SASE神兽方阵报告（2024）

OK ©2024云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2024云安全联盟大中华区版权所有1 ©2024云安全联盟大中华区版权所有2 致谢 《SASE神兽方阵报告（2024）》由云安全联盟大中华区组织专家撰写，感谢以下 专家的贡献：主要贡献者何国锋 穆域博 司玄 赵福辰 余思阳 郭鹏程 姚凯 苏泰泉 钟施仪 丁安安 李乐天 唐双林 潘万鹏闭俊林 欧建军 罗智杰 卜宋博 关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-csa.cn/research/）上查看。 在此感谢以上专家及单位。如此文有不妥当之处，敬请读者联系CSAGCR 秘书处给予雅正!联系邮箱research@c-csa.cn；云安全联盟CSA公众号。 ©2024云安全联盟大中华区版权所有3 目录 1摘要5 2SASE简介6 2.1SASE诞生的原因6 2.2SASE的定义7 2.3SASE的核心优势9 2.4SASE的主要应用场景10 3神兽方阵报告简介11 3.1报告介绍11 3.2神兽方阵模型12 4SASE神兽方阵13 4.1SASE神兽方阵入选企业13 4.2SASE神兽方阵入选企业介绍与点评15 5分析与总结25 5.1发现和结论25 5.2SASE产品分析30 5.3SASE落地部署建议32 5.4SASE发展趋势33 6SASE实践案例35 6.1深信服——云安全访问服务SASE35 6.2奇安信——安全访问服务Q-SASE39 6.3网宿科技——SASE一体化办公安全产品43 6.4天翼安全——云脉SASE46 6.5亿格云——亿格云枢49 7评价方法论52 8展望57 ©2024云安全联盟大中华区版权所有4 1摘要 随着企业办公移动化、应用分布式部署以及业务流量多向流动，传统网络边界逐渐模糊甚至瓦解。网络、安全与云服务割裂运作的模式难以应对复杂需求，急需一种融合一体化的解决方案来整合网络、安全与云，重塑企业网络架构。 安全访问服务边缘（SASE，SecureAccessServiceEdge）作为一种结合了广域网接入和云端安全的框架理念，通过集成SD-WAN、零信任等多种网络与安全功能，在云平台上实现统一管理和交付。SASE通过将安全执行点部署至靠近用户的边缘节点，有效整合云、网络与安全体系，简化架构、提升威胁响应速度、减少安全漏洞，并为企业提供灵活、高效的安全网络环境。 云安全联盟大中华区综合考量技术领先性和市场影响力，对参与调研的SASE厂商中评选出16家标杆企业，涵盖头部厂商、技术实力突出的厂商以及快速成长的新兴企业。 报告显示，SASE市场具有以下特点：在安全能力方面，零信任已成为标配，部分厂商深入支持防火墙即服务、安全网关即服务和数据安全等核心能力；在网络能力方面，SD-WAN作为SASE技术核心，支持网络接入、流量分析和灵活组网，但高级功能如网络加速和编排的应用仍需加强。用户需求集中在网络攻击防护、资源弹性伸缩和合规性保障三大方面，覆盖制造业、政府、通信和金融等多个行业。 未来，SASE将通过统一安全管理和运营平台，构建“云网安”一体化防护体系。随着市场对智能化、一体化解决方案需求的增加，SASE在全球范围内的应用将持续快速增长，为企业数字化转型提供更加全面的技术支撑。 ©2024云安全联盟大中华区版权所有5 2SASE简介 2.1SASE诞生的原因 随着云计算、物联网、5G等关键技术的不断突破发展，企业数字化转型节奏越来越快。企业为提高核心竞争力，其业务部署环境越来越多样，包括传统的IDC机房、私有云、多云、混合云等，同时业务访问端也由单一的内部用户扩展到企业分支用户、企业合作伙伴、远程移动办公终端等。 