產業技術評析

遠端存取與雲端運算存取已是疫情過後的全球商業新常態。企業面臨混合雲端配置、多樣化網路存取、關鍵資料安全保護、網路使用權限管理等諸多問題。網路邊緣安全存取服務架構SASE (Secure Access Service Edge)似乎是目前雲端安全的最佳解決方案，融合現今企業對於網路即服務與資安即服務的需求，將全面的廣域網路WAN功能(包括SD-WAN、CDN等)與網路及雲端安全功能(如SWG、CASB、FWaaS和ZTNA)相互結合，依據使用者身份(可能是特定個人、分公司職員、第三方協力廠商、特定IoT設備…)在網路邊緣即進行網路存取權限分流，再直接對企業數據中心或是公有雲端應用或平台進行應用程式或是機敏資料的存取，而不用將網路流量導入總公司之後再轉往雲端增加資料傳輸風險以及被攻擊的面向。

一、 SASE網路邊緣安全存取服務架構簡介

2020年疫情衝擊之下，VPN(企業虛擬私有網路)是企業最先搶進的遠端存取解決方案，但是隨著遠端辦公的新常態營運模式加速企業大量佈署雲端服務及應用與雲端資料中心、行動辦公室的蓬勃發展，打破以往所熟悉的網路邊界防護，VPN面臨極大的挑戰。唯有建立起一個「可信任」的安全管理模型，才能夠讓使用者的認證及授權可信、資訊流及資安風險能夠可見可視及可控可管。零信任網路安全架構(Zero Trust)，認為應預設任何的網路存取要求均不可信任，唯有經過認證之後，才可以依管理政策權限存取。成為新常態經濟下最佳的網路安全示範。但零信任架構並不是指特定的技術，而是多種技術的應用整合概念，因此市調公司Gartner在其研究報告中歸納定義了「網路邊緣安全存取服務」SASE (Secure Access Service Edge) 市場，成為現今企業對於「零信任」安全的最佳實踐。

簡單來說，SASE就是把身份管理落地到終端設備及網路邊緣，而網路流量則依照身份管理政策導流到應用雲端平台或企業內的資料中心，網路安全上的功能及設備則全部內建於雲端解決方案。尤其是在疫情之後的遠距工作模式以及5G時代的來臨，這種趨勢會越來越明顯。新常態下使用傳統網路存取模式在這種環境中會帶來非常複雜的網路管理配置問題，而SASE架構通過把廣域網路連接能力(如：SD-WAN)和網路安全防護能力(如：SWG、CASB、FWaaS、…)融合在一起，從而有效降低網路控制的複雜度。這樣既能提供一個具有彈性可擴充的網路，還能提供基於使用者權限策略的“軟體定義”安全存取服務。這個彈性網路為數位化轉型企業的安全團隊提供前所未有的網路可視性(Visibility)與管理性(Manageability)，亦即可以根據使用者身份和封包內容上下文精確地指定每條網路連線的QoS性能、可靠性和安全性，從而使安全團隊能夠為分散在各地的行動使用者、分公司團隊和基於雲端應用的服務提供安全資料存取，從而安全地實現數位化轉型所需要的動態存取。

資料來源：工研院產科國際所(2021/04)
圖1 SASE網路安全架構概念

Gartner 特別認為SASE網路邊緣安全存取服務架構需要具備以下幾個特點：

1. 以使用者身份為中心：網路邊緣安全存取服務(SASE)是使用身份作為存取決策的新中心，而不是企業資料中心的存取權限。因此網路存取權限是綜整使用者身份、連線設備識別和應用程式存取權限等身份，而不是以往基於設備的 IP 位址或地理位置。正是這種邏輯層面定義策略的轉換，極大地簡化安全策略管理。

