过去两年间，白山云不断实践并强化SASE与零信任方案的成熟度与适用性，构建「网络+安全+计算」的一体化边缘云平台，帮助企业高速、安全、灵活地实现IT建设的战略规划与落地。本篇中，咱们将公开探讨：SASE与零信任的“共生”关系。

 

“何为共生？共生是指两种不同生物之间所形成的紧密互利关系。”

 

SASE理念概述了企业网络安全建设应当具备哪些能力，以实现面向边缘的安全连接与可信访问，侧重指导安全供应商提供更为全面且高效的解决方案；而零信任理念则侧重对企业IT管理人员的战略思想建设，使其能够有效应对5G、云计算、物联网等发展需求下，内网边界模糊乃至消失的问题。

 

在阅读权威机构关于SASE及零信任的研究报告，抑或是接受安全供应商的方案讲解时，企业可能会认为实施SASE的同时也会实现零信任，但当前这并不能成为一个完整且既定的方法，企业的IT管理者仍需了解两者的相似之处，尤其是两者如何相互作用的“共生”关系，以更好地的满足IT建设的实际需求场景。

 

零信任核心思想强调消除访问控制中的“隐式信任”，但这并不意味着信任关系不复存在，而是引入了“身份”作为访问控制的授权实体，并限制其所能访问的最小数据集。Gartner在阐释SASE理念中提到“用户/设备/服务的身份是可以纳入所应用策略的最重要上下文之一”，强调了上下文来源可作为身份信任算法的评估参数，如：实体身份、位置信息、时间因素、风险/信任级别、正在访问的数据/应用程序敏感性等，这些都与零信任策略要求相互吻合，进而解释了为什么零信任被认为是SASE的核心组成部分之一。同时，考虑到企业多应用系统开发隔离导致的账户信息孤岛现象以及对企业身份管理系统带来的诸如账户生命周期不完全、运维管理成本高、开发灵活度与拓展性差等问题，零信任与SASE均建议企业对身份系统施行一致性要求。

 

另一方面，Gartner建议SASE领导者能够引入用户实体行为分析（UEBA）功能进行风险水平分析，实现在风险增加或设备信任度下降时做出自适应响应，这与零信任其中一个原则：“访问行为需保持持续评估，且受控于动态策略”不谋而合；零信任另一个原则要求对所有通信进行验证和加密，并且能够在离数据最近的应用程序层施加安全策略决策点。上述这两个原则构成了零信任网络访问（ZTNA）的基础，确保在应用程序层（第7层）执行访问控制，从而有别于传统VPN面向网络边界的策略限制，可与SASE提供的SD-WAN解决方案叠加安全性能与访问效率。

 

SASE的核心组件包括SD-WAN、安全网关（SWG）、零信任网络访问（ZTNA）、防火墙即服务（FWaaS）和云应用程序安全代理（CASB），实现对敏感数据鉴别，并通过持续监控发现风险和信任评定，为受保护对象提供安全性保证，上述SASE核心组件为实现零信任原则“永不信任、持续验证”提供了技术支撑。

 

总而言之，SASE与零信任的“共生”关系可以诠释为：SASE本质建立在零信任原则的基础上，零信任是SASE的关键基石，两者独立的实施战略可能存在重叠，SASE不能简单地被视作实施零信任的快捷途径，企业仍需基于IT建设现状与需求场景规划契合的零信任战略实施路径，以推进5G、云计算、物联网环境下的数字化转型进程。