SASE采用指南：所需满足的要求与应避免的错误

在现代职场中，如果没有远程工作，那简直是不可想象的。虽然这看起来似乎只是一个简单的需求，但实际上，这对IT人员来说可能是一个很大的负担。此外，还必须考虑到企业的优先事项，以保护公司的数据安全。

不过，在企业的业务系统中引入IT安全功能的方法有很多。你可以选择多种技术来应用到你的系统中。其中，最具有前瞻性的方法之一就是采用SASE框架。通过这种方式，你可以让现有的安全基础设施变得更加现代化。

SASE的采用统计情况

根据各种报告来看，SASE的采用率正在上升。我们可以预见，在不久的将来，SASE将成为一种常见的IT管理标准。SASE带来的好处正是其被广泛采用的原因。不过，如果你是从零开始学习的话，那么可能并不容易确定从哪里开始着手。

推动SASE采用的驱动因素

SASE在企业界越来越受到重视。以下是促使企业采用SASE的五大原因：

1. 远程工作的比例有所增加。由于疫情的影响，远程工作的趋势日益加剧。因此，人们需要能够从任何地方安全地、灵活地访问企业资源。SASE提供了一种满足这一需求的解决方案。
2. 云技术的采用。随着企业越来越多地将业务和数据迁移到云端，传统的网络安全模型已经不再有效。SASE则能够为云环境提供更合适的网络安全解决方案。
3. 简化的IT基础设施。SASE将网络服务与安全服务整合在一起，形成一套一体化的解决方案。这种整合方式能够简化管理多个供应商和产品的复杂性与成本问题。
4. 提升了安全防护措施。SASE提供了更完善的安全措施，其中包括零信任网络访问机制。这种机制意味着，默认情况下，没有任何用户或设备被信任。这种方式能够增强企业应对网络威胁的能力。
5. 更好的用户体验。通过优化数据流向云的路径，SASE能够提升应用程序的性能。这将为员工带来更好的使用体验，而这对于提高工作效率来说非常重要。

关键的SASE要求

Secure Access Service Edge（SASE）将网络相关工具与IT安全工具整合在一起，形成一个统一的、基于云的服务。这使得企业能够使用同一个平台来整合和优化网络安全管理流程。与需要分别使用多个IT产品来实现特定功能相比，SASE将多种解决方案整合到了一个平台上。

以下是SASE服务应该包含的内容：

• 软件定义广域网（SD-WAN）这是一种基于软件的解决方案，用于实现企业网络的连接。它作为互联网上的网络扩展功能，能够创建出智能的混合式广域网架构。通过整合商业VPN、无线接入以及宽带互联网功能，SD-WAN成为一种高效的网络管理解决方案，而且这种解决方案可以通过云计算来实现。通过这种方式，可以以最高效的方式路由流量，从而确保高性能和数据的完整性。此外，这种方式还消除了对复杂的物理SD-WAN节点的需求。
• 零信任网络访问（ZTNA）这是一种能够实现远程访问的技术，与零信任模型相契合。 对组织内部或外部的任何联系都持极度不信任的态度，这是该组织的关键特征之一。因此，在每一个环节都需要进行严格的身份验证。 与VPN不同，这种访问方式并不是在网络层面进行，而是在应用程序层面进行的。 这意味着不会建立任何隧道，而ZTNA则作为中介角色，为存储在云中的应用程序提供访问权限。 这种网络访问与应用程序访问是分开的，这样一来，所提供的服务就难以被外部人员察觉——只有经过身份验证的用户才能访问这些服务。
• 作为服务的防火墙（FWaaS）这是一种通过云计算渠道提供的网络流量过滤工具。 防火墙功能是通过云端来提供的。用户可以远程配置防火墙规则，并无需任何物理硬件设备即可使用这项服务。 它可以是传统基于终端的防火墙的一种替代或补充方案。 访问数据总是通过防火墙进行传输，以确保符合安全政策的要求。 该服务本身可以通过提供者的管理界面进行配置。 通常，会采用某种订阅模式来收费。不过，价格可能会因所需的功能以及用户数量而有所不同。 不过，好处是所有的维护工作以及补丁管理都由提供商来负责。
• 下一代防火墙（NGFW）这是一种第三代防火墙技术，它采用先进的检测手段来阻止复杂的网络攻击。 它不仅会阻止特定端口的通信，还会检查数据流中的内容，以发现异常行为或恶意文件。 该系统还可以强制执行安全策略，拒绝访问某些特定资源。 这相对于传统的防火墙产品来说，是一个显著的改进。它极大地扩展了其应用范围。 NGFW集成了诸如防病毒和反垃圾邮件功能等特性。它是一种能够保护用户终端免受感染的保护层。 这种防火墙在允许或拒绝流量时，会做出主动的决策，而不是仅仅遵循固定的规则。
• 安全网络网关（SWG）这是一种能够保护联网设备免受网络威胁的解决方案。它可以用于执行公司的安全政策，对网络流量进行分析和过滤。该网关可以部署在本地网络中，也可以通过云方式实现部署，或者采用混合式部署方式。与传统的防火墙不同，SWG能够分析应用程序层面的流量，并在检测到异常情况时采取相应的措施。SWG可以通过类似其他SASE组件的网页界面来进行管理。
• 云访问安全代理（CASB）这是一种用于保护云上应用程序的安全服务。 它位于用户与云之间，负责监控进入数据中心的各项请求。 这使得CASB能够立即对不必要的传入流量做出反应，或者识别出那些可疑的行为。 CASB能够显著减少云服务的滥用现象。 此外，CASB还能够通过用户身份验证和流量加密来实现安全的访问需求。 这些政策必须提前制定出来，之后，CASB就会充当一种监督机制，确保这些政策得到遵守。

