可否认,IT团队目前面临的两个最大趋势是继续向多云应用战略过渡和采用混合办公模式。随着用户和应用比以往任何时候都更加分散,连接和保护它们的复杂性也急剧增加。 由于混合办公导致员工和工作场所呈密集分布,应用跨多个私有云和公共云分布的情况更加明显。随着这种高度分散趋势的发展,试图保持高质量、包容性用户体验的挑战与曾经高度可控的企业内部环境形成了鲜明的对比。 在最近的调查中,76%的IT团队表示,远程办公员工更难保持互联互通,²51%的组织表示,在过去18个月中,他们在连接员工和公司资源方面遇到了问题。³ 您/您的公司在过去18个月 中,是否难以让员工保持互 联互通? 51% 是 49% 否 以数据中心为中心的应用模式向以支持互联网的云为中心的模式的持续转型,迫使IT团队全盘重新思考他们的网络战略。同样,当用户和应用都进行非本地部署时,安全团队需要努力提供安全且无缝的用户体验,因为在这种部署下更容易受到意外暴露或蓄意攻击。 这有助于解释人们对云交付SASE模式高度感兴趣的原因,该模式将SD-WAN等网络解决方案与安全服务边缘(SSE)和零信任网络接入(ZTNA)等云安全解决方案结合在一起。 SASE旨在连接和保护用户与应用,无论它们如何部署或托管,最终提供更出色、更一致、更安全的用户体验。它还有望降低 IT成本和复杂性,提高网络灵活性和性能,并最终改善应用体验。 “由于疫情的影响,截至2020年的最高点,与疫情前的基线相比,全职或兼职远程办公的美国员工数量增加了450%。虽然比率已经开始下降,但我们预计长期远程办公的比率将稳定在比疫情前基线高200%的水平。” —Dell’OroGroup⁴ 基本结论: 员工日趋分散和多样化的办公模式将继续存在。正确实施SASE,可以连接并保护分散的用户和应用,调整网络和安全策略,并减少网络和安全管理负担及风险。 SD-WAN和SASE之间的关系 围绕SASE引发的市场疑问催生了一些现有SD-WAN解决方案相关的问题。SASE是否取代了SD-WAN?它们是否互为补充?还是说它们是针对不同需求提供完全不同的解决方案? 答案很简单:SD-WAN 是 SASE的基础。 SASE将SD-WAN本地安全功能与以云为中心的 •监测和阻止恶意软件与恶意流量 安全功能相结合,连接和保护用户与应用,无论它 •限制未经授权的用户 们如何部署或托管。作为一个重叠架构,如果没有 •防止不需要的内容或应用 SD-WAN提供的保障措施,SASE无法提供无处 •通过防火墙阻止不需要的入网和VLAN之间的流量 不在的安全,包括: •确保站点间/隧道内VPN的安全 •启用网络地址转换(NAT) •基于位置访问控制的地理围栏 •将网络分割成多个子网络 “SASE并没有使SD-WAN过时。相反,SD-WAN是SASE的一个基础组成部分。SASE产品融合了多种网络和安全即服务功能,如SD-WAN、安全Web网关(SWG)、云访问安全代理(CASB)、下一代防火墙(NGFW)和零信任网络访问(ZTNA)。” —2021Gartner®,快速回答:SASE是否取代了SD-WAN?⁵ 您在SASE采用全程中处于什么阶段? IT组织应该从SD-WAN还是云安全入手?许多组织采取分阶段的方式来实施SASE。大多数组织正处于SASE全程的中间阶段,即将SD-WAN与云安全组件相结合,尚未全面整合或实施。 18%的公司有云安全但没有SD-WAN,13%的公司有SD-WAN 但没有云安全。⁶ 基本结论: SD-WAN是SASE的一个基础要素,它与以云为中心的安全解决方案或服务相辅相成,保护本地部署、云和边缘域的用户和数据。 SASE功能需求 在您看来,SASE的哪些功能将 是您所在组织的优先考虑项? 思科,2021全球网络趋势调查;N1534 由于SASE代表了网络和安全功能的整合,34%的组织正在优先考虑提供基于云的SD-WAN综合管理解决方案和服务。确保随时随地保障基于云的应用的流量安全(33%),优化托管在多个公共云中的应用(32%),以及提高网络透明度和灵活性(28%)也被列为优先考虑功能。 基于云的SD-WAN综合管理 34% 确保随时随地保障基于云的应用的流量安全 33% 优化托管在多个公共云中的应用 32% 网络透明度和连接方式的选择 28% 对用户流量的可视性、分析和洞察 27% SASE灵活消费/即服务 26% 0% 25% 50% 0% 为了连接远程员工: 43%的组织计划使用 VPN作为一种服务。 36%希望采用零信任网络访问和多因素身份验证功能。 35%对基于主机的统一客户端感兴趣。 35%希望将其SD-WAN扩展到移动和家庭用户。 虽然SASE架构、解决方案和服务不断发展,但从根本上说,它们旨在汇集SD-WAN和云安全提供的部分或全部核心功能。 