SASE安全智能化演进白皮书（2025）

SASE，全称为安全访问服务边缘（Secure Access Service Edge），是由 Gartner于 2019 年首次提出的一种云原生的网络及安全架构。SASE 将网络和安全功能结合在一起 ， 通 过 统 一 的 云 服 务 进 行 交 付 。 核 心 理 念 是 在 一 个 平 台 上 整 合 网 络 和 安 全 功 能 ， 如SD-WAN（软件定义广域网）、安全网关（SWG）、云访问安全代理（CASB）、零信任网络访问（ZTNA）和防火墙即服务（FWaaS）等。SASE旨在为企业提供一种高效、安全且简化的网络架构，以更好地支持现代企业的云化、分布式办公网络需求。一、SASE 是什么在过去，企业通常采用以总部或数据中心为核心的网络及安全架构，业务系统和数据主要托管在企业总部或数据中心内，安全防护也一般以总部或数据中心为主。但随着云计算、远程办公的普及，传统的企业网络及安全架构逐渐落伍，无法继续满足企业对高效网络连接和全面安全防护的需要。企业上云后，业务系统及数据不再集中于传统数据中心，而是分散在多个SaaS、IaaS及混合云平台中。员工日常办公中要持续访问这些云上业务和数据，但传统的企业网络及安全架构却无法保障云访问的安全和效率：如果各分支和远程办公人员在进行云访问时要先绕行企业总部或数据中心以获取全面的安全防护，则将面临较高的网络延迟和较低的访问效率；如果不绕行企业总部或数据中心，则无法获取全面的安全防护，因为企业分支的安全能力往往较薄弱，远程办公的安全能力则更是近乎于零。1.企业上云带来新的挑战远程办公人员日常需要访问企业位于云上及总部或数据中心的办公业务系统，但其自身往往不具备安全防护能力。对于远程办公人员的云访问场景，传统企业网络及安全架构往往有心无力；而对于远程办公人员访问总部或数据中心的场景，传统网络及安全架构虽能提供防护，但是却要因“需开放业务端口或者 VPN 端口让远程办公人员进行远程接入”而面临网络暴露面扩大、安全防护能力下降的风险。另外，传统的VPN也难以满足高效的远程访问需求，导致远程办公效率下降。2.远程办公带来新的挑战二、为什么需要 SASE WHITEPAPER 企业上云和远程办公打破了企业的传统安全边界，使得企业网络安全防护难度倍增。而同时，越来越复杂多变的网络安全威胁则给企业网络安全带来更大的压力，企业需要更为全面、主动和灵活多变的安全防护能力。传统的网络及安全架构往往是通过堆叠多种网络及安全设备和软件形成企业安全壁垒，管理复杂度高、灵活性和扩展性差，难以应对快速多变的网络安全威胁。3.网络威胁复杂性增加带来新的挑战综上，传统的企业网络及安全架构在应对新的局面时越来越力不从心。SASE 应运而生。SASE彻底跳出了企业传统的网络及安全架构，采用云原生架构将网络和安全融为一体，以跨地域分布式平台化的方式对企业提供云化的网络及安全服务，无论企业办公人员身处何地、访问何处，SASE都能提供快速安全的服务，可以很好地满足企业上云、远程办公等场景中企业对网络及安全的新需求。另外，SASE以软件定义、统一管理的方式实现网络及安全功能的灵活定义和弹性扩展，减少企业对多种网络及安全设备和软件的依赖，简化管理复杂度，提高企业在网络及安全方面的灵活性和扩展性。2023年11月，北京轻网科技股份有限公司（轻网科技）与新华三信息安全技术有限公司（新华三）达成战略合作，结合轻网科技 SD-WAN 的全球骨干网资源优势与产品技术创新能力，以及新华三在云网安一体化融合和全栈全场景网络安全解决方案方面的优势，共同推出 SASE 一站式企业网络及安全服务。三、轻网与新华三联合推出 SASE运营平台 WHITEPAPER WHITEPAPER轻网科技、新华三联合推出的 SASE 运营平台，以轻网的企业级 SD-WAN 网络通信平台LightWAN为底座，无缝融合新华三的云化安全能力，为企业提供网络、安全一体化服务。