成功采用SASE的步骤

虽然没有必要同时采用所有的SASE组件，但最终的目标应该是让这五个组件都得到应用。这个过程可能会比较漫长且繁琐，因为需要替换那些正在被用于日常工作的IT资产。因此，组织的规模越大，完全实施SASE所需的时间就会越长。

不过，SASE的维护与监控要比传统方式要容易得多。由于许多公司已经开始在SASE领域进行探索，因此，以下这些建议或许能帮助你公司在实施SASE时取得成功。

步骤1：进行全面的审计检查

您的计划应该从对公司的IT安全基础设施进行审计开始。需要分析用户身份验证的方式，识别主要的风险点，并确定首先应改进哪些方面。这样，您就能做出明智的决策，以决定如何实施SASE计划。这种转变背后的理由不应只是为了改变而改变——SASE应该能够解决您具体的业务问题。

专业建议：始终提出问题并进行分析。正确识别问题有助于公司找到解决各种问题的有效途径。此外，明确所需达成的结果，也能让评估SASE实施效果的进程更加顺利。

步骤2：制定实施计划

一旦确定了主要的业务风险，就需要制定一个行动计划，明确每个步骤的具体实施内容。这样，技术团队就能更清晰地了解SASE实施的流程。此外，还可以制定一个时间表，明确各个步骤的完成时间。有了这样的计划，就可以更容易地确定每个步骤的完成期限了。

专业提示：如果考虑到那些被广泛使用的行业标准，那么对部署阶段、目标以及目的进行充分评估就会变得容易得多。

第三步：分析市场情况

虽然没有任何提供商能够提供包含所有组件的解决方案，但这并不意味着为了确保企业的IT安全，就必须使用所有这些组件。企业中的某些网络安全领域可能比其他领域更需要关注。因此，供应商应该为那些在您的情况下最为重要的领域提供最佳的解决方案。

同时，远离那些已知的品牌和营销手段也是有帮助的，因为这些方式往往无法真正解决你的问题。此外，别忘了检查一下解决方案是否适合你公司的实际情况。

专业建议：没有一种解决方案能够涵盖所有SASE框架。因此，您应该选择最适合您扩展需求的解决方案。

步骤4：逐步实施相关措施

在部分区域实施SASE的话，整个过渡过程会更加顺利。这样做不仅可以减轻负责实施SASE的IT部门的工作负担，同时还能让该部门能够继续维护现有的旧系统。将操作任务划分为更小的单元后，这些任务就会更容易管理。此外，这种方式还有助于资源的合理分配以及人员的管理。采用冲刺式的方式来推进过渡过程，将会使目标的实现变得更加容易。

专业提示：当批量处理时，对使用过的工具和SaaS应用程序进行迁移会变得更加容易。此外，还可以预先定义各个团队的角色，从而实现最大程度的优化。

步骤5：进行故障排除和测试

不要期望整个流程能够毫无差错地进行。SASE解决方案必须经过彻底的测试，以避免在大规模部署时出现严重的问题。否则，反而会适得其反，而解决问题的时间将会远远超过SASE带来的好处。请确保您的现有流程没有任何漏洞或弱点，从而避免出现不良后果。

专业建议：为这个项目配备一支专门的团队是非常有益的。这样，您就能获得直接的反馈，同时还有专家来解决可能出现的各种问题。

可能影响 SASO 采纳的典型错误

虽然 SASE 的采用还处于初期阶段，但那些最早采用这一技术的企业，也是通过不断尝试和错误才最终掌握其运作方式的。在实施 SASE 时，有几点是需要避免的。

忽视了各个组成部分的要求

从定义上来说，SASE本质上是一种由各种网络和安全组件构成的复合体。因此，如果没有这些组件的话，就无法实现SASE。最大的错误就是忽视了每个单独组件的特定需求。

因此，有必要审视当前的安全基础设施，了解有哪些因素阻碍了企业采用SASE技术。由于SASE技术完全基于云计算平台，其带宽需求可能会非常高。不过，如果企业的网络经常出现中断或故障，那么采用SASE技术可能并不是最佳选择。

