安全访问服务边缘产业发展现状及未来发展趋势

进入算网融合时代以来，随着企业数字化转型和业务上云成为趋势，传统的网络和安全体系架构已无法满足数字业务的动态安全访问需求，企业的数据中心不再是用户与设备访问需求的中心。数字化转型的企业需要随时随地访问位于云端的应用和服务，导致企业网络架构出现“内外翻转”的现象。基于此，安全访问服务边缘（SecureAccessServiceEdge，SASE）在应对网络接入和安全融合挑战的需求下诞生。本文将以SASE为主题，从其应用背景切入，归纳行业对于SASE的理解，整理SASE的技术体系和关键能力，研判全球和国内视角下，SASE在战略、产业、技术和应用维度的发展态势，最后落脚于我国SASE的总体发展情况，分析相关挑战与未来发展建议。1SASE产业发展背景1.1数字化驱动SASE成为数字基础设施的重要内涵从需求层面来看，区别于以“烟囱化”业务部署需求为主要承载对象的传统基础设施，数字基础设施强调数字赋能，实现数据创新，其中，支持“计算和网络”全面融合的新型信息通信是数字基础设施的重要底座和核心载体。面向层出不穷的智能应用场景，如智能医疗、自动驾驶、智能电信、智能金融等，新的信息通信网络需要满足基础性、融合性和服务性3个方面的能力要求。基础性是指新型网络需要满足“大连接”的业务需要，“大连接”不仅仅局限在“万物互联”时代的网络接入，还包括算力时代下，算力终端、算力中心、算力服务的全面接入；融合性是指新型网络需要与新型计算技术、存储技术、安全技术实现全面融合，在算力感知、异构计算、在网计算、算网安全等方面实现全面升级；服务性是指新型网络需要达到精细化、智能化、安全化的服务水平，支持弹性敏捷、按需服务和内生安全。1.2SASE已被视为新型信息通信网络的典型实现从供给层面来看，融合创新是当前技术发展的重要特征，在信息技术（Information

Technology，IT）领域面临算力供需不平衡、全局利用效率低等主要瓶颈，因此，推动超算、智算、高性能计算、云计算等多种计算发展是网络朝着计算网络化方向演进的重要方向；在通信技术（CommunicationTechnology，CT）领域存在网络与应用相分离、管道商服务价值低等行业通病，因此，打造支持智能化大连接的计算能力承载是网络朝着智能化方向全面演进的重要环节；在安全领域，传统安全模式无法满足数字化发展的需要，当前，网络安全技术与新兴技术融合创新成为创新发展的主要特征。SASE作为一种满足基础性、融合性、服务性3个方面的能力要求的网络安全创新技术，全面融合了广域网功能与网络安全功能，统一云、网、算、安全资源智能化调度，持续增强网络安全性，切实满足企业数字化转型下日益增长的网络安全需求。2SASE的内涵和关键技术2.1SASE的内涵从技术视角来看，SASE集云、网、算、安于一体，是推动算网融合的重要环节，SASE以业务与应用需要为导向，融合软件定义广域网络（SoftwareDefineWareAreaNetwork，SD-WAN）、零信任网络访问、云原生网络、网络安全即服务等多种技术能力，提供网络安全保障，是一种赋能数字化业务部署需要和应用需要的创新型网络安全新技术。从服务视角来看，SASE以“广域网+云安全+零信任”为内核，通过简化广域网（WareAreaNetwork，WAN）部署方式及强化连接实体/信息的安全合规，全面提升敏捷弹性、按需提供、全程管控等方面的能力，是一种助力算网融合全面发展的创新型网络安全新服务。SASE参考架构如图1所示，在基础设施层，SASE通过一系列的安全接入锚点，拉通了边缘基础设施、云安全资源池、算力资源池等系统设施；在平台层，SASE通过资源统一编排、调度与管控、零信任网络访问等能力，实现了SASE服务的“瘦腰”；在应用层，通过设施和平台能力的支撑，SASE服务可以在云、网、算、安等方面提供一体化的SaaS类型服务。图1SASE参考架构2.2SASE的关键技术2.2.1网络安全即服务网络安全即服务是SASE的SaaS安全服务接口，网络安全即服务代表了SaaS化的网络安全功能池，其中既包含网元级别的安全功能，例如，安全Web网关（SecureWebGateway，SWG）、云访问安全代理（CloudAccessSecurity

Broker，CASB）、防火墙即服务（Firewallasa

Service，FWaaS），又包含端到端的整体安全服务能力（如业务功能链），通过这种服务方式，网络安全即服务重点解决了传统安全方案在部署、运维、更新等方面的问题，打造了SaaS化的安全服务接口。2.2.2SD-WAN网络底座SD-WAN作为软件定义网络（Software