轻网 LightWAN 平台是基于 SDN 和广域网优化技术打造的下一代企业级网络通信平台，为用户提供分支互联和应用加速服务。LightWAN 综合了产品型 SD-WAN 和运营型SD-WAN 的功能特点，既可为企业用户提供丰富的网络及流量管理能力，同时又可为企业用户提供覆盖全球的 SD-WAN 骨干网络接入服务。LightWAN 骨干网由超过 600 个 POP节点组成，按需整合了世界主流运营商和云服务商的优质网络资源，并创造性的将AI应用于网络传输优化以提升网络传输效率。通过分布式的SD-WAN控制器（Orchestrator）集中管控并智能调度整网资源，为客户提供高可靠、高质量、无处不在的企业级网络通信服务。将新华三云安全资源池与部署在各公有云平台中的LightWAN 骨干网POP节点进行无缝对接，形成具备安全能力的安全服务中心（Security Service Center，SSC），即可为企业广域网提供即插即用的云化安全能力，实现“安全即服务”。新华三云安全资源池集成防火墙、IPS、LB、防病毒、日志审计、数据库审计、主机安全、态势感知等安全能力 ， 全 面 提 升 企 业 广 域 网 安 全 。 同 时 ， 在 部 署 于 用 户 侧 的 轻 网 C P E 设 备 和 软 件 客 户 端（MobileCPE）中也集成了新华三的安全能力，形成CPE安全融合网关（S-CPE）和零信任客户端，为企业提供终端侧安全防护。 WHITEPAPER实际使用中，在企业办公站点部署轻网CPE设备，在远程办公人员的办公终端上面安装软件客户端，将办公流量引入 LightWAN 骨干网。LightWAN Orchestrator会根据办公流量的源和目标进行智能路径选择，保障办公流量的传输效率及办公业务的使用体验。用户可通过策略配置对指定流量启用SASE安全能力，办公流量则会在途径的某个安全服务中心（SSC）进行安全检查，之后再沿剩余路径去往目标。轻网&新华三 SASE 方案融合了轻网和新华三在各自领域的产品技术积累，带来如下优势。LightWAN 全球骨干网融合了全球各区域、多运营商、多云平台的专线、高质量互联网、5G及卫星等线路资源，可在全球任意区域为企业用户提供高质量接入。多云平台资源的融入也能充分保障企业上云的质量。1.全球高质量覆盖受益于 LightWAN 全球骨干网资源及智能路径选择机制，企业用户在使用轻网 新华三SASE服务时，不会出现为使用安全资源而不得不绕路而行的情况。LightWANOrchestrator会按用户业务流量的源目地址选出一条既满足用户SLA要求同时又途径某个安全服务中心（SSC）的路径，确保用户在使用安全服务的同时依然享有高质量的传输路径。2.顺路而为，安全不绕路四、轻网&新华三 SASE 方案优势 在智能路径选择的基础上，LightWAN通过基于AI智能的传输优化专利算法显著提升端到端传输质量，降低网络丢包、延时、抖动对网络数据传输效率的影响，大幅提升网络应用的使用效率和体验。对于需要超高可靠性的网络应用，还可以通过“多发选收”多路冗余传输专利技术来提供“万无一失”的超高可靠性传输保障。3.广域网优化确保超高速传输轻网&新华三 SASE 服务提供提供云端全栈安全能力，用户侧CPE设备及软件客户端可提供扩展安全能力，向用户交付云边端一体化安全防护。轻网&新华三 SASE 运营平台提供集中管理平台，对企业总部、数据中心、分支及远程办公终端进行集中化、智能化、可视化管理，将企业所有网络节点变成一个有机整体，可简化日常巡检、故障排查、策略变更、版本升级等运维操作，帮助企业推进“一张网”建设，显著提高企业网络及安全运维效率。4.全栈网安、集中智能化运维轻网&新华三SASE服务采用策略化配置，企业用户可按需订阅网络传输服务和安全服务，最小化成本支出。同时，网络、安全、终端CPE设备及软件客户端均以服务的形式交付给企业用户，降低用户在网络及安全方面的建设和管理成本，帮助企业降本增效。