思科重新定义网络安全，开启你的SASE之旅 原创

近期，根据《思科端点安全研究报告2021》的显示，有近41%的客户表示在过去两年当中发生过比较严重的安全事件，这个比例非常之高，而其中比较靠前的原因主要集中在使用了一些低成本的解决方案，或者使用了一些单点的解决方案。

思科大中华区副总裁、安全事业部总经理 卜宪录

针对这样一种威胁不断放大的安全形势，思科大中华区副总裁、安全事业部总经理卜宪录指出，从客户侧来看，目前表现出了三个主要的趋势：

第一，用户分散式访问，因疫情明显加速。现在越来越多的用户在家里办公，在路上办公，还有的用户是从分支办公室，从代理商，甚至在自己的客户那一侧来进行办公，总之用户的访问越来越分散。

第二，用户接入方式灵活多样。这就造成网络的接入方式也同样变得越来越复杂多样。

第三，应用无处不在。应用与服务在多云时代、混合云时代将无处不在，这就意味着网络架构也必须灵活多变，同时安全可控。

而这三个趋势从根本上改变了用户访问网络的方式和需求，为此传统网络和安全架构也应该随之改变，以适应新的应用场景和需求。

传统网络安全架构要如何演变

据卜宪录介绍，传统网络安全架构一般都是以总部和数据中心作为核心，无论是漫游用户还是移动用户，或是在分支办公室的客户，都需要先连回到自己的总部，比如通过专线方式、VPN方式、MPLS方式等。然后再通过总部去访问应用数据，另外还有一部分会通过公有云访问互联网。总体上来看，80%的流量都是从分支办公室和移动用户端汇聚到总部去做访问，20%的流量去到互联网做访问，这就是传统八二原则的大致架构。

而今天，服务、应用和数据越来越多的处在多云、混合云上，不管通过SaaS访问，还是通过公有云或私有云访问，这些应用、服务、数据已经分散化，这就是应用的无处不在。在这种情况下，最佳的访问路径已经不需要去到总部，再从总部来访问数据和应用。而是应该让移动用户或分支办公室的用户能够直接去访问所需的应用和数据，而这些应用和数据可能是在公有云上，也可能是一个标准的SaaS服务。这就意味着网络架构已经从原来的八二原则倒置成了二八原则，80%的流量可以直接去访问公有云、混合云的应用和数据，只有20%的流量才可能回到总部，去访问私有云的应用和数据。

那么，什么样的网络安全架构才能支撑起这样一种从八二原则倒置为二八原则的用户访问需求呢？卜宪录认为，“要支撑新的用户访问需求，就必须要加入一个网络的边界层，也就是在云的边界里面加入一个能够以云的方式提供网络和安全的服务，并且这种网络安全服务要具备融合、可视化、自动化、策略边界的能力，这就是新的网络安全架构。”从而会引出SASE的概念和架构。

重新定义的网络+安全架构：SASE

卜宪录指出，思科重新定义的网络安全架构，其实就是此前思科一直在倡导的SASE概念和架构。因为这种架构能够将网络和安全融合在一起，在边界上建立一个基于云+本地的服务模式，来应对今天复杂的局面，安全威胁越大，用户和应用越分散，就越需要这种更加灵活、安全的架构作为支撑。

而目前安全市场中基于SASE的产品五花八门，产品种类众多，用户最初在选择产品时往往是基于解决某些单点问题作为出发，换句话说就是解决一类问题就采购一批产品，最初来看这种方式是非常幸福的，因为可选择的产品非常之多，但后续应用到业务系统中会发现一个棘手问题，就是产品的“联合国化”会带来一系列复杂的管理问题。

对此，卜宪录表示，“当用户试图把各种产品和解决方案集成在一起的时候，集成这些解决方案的复杂度甚至远远超出了要解决问题的本身。而思科就是希望帮助用户尽量简单、智能的去发现和解决所遇到的问题。”