DefinedNetwork，SDN）技术与广域网应用全面融合的重要场景，在弹性服务、按需部署方面展现了极大的技术优越性，同时，在多个创新型网络应用场景里成为技术底座。对于SASE而言，SD-WAN能够提供软件定义、按需服务、弹性部署、算力随享的能力支持，打造了良好的网络连接底座。2.2.3网络服务微化/云化云原生网络提供了网络服务微化/云化支撑，云原生网络对于SASE将网络安全能力、云安全能力和云资源无缝融合的意义重大，借助轻量级虚拟化、微服务和服务网格，云原生网络能够实现网络资源的弹性部署和云、网、安服务一体化协同，进而形成轻量级的服务网格，提高服务管控的精细度和颗粒度。2.2.4零信任网络访问零信任网络访问构筑了SASE的安全防护新体系，其为SASE提供了全新的安全访问框架，基于零信任“持续监督，永不信任”的安全理念，SASE具备一整套端到端的面向服务的安全管控机制，保障无边界、自适应、可持续的安全增强服务。3SASE整体发展态势3.1战略态势：全球高度重视SASE发展机遇从国际层面上看，加拿大、美国等国家纷纷以国家级项目为先导，加紧开展SASE的战略布局。2021年，加拿大政府在《国家网络安全战略》中，提出把SASE作为远程办公场景下替代虚拟专用网络（VirtualPrivateNetwork，VPN）的重点技术。2022年，美国国防部将56亿美元经费投入到网络创新技术和安全技术融合研究中，深入推进零信任/SASE原型项目“雷穹”（Thunderdome），将SASE作为联合区域安全栈（JointRegionalSecurityStacks，JRSS）保护网络中间层安全更理想的替代方案。同年，美国联邦调查局启动“网络企业重新设计计划”（Network

EnterpriseRedesignInitiative，NERI），重点引入SD-WAN、SASE等新型网络安全技术。从头部机构/企业层面上看，战略性产业布局已经是各方的一个基本共识。2020年，城域以太网论坛（MetroEthernetForum，MEF）发布《SASE服务框架》白皮书，进一步明确给出MEF视角下的SASE架构；2022年，MEF联合微软、Verizon等全球龙头企业，共同组织开展国际化的SASE标准体系的研制，计划孵化全球通用的SASE服务评估项目；而主要头部企业，也在2020年开始陆续推出一系列的SASE试用方案，加大SASE方向的商业布局，抢占产业链的上游位置。3.2产业态势：SASE成为全球信息通信行业热点方案在市场规模方面，SASE市场呈现了快速上升的发展趋势。2021年，Gartner将SASE列入云安全成熟度曲线；2022年，Gartner统计显示SASE市场已经达到66亿美元。预计未来5年其市场规模将以36%的复合年增长率增长，到2026年将达到210亿美元规模。在产品应用方面，SASE的产品将趋于整合服务方向演进。SASE服务形式多样，涉及SD

WAN、防火墙、SWG、CASB、零信任网络访问（Zero-TrustNetworkAccess，ZTNA）等一系列安全产品、网络产品，考虑到供给侧/需求侧在业务连续性、统一化服务、商业营销策略和交付模式方面的诸多因素，预计到2025年，80%的企业将采用SASE架构，其中，65%的企业将采用统一化的SASE服务。在产业生态方面，SASE生态链条里涉及了设备提供商、基础电信服务商、安全服务商、云服务商、增值电信服务商、第三方组织等多个环节，目前，提供SD-WAN服务的融合安全厂商占据了主导位置，未来在SASE领域方向，将形成各方共同发力的开放融合的生态格局。3.3技术态势：国际国内纷纷加速标准建设国际SASE标准研制走向成熟。2022年10月，MEF完成并发布了《安全访问服务边缘服务要求和框架》，从服务视角定义了SASE服务组件的技术架构；2022年11月，美国国家标准与技术研究院（NationalInstituteofStandardsand