在这个过程中，安全紧随企业的网络和业务架构演进而发展。数字化转型兴起之前，企业业务流量总量不大、流量以内部流转为主、移动办公需求少且默认企业内流量安全，这种情况下集中式安全栈方案得到大规模应用，这种以企业自建数据中心为核心的中心辐射型网络拓扑备受企业青睐。 近几年，随着云端SaaS应用普及和企业员工分散导致企业互联网流量增多，中心辐射型网络架构面对高成本的MPLS链路、总部集中上网应用访问体验差、安全边界绕行及总部VPN容量挑战等问题，不得不顺势改变网络及安全建设思路。在此阶段SDN及NFV技术的发展促使企业在云端部署统一网络指挥中心成为可能，分支和总部互联可通过更便宜和更大的互联网宽带进行以分散专线压力。同时，对于远程用户来说，云端部署的安全接入网关类服务能够有效解决集中接入的体验和安全问题，此时云端或者总部集中提供网络调度和近源安全监测防护理念越来越深入人心。 随着数字化转型和上云趋势的演进，越来越多的公有云厂商，甚至有全球业务的ICT厂商、互联网厂商都在建设自己的数据中心，这些数据中心随着企业业务的不断扩张，业务范围越来越广，服务数量越来越多，连通性越来越好。也许，是受“云”资源共享商业模式的启发，有声音提出此类拥有全球互联数据中心的企业是否可以将这种互联骨干网作为资源共享出去，企业想要访问的多云、公共SaaS、互联网等连通问题由此骨干网解决，有互联需求的其他中小型企业均可以把流量引入这张网络中进行流转，同时为了降低时延提供统一的网络就近接入点，在此类接入点上同时部署身份校验、威胁发现、行为监控等按需增值安全服务，这实际上就是当前比较火热未来会成为趋势的安全访问服务边缘SASE ©2024云安全联盟大中华区版权所有6 模型。 Gartner在2019年正式提出了安全访问服务边缘（SASE，SecureAccessServiceEdge）的概念，通过对SASE的定义理解，我们可以认为SASE是企业网络和业务架构演进至“云化”“服务化”后的自然而然的安全理念。 2.2SASE的定义 SASE（SecurityAccessSevicesEdge），即安全访问服务边缘，是Gartner于2019年在《网络安全的未来在云端》提出的一种网络架构，其定义是“一种结合了广域网功能和全面的网络安全功能（例如SWG、CASB、FWaaS和ZTNA）的新兴产品，能满足数字化企业的动态安全访问需求。”，SASE并不是单独的独立系统，而是包含一套技术，从SD-WAN和云访问安全代理（CASB）到安全的web网关、零信任网络访问（ZTNA）、防火墙即服务（FWaaS）和微分段。除了这些核心功能外，一些SASE供应商还会提供其他相关技术，包括Web应用程序、API保护、远程浏览器隔离，以及网络沙箱等。 图1SASE帮助实现网络和安全运维的融合 将网络和安全领域相融合可提供对每个连接的端到端可视性，让这两个领域的管理员齐心协力地优化应用体验。集成的工具和集中的控制面板能够提高效率并增进协作。SASE能够提供这样的融合环境以及集中的统一管理，是一种从根本上简化安全和网络运维的方式（图1）。 与此同时，SASE可以为企业提供全网流量的可见性，包括本地、云和移动 ©2024云安全联盟大中华区版权所有7 端访问应用和互联网的流量，甚至也包括分支之间的流量。此外，SASE可提供一系列丰富的网络和安全功能，对流量进行安全检测与路由转发，实现企业全流量的威胁检测与控制，并根据应用优先级进行路由，以确保用户访问应用的体验与安全合规均可得到保障。 根据以上定义，SASE有四个主要特征： 1)身份驱动 不仅仅是IP地址，用户和资源身份决定网络互连体验和访问权限级别。服务质量、路由选择、应用的风险安全控制——所有这些都由与每个网络连接相关联的身份所驱动。