基于这样的初衷，思科定义了自己的SASE（Secure Access Service Edge，安全访问服务边缘）架构：结合完整的网络与安全功能，支持企业多种形式的安全接入需求，确保任意员工可以通过任意设备安全高效的访问任意应用。

另外，卜宪录也给出了思科SASE架构所具备的一些特点：

第一，SASE本身要求通过云的方式在边缘提供安全和网络服务，但在在一些特定的场景下，比如用户不方便接入公有云或一些场景不适合接入云端的时候，也会兼顾通过本地方式来提供相关服务，实现一种阶段性的SASE场景。而不是一刀切，让所有用户都按照同一个标准来执行。

第二，SASE的实现水平和路径要取决于具体客户的实际需求以及现有的架构情况，就是要充分保护客户现有的投资。而不是设计一个完美的理想架构和模型，让所有客户去照搬，这种一步到位的做法是非常难以实现的。

第三，SASE方案采用一家供应商可以减少系统的复杂度并实现系统最优，提供最佳的投资回报并降低运维成本。这样可以尽可能避免过多的单点产品和方案给客户在管理和维护中带来更多麻烦和烦恼。

卜宪录指出，“思科认为最佳实践是提供一个集成、简单、自动化的方案，来帮助客户实现整个系统的最优化，而不是基于单点的优化，这能够充分保证客户现有的投资，降低整体的运维成本。”

另外，卜宪录强调，思科认为SASE是一个旅程，而不是一站式的解决方案。因此首先要看客户的具体使用场景，主要分两个部分，一是谁在访问，二是访问了什么，也就是相关的应用与服务、数据。而在实现上思科特别强调三个C，即连接、控制、融合。从而帮客户设计出符合其自身业务的最佳实现路径。

“充分利用客户现有的网络和安全基础架构，这样才能最大程度保护客户已有的投资。”卜宪录补充道，目前，思科已经有了一个既能提供本地融合的服务能力，又能提供云端服务能力的解决方案。使得客户可以按照自己的实际情况很灵活的去做部署。这个方案本身虽然是一个SD-WAN的解决方案，但其集成了主要的安全功能，包括七层防火墙、入侵防御系统、URL过滤等功能，同时具备本地服务的方式，开箱即可使用。”

同时，卜宪录还表示，“如何客户想使用一些更高级的基于云的服务，可以通过购买订阅License的方式享受更多的基于云的安全服务。当然SD-WAN方案所具备的灵活路由选择，保证QoS等特性更是一应俱全。这就能保障给客户提供一种更加灵活的选择，也能够让客户分阶段的根据实际情况来逐步采纳SASE的解决方案和理念。”

思科SASE价值体现

目前SASE理念越来越被市场所认可，各个厂商都在积极探索基于SASE的最佳实现方式和路径，而思科在SASE领域的优势也非常明显，卜宪录指出，“思科几乎是唯一一家在网络和安全两个领域都占据领导地位的厂商。另外，思科对客户场景和市场环境有非常深入的理解，在具体方案实施中第一能够提供非常全面的产品；第二能够将各种产品进行集成，而不是去做单点部署。”

另外，思科SASE架构在应对目前比较突出的工业互联网安全问题方面也具备非常有效的防护能力。卜宪录表示，“一旦‘触网’（OT与IT融合），往往接入互联网的工业终端设备将成为网络攻击中的致命弱点，很容易被黑客利用进行网络的进一步渗透及作为DDOS工具去攻击外部网络。而在思科的SASE架构中能够通过Umbrella的DNS安全功能，对智能终端的互联网访问进行安全保护，相当于搭建了一个安全互联网访问环境，防止终端被渗透及远程控制，这是一种非常方便简洁的集成防护方式。”

最后，卜宪录表示，“思科希望最终实现一个愿景，能够帮助客户通过简单、智能的方式，灵活且安全的去实现一种无处不在的接入方式。”