隨著企業數字化轉型的加速推進，業務上雲逐漸成為剛需。 在云網融合的大趨勢下，越來越多的企業希望找到高效、靈活的組網方案，實現快速互聯和分支，利用雲為數字化轉型打下堅實的基礎。 在此背景下，SD-WAN成為近年來備受關注的廣域網技術之一。

同時，多種互聯場景、線上線下混合辦公模式的普及，增加了企業面臨的數字安全威脅。 除了物聯網能力，如何構建完善的安全防護體係也成為萬千一個行業必鬚麵對的問題。 SD-WAN與SASE安全架構的融合備受關注。

在日前舉行的第五屆SD-WAN&SASE峰會上，互聯網技術網絡產品事業部總監熊雪濤與與會嘉賓分享了云網安全綜合服務一線的技術創新和行業實踐。

SD-WAN的整體發展趨勢如何？ 您如何看待SD-WAN與SASE的關係？ SASE是如何解決行業用戶痛點的？ 未來一線將如何推動云網安全融合的專業服務？ 會後，51CTO採訪了熊雪濤，就上述問題進行了充分的探討。

MPLS VPN 還是 SD-WAN？ 這不是問題

長期以來，MPLS VPN 一直是企業組織的首選網絡選擇。然而，自SD-WAN出現以來，尤其是隨著互聯網最後一公里質量和帶寬的不斷提升，更多的企業開始面臨“MPLS VPN還是SD-WAN”的選擇。現在，隨著SD-WAN技術的逐步成熟，其在網絡管控方面的優勢得到了充分展現，用戶對其的認可度也大幅提升。

熊雪濤認為：“目前SD-WAN已進入成熟發展階段，在企業中滲透率較高。從近幾年來看，其年復合增長率也相當可觀，持續領跑企業網絡服務市場，隨著企業雲接入需求持續增長，遠程辦公場景不斷湧現，SD-WAN應用將越來越廣泛，幫助企業實現高效互聯和雲接入。未來廣域網將迎來更快的發展。”

對於MPLS VPN與SD-WAN之爭，熊雪濤認為兩者之間不是非此即彼的關係。兩者各有優勢。MPLS VPN具有可靠的數據包傳輸能力，可應用於總部與大型數據中心的互聯互通。SD-WAN具有快速開通、節約成本、敏捷上雲等特點，滿足企業快速拓展分店、統一管理的需求。企業需要根據自身情況權衡，是選擇SD-WAN還是MPLS VPN，或者將MPLS VPN和SD-WAN合理結合。

熊雪濤介紹，第一線以MPLS VPN起家，也是國內第一家推出SD-WAN服務的網絡服務商。目前服務於6000多家國內外企業，提供MPLS VPN+SD-WAN混合組網解決方案。依托100+城市200+POP節點資源，為企業總部-分支-雲-IDC各種場景提供一站式組網服務，通過兩者的互補充分滿足企業數字化轉型的多樣化需求。

云網安全融合演進：SASE=SD-WAN+SSE

儘管SD-WAN正在成為企業組網服務領域的寵兒，但在實踐中，僅靠單一組網能力難以有效解決用戶現存痛點。熊雪濤指出，越來越多的企業希望網絡融合和安全，一站式滿足企業轉型過程中的需求。SASE的出現在一定程度上為這個問題提供了新的解決方案。

根據Gartner的定義，SASE（Secure Access Service Edge，安全訪問服務邊緣）是一種融合廣域網網絡功能和網絡安全功能，為企業數字化轉型升級提供訂閱式安全服務的新興產品。

“SD-WAN從發展之初就沒有太重視安全性，但在企業網絡邊界不斷延伸、IT架構日趨複雜、網絡攻擊威脅不斷增加的新形勢下，用戶對安全的需求不斷增加。” “逐漸增加。今天，SASE對SASE的定義比較明確。SASE是SD-WAN和SSE（Security Service Edge）功能的融合，本身就是網絡+邊緣雲安全的結合。”

概括來說，首先，SASE是SD-WAN網絡能力的再進化，也是對邊緣云網絡的再創新。此外，SD-WAN網絡是支持SASE架構實施和發展的基石。廣泛分佈的SD-WAN POP節點具備向邊緣雲原生安全SASE POP點演進的基礎。企業多樣化的數字化應用場景，需要SASE的安全保障按需提供。在兩者的深度融合中，SASE將SD-WAN和網絡安全接入整合到邊緣云網絡服務基礎設施中，實現了能夠適應當前企業網絡流量模型的安全架構。

熊雪濤表示：“現在SASE主要是推動向企業提供網絡和安全服務的一站式交付，這也是SD-WAN廠商特別關注SASE演進的原因。隨著企業需求越來越全面，它盡可能解決所有問題，如果只注重網絡，不考慮安全，是無法滿足新要求的。