2. 以雲端應用為原生架構：SASE最大的假設是，企業逐漸將重要資料、服務雲端化、或是直接採用公有雲的SaaS服務(如CRM、Mail、辦公軟體…)，因而在公司外部的行動使用者或駐外分公司的網路存取不會因使用VPN而將全部的網路流量導回總部，也不會放任自由連上廣域網路服務而失去網路安全的保護。SASE在架構上充分利用雲端運算主要特性，例如：彈性、自我調整性、自動化、自恢復能力和自我維護等。

3. 網路安全設備及配置的簡化架構：通過整合來自第三方安全產品提供商的安全存取服務，將有效減少供應商的總數量，減少駐外分公司中的實體或虛擬安全裝置的數量，並且減少使用者終端設備上所需代理程式的數量。同時，整合供應商設備，將有機會使用“單次通過(single pass)”架構進行網路內容的檢查。在這種架構下，所有網路會話層的封包會被一次性的解密，並使用多個安全策略引擎(FW、IDS…)並行地檢查一次，而不是多個安全檢查引擎進行串列式的檢查，徒增延遲時間。這將為用戶提供一致的網路存取體驗，無論用戶在哪裡、在訪問什麼、以及位於何處。

二、 全球SASE架構主要廠商發展現況

自從Gartner依零信任架構為基礎，發表了SASE網路邊緣安全存取服務架構做為最佳實踐範例以來，迅速發展成為廣受網路產業以及資安產業的關注焦點。目前，已有不少主流SD-WAN和安全供應商開始採用SASE架構的相關產品及服務。當然這項技術也還在剛起步階段，在疫情爆發前普及率還不到1%。不過經歷2020年的強烈需求，引起目前市場上既有的SD-WAN廠商包括Cato Network、Juniper、Fortinet和Versa等也積極搶進SASE市場。我們也可以透過2020年以來，相關業者透過收購相關新創技術的情形，一窺SASE存取服務平台的發展腳步。

(一) SASE架構領導廠商Cato Networks發展

Cato Networks由Check Point和Imperva的前聯合創始人Shlomo Kramer於2015年創立，為一家網路和安全服務的公司，其核心產品是一種雲端服務，融合了邊緣SD-WAN、全球專用骨幹網路和雲端安全等。此雲端平台旨在提供覆蓋企業分支機構、移動用戶和企業雲端數據中心的安全連接服務。該公司的服務整合下世代防火牆（NGFW）、VPN、安全網路閘道(Secure Web Gateway)、進階威脅防護(ATP)及網路安全犯罪鑑識取證等。該公司在2017年即成為Gartner報告的中型企業「安全性酷廠商」、也入選2018年RSAC創新沙盒決賽，更自主宣稱Cato Cloud為世界上第一個SASE平台。而在2020年Cato Network因應疫情發展，針對居家上班、遠端存取推出安全即服務(Security as a Service)的完整的企業級網路安全服務，可以檢查所有WAN和Internet流量，成為SASE架構發展的指標性廠商。

(二) 新進搶入網路邊緣安全存取服務SASE架構的廠商發展

1. Palo Alto Networks 以4.2億美元收購 CloudGenix

2020年3月，Palo Alto Networks宣佈將以4.2億美元收購SD-WAN廠商CloudGenix，以增強其SASE的地位，這是迄今為止SASE網路邊緣安全存取服務架構下，規模最大的併購。早在2019年，Palo Alto Networks將SD-WAN和資料遺失防護(DLP)技術集成到其Prisma Access平台時，即成為首批支持SASE架構的主要安全供應商之一。原本Palo Alto Prisma Access平台就具備基本的SD-WAN功能，但它是通過運行在最終使用者硬體上的代理程式實現的，並沒有直接向分支機構提供相對應服務。而對CloudGenix的收購正填補這一空白，使Palo Alto Networks能夠將SASE平台部署到遠端工作人員以及更多傳統的企業分支據點或零售地點。

表1 2020年SASE架構解決方案進展

資料來源：工研院產科國際所(2020/12)