同时，轻资产模式有助于企业在应对复杂多变的网络威胁时的灵活性和可扩展性。5.按需订阅、轻资产、降本增效轻网&新华三 SASE 服务为企业用户提供7*365专业网络及安全运维托管服务，极大减轻企业在网络及安全运维方面的压力。6.托管式服务企业总部、分子公司、数据中心、公有云、私有云、移动终端等通过轻网&新华三SASE方案实现企业级安全组网，以云端订阅的形式为企业提供网络、安全服务。1. 企业安组网五、轻网&新华三 SASE 方案适用场景 WHITEPAPER 轻网&新华三 SASE 方案通过广域网加速、智能选路、多链路冗余等技术提供优质网络服务，通过零信任技术提供安全接入服务，可为居家办公、出差等员工提供安全、可靠、快速的网络接入。2. 远程移动办公轻网&新华三 SASE 提供全球SD-WAN骨干网和全栈安全能力，可优化用户海外SaaS应用访问体验，满足合规管控审计要求。3. SaaS 安全访问优化 WHITEPAPER 轻网&新华三 SASE 服务通过应用代理方式为企业自建业务提供全球发布方案，通过订阅安全功能，防御各类网络攻击。4. 自建应用全球安全发布轻网&新华三 SASE 可将分支上网流量通过SD-WAN骨干网收敛到企业总部互联网出口统5. 统一安全出口 WHITEPAPER WHITEPAPER一出局，总部集中建设安全资源池（FW、IPS、LB、AV、日审、数审、态势感知等安全能力）进行上网流量的安全防护、合规审计、统一监督。 LightWANOrchestrator控制器功能包括基础架构、网络编排与运营、报表与监控、安全功能、商密功能等。附、轻网&新华三 SASE 主要功能点升级计划管理模块可定时、批量升级CPE、POP、移动客户端等软件版本。提供基于日历的多种视图查看方式、同时提供新增升级计划、删除升级计划、查看升级历史等功能。提供可视化管理平台，对全网进行可视化配置、管理和监控。为每个企业用户提供独享的集中式管理及信息展示页面，统一管理和配置全网所有设备。通过对设备中各类辅助性统计数据的实时分析，实现对入网点、CPE设备及链路等各类网络资源运行情况的监控、调度及自动故障转移。支持列表视图、地图视图、层级视图展示站点、CPE、流量等信息。提供符合OpenAPI规范的接口，用于查询配置、报表、操作日志等信息，并允许用户自定义告警。用户可以通过OpenAPI进行系统集成和定制化开发，满足不同的业务需求。系统支持分权功能，可针对不同角色赋予指定的权限，实现权限分配安全可控。支持控制器的分布式部署（目前仅支持无历史数据的控制器采用分布式部署，已运行的控制器暂时无法迁移为分布式部署）。主要特点如下：•多地域负载分担：在不同地域部署中央控制器，实现负载分担；•区域间故障隔离：某个区域发生故障，影响范围限于该区域，其他区域的客户业务不受影响；为保障数据本地化存储，不进行故障转移。•全局资源共享：各区域共享全局骨干网资源，减少资源浪费；•统一管理门户：管理员可以通过一个统一的管理Portal，跨区域管理所有客户；本地化数据存储：每个区域的用户业务配置数据和报表审计数据均在本区域进行本地存储，确保数据处理的效率和安全合规。1. SD-WAN 功能1）LightWAN Orchestrator控制器功能功能类型功能名称功能介绍软件升级管理基础架构可视化管理OpenAPI权限管理分布式控制器 WHITEPAPER 骨干网功能包括入网点资源管理、入网点网络功能、跨域网关、SASE、应用加速、IP独占、Docker CPE、设备运维、系统监控、骨干安全等。2）LightWAN 骨干网功能功能类型功能名称云平台对接安全入网点入网点资源管理合作伙伴POP资源管理LTT隧道技术入网点黑名单入网点网络功能VLAN就近接入跨域网关SaaS应用加速SLA智能选路路径AI优化智能选路 WHITEPAPER支持阿里云、腾讯云、华为云、AWS等主流云平台对接。支持为指定租户的公共安全域分配合作伙伴的