超越VPN？ SASE较之孰胜孰败

由于疫情原因，远程办公成为企业复工的主要形式之一，据百度热度指数，远程办公搜索指数今年2月份同比增长491%，环比1月份增长317%。虽然目前国内的情况已经得到控制，企业纷纷恢复正常办公形式，但对于疫情正盛的国外地区来说，远程办公的需求依旧非常大。

以前开通远程办公服务的企业要求扩容，以前没开通过远程办公的要紧急开通。对于许多企业网络架构来说，想要支持数万名员工进行远程工作，可能极具挑战性。

网络基础设施服务提供商Apcela的首席执行官Mark Casey表示，许多公司通常仍在物理数据中心中使用传统的中心辐射型广域网。公司流量从分支机构和远程位置（如员工家中）回传到中央数据中心，通过安全堆栈，然后再发送到互联网或云服务。然而，这种传统的网络架构无法很好地适应因远程办公的增加而导致的流量模式的巨大变化。

远程工作人员的大量增加给以VPN/防火墙组合为主力的网络造成了额外的压力。

VPN容量紧张

一个在家办公的员工打开一个VPN连接，创建一个安全通道，可将其直接带到数据中心。如果公司希望10％-20％的员工进行远程工作，VPN的模式可以满足这个需求。但是现在的要求可能是50％-70％的员工都需要远程办公，这就会导致资源争用，并且VPN体验也很差。

许多公司表示他们需要扩大VPN容量，但传统的网络架构却使他们望而却步。思科、Palo Alto等公司提供免费的VPN客户端许可证，但企业仍然需要扩大VPN终端设备，目前很难快速实现。Casey表示，无论是冠状病毒的影响还是其他传统网络环境的压力，我们都主张企业应实现多元化，并将其部分网络架构转移到云中。从长远来看，这将使企业在安全和远程访问服务方面拥有更大的灵活性。

SASE具有灵活性和按需容量

Casey指出，安全访问服务边缘（SASE）框架能够重新打造企业网络架构。

Gartner将服务边缘定义为一种通过将SD-WAN功能与网络安全服务（例如SWG、CASB和基于云的防火墙）相结合来支持数字企业访问需求的产品。简而言之，SASE产品通过提供高度可定制的基于策略的控制来简化网络管理，该控制可以根据用户身份、会话上下文以及应用程序对性能和安全性的需求进行定制，并且是通过云交付的。

假设某位员工正在从南京家中的VPN接入到公司网络，而数据中心位于北京。通常，所有流量都会定向到北京，如果他正在访问互联网内容，最佳方法是将部分流量分流到用户驻地所在的安全web网关（SWG），而不是将其全部回传到北京。南京的这个安全web网关就称为“服务边缘”。

Casey解释道：“公司的虚拟防火墙位于企业网络的Hub核心，针对无需回传到数据中心的互联网流量，可以直接在本地网络Hub的VPN分配器中将其分离出来。互联网流量通过安全的Web网关流出，而发往数据中心应用程序的流量则通过安全的专用网络传输，这实际上是回到数据中心的另一条通道。这是用来解释SASE的一个很好的用例，它可以将企业的某些核心安全组件转移到云上。”

提到“云”这个词，大家可能第一时间会想到AWS、Azure或谷歌云平台，但Casey认为云有着更广泛的定义：“就像Salesforce和ServiceNow一样，云是软件即服务，是作为服务交付的。如果是一家企业的话，那么云就可以抽象为数据中心。”

安全在“服务边缘“虚拟化

用Apcela的话来说，服务边缘（SASE中的“SA”）被称为应用程序中心，或AppHub。其他公司称它们为通信中心、云中心或简称为PoP。不管如何称呼，其实概念都是一样的。

这些Hub由交换和路由设备组成，这些设备通常部署在与运营商无关的托管中心中。然后，这些数据中心与高容量、低延迟的电路互连，以创建高性能的核心网络。在这个网络的边缘，企业可以直连自己的数据中心、分支机构、远程和移动用户，甚至是第三方合作伙伴。领先的SASE提供商已经在全球范围内建立了PoP点，以便其员工可以就近连接，获得他们所需的通信和安全服务。

在考虑如何将安全性作为虚拟服务部署时，Casey说：“不一定要将所有安全性都放在AWS中，因为这样做的话它就不适用于GCP或Azure，并且对SaaS应用程序也没有什么帮助。因此，位于应用程序云（Salesforce、Office 365、Workday等）与用户和企业位置之间的中间地带，是放置这些安全服务的最佳位置。而且由于Hub本质上是一种基础架构即服务，因此不必被迫迁移到某个专有的基于云的平台。”

SASE基础架构本质上是按需提供的，不存在复杂性的门槛，因此新客户很容易采用它。

SASE已预先构建VPN容量

SASE模型使企业可以轻松扩展其VPN平台，因为这些功能都是预先构建的。服务启动后，企业将可以为数以千计的员工提供远程办公支持。

那么对于那些刚刚接触SASE的企业来说，需要花费多少时间部署？

Casey表示：“Apcela提供的解决方案花了几天到几周的时间，当然，这取决于企业自己的安全平台，我们在安全方面利用了虚拟化网络功能，因此整个采购和运输设备的环节就不需要了。其他供应商可能以不同的方式进行部署。”

与在数据中心中安装新硬件以提供更大容量的传统模型进行对比，可以发现，公司订购硬件，将其运送到数据中心，然后再进行安装和配置，这些过程可能要花费两三个月的时间。

SASE框架的另一个好处是流量通过私有核心网络进行传输，而不是公共互联网。“对于云应用程序，你需要创建一种类似MPLS的专用网络，这正是SASE平台所做的——流量从互联网的安全边缘转移到一个私有的安全网络上，然后直接路由到相应的SaaS或IaaS平台数据中心。”

在这个特殊的时候，拥有一个私有的核心网络尤为重要，因为居家办公的人很多，公共互联网也由于流量和内容模式的转变而承受着巨大的压力，以至于Facebook和Netflix等公司被限制其服务，以减少带宽消耗。

有人认为，SASE代表着云上网络和安全的未来，将为企业数字化转型带来更好的敏捷性和竞争力。这一趋势也引导着SD-WAN、CDN、安全设备、防火墙即服务、云计算等各类服务商同台竞技，共同推动着网络和安全走向新的高度。

原文链接：https://www.networkworld.com/article/3534501/sase-might-be-better-than-vpns-for-quickly-ramping-up-remote-access.html