采用该方法，公司企业为用户开发一套网络和安全策略，无需考虑设备或地理位置，从而降低运营开销。 2)云原生架构 SASE架构利用云的几个主要功能，包括弹性、自适应性、自恢复能力和自维护功能，提供一个可以分摊客户开销以提供最大效率的平台，可很方便地适应新兴业务需求，而且随处可用。 3)统一边缘访问 SASE为所有公司资源创建了一个网络，覆盖数据中心、分公司、云资源和移动用户，并积极建设“最后一公里”访问方案，确保不同边缘的流量以最佳方式流向SASE网络，然后从那里流向互联网、数据中心和应用程序等。举个例子，软件定义广域网(SD-WAN)设备支持物理边缘，而移动客户端和无客户端浏览器访问连接四处游走的用户。 4)全球分布 为确保所有网络和安全功能随处可用，并向全部边缘交付尽可能好的体验，SASE云必须全球分布。因此，Gartner指出，必须扩展自身覆盖面，向企业边缘交付低延迟服务。 从能力层面来看，SASE需要包含主要的网络和安全能力： 1)网络即服务（NetworkasaService） SD-WAN 服务质量保障QoS ©2024云安全联盟大中华区版权所有8 高级路由 SaaS加速 内容交付或缓存 广域网优化 分布式连接 2)安全即服务（SecurityasaService） FWaaS ZTNA/VPN 安全Web网关 SSL深度检测 云沙箱 IPS入侵防御系统 CASB云访问安全代理 RBI远程浏览器隔离 2.3SASE的核心优势 SASE架构的目标是更容易地实现安全的云环境，它在集成管理、安全保障、性能提升、良好体验、资源优化访问方面具有核心优势： 1)网络和安全集成简化管理和运营 传统的网络安全模型依赖于多个独立的解决方案来保护网络边界，SASE通过集成网络和安全功能到一个云交付平台，简化了管理和运营，减少了资本支出和运营成本，并且SASE允许企业从单一控制点管理所有安全策略，简化了安全政策的制定和执行，减少了配置错误和安全漏洞的风险。 2)基于零信任模型的安全性 SASE支持基于身份的零信任安全模型，确保只有经过验证和授权的用户和设备才能访问特定的应用程序和服务，此外，SASE提供了对网络请求的全面可见性，企业能够基于此实施细粒度的安全策略，确保数据隐私法规的合规性，并保护敏感数据。 ©2024云安全联盟大中华区版权所有9 3)分布式访问带来的性能提升和良好体验 SASE的访问机制可以在用户和云资源之间建立直接、安全的连接，而无需依赖数据中心进行连接。同时，通过SD-WAN技术，对网络流量进行优化，提高网络性能，其分布式架构为任何时间、任何地点的用户提供一致的优化体验。 4)云服务交付优化IT资源 SASE通过云服务的交付模式，减轻了企业在物理网络硬件、安全设备和数据中心上的投资和维护压力。 2.4SASE的主要应用场景 SASE通过整合SD-WAN、防火墙即服务（FWaaS）、安全Web网关（SWG）等关键技术，形成了一个统一的服务平台，为企业的数字化转型提供了一种灵活、可扩展的安全架构，以支持企业的快速发展和变化，具有广泛的应用场景，包括并不限于： 混合办公 随着混合办公的日益兴起，传统VPN无法应对当前网络安全需求，SASE能够提供就近接入的网络服务同时进行严格的身份验证和策略控制，能够确保办公人员访问企业资源时的安全性和稳定性。使得远程员工无论处于何地都可以安全地访问企业应用程序和数据。 多云环境 多云环境为企业带来了灵活性和可扩展性的同时，也带来了一系列挑战，如管理的复杂性、安全控制不一致，以及网络效率问题等，SASE因其云原生特性和集成化的安全功能，可以帮助企业统一管理和保护跨多个云平台的资源，适应不断变化的云环境。 多分支场景 对于拥有多个分支机构的企业，SASE可以通过简化广域网部署和强化连接实体的安全合规来提升网络的敏捷性和安全性。SASE的分布式架构允许企业在各个