隨著企業數字化轉型的加速發展，業務上云逐漸成為剛需。云網融合的大趨勢下，越來越多的企業希望找到高效靈活的組網方案，快捷進行總部與分支互聯及上云用云，為數字化轉型打下堅實基礎。在此背景下，SD-WAN成為近年來備受關注的廣域網技術之一。

與此同時，多元的互聯場景、線上線下混合辦公模式的普及，使企業面臨的數字安全威脅與日俱增。在組網能力之外，如何構建全面的安全防護體系，亦成為千行百業必須直面的挑戰。SD-WAN與SASE安全架構的融合開始備受矚目。

在日前舉辦的第五屆SD-WAN & SASE峰會上，互聯科技網絡產品事業部總監熊學濤向與會嘉賓分享了第一線在云網安一體化服務方面的技術創新與行業實踐。

SD-WAN整體的發展態勢如何？如何看待SD-WAN與SASE之間的關系？SASE如何解決行業用戶的痛點？未來第一線將如何推進云網安一體的專業服務？會后，51CTO采訪了熊學濤，就上述議題進行了充分探討。

MPLS VPN還是SD-WAN？這不是一個問題

在很長一段時間里，MPLS VPN 一直是企業組織青睞的組網首選。不過自SD-WAN嶄露頭角后，尤其是隨著互聯網最后一公里質量和帶寬的不斷提升，更多企業開始面臨“MPLS VPN還是SD-WAN”的抉擇。而今，隨著SD-WAN的技術逐步成熟，其在網絡管控方面的優勢充分彰顯，用戶對其認可度亦顯著提升。

熊學濤認為：“當前SD-WAN已步入發展成熟階段，在企業中具備較高的滲透率。從近幾年來看，其年復合增長率也很可觀，持續領跑企業組網服務市場。隨著企業上云需求不斷增長，遠程辦公場景持續涌現，SD-WAN的應用將越來越廣泛，幫助企業實現高效互聯與上云。由此SD-WAN后續還將迎來更快速的發展。”

對于MPLS VPN與SD-WAN之爭，熊學濤認為兩者并不是非此即彼的關系。本身兩者各有長處，MPLS VPN具備可靠的數據包傳送能力，可以應用于總部與大型數據中心互聯。SD-WAN具備快速開通、節約成本、敏捷上云等特點，滿足企業快速拓展分支門店，并進行統一化管理的需求。企業需要根據自身情況權衡，是選擇SD-WAN還是MPLS VPN，還是將MPLS VPN與SD-WAN合理結合。

熊學濤介紹，第一線以MPLS VPN起步，同時也是國內首批推出SD-WAN業務的網絡服務商，目前服務六千多家國內外企業，提供MPLS VPN+SD-WAN的混合組網解決方案，依托100+城市的200+POP節點資源，針對企業總部-分支-云-IDC多種場景，提供一站式組網服務，通過二者相輔相成，充分滿足企業數字化轉型的多元需求。

云網安融合的演進：SASE=SD-WAN+SSE

固然SD-WAN正在成為企業組網服務領域的寵兒，但是在具體實踐中，依靠單一的組網能力已經很難切實解決用戶既有痛點。熊學濤指出，越來越多企業希望網絡融合安全，從而一站式滿足自身轉型進程中的需求。而SASE的出現，在一定程度上為這個問題提供了新的解決方案。

根據Gartner的定義，SASE（Secure Access Service Edge，安全訪問服務邊緣）是一種整合廣域組網網絡功能和網絡安全功能的新興產品，為企業數字化轉型升級提供可訂閱的安全服務。

“SD-WAN從發展伊始，并未十分強調安全。但在企業網絡邊界不斷延展、IT架構日趨復雜、網絡攻擊威脅日盛的新態勢下，用戶對安全的需求逐步提升。而到了今天，SASE的定義已經比較明確。SASE就是SD-WAN與SSE（Security Service Edge）功能的整合，其本身就是網絡+邊緣云化安全的結合體。”

概括來說，首先，SASE是SD-WAN網絡能力的再演進，也是面向邊緣云網的再創新。再者，SD-WAN網絡是支撐SASE架構落地與發展的基石。廣布的SD-WAN POP節點，具備了向邊緣云原生安全SASE POP點演進的基礎。企業多元化的數字化應用場景又需要SASE的安全保障隨需而至。在兩者的深度融合中，SASE將SD-WAN與網絡安全訪問集成于邊緣云網服務基礎設施中，實現了一種能適應當前企業網絡流量模型的安全架構。

熊學濤表示：“現在SASE主推的就是將網絡和安全服務一站式交付給企業，這也是SD-WAN廠商特別關注SASE演進的原因。由于企業需求越來越綜合，需要盡可能解決所有問題的一體化方案。如果只專注于組網，而不做安全，將無法滿足新要求。”

基于這一認知，第一線打造了一站式云網安融合解決方案，推進SD-WAN融合SASE安全架構，在距企業最近的POP節點提供企業級安全服務；打造SD-WAN與SASE一體化管理平臺，助企業可視化統管網絡與安全；推動SD-WAN網絡整合第一線OCD邊緣云、公有云，助力企業快捷一網入多云，構建混合云架構。