Technology，NIST）发布了《安全企业网络环境指南》，重点聚焦安全操作视角，给出了多云访问企业网络环境的相关指导。我国正在推进SASE标准体系构建。从2020年开始，国内以中国通信标准化协会和中国通信学会为代表的标准组织从SASE总体技术要求、关键指标体系、服务质量、编排管理、技术指南、能力成熟度、整体方案技术要求、融合SD-WAN服务等方面加快SASE系列标准布局。总体上看，我国SASE标准研究起步较早，但截至目前，整体研究进程相对滞后于国际标准的研究进程，缺少成熟度产业落地实践。3.4应用态势：我国SASE市场处于探索期，网络与安全厂商占主导优势从产业链来看，SASE行业的上游为提供安全产品、安全服务、安全集成的网络安全厂商。中游为网络服务、安全服务提供商。下游则是政府、金融、电信、能源、教育等各行业用户，用户的分布广泛。产品终端使用者覆盖政企、军队、运营商及金融、医疗、教育、交通、制造和能源等多个行业，行业总体更偏向于B端。SASE产业下游客户以电信、金融和能源行业为主。调研数据显示，电信行业仍然是当前我国SASE产业下游的最大客户，包含中国移动、中国电信、中国联通在内的运营商率先进行SASE试点部署；其次是金融行业，包含中国工商银行、兴业银行等金融机构进行SASE的相关应用；排在第三位的是能源行业，在SASE方面也有相应的布局。SASE与垂直行业紧密结合，各垂直行业针对SASE的场景需求存在差异，例如，电信行业由于近几年线上远程办公、移动办公频仍，出现远程和移动办公的场景需求；金融行业由于网点众多，各分支机构的安全能力相对薄弱，诞生出多分支机构安全组网的场景需求；能源行业同样面临多分支机构安全组网，但能源行业物联网设备众多，也有物联网安全防护的场景需求。4SASE的挑战与建议4.1SASE面临多重挑战亟须破题4.1.1挑战一：顶层设计尚未成型“十四五”期间，国家和政府着力突破新型网络安全关键技术，目前已相继出台了多项政策文件，开展相关试点，推进零信任等新型网络安全架构尽快落地实施。2021年8月，工信部印发《网络安全产业高质量发展三年行动计划（2021—2023年）》，部署零信任等技术的研发创新及在关键领域的应用，但是我国SASE发展还缺少整体性的战略布局。一是相关政策尚未出台。已有政策文件尚未明确提及对于SASE的部署，缺少SASE发展的路线图和时间表。二是引导措施尚未落实。SASE对政府机构、行业企业、社会组织等落地应用的引导措施还未实施，各个主体对于SASE重要性的认识尚未形成，缺少可以参照借鉴的典型标杆。三是监管机制有待强化。SASE在落地应用过程中，存在设施、平台、系统、数据等多维度的安全问题，我国目前在网络安全的整体监管上还比较欠缺，需要尽快补足。4.1.2挑战二：技术体系较为薄弱2021年我国SD-WAN领域全面规模化部署，已覆盖金融、医疗、能源等多个领域，技术发展逐步迈入2.0阶段。SASE作为SD-WAN融合网络安全服务2.0的重要途径，整体技术成熟度处于早期阶段，网络安全由产品化向服务化转型。对比欧美地区，我国SASE技术竞争明显存在劣势。一是基础研究碎片化，技术框架不成熟。SASE创新研究投入不足，关键技术、核心软件、硬件设施自主研发能力薄弱。二是架构融合壁垒深，基础设施感知服务能力低。产业云网部署形态彼此独立，SASE基础设施互联互通性差，服务管理流程依赖于人工。三是标准建设不充分，产品参差不齐。我国SASE标准制定内容较少，未能充分覆盖技术、设备、服务各项要求，标准建设进程滞后，难以指导SASE企业优化产品设计。4.1.3挑战三：产业生态仍在初期阶段国内一些领军企业如中国电信、中国联通和中企通信等已开始着手SASE的研发与实践，并提出初步的SASE解决方案。但我国SASE产业发展还存在诸多问题，在国际市场中无法掌握主导权，面临国外市场产业链垄断的风险。一是尚未进入规模化部署阶段。目前，我国各类厂商尚未充分参与到发展队伍中，SASE采用率低，行业发展的基本共识尚未形成。二是供需对接存在明显不足。缺少行业发展平台，供需双方步调不一，产品上线后对接市场较慢，对于行业的实质性需求贴合不紧。三是产业发展模式存在短板。目前仍然是依赖硬件和设备销售的产品主导的发展模式，尚未完成向服务主导的发展模式的转变，供应商提供的解决方案服务性不足，尤其是对于中小企业的适配性较低。4.2多层次建设SASE新格局4.2.1建议一：完善顶层规划设计加强政策指导，对SASE发展作出全面布局和整体规划。明确SASE战略定位和发展目标。制定相应的政策文件，将SASE作为我国未来网络安全架构建设的重点。从政府层面提出“SASE参考架构”等指南，为应用SASE架构提供路线图和资源。注重引导激励，多措并举加快SASE落地应用。开展SASE试点项目，推动SASE在政府机构、行业企业、社会组织中的落地实施。开展SASE服务质量与能力要求评价和认证，评选SASE典型示范案例。重视监管，加强SASE安全保障。完善业务市场准入、许可证准入、业务评测等机制，强化对SASE服务运营商的监管，尤其要注意避免SASE应用于公共服务平台、关键基础设施中造成的重要数据泄露等安全风险。4.2.