SD-WAN 云安全 集中管理一个集中的、高度可视化的控制面板,便于设备配置、网络管理、监控和自动化。包括网络边缘的零接触配置。 零信任网络访问(ZTNA)一个可以减轻未经授权的访问,遏制漏洞,并减少攻击者在网络中的横向移动的安全框架。ZTNA应与强大的身份和访问管理相结合,验证用户的身份,并在授予授权应用访问权之前建立设备信任。 云网络扩展和中间环节优化广泛的云端集成,实现与任何站点到云端和站点到站点配置的无缝、自动连接。包括通过软件定义的云互连(SDCI)和主机托管集成优化中间环节的连接。 安全Web网关(SWG)一个记录和检查Web流量的网关,以提供全面的可视性、URL过滤和应用控制,以及恶意软件防护。 应用体验能够监测和验证Web应用的可用性和性能。详细的指标和瀑布图显示了Web组件的顺序获取和加载,以确定错误和瓶颈问题,了解对应用性能的影响。 带有入侵防御系统(IPS)的云端防火墙基于软件的云部署服务,帮助管理和检查网络流量。 灵活且可扩展的基础设施一个广泛的物理和虚拟平台,提供高可用性和吞吐量、多千兆端口选项、5G蜂窝网链路和强大的加密功能。通过动态选择符合服务水平要求的最有效的WAN链路,优化WAN流量。 云访问安全代理(CASB)检测和报告整个网络中使用云应用的软件,发现影子IT,并阻止有风险的SaaS应用和特定操作,如发布和上传。 人工智能助力故障排除强大的AI/ML,用于优化网络性能,自动化常规人工任务,并加速故障排除。提供智能警报、自我修复和预测性互联网改道能力。 防数据丢失(DLP)对数据进行在线分析的软件,以提供对推送或拉出组织网络或云之外的敏感数据的可视性与可控性。 集成安全功能强大的安全功能,与云安全相辅相成,保护分支机构、家庭用户和基于云的应用免受渗透。 远程浏览器隔离(RBI)将Web流量流量与用户设备隔离的软件,以减轻浏览器传递威胁的风险。 基于身份的策略管理跨多个地点和域的微分段和基于身份的策略。 DNS层安全作为抵御互联网上威胁的第一道防线的软件,在与一个IP地址建立连接之前就会阻止恶意的DNS请求。强大的DNS安全功能可以大幅减少安全团队每天必须处理的威胁数量。 高级洞察通过全面的、逐跳的分析,增强对应用、互联网、云和SaaS环境的洞察。实现故障域的隔离,并提供切实可行的洞察,加速故障排除,并尽量减少或消除对用户的影响。 全面、广泛的威胁情报威胁研究人员、工程师和数据科学家使用遥测和复杂的系统来创建准确、快速和切实可行的威胁情报,识别新兴威胁,发现新的漏洞,并在威胁扩散之前拦截它们,其规则集支持您安全堆栈中的工具。 除了整合SD-WAN和云安全功能外,SASE模型还可以帮助打破运营孤岛,促进网络和安全团队之间的进一步协调。通过标准化策略、共享遥测数据以及所有安全和网络组件的协调警报,SASE使NetOps和SecOps团队能够提高IT效率、可视性和保护。 考虑到这一点,企业必须制定一个全面的SASE战略,兼顾NetOps和SecOps的目标,增加操作的一致性,并能够在可预见的未来支持组织的需求。 “到2024年,30%的企业将采用同一供应商提供的云安全Web网关(SWG)、云访问安全代理(SWG)、零信任网络访问(ZTNA)和分支机构防火墙即服务(FWaaS)功能,而2020年这一比例不到5%。” —Gartner7 基本结论: 在评估SASE战略和产品时,组织正在寻求能够提供SD-WAN和云安全基本功能的解决方案和服务,满足其当前和不断发展的需求。 整合的重要性 现代企业依赖于一些网络环境(数据中心网络、局域网、广域网)和安全解决方案(防火墙、网关以及本地和基于云系统的访问控制)。通过技术和服务的整合,SASE可以在所有这些方面提供可视性、策略协调和保护。 由于最终目标是安全地连接用户和应用,无论它们如何部署或托管,这类整合服务也有助于: •减少安全事件的数量。 •加快故障排除和问题解决。 •简化系统监控和管理。 •改善策略的标准化和执行。 •支持区域合规和数据要求。 •降低资本和运营成本。 “市场上存在两种主要的SASE实施类型:统一型和分类型。统一实施型由单一供应商、紧密集成的 SASE平台组成。分类实施型是一种多供应商或多产品的实施,与统一型相比,整合程度较低。” —Dell’OroGroup⁹ 27% 通过管理服务提供商/ 服务进行消费 24% 购买独立的安全和网络组件并将其集成在一起 您将如何部署和实施 SASE解决方案? 3% 不确定/其他 23% 将SASE作为一个单一供应商 的解决方案进行消费 23% 将SASE作为多个供应商的捆绑产品进行消费 思科,2021未来技术调查;N29,506 随着单一供应商和多供应商解决方案和服务的出现,以及有可能采用将点解决方案集成在一起的定制架构,组织在如何部署和运营SASE方面有很多选择。