SASE的本質：動態重構企業的邏輯安全邊界

從SASE本身的定義來看，它包含SWG安全Web網關、CASB云訪問安全代理、FWaaS防火墻即服務、ZTNA零信任網絡等等，其功能幾乎覆蓋了企業組網的全場景。

熊學濤談到：“細究SASE的細節，可以發現它的初衷就是以全面的防護能力，覆蓋所有安全挑戰。當然并非所有企業都需要其全部功能，如針對遠程辦公的安全訪問，僅需訂閱零信任服務即可。”

在熊學濤看來，采用過云服務的客戶，對SASE服務接受度會相對較高。因為它與云上應用，按需訂閱、彈性擴縮容的特性相同。具體而言，SASE基于邊緣云化部署，客戶在新增某些安全能力需求時，無需增加任何硬件設施，直接訂閱，即開即用。

那么SASE到底是如何發揮其作用的呢？熊學濤以ZTNA零信任網絡訪問這一應用場景進行了說明。

以某制造業企業為例，該企業在中國及東南亞國家建有工廠。經常出差的業務人員會在Internet、4G/5G等多元網絡環境下，接入企業私有云，進行訪問設計圖紙、調用OA系統等操作。在安全方面，該企業希望工廠、業務人員采用安全的方式訪問企業關鍵資源與應用。

第一線SASE的ZTNA解決方案，會從接入前到接入后，全程對工廠、移動辦公人員進行一系列系統的安全監測與限制，保護客戶關鍵資源與應用安全可控。落實到具體場景，表現為：

人員登錄和終端的接入認證（遠程和移動辦公場景）。

ZTNA會對訪問的人員/設備進行多因素的身份與終端安全認證。安裝于授權設備上的ZTNA 代理客戶端會將當前安全環境、身份等多元信息，發送到云端控制系統進行驗證，通過之后，才允許連接至安全網關，進行下一步操作。

企業應用與數據的安全訪問。

人員/設備接入后，無論是訪問內網應用與數據，或者訪問云上應用與數據，ZTNA都能提供良好保護。基于ZTNA微分段的特性，企業總部、工廠、移動工作人員/設備在通過身份驗證后，將被授予對特定設備、應用程序或資源的最低訪問權限，如需訪問其他設備、資源或數據，需要再次進行權限認證或權限升級，而該人員無法看到、訪問、拷貝其它未授權的應用程序或資源。同時該人員此次訪問完畢后，權限就此注銷。此外，ZTNA還會持續對接入網絡的人員/設備操作檢查驗證，并進行動態策略調整。如果檢測到不合規操作，ZTNA可以立即對相應的人員和終端的權限進行降級，切斷進一步的非法訪問。

熊學濤總結道，采用SASE架構，企業邊界不再是一個位置，而是一組動態創建的、基于策略的安全訪問服務邊緣。依托安全策略集中編排分散執行的特性，SASE將圍繞每一個邊緣云網POP點，為企業遠程辦公、多云、混合云等復雜場景提供所需的安全保障，預防出現安全威脅盲點。同時，企業可通過統一控制平臺對網絡進行全局集中化管理與威脅分析，進而更加精準且敏捷的響應處置安全問題。所以整體上來看，SASE就是一個非常完善的安全解決方案。

愿景：加速云網融合，筑基算力網絡

SASE目前仍是新興概念，但熊學濤認為，SD-WAN與SASE的融合必然是大勢所趨。SASE概念的出現，不僅推動網絡服務提供商關注安全能力的演進，也撬動了安全服務提供商開始注重自身的網絡能力建設。

熊學濤表示，“第一線希望以自身的網絡能力為基礎，進一步發展安全能力，為客戶提供簡便而全面的服務。簡便，意味著輕量化、便于開通、便于運維。全面，意味著第一線希望盡可能做的全面，能有機會去覆蓋更多場景和功能。第一線的愿景是成為‘網絡+云+安全+算力’的整體解決方案服務提供商。”

未來，第一線的整體演進策略，一是追求SD-WAN組網能力不斷外延，能力不斷提升。二是以二十多年積累的網絡能力和云網融合能力為基礎，將邊緣網絡POP全面升級為SASE POP，提供網絡+安全的解決方案。三是緊跟算力網絡建設及發展的趨勢，不斷探索SD-WAN+SASE+算力的融合。

寫在最后

根據Gartner預測，到2024年，SASE市場規模將從2019年的19億美元攀升至110億美元。SASE賽道必將迎來傳統IT廠商、云廠商、安全廠商等多方勢力的競逐。第一線不斷探索實踐SD-WAN與SASE的融合，正是這一大勢下廠商努力布局，筑基算力網絡時代的縮影。未來如何從產品、資源、服務等多維度升級，幫助企業快速獲得高品質的網絡+安全+算力服務，我們拭目以待。

審核編輯 ：李倩