从摩擦到流动：为何 Swissport 放弃 VPN 迷宫 选择 Cato 的 SASE 架构

在 Swissport 的世界中，加强安全与网络意味着有机会服务更多客户并实现增长。

Swissport 全球 IT 运维逐渐显现出过度依赖遗留安全与网络系统的弊端，这些系统迅速成为公司的一大负担。高层管理者发现，集中化的可见性是一大挑战，这促使他们迅速采取行动。

Swissport 的成长超越了遗留系统的承载能力

随着业务扩张加速，Swissport 面临的安全与网络挑战愈发增多。遗留系统阻碍了其服务客户、保障全球各地安全运营和业务扩展的能力。高层团队向 VentureBeat 表示，遗留系统已经跟不上业务发展的步伐，这促使他们开始考虑全新的替代方案，首当其冲的是安全接入服务边缘 ( SASE )。

在 2024 年，Swissport 为 2.47 亿航空乘客提供地面服务，在 117 个货运中心处理超过 500 万吨空运货物，并在 45 个国家、六大洲的 279 个机场为航空公司提供服务。作为全球最大的航空地面与货运服务提供商，Swissport 卓越服务客户的核心在于连接并保障其全球 IT 运维、安全是超过 26,000 名员工（包括地勤人员与远程工作者）的基础要求。

Swissport 首席信息安全官 Giles Ashton-Roberts 表示：“最大挑战不仅仅在于可见性——而在于一致性。我们必须统一在数百个站点上执行安全措施，同时不拖慢业务进程。”

从碎片化基础设施到 SASE

Swissport 首席技术官 Richard Thorp 在最近接受 VentureBeat 采访时表示：“我们真的是一家 24/7 营运的企业。世界上总有某地处于高峰时段，我们必须确保网络既安全又可用，这意味着要标准化安全措施，并确保每个用户和每台设备都得到覆盖——无论他们是在咖啡馆还是在停机坪上。”

遗留系统无法足够快地扩展以跟上 Swissport 急速扩张的步伐。这些系统及其所依赖的碎片化基础设施正在拖慢企业增长并带来潜在的安全与网络风险。Swissport 制定了雄心勃勃的目标，重新定义其安全与网络架构，用全新的 SASE 架构取代支离破碎的虚拟私人网络 ( VPN )、零散的设备以及不一致的策略执行。

Thorp 表示：“变革前，我们在不同站点管理着各式系统，每个系统都有各自的策略——可见性自然十分零散。现在，我们在全球范围内实行统一的安全策略，我也能高枕无忧，因为环境得到了切实保障。”

如今，无论是来自机场自助服务亭还是混合办公设备的每一次连接，都已实现身份感知、持续风险评分，并由单一云原生 SASE 平台实时执行策略。Zero Trust（零信任）在每个终端和交互环节都得以贯彻，使 Swissport 能以所需的速度灵活增长，同时满足不断扩大的客户需求。

为何 SASE 成为 Swissport 架构改革的核心

Swissport 决定采用 SASE 架构，凸显了维持实时响应、透明度与准确性以巩固并拓展全球客户关系的重要性。全球航空服务的卓越表现依赖于每个运营单元获得必需的数据。SASE 帮助 Swissport 构建起一支团结一致、共同致力于为客户提供卓越服务的统一团队。

VentureBeat 观察到，SASE 带来的好处不仅仅在于用统一的架构替换遗留系统。数据传输越快、越准确，企业就越能触及远程办公室与地点，使这些终端与更广团队保持协调，并实现更高的投资回报率 ( ROIC )。

VentureBeat 还发现，如今在资本密集型服务型企业中，提升响应速度、整合地理分散的网络对营收具有直接影响。Swissport SASE 策略的核心是一个统一架构，将 320 多个站点联结在一起，确保每个站点及整个网络的实时安全通信。

在制定 SASE 策略时，Swissport 选择了单一云原生 SASE 平台。Gartner 指出，这种方式能带来平台统一、简化策略控制以及能够实时适应变化的身份感知访问等诸多优势。

Swissport 对所有同时提供零信任架构的 SASE 供应商进行了尽职调查，最终选定了 Cato Networks，其优势在于单一管理平面、统一数据湖、全球接入点 ( PoPs ) 分布以及能将软件定义广域网 ( SD-WAN ) 和安全性整合为一层执行机制。Thorp 告诉 VentureBeat，一个选择 SASE 平台的重要动因在于需要摆脱众多遗留平台的支持局面——每个平台都有独特的配置需求。“不同平台需要不同配置，这让故障排查变得极为复杂，也使得安全策略的执行充满挑战，”他说。