2. Fortinet 通過收購 Opaq 獲得SASE

Fortinet也是最早採用SASE架構的安全和SD-WAN供應商之一。2020年7月，該公司宣佈有意收購SASE初創公司Opaq。Fortinet除了取得基於雲端的網路存取平台外，還獲得Opaq的服務優勢。

在收購之前，Fortinet主要是一家基於網路硬體安全和SD-WAN硬體平台的供應商，主要依靠強大自行研發的網路封包處理器ASIC進行網路安全防護。而SASE服務架構是一種主要基於雲端運算的架構，因此Fortinet收購Opaq將使該公司能夠更有效地在客戶需要的任何地方部署SD-WAN和網路安全功能，同時其ASIC能量也將繼續在SASE戰略中的邊緣接取(Access Gateway)發揮強大的作用。

3. VMware 通過 Nyansa 將AI注入SASE架構

VMware也是早期採用SASE服務架構的SD-WAN供應商之一，主要致力於網路分支路由交換服務。2020年1月，VMware收購AIOps供應商Nyansa，這為VMware的SASE平台注入人工智慧(AI）的應用。因為 Nyansa的技術主要是在提供更好的網路可見性、以便進行監控和補救，VMware表示AIOps的引進，將協助客戶更容易操作和解決駐外分公司、辦事處的網路安全部署問題。此次收購的核心是Nyansa的AIOps平台，該平台可以將來自各種硬體廠商的網路監控Log整合到一個統一的監控儀表板中，無需分別使用Cisco Prime，Aruba Airwave或SolarWinds等專有監控工具，從而避免了單一廠商不相容問題。也就是無論使用者操作哪種網路硬體設備或無線存取接入點，VMware都能為用戶提供更佳的網路可見性。

4. McAfee 將 Light Point RBI 應用到 SASE 產品中

2020年2月，McAfee收購Light Point Security，以加強其新推出的SASE服務產品線。McAfee計畫將Light Point的RBI遠端瀏覽器隔離(RBI; Remote Browser Isolation)的技術集成到其安全的Web閘道器(SWG)中。另外McAfee還推出Unified Cloud Edge，以此展示其進入SASE架構的雄心壯志，據稱該系統可以將CASB、SWG和資料丟失防護(DLP)等功能融合到一個雲端安全解決方案中。

McAfee擁有Skyhigh和Unified Cloud Edge兩大產品線，可以保護進出雲端資料的安全，但在使用者瀏覽網際網路上，還存在一些安全隱患。因此併入Light Point提供可以在雲端沙箱中運行的瀏覽器，這樣設備就不會受到安全威脅影響。

三、 結論：SASE架構為網路服務與安全服務的融合

SASE架構代表企業網路及安全體系結構性的融合趨勢，它適用於當今疫情之下遠端存取與企業服務上雲的趨勢，將安全性和網路存取融合在一起，可以適用於任何類型的終端存取方式，企業無需在設備上放置代理程式，也不需先連接到VPN再將所有流量重新路由導到Internet，SASE架構為每個單獨的存取服務帶來安全性。Gartner預計，到2024年，至少有40%的企業 將採用SASE架構的雲端服務。

構建一個完整的SASE存取服務平台並非易事，需要廣泛、多樣化技術，目前市場上能提供完整方案的廠商少之又少。這項技術也還在剛起步階段，雖然國內廠商雲端安全的佈局比較少，但是在網路安全設備以及SD-WAN相關設備方面，我國廠商都有不錯成績，在2020年產值即達156.9億臺幣，年成長率達12.4%。雖然大部份屬於替大廠代工或白牌高速網路安全平台、SD-WAN設備生產。不過在雲端服務持續成長，SASE存取服務平台帶動邊緣運算設備需求，未來成長仍然可期。

(本文作者為工研院產科國際所執行產業技術基磐研究與知識服務計畫產業分析師)