基於這樣的認識，一線打造了一站式云網安全一體化解決方案，推廣SD-WAN融合SASE安全架構，在離企業最近的POP節點提供企業級安全服務；創建了一個融合了 SD-WAN 和 SASE 的管理平台，幫助企業可視化管理網絡和安全；推動SD-WAN網絡與一線OCD邊緣雲、公有云的融合，幫助企業通過一張網絡快速連接多雲，構建混合雲架構。

SASE的本質：動態重構企業邏輯安全邊界

從SASE本身的定義來看，它包括SWG安全Web網關、CASB雲訪問安全代理、FWaaS防火牆即服務、ZTNA零信任網絡等，其功能幾乎涵蓋了企業組網的所有場景。

熊雪濤說：“如果仔細研究SASE的細節，你會發現它的初衷是用全面的防護能力覆蓋所有的安全挑戰。當然，並不是所有的企業都需要它的所有功能。例如，為了安全訪問遠程辦公室，您只需訂閱零信任服務即可。”

在熊雪濤看來，使用過雲服務的客戶對SASE服務的接受度會比較高。因為它具有和雲應用一樣的特性，按需訂閱，彈性伸縮。具體來說，SASE是基於邊緣雲部署的。當客戶增加一定的安全能力需求時，無需增加任何硬件設施，直接訂閱即用。

那麼SASE是如何發揮作用的呢？熊雪濤講解了ZTNA零信任網絡接入的應用場景。

以一家製造公司為例，在中國和東南亞國家都有工廠。經常出差的業務人員會在互聯網、4G/5G等多種網絡環境下訪問企業私有云，進行訪問設計圖、調用OA系統等操作。在安全方面，公司希望工廠和業務人員能夠安全地訪問企業關鍵資源和應用。

一線SASE的ZTNA解決方案將從訪問前到訪問後對工廠和移動辦公人員進行一系列系統的安全監控和限制，保護客戶的關鍵資源和應用安全和控制。實現在具體場景下，表現如下：

• 人員登錄及終端接入認證（遠程、移動辦公場景）。 ZTNA將對接入人員/設備進行多因素身份和終端安全認證。安裝在授權設備上的ZTNA代理客戶端會將當前安全環境、身份等多項信息發送至雲端控制系統進行驗證。通過後才允許連接到安全網關進行下一步操作。
• 安全訪問企業應用程序和數據。 人/設備連接後，無論是訪問內網應用和數據，還是訪問云端應用和數據，ZTNA都能提供很好的保護 。 基於ZTNA微分段的特性，企業總部、工廠、移動工作人員/設備在認證後將被授予對特定設備、應用程序或資源的最低訪問權限。如果他們需要訪問其他設備、資源或數據，則需要重新進行權限認證或權限升級，該人無法看到、訪問或複制其他未授權的應用程序或資源。同時，此人訪問結束後，權限將被取消。此外，ZTNA將持續對入網人員/設備運行情況進行核查，並動態調整政策。如果檢測到不合規操作，

熊雪濤總結道，有了SASE架構，企業邊界不再是一個位置，而是一組動態創建的、基於策略的安全訪問服務邊緣。SASE依托安全策略集中編排、分散執行的特點，將聚焦各個邊緣云網絡POP點，為遠程辦公、多雲、混合雲等複雜場景提供所需的安全保障，杜絕盲點的安全威脅。同時，企業可以通過統一的管控平台對網絡進行全局集中管理和威脅分析，更準確、更快速地響應和處理安全問題。所以綜合來說，SASE是一個非常完善的安全解決方案。

願景：加速云網融合，構建算力網絡

SASE還是一個新興的概念，但熊雪濤認為，SD-WAN與SASE的融合一定是大勢所趨。SASE概念的出現，不僅推動網絡服務提供商關注安全能力的演進，也促使安全服務提供商開始關注自身網絡能力建設。

熊雪濤表示，“一線希望在自身網絡能力的基礎上進一步發展安全能力，為客戶提供簡單而全面的服務。簡單意味著輕量級、易於部署、易於運維。全面意味著第一。”一線希望盡可能的全面，有機會覆蓋更多的場景和功能，一線的願景是成為‘網絡+雲+安全+算力’的整體解決方案服務商。”

未來，一線的整體演進策略是追求SD-WAN組網能力的不斷延伸和提升。二是基於20多年積累的網絡能力和云網融合能力，將邊緣網絡POP全面升級為SASE POP，提供網絡+安全解決方案。三是緊跟算力網絡建設發展趨勢，不斷探索SD-WAN+SASE+算力融合。

寫在最後

根據 Gartner 的預測，到 2024 年，SASE 市場規模將從 2019 年的 19 億美元攀升至 110 億美元。SASE賽道必將迎來傳統IT廠商、雲廠商、安全廠商等勢力的競爭。前線不斷探索和實踐SD-WAN與SASE的融合，是廠商在這一大趨勢下佈局構建算力網絡的時代縮影。未來如何從產品、資源、服務等多個維度升級，幫助企業快速獲得優質的網絡+安全+算力服務，我們拭目以待。