Ashton-Roberts 补充道：“Cato 的 TLS 检查使我们能够在避免意外服务中断的同时，检查加密流量，这极大地提升了我们的安全防护水平。” TLS（传输层安全性）检查是保障 Swissport 网络及安全架构的核心。对 TLS 和 SSL（安全套接层）流量进行加密与解密，对 Swissport 的 SASE 基础设施至关重要，因为这既能保护数据，又有助于发现潜在威胁。TLS 检查会分析每条加密信息的内容，以检测恶意软件、数据泄露或其他可能造成严重损害的恶意活动。

从 Swissport 的 SASE 蓝图中学到的五个经验

尽管大多数企业正尝试结合来自多家供应商的安全服务边缘 ( SSE )、SD-WAN 与零信任网络访问 ( ZTNA ) 产品，Swissport 却选择与 Cato 进行平台整合，以整合其安全技术堆栈、标准化策略执行，并将安全性嵌入到网络架构中。

Ashton-Roberts 与 Thorp 告诉 VentureBeat，SASE 正在提供所需的可见性，以确保其全球 IT 运维稳健顺畅。同时，零信任原则执行最小权限要求，有效保护了网络上资产、资源以及更为重要的员工与客户身份和角色。

Swissport 的 SASE 蓝图包含以下五项原则：

1. 端到端零信任将检测转化为即时响应。 Swissport 在每个边缘和终端均实施零信任。他们用一个完全身份验证、分段且自适应的网络架构取代了传统 VPN，该架构能对每个会话进行连续风险评分。Thorp 向 VentureBeat 表示：“在 15 分钟内，我们的团队发现了异常的数据库流量，屏蔽了相关设备，并迅速恢复了正常运营——而这在过去可能需要数天时间。”

2. 全球安全因统一策略而变得更简单。 Swissport 的遗留系统是一系列拼凑而成的多协议标签交换 ( MPLS ) 链接、区域性 VPN 与孤立防火墙，这些系统各自创建于不同时间，导致策略执行不一且不断产生摩擦。而如今，一个统一的策略框架管理着 Amazon Web Services ( AWS )、Microsoft Azure、云 SaaS 应用和机场边缘系统的网络访问。不存在地域特定的逻辑或手动偏差，只有实时控制。

Gartner 预测，到 2027 年，大型企业中有 40% 将采用无地域限制的强制实施作为零信任网络访问 ( ZTNA ) 的基准，而 2024 年这一比例不足 10%。Swissport 已经在这一模式下运作，既简化了复杂性，也扩展了覆盖范围。

3. 实时可见性是推动业务成果与投资回报 ( ROI ) 的加速器。 遗留系统使 Swissport 对跨领域威胁视而不见，且定位根本原因和响应措施往往需耗时数天。如今，从机场航站楼到云 SaaS 应用，所有流量都汇入一个统一数据湖，支持持续的基于角色的访问控制 ( RBAC ) 与威胁分析。Thorp 表示：“现在我们能够从单一界面轻松定位连通性问题、分析流量模式并保障网络安全。” 据 Gartner 数据，不足一半的供应商能在所有边缘提供统一的用户、设备和应用的可观测性，而 Swissport 则将这一能力内建于其基础架构之中。

4. 全面解密，零中断：大规模部署安全 TLS。 加密流量成为新的盲区。许多企业为避免延迟或应用中断而绕过 TLS 检查，然而 Swissport 选择了不同的道路。通过在其骨干网部署全内联 TLS 检查，Swissport 能在不干扰关键航空系统运行的前提下，对加密威胁保持全面可见。根据 Gartner 最新评测，大多数 SSE 与 ZTNA 供应商仍依赖部分解密或绕过隧道，而 Swissport 则证明，即便在高度敏感和高可用环境中，全面检查也是可行的。

5. SASE 平台带来更快的业务成果。 Swissport 并未增加更多供应商，而是实现了整合。一个 SASE 平台取代了一系列 SD-WAN 设备、VPN 汇聚器及独立安全工具。结果如何？站点上线所需时间从数周缩短至数小时，新用户能立即获得保护，策略更改也能在全球范围内几分钟内生效。

Gartner 预测，到 2027 年，65% 的 SD-WAN 采购将打包为单一供应商的 SASE 平台，而 2024 年这一比例仅为 20%。Swissport 没有等待，他们将 SASE 作为基础而非附加选项，这在其全球敏捷性上得到了充分体现。