为了改变而做出改变

SASE不应被视为一种趋势。更何况，企业很可能已经具备了一些安全防护能力。您不应该为了使用SASE替代方案而放弃那些已经非常有效的网络安全工具。这样做只会浪费资源，而实际上却无法取得任何实质性的成果。

关于SASE采用的评估问题

对于大多数组织来说，采用SASE意味着需要转向第三方供应商。不过，这种情况可能会变得相当复杂，因为从表面上看，这些供应商看起来都非常相似。因此，判断某个供应商是否能够满足公司的需求，就取决于你自己了。要确定哪个供应商最适合自己的需求，最简单的方法就是提出以下问题来加以判断。

那么，什么才算是成功的SAS消息传递系统的部署呢？

成功的部署方式因服务提供商的不同而有所差异，这主要取决于您实施 SASE 的主要目的。合适的服务提供商应该能够提供关于成功部署案例的详细示例，并帮助您确定评估的关键指标。

2. 该提供商在您所需求的用例方面是否具有优势？

SASE具有多种应用场景。不过，并非所有提供商在特定的应用场景下都能提供同等水平的服务。因此，做好充分的调研，并明确需要优先考虑的应用场景，将有助于筛选出合适的SASE提供商。直接询问所需的功能特性，并将其与竞争对手的产品进行比较，是确定哪家提供商最适合您的业务需求的最佳方式。

3. 这个云平台是如何构建的？

请花些时间来了解关于该平台是如何构建的尽可能多的细节。这些信息将有助于你更好地评估该提供商在故障排查和支持方面的能力。那些从一开始就采用云技术来构建解决方案的提供商，与那些只是为网络安全服务添加虚拟化功能的提供商之间，存在着很大的差异。如果可能的话，你应该选择那些采用云技术架构的提供商，因为他们的工作效率更高。

4. 您的基础设施的网络容量是多少？

在选择SASE提供商时，能够保持与员工终端的连续连接是非常重要的特性之一。如果提供商无法支持所有设备，那么日常操作可能会受到延迟的影响。为了确保安全性和效率的完美结合，必须确保数据和应用程序的流畅传输。

5. 支持哪些第三方集成功能呢？

如果你已经在使用第三方工具，那么你可能不会想一下子更换所有的工具。询问一下，你的潜在邮件处理服务提供商是否能够整合你正在使用的监控或响应工具，这并不是一个糟糕的想法。这样，你就可以继续使用那些你已经依赖的工具，并将它们整合到一个统一的系统中。

6. 该解决方案的适用范围是什么？

虽然所有供应商的营销材料中都将其称为“SASE解决方案”，但实际上没有一家供应商能够完全涵盖所有与SASE相关的要素。因此，你需要找到一种方法来了解每个供应商对SASE的准确定义。你的目标不应该是以功能最齐全的供应商作为选择对象，而应该是找到那些能够满足你需求的、具有合适功能的供应商。大多数供应商都会与各种第三方合作伙伴合作，所以你应该仔细了解他们的服务是如何构建的。

7. 您的服务拥有多少个PoP点？

SASE系统依赖于全球分布的接入点来路由连接，从而使用最近的网关进行连接。这意味着，当你处于移动状态时，每次连接时都能获得最佳性能，因为你始终连接到最近的接入点。不过，不同的服务提供商拥有的接入点数量各不相同。因此，如果某个服务提供商的接入点数量很少，那么你的连接性能可能会下降。这一点需要在使用前提前了解清楚。

8. 该解决方案如何帮助满足各种监管和行政要求呢？

对于那些处理敏感数据的组织来说，遵守相关法规是必须的。SASE的部署可以作为一种有效的手段，既能够提升企业的网络安全水平，又能确保企业始终符合相关法规的要求。在选择网络安全服务提供商时，最好先了解该提供商是否能够帮助企业实现合规目标。在考虑选择网络安全服务提供商时，拥有多个业务目标是非常重要的。

9. 所有端点是如何被处理的呢？

您的邮件发送服务提供商不应忽略端点安全问题。无论您将哪些功能列为优先事项，端点安全始终都值得考虑。有许多方法可以用来设置身份管理解决方案，从而让诸如携带自己的设备这样的政策对公司的风险降到最低。

10. 您的服务该如